Konfigurieren des Netzwerks

Zu diesem Zeitpunkt haben Sie wahrscheinlich Benutzer, die Rollen übernehmen können, und Rollen erstellt. Systemdateien können nur in der root-Rolle geändert werden.

Führen Sie von den folgenden Schritten diejenigen durch, die zusätzliche Sicherheit gemäß den Anforderungen Ihres Standorts geben. Diese Netzwerkaufgaben benachrichtigen Benutzer, die sich über eine Remote-Verbindung beim geschützten System anmelden, und unterstützen die Protokolle IP, ARP und TCP.

Aufgabe	Beschreibung	Anweisungen siehe
Zeigen Sie Warnmeldungen an, die Ihren Standortsicherheitsrichtlinien entsprechen.	Benutzer und potenzielle Angreifer werden benachrichtigt, dass das System überwacht wird.	Sicherheitsmeldung für `ssh` und `ftp` Nutzer anzeigen
Deaktivieren Sie den Netzwerkrouting-Dämon.	Dadurch wird der Zugriff auf das System durch potenzielle Netzwerk-Snooper eingeschränkt.	Deaktivieren des Netzwerkrouting-Dämons
Unterbinden Sie die Verteilung von Informationen zur Netzwerktopologie.	Der Broadcast von Paketen wird verhindert.	Deaktivieren von Broadcast-Paketweiterleitung
	Es wird nicht auf Broadcast- und Multicast-Echoanforderungen reagiert.	Deaktivieren von Antworten auf Echoanforderungen
Aktivieren Sie Strict Source und Destination Multihoming für Systeme, die als Gateway zu anderen Domains fungieren, zum Beispiel Firewalls oder VPN-Knoten.	Pakete ohne Gateway-Adresse im Header können das Gateway nicht passieren.	Festlegen von Strict Multihoming
Verhindern Sie DoS-Angriffe durch Kontrolle der Anzahl an unvollständigen Systemverbindungen.	Schränkt die zulässige Anzahl unvollständiger TCP-Verbindungen für einen TCP-Listener ein.	Festlegen einer Maximalanzahl unvollständiger TCP-Verbindungen
Unterbinden Sie DoS-Angriffe durch Kontrolle der Anzahl an zulässigen eingehenden Verbindungen.	Gibt das standardmäßige Maximum an anstehenden TCP-Verbindungen für einen TCP-Listener an.	Festlegen einer maximalen Anzahl an ausstehenden TCP-Verbindungen
Erstellen Sie sichere Zufallszahlen für TCP-Erstverbindungen.	Entspricht dem durch RFC 1948 angegebenen Sequenznummergenerierungswert.	Geben Sie eine sichere Zufallszahl für die TCP-Erstverbindung an
Setzen Sie die Netzwerkparameter auf ihre Standardeinstellungen zurück.	Dadurch wird die Sicherheit erhöht, die durch administrative Aktionen verringert wurde.	Zurücksetzen von Netzwerkparametern auf sichere Werte
Fügen Sie Netzwerkdiensten TCP-Wrapper zur Beschränkung von Anwendungen auf legitime Benutzer hinzu.	Gibt Systeme an, die berechtigt sind, auf Netzwerkdienste wie FTP-Programme zuzugreifen. Die Anwendung `sendmail` ist standardmäßig durch TCP-Wrapper geschützt, wie unter Support for TCP Wrappers From Version 8.12 of sendmail in Oracle Solaris Administration: Network Services beschrieben.	Informationen zum Aktivieren von TCP-Wrappern für alle `inetd`-Services erhalten Sie unter How to Use TCP Wrappers to Control Access to TCP Services in Oracle Solaris Administration: IP Services. Ein Beispiel für den Schutz von FTP-Netzwerkdiensten mithilfe von TCP-Wrappern finden Sie unter How to Start an FTP Server Using SMF in Oracle Solaris Administration: Network Services.

Sicherheitsmeldung für `ssh` und `ftp` Nutzer anzeigen

Führen Sie diese Schritte durch, um bei Remote-Anmeldungen und Dateiübertragungen eine Warnung anzuzeigen.

Bevor Sie beginnen

Sie müssen die root-Rolle übernehmen. Sie haben die Datei /etc/issue aus Schritt 1 von Hinzufügen einer Sicherheitsmeldung zu allen Bannerdateien erstellt.

Gehen Sie wie folgt vor, um Benutzern eine Sicherheitsmeldung anzuzeigen, die sich mit dem Befehl ssh anmelden:
1. Entfernen Sie die Kommentarzeichen aus der Banneranweisung in der Datei /etc/sshd_config.
```
# vi /etc/ssh/sshd_config
# Banner to be printed before authentication starts.
Banner /etc/issue
```
2. Aktualisieren Sie den ssh-Service.
```
# svcadm refresh ssh
  
```
Weitere Informationen finden Sie auf den Manpages issue(4) und sshd_config(4).
Gehen Sie wie folgt vor, um eine Sicherheitsmeldung Benutzern anzuzeigen, die sich mit dem Befehl ftp anmelden:
1. Fügen Sie die Anweisung DisplayConnect der Datei proftpd.conf hinzu.
```
# vi /etc/proftpd.conf
# Banner to be printed before authentication starts.
DisplayConnect /etc/issue
```
2. Starten Sie den ssh-Service neu.
```
# svcadm restart ftp
```
  Weitere Informationen erhalten Sie auf der Website ProFTPD.

Deaktivieren des Netzwerkrouting-Dämons

Führen Sie diese Schritte durch, um Netzwerkrouting nach der Installation zu unterbinden, indem Sie einen Standard-Router angeben. Führen Sie ansonsten diese Schritte nach der manuellen Routingkonfiguration durch.

Hinweis - Bei vielen Netzwerken ist es erforderlich, dass während der Konfiguration der Routing-Dämon deaktiviert wird. Daher ist es möglich, dass Sie diesen Dämon im Rahmen einer umfangreichen Konfiguration deaktiviert haben.

Bevor Sie beginnen

Das Rechteprofil "Network Management" muss Ihnen zugewiesen sein.

Überprüfen Sie, ob der Routing-Dämon ausgeführt wird.

# svcs -x svc:/network/routing/route:default
svc:/network/routing/route:default (in.routed network routing daemon)
 State: online since April 10, 2011 05:15:35 AM PDT
   See: in.routed(1M)
   See: /var/svc/log/network-routing-route:default.log
Impact: None.

Wenn der Service nicht ausgeführt wird, entfallen weitere Schritte.

Deaktivieren Sie den Routing-Dämon.

# routeadm -d ipv4-forwarding -d ipv6-forwarding
# routeadm -d ipv4-routing -d ipv6-routing
# routeadm -u

Überprüfen Sie, ob der Routing-Dämon deaktiviert ist.

# svcs -x routing/route:default
svc:/network/routing/route:default (in.routed network routing daemon)
 State: disabled since April 11, 2011 10:10:10 AM PDT
Reason: Disabled by an administrator.
   See: http://sun.com/msg/SMF-8000-05
   See: in.routed(1M)
Impact: This service is not running.

Siehe auch

Manpage routeadm(1M)

Deaktivieren von Broadcast-Paketweiterleitung

Oracle Solaris leitet Broadcast-Pakete standardmäßig weiter. Wenn Sie aufgrund Ihrer Sicherheitsrichtlinie die Bedrohung durch Broadcast-Flooding einschränken müssen, ändern Sie mithilfe dieser Schritte den Standardwert.

Hinweis - Durch das Deaktivieren der Netzwerkeigenschaft _forward_directed_broadcasts deaktivieren Sie auch Broadcast-Pings.

Bevor Sie beginnen

Das Rechteprofil "Network Management" muss Ihnen zugewiesen sein.

Legen Sie den Wert der Broadcast-Paketweiterleitungseigenschaft auf 0 für IP-Pakete fest.
```
# ipadm set-prop -p _forward_directed_broadcasts=0 ip
```

Prüfen Sie den aktuellen Wert.

# ipadm show-prop -p _forward_directed_broadcasts ip
PROTO  PROPERTY                     PERM CURRENT   PERSISTENT   DEFAULT   POSSIBLE
ip    _forward_directed_broadcasts  rw   0         --           0         0,1

Siehe auch

Manpage ipadm(1M)

Deaktivieren von Antworten auf Echoanforderungen

Führen Sie diese Schritte durch, um die Verteilung von Informationen zur Netzwerktopologie zu verhindern.

Bevor Sie beginnen

Das Rechteprofil "Network Management" muss Ihnen zugewiesen sein.

Legen Sie den Wert der Eigenschaft für Antworten auf Broadcast-Echoanforderungen auf 0 für IP-Pakete fest und überprüfen Sie dann den aktuellen Wert.

# ipadm set-prop -p _respond_to_echo_broadcast=0 ip

# ipadm show-prop -p _respond_to_echo_broadcast ip
PROTO  PROPERTY                  PERM CURRENT   PERSISTENT   DEFAULT   POSSIBLE
ip    _respond_to_echo_broadcast rw   0         --           1         0,1

Legen Sie den Wert der Eigenschaft für Antworten auf Multicast-Echoanforderungen auf 0 für IP-Pakete fest und überprüfen Sie dann den aktuellen Wert.

# ipadm set-prop -p _respond_to_echo_multicast=0 ipv4
# ipadm set-prop -p _respond_to_echo_multicast=0 ipv6

# ipadm show-prop -p _respond_to_echo_multicast ipv4
PROTO  PROPERTY                  PERM CURRENT   PERSISTENT   DEFAULT   POSSIBLE
ipv4  _respond_to_echo_multicast rw   0         --           1         0,1
# ipadm show-prop -p _respond_to_echo_multicast ipv6
PROTO  PROPERTY                  PERM CURRENT   PERSISTENT   DEFAULT   POSSIBLE
ipv6  _respond_to_echo_multicast rw   0         --           1         0,1

Siehe auch

Weitere Informationen finden Sie unter _respond_to_echo_broadcast and _respond_to_echo_multicast (ipv4 or ipv6) in Oracle Solaris Tunable Parameters Reference Manual und auf der Manpage ipadm(1M).

Festlegen von Strict Multihoming

Führen Sie die folgenden Schritte durch, um für Systeme, die als Gateway zu anderen Domains fungieren (beispielsweise Firewalls oder VPN-Knoten), Strict Multihoming zu aktivieren.

In der Oracle Solaris 11-Version kommt eine neue Eigenschaft hinzu: hostmodel für IPv4 und IPv6. Diese Eigenschaft steuert das Verhalten beim Senden und Empfangen von IP-Paketen in einem Multihoming-System.

Bevor Sie beginnen

Das Rechteprofil "Network Management" muss Ihnen zugewiesen sein.

Legen Sie die Eigenschaft hostmodel auf strong für IP-Pakete fest.

# ipadm set-prop -p hostmodel=strong ipv4
# ipadm set-prop -p hostmodel=strong ipv6

Überprüfen Sie den aktuellen Wert und beachten Sie die möglichen Werte.

# ipadm show-prop -p hostmodel ip
PROTO  PROPERTY    PERM CURRENT   PERSISTENT   DEFAULT   POSSIBLE
ipv6   hostmodel   rw   strong    strong       weak      strong,src-priority,weak
ipv4   hostmodel   rw   strong    strong       weak      strong,src-priority,weak

Siehe auch

Weitere Informationen erhalten Sie unter hostmodel (ipv4 or ipv6) in Oracle Solaris Tunable Parameters Reference Manual und auf der Manpage ipadm(1M).

Weitere Informationen über die Verwendung von Strict Multihoming finden Sie unter How to Protect a VPN With IPsec in Tunnel Mode in Oracle Solaris Administration: IP Services.

Festlegen einer Maximalanzahl unvollständiger TCP-Verbindungen

Wenden Sie DoS-Angriffe (Denial of Service) ab, indem Sie mithilfe dieser Schritte die Anzahl an ausstehenden, unvollständigen Verbindungen begrenzen.

Bevor Sie beginnen

Das Rechteprofil "Network Management" muss Ihnen zugewiesen sein.

Legen Sie die maximale Anzahl an eingehenden Verbindungen fest.
```
# ipadm set-prop -p _conn_req_max_q0=4096 tcp
```

Prüfen Sie den aktuellen Wert.

# ipadm show-prop -p _conn_req_max_q0 tcp
PROTO  PROPERTY         PERM CURRENT   PERSISTENT   DEFAULT   POSSIBLE
tcp   _conn_req_max_q0  rw   4096      --           128       1-4294967295

Siehe auch

Weitere Informationen erhalten Sie unter _conn_req_max_q0 in Oracle Solaris Tunable Parameters Reference Manual und auf der Manpage ipadm(1M).

Festlegen einer maximalen Anzahl an ausstehenden TCP-Verbindungen

Wenden Sie DoS-Angriffe ab, indem Sie mithilfe dieser Schritte die Anzahl der zulässigen eingehenden Verbindungen begrenzen.

Bevor Sie beginnen

Das Rechteprofil "Network Management" muss Ihnen zugewiesen sein.

Legen Sie die maximale Anzahl an eingehenden Verbindungen fest.
```
# ipadm set-prop -p _conn_req_max_q=1024 tcp
```

Prüfen Sie den aktuellen Wert.

# ipadm show-prop -p _conn_req_max_q tcp
PROTO  PROPERTY         PERM CURRENT   PERSISTENT   DEFAULT   POSSIBLE
tcp   _conn_req_max_q   rw   1024      --           128       1-4294967295

Siehe auch

Weitere Informationen finden Sie unter _conn_req_max_q in Oracle Solaris Tunable Parameters Reference Manual und auf der Manpage ipadm(1M).

Geben Sie eine sichere Zufallszahl für die TCP-Erstverbindung an

Durch diesen Vorgang wird der Parameter für die TCP-Anfangssequenznummergenerierung so festgelegt, dass er RFC 1948 entspricht.

Bevor Sie beginnen

Sie müssen die root-Rolle übernehmen, um eine Systemdatei zu ändern.

Ändern Sie den Standardwert für die Variable TCP_STRONG_ISS.

# vi /etc/default/inetinit
# TCP_STRONG_ISS=1
TCP_STRONG_ISS=2

Zurücksetzen von Netzwerkparametern auf sichere Werte

Viele Netzwerkparameter, die standardmäßig ausreichenden Schutz bieten, können geändert werden. Setzen Sie diese Parameter auf ihre Standardwerte zurück, sofern dadurch nicht gegen die Sicherheitsrichtlinien verstoßen wird.

Bevor Sie beginnen

Das Rechteprofil "Network Management" muss Ihnen zugewiesen sein. Der abgeänderte Wert des Parameters bietet weniger Schutz als der Standardwert.

Legen Sie die Eigenschaft für das Weiterleiten von Quellpaketen auf 0 für IP-Pakete fest und überprüfen Sie den aktuellen Wert.

Der Standardwert verhindert DoS-Angriffe von nachgeahmten Paketen.

# ipadm set-prop -p _forward_src_routed=0 ipv4
# ipadm set-prop -p _forward_src_routed=0 ipv6
# ipadm show-prop -p _forward_src_routed ipv4
PROTO  PROPERTY             PERM CURRENT   PERSISTENT   DEFAULT   POSSIBLE
ipv4  _forward_src_routed   rw   0         --           0         0,1
# ipadm show-prop -p _forward_src_routed ipv6
PROTO  PROPERTY             PERM CURRENT   PERSISTENT   DEFAULT   POSSIBLE
ipv6  _forward_src_routed   rw   0         --           0         0,1

Weitere Informationen finden Sie unter forwarding (ipv4 or ipv6) in Oracle Solaris Tunable Parameters Reference Manual .

Legen Sie die Eigenschaft für Netzmaskenantworten auf 0 für IP-Pakete fest und überprüfen Sie den aktuellen Wert.

Durch den Standardwert wird die Verteilung von Informationen zur Netzwerktopologie verhindert.

# ipadm set-prop -p _respond_to_address_mask_broadcast=0 ip
# ipadm show-prop -p _respond_to_address_mask_broadcast ip
PROTO PROPERTY                           PERM CURRENT   PERSISTENT   DEFAULT   POSSIBLE
ip    _respond_to_address_mask_broadcast rw   0         --           0         0,1

Legen Sie die Eigenschaft für Zeitstempelantworten auf 0 für IP-Pakete fest und überprüfen Sie den aktuellen Wert.

Durch den Standardwert wird zusätzlicher CPU-Bedarf in Systemen sowie die Verteilung von Netzwerkinformationen unterbunden.

# ipadm set-prop -p _respond_to_timestamp=0 ip
# ipadm show-prop -p _respond_to_timestamp ip
PROTO  PROPERTY                        PERM CURRENT   PERSISTENT   DEFAULT   POSSIBLE
ip    _respond_to_timestamp            rw   0         --           0         0,1

Legen Sie die Eigenschaft für Broadcast-Zeitstempelantworten auf 0 für IP-Pakete fest und überprüfen Sie den aktuellen Wert.

Durch den Standardwert wird zusätzlicher CPU-Bedarf in Systemen sowie die Verteilung von Netzwerkinformationen unterbunden.

# ipadm set-prop -p _respond_to_timestamp_broadcast=0 ip
# ipadm show-prop -p _respond_to_timestamp_broadcast ip
PROTO  PROPERTY                        PERM CURRENT   PERSISTENT   DEFAULT   POSSIBLE
ip    _respond_to_timestamp_broadcast  rw   0         --           0         0,1

Legen Sie die Eigenschaft für das Ignorieren von Umleitungen auf 0 für IP-Pakete fest und überprüfen Sie den aktuellen Wert.

Durch den Standardwert wird zusätzlicher CPU-Bedarf in Systemen unterbunden.

# ipadm set-prop -p _ignore_redirect=0 ipv4
# ipadm set-prop -p _ignore_redirect=0 ipv6
# ipadm show-prop -p _ignore_redirect ipv4
PROTO  PROPERTY         PERM CURRENT   PERSISTENT   DEFAULT   POSSIBLE
ipv4  _ignore_redirect  rw   0         --           0         0,1
# ipadm show-prop -p _ignore_redirect ipv6
PROTO  PROPERTY         PERM CURRENT   PERSISTENT   DEFAULT   POSSIBLE
ipv6  _ignore_redirect  rw   0         --           0         0,1

Unterbinden Sie IP-Quellrouting.
Wenn Sie zu Diagnosezwecken IP-Quellrouting durchführen müssen, deaktivieren Sie diesen Netzwerkparameter nicht.
```
# ipadm set-prop -p _rev_src_routes=0 tcp
# ipadm show-prop -p _rev_src_routes tcp
PROTO  PROPERTY         PERM CURRENT   PERSISTENT   DEFAULT   POSSIBLE
tcp   _rev_src_routes   rw   0         --           0         0,1
```
Weitere Informationen erhalten Sie unter _rev_src_routes in Oracle Solaris Tunable Parameters Reference Manual.

Legen Sie die Eigenschaft für das Ignorieren von Umleitungen auf 0 für IP-Pakete fest und überprüfen Sie den aktuellen Wert.

Durch den Standardwert wird zusätzlicher CPU-Bedarf in Systemen unterbunden. Bei einer guten Netzwerkplanung sind Umleitungen normalerweise nicht nötig.

# ipadm set-prop -p _ignore_redirect=0 ipv4
# ipadm set-prop -p _ignore_redirect=0 ipv6
# ipadm show-prop -p _ignore_redirect ipv4
PROTO  PROPERTY           PERM  CURRENT   PERSISTENT   DEFAULT   POSSIBLE
ipv4   _ignore_redirect   rw    0         --           0         0,1
# ipadm show-prop -p _ignore_redirect ipv6
PROTO  PROPERTY           PERM  CURRENT   PERSISTENT   DEFAULT   POSSIBLE
ipv6   _ignore_redirect   rw    0         --           0         0,1

Siehe auch

Manpage ipadm(1M)

Navigationslinks überspringen
Druckansicht beenden
	Oracle Solaris 11 - Sicherheitsbestimmungen Oracle Solaris 11 Information Library (Deutsch)