Verbesserte Sicherheitsfunktionen

IKE-Protokoll (Internet Key Exchange)

IKE (Internet Key Exchange) automatisiert die Schlüsselverwaltung für IPsec. IKE ersetzt die manuelle Schlüsselzuweisung und -Aktualisierung in IPv4-Netzwerken, so dass der Administrator eine größere Anzahl an sicheren Netzwerken verwalten kann. 

Systemadministratoren können mit IPsec sichere IPv4-Netzwerke einrichten. Der Dämon in.iked bietet Schlüsselableitung, Authentisierung und Authentisierungsschutz beim Booten. Der Dämon kann konfiguriert werden. Der Administrator definiert die Parameter in einer Konfigurationsdatei. Nach dem Definieren der Parameter ist keine manuelle Schlüsselaktualisierung mehr erforderlich.

Weitere Informationen finden Sie unter "Internet Key Exchange" in System Administration Guide: IP Services.

Solaris 9  

Solaris Secure Shell

Dank der Secure Shell können Benutzer auch über ein nicht gesichertes Netzwerk sicher auf einen entfernten Host zugreifen. Datenübertragungen und interaktive Sitzungen im Netzwerk sind vor Abhörversuchen, der Übernahme von Sitzungen und sonstigen Angriffen geschützt. Solaris 9 Secure Shell unterstützt die Protokollversionen SSHv1 und SSHv2. Außerdem steht die starke Authentisierung zur Verfügung, die mit Public-Key-Kryptographie arbeitet. Zum zusätzlichen Schutz können das X Window System und andere Netzwerkdienste per Tunneling sicher über Secure Shell-Verbindungen geleitet werden. 

Der Secure Shell-Server sshd unterstützt die Überwachung und Filterung eingehender Anforderungen nach Netzwerkdiensten. Der Server kann so konfiguriert werden, dass er den Client-Host-Namen eingehender Anforderungen protokolliert, was die Netzwerksicherheit verbessert. Der Befehl sshd verwendet den gleichen Mechanismus, der auch vom Dienstprogramm Tcp-wrappers 7.6 verwendet wird (siehe "Freeware").

Weitere Informationen finden Sie auf den Manpages sshd(1M), hosts_access(4) und hosts_options(4).

Solaris 9 

Kerberos-KDC (Key Distribution Center) und Administrations-Tools

Systemadministratoren können dank der Kerberos V5-Funktionen zu Authentisierung, Vertraulichkeit und Integrität eine höhere Systemsicherheit gewährleisten. NFS ist ein Beispiel für eine mit Kerberos V5 geschützte Anwendung. 

In der folgenden Auflistung sind die wichtigsten neuen Funktionen von Kerberos V5 enthalten.

• Kerberos V5 Server - Der Server umfasst die folgenden Komponenten:

  • System zur Administration von Principals (Benutzern) - Das System umfasst einen zentralen Server für die lokale und ferne Administration von Principals und Sicherheitsrichtlinien.

    Das System wird mit einem Administrations-Tool mit grafischer Oberfläche und Befehlszeilenschnittstelle geliefert.

  • KDC (Key Distribution Center) - Das Center arbeitet mit den Daten aus der Principal-Datenbank, die vom Administrationsserver erstellt wurden, und gibt Tickets für Clients aus.

  • System zum Replizieren der Principal-Datenbank - Das System dient zum Duplizieren der KDC-Datenbank auf einem Sicherungsserver.

• Interoperabilität bei MIT- und Microsoft Windows 2000-Passwortübertragung - Kerberos V5-Passwörter können jetzt von einem Solaris-Client auf einen MIT-Kerberos-Server und Windows 2000 übertragen werden.

• Optimiertes DES - Die Kerberos V5-Kernel-DES-Operationen wurden für Sun4u-Systeme optimiert.

• Kerberos-verschlüsselte Kommunikation jetzt unterstützt im Solaris-Kern - In der Version Solaris 9 steht in der Betriebssystemumgebung ein Verschlüsselungsmodul zur Verfügung, das die Kerberos-verschlüsselte Kommunikation unterstützt. Zuvor stand ein Verschlüsselungsmodul nur auf der Solaris Encryption Kit CD-ROM oder per Internet-Download zur Verfügung.

• Adresslose Tickets - Systemadministratoren und Benutzer können jetzt adresslose Tickets angeben. Diese Möglichkeit kann in Multi-homed- und NAT-Netzwerkumgebungen von Nutzen sein.

• Das PAM-Modul von Kerberos V5 unterstützt die Passwortalterung - Das Modul pam_krb5 unterstützt die im KDC für jeden Benutzer-Principal festgelegte Passwortalterung.

Weitere Informationen finden Sie unter "Administering the Kerberos Database" in System Administration Guide: Security Services.

Solaris 9 

Sicherer LDAP-Client

Das Release Solaris 9 umfasst neue Funktionen für die auf LDAP-Clients basierte Sicherheit. Eine neue LDAP-Bibliothek bietet SSL (TLS) und CRAM-MD5-Verschlüsselungsmechanismen. Diese Verschlüsselungsmechanismen ermöglichen es Kunden, Verschüsselungsverfahren für die Verbindung zwischen LDAP-Clients und dem LDAP-Server einzurichten.  

Weitere Informationen zu iPlanet Directory Server 5.1, dem LDAP-Verzeichnisserver, finden Sie unter "Vernetzung".

Solaris 9 

Verschlüsselungsmodule für IPsec und Kerberos

In Solaris 9 ist eine Verschlüsselung mit einer maximalen Schlüssellänge von 128 Bit enthalten. Vor Solaris 9 standen Verschlüsselungsmodule ausschließlich auf der Solaris Encryption Kit CD-ROM oder über Internet-Downloads zur Verfügung. Eine Reihe der entsprechenden Algorithmen sind jetzt in der Betriebssystemumgebung Solaris 9 enthalten. Diese umfassen 56-Bit-DES-Privacy-Unterstützung für Kerberos sowie 56-Bit-DES- und Triple-DES-Unterstützung (3 Schlüssel) für IPsec.  

Darüber hinaus bietet Solaris 9 Unterstützung für eine Verschlüsselung mit mehr als 128 Bit für IPsec. Diese steht auf der Solaris Encryption Kit CD-ROM oder über einen Internet-Download zur Verfügung. IPsec unterstützt AES (Advanced Encryption Standard) mit 128 Bit, 192 Bit oder 256 Bit sowie Blowfish mit 32 bis 448 Bit (in Schritten von 8 Bit).

Informationen zur IPsec-Unterstützung finden Sie unter "IPsec (Overview)" in System Administration Guide: IP Services. Informationen zur Kerberos-Unterstützung finden Sie unter "Introduction to SEAM" in System Administration Guide: Security Services.

Solaris 9 

IP-Sicherheitsarchitektur für IPv6

Das IPsec-Sicherheitssystem wurde in Solaris 9 verbessert und ermöglicht jetzt den sicheren Austausch von IPv6-Datagrammen zwischen Rechnern. Für Solaris 9 wird nur die Verwendung manueller Schlüssel unterstützt, wenn IPsec für IPv6 verwendet wird. 

Das IPsec-Sicherheitssystem für IPv4 wurde in der Version Solaris 8 eingeführt. Das Internet Key Exchange-Protokoll (IKE-Protokoll) steht für IPv4 zur Verfügung.

Weitere Informationen finden Sie unter "IPsec (Overview)" in System Administration Guide: IP Services.

Solaris 9 

Verbesserungen für RBAC (Role-Based Access Control)

Die RBAC-Datenbanken (Role-Based Access Control, rollenbasierte Zugriffssteuerung) lassen sich über die grafische Benutzerschnittstelle von Solaris Management Console verwalten. Es ist jetzt möglich, Berechtigungen standardmäßig in der Datei policy.conf zuzuweisen. Darüber hinaus können Berechtigungen jetzt weitere Berechtigungen enthalten. Weitere Informationen zu RBAC finden Sie unter "RBAC (Role-Based Access Control)".

Weitere Informationen finden Sie unter "Role-Based Access Control (Overview)" in System Administration Guide: Security Services.

Solaris 8 1/01 

Sicherheitsoptionen für Xserver-Verbindungen

Dank neuer Optionen können Systemadministratoren jetzt festlegen, dass nur verschlüsselte Verbindungen zum Solaris X-Server zulässig sind. Weitere Informationen finden Sie unter "Xserver-Funktionen".

Solaris 9 

GSS-API (Generic Security Services Application Programming Interface)

Die GSS-API (Generic Security Services Application Programming Interface) ist eine Sicherheitsstruktur, die es Anwendungen ermöglicht, die von ihnen übertragenen Daten zu schützen. Die GSS-API stellt den Anwendungen Dienste für Authentisierung, Integrität und Vertraulichkeit zur Verfügung. Dank dieser Schnittstelle können die Anwendungen in Bezug auf die Sicherheit vollkommen unspezifisch gestaltet sein. Das bedeutet, dass die Anwendungen weder die zugrunde liegende Plattform (wie z. B. die Solaris-Plattform) noch den verwendeten Sicherheitsmechanismus (wie z. B. Kerberos) abfragen müssen. Anwendungen, die mit der GSS-API arbeiten, können daher höchst portierbar sein. 

Weitere Informationen finden Sie im GSS-API Programming Guide.

Solaris 8 6/00 

Zusätzliche Sicherheitssoftware

Informationen über SunScreen^TM 3.2, ein Firewall-Produkt, finden Sie unter "Zusätzliche Software".

Außerdem finden Sie Informationen zur Tcp-wrappers 7.6-Freeware im Release Solaris 9 unter "Freeware". Tcp-wrappers 7.6 sind kleine Dämon-Programme, die Anforderungen nach Netzwerkdiensten überwachen und filtern.

Solaris 9