Verbesserte Sicherheitsfunktionen

In Solaris 10 5/09 wurden die folgenden Sicherheitsfunktionen und -verbesserungen implementiert.

NAT-Durchquerung für Entwickler von IPsec-Schlüsselverwaltungsfunktionen

Die Version Solaris 10 5/09 enthält eine öffentliche API für User Datagram Protocol (UDP)-Sockets, die als Endpunkte für die IPsec-NAT-Durchquerung dienen.

Die Option UDP_NAT_T_ENDPOINT-Socket ermöglicht (sofern aktiviert) UDP-Datenverkehr mit einem aus vier Bytes bestehenden vorangestellten Null-Sicherheitsparameterindex (SPI) bei ausgehendem Datenverkehr und entfernt Null-SPIs bei eingehendem Datenverkehr. Eingehender Datenverkehr für solch einen Socket mit einem SPI, der ungleich Null ist, wird automatisch an Encapsulating Security Payload (ESP) von IPsec für die ESP-in-UDP-Entkapselung weitergeleitet. Die ESP-in-UDP-Verkapselung wird durch eine Eigenschaft in der IPsec-Sicherheitszuordnung festgelegt.

Diese Funktion ermöglicht den Entwicklern von IPsec-Schlüsselverwaltungssoftware, Schlüsselverwaltungsprotokolle zu erstellen, die Durchgangsverbindungen für NAT-Geräte herstellen können. Der IKE-Dämon von Solaris in iked(1M) verwendet diese Einrichtung, und solche Sockets werden mithilfe des Befehls pfiles(1M) angezeigt.

Leistungsfähigere Algorithmen für IPsec

Die Version Solaris 10 5/09 stellt folgende Algorithmen für IPsec und IKE bereit:

• Drei größere Diffie-Hellman-Ganzzahl-Gruppen mit 2048 Bit, 3072 Bit und 4096 Bit – die größeren Diffie-Hellman-Gruppen stehen in den IKE-Phasen 1 und 2 zur Verfügung. Die Gruppen werden durch Gruppennummern angegeben: 14 für 2048 Bit, 15 für 3072 Bit und 16 für 4096 Bit entsprechend RFC 3526.

• SHA-2-Reihe von Hash-Werten (darunter sha256, sha384 und sha512) – SHA-2 verwendet HMAC und steht für Authentication Header (AH) und ESP von IPsec zur Verfügung, sowie für IKE während des Dialogverkehrs. SHA-2 wird in IPsec entsprechend RFC 4868 verwendet, mit gekürzten ICV-Längen von 16 Byte für SHA256, 24 Byte für SHA384 und 32 Byte für SHA512.

  ---

  Hinweis –

  SHA-2 steht nicht für Zertifikate zur Verfügung, die mit ikecert (1M) generiert wurden.

  ---

SunSSH mit Unterstützung des OpenSSL-PKCS#11-Moduls

Diese Funktion ermöglicht dem SunSSH-Server und dem Client, mithilfe des OpenSSL-PKCS#11-Moduls die Verschlüsselungsstruktur von Solaris zu verwenden. SunSSH verwendet eine Verschlüsselungsstruktur für die Hardware-Verschlüsselungsbeschleunigung von symmetrischen Verschlüsselungsalgorithmen, was für die Datenübertragungsgeschwindigkeit wichtig ist. Diese Funktion ist für UltraSPARC® T2-Prozessor-Plattformen mit dem Verschlüsselungstreiber n2cp (7D) vorgesehen.

Diese Funktion hat keinen Einfluss auf UltraSPARC T1-Prozessor-Plattformen, da der Treiber ncp(7D) keine symmetrischen Verschlüsselungsalgorithmen unterstützt. Zudem hat diese Funktion keinen Einfluss auf Plattformen ohne Hardware-Verschlüsselungs-Plugins, egal welcher Wert für die Option UseOpenSSLEngine festgelegt ist. Der Standardwert der Option UseOpenSSLEngine wird auf "on" gesetzt, und die SSH-Konfigurationsdateien des Servers und des Clients müssen nicht aktualisiert werden.

SunSSH muss in Verbindung mit Version 1.1 der Software für die Sun Crypto Accelerator 6000-Karte verwendet werden, und folgende Patches müssen installiert sein:

• 128365-02 für SPARC-basierte Systeme

• 128366-02 für x86-basierte Systeme

Für Software der Version 1.0 der Sun Crypto Accelerator 6000-Karte ist kein Patch verfügbar. Um diesem Problem abzuhelfen, entfernen Sie sowohl server- als clientseitig die AES-Zählermodi aus der Schlüsselwort-Option "Ciphers" (Verschlüsselungen).

Weitere Informationen finden Sie unter ssh_config(4) und sshd_config(4)