Von WAN-Boot unterstützte Sicherheitskonfigurationen (Übersicht)

WAN-Boot unterstützt verschiedene Sicherheitsstufen. Sie können die von WAN-Boot unterstützten Sicherheitsleistungsmerkmale im Hinblick auf die Anforderungen in Ihrem Netzwerk kombinieren. Eine Konfiguration mit einer höheren Sicherheit erfordert zwar mehr Administrationsaufwand, bedeutet aber auch einen besseren Schutz für Ihre Systemdaten. Für wichtigere Systeme oder Systeme, die über ein öffentliches Netzwerk installiert werden sollen, eignet sich die Konfiguration unter Sichere WAN-Boot-Installationskonfiguration. Für etwas weniger wichtige Systeme oder Systeme in halb-privaten Netzwerken könnte die in Unsichere WAN-Boot-Installationskonfiguration beschriebene Konfiguration eine gute Lösung sein.

In diesem Abschnitt werden die Konfigurationen für unterschiedliche Sicherheitsstufen bei der WAN-Boot-Installation kurz dargestellt. Darüber hinaus werden die in den verschiedenen Konfigurationen angewendeten Sicherheitsmechanismen beschrieben.

Sichere WAN-Boot-Installationskonfiguration

Diese Konfiguration schützt die Integrität der zwischen Server und Client übertragenen Daten und trägt zur Geheimhaltung des Übertragungsinhalts bei. In dieser Konfiguration kommen eine HTTPS-Verbindung und entweder der 3DES- oder der AES-Algorithmus zur Verschlüsselung der Client-Konfigurationsdateien zum Einsatz. Sie sieht auch vor, dass sich der Server bei der Installation gegenüber dem Client ausweist. Für eine sichere WAN-Boot-Installation gelten bezüglich der Sicherheitsfunktionen folgende Voraussetzungen:

• HTTPS auf WAN-Boot-Server und Installationsserver aktiviert

• HMAC SHA1-Hashing-Schlüssel auf WAN-Boot-Server und Client

• 3DES- oder AES-Verschlüsselung für WAN-Boot-Server und Client

• Digitales Zertifikat einer Zertifizierungsstelle für WAN-Boot-Server

Wenn Sie zusätzlich festlegen möchten, dass sich auch der Client bei der Installation ausweisen muss, sind auch diese Sicherheitsfunktionen erforderlich:

• Privater Schlüssel für den WAN-Boot-Server

• Digitales Zertifikat für den Client

Eine Liste der Schritte, die zur Installation mit dieser Konfiguration erforderlich sind, finden Sie in Tabelle 11–1.

Unsichere WAN-Boot-Installationskonfiguration

Diese Sicherheitskonfiguration bedeutet zwar den geringsten Administrationsaufwand, aber auch die geringste Sicherheit bei der Datenübertragung zwischen Webserver und Client. Sie müssen weder einen Hashing-Schlüssel noch eine Verschlüsselung oder digitale Zertifikate generieren. Auch muss der Webserver nicht für die Verwendung von HTTPS konfiguriert sein. Die Installationsdaten und -dateien werden aber über eine HTTP-Verbindung gesendet, die Ihre Installation gegenüber Ausspähversuchen im Netzwerk verwundbar macht.

Wenn Sie möchten, dass der Client die Integrität der übertragenen Daten überprüft, können Sie diese Konfiguration durch den Einsatz eines HMAC SHA1-Hashing-Schlüssels ergänzen. Beachten Sie aber bitte, dass das Solaris Flash-Archiv durch einen Hashing-Schlüssel nicht geschützt wird. Das Archiv wird bei der Installation schutzlos zwischen dem Server und dem Client übertragen.

Eine Liste der Schritte, die zur Installation mit dieser Konfiguration erforderlich sind, finden Sie in Tabelle 11–2.