Säkerhetsförbättringar (Nyheter i operativmiljön Solaris 9 9/02)

Nyheter i operativmiljön Solaris 9 9/02

Säkerhetsförbättringar

Beskrivning av funktionerna
IKE-protokollet (Internet Key Exchange) IKE (Internet Key Exchange) automatiserar nyckelhanteringen i IPsec. IKE ersätter manuell nyckeltilldelning och uppdatering på IPv4-nätverk. Med IKE kan administratören hantera ett större antal säkra nätverk. Systemadministratörer använder IPsec för att konfigurera säkra IPv4-nätverk. Bakgrundsprogrammet `in.iked` står för nyckelhärledning, verifiering och verifieringsskydd vid start. Bakgrundsprogrammet kan konfigureras. Administratören anger parametrarna i en konfigurationsfil. När parametrarna har angetts krävs ingen mer manuell uppdatering. Mer information finns i "Internet Key Exchange" in System Administration Guide: IP Services.
SSH (Solaris Secure Shell) Med säkert skal kan användare upprätta en säker anslutning till en fjärrvärd över ett nätverk som inte behöver vara säkert. Dataöverföringar och användares interaktiva nätverkssessioner skyddas från att avlyssning eller sessionsövertagning samt att en tredje part leder om sessionen via sig själv. Säkert skal i Solaris 9 stöder protokollversionerna SSHv1 och SSHv2. Kraftfull verifiering, baserad på kryptering med allmänna nycklar, ingår. X Windows-systemet och andra nätverkstjänster kan kapslas in i säkra skalanslutningar för ytterligare skydd. Servern för säkert skal, `sshd`, stöder övervakning och filtrering av inkommande förfrågningar om nätverkstjänster. Servern kan konfigureras så att klientvärdnamnet för inkommande förfrågningar loggas, vilket ger högre nätverkssäkerhet. `sshd` använder samma teknik som den som används i verktyget `Tcp-wrappers 7.6`, som finns beskrivet i "Gratisprogram". Mer information hittar du i direkthjälpen för sshd(1M), `hosts_access`(4) och `hosts_options`(4). Se även "Using Secure Shell" in System Administration Guide: Security Services.
Kerberos Key Distribution Center (KDC) och administrativa verktyg Systemadministratörer kan öka systemsäkerheten med hjälp av verifierings-, sekretess- och integritetsskyddet i Kerberos V5. NFS kan till exempel skyddas med Kerberos V5. Här följer en förteckning över viktiga nya funktioner i Kerberos V5. Kerberos V5 Server - I servern ingår följande komponenter: Principbaserat administrationssystem (för användare) - Här ingår en centraliserad server för lokal administration respektive fjärradministration av behöriga klienter och säkerhetsprinciper. Systemet innehåller ett adminstrationsverktyg med ett grafiskt gränssnitt såväl som ett kommandoradsgränssnitt. Key Distribution Center (KDC) - Använder informationen i databasen över behöriga klienter som skapats av administrationsservern. Delar ut biljetter till klienter. Replikeringssystem för databaser över behöriga klienter - Duplicerar KDC-databasen till en backupserver. Lösenordsutbytbarhet mellan MIT och Microsoft Windows 2000 - Kerberos V5-lösenord kan nu ändras från en Solaris-klient till en MIT Kerberos-server och Microsoft Windows 2000. Justerad DES - DES-aktiviteter i Kerberos V5-kärnan har optimiserats för Sun4u-arkitekturen. Kerberos-krypterad kommunikation stöds nu i Solaris-kärnan - En krypteringsmodul som stöder Kerberos-krypterad kommunikation ingår nu i operativmiljön Solaris 9. Tidigare fanns bara krypteringsmodulen tillgänglig på cd-rom-skivan med Solaris Encryption Kit eller via nedladdning från webben. Biljetter utan adresser - Systemadministratörer och användare kan nu ange biljetter utan adresser. Detta kan vara nödvändigt i miljöer med fleranslutna nätverk och NAT-nätverk. Kerberos V5 PAM-modulen stöder tidsbegränsat lösenord - `pam_krb5`-modulen stöder tidsbegränsat lösenord som anges i KDC för varje användarklient. Mer information finns i "Administering the Kerberos Database" in System Administration Guide: Security Services.
Säker LDAP-klient Solaris 9 innehåller nya funktioner för LDAP-klientbaserad säkerhet. Ett nytt LDAP-bibliotek har SSL- (TLS) och CRAM-MD5-krypteringsmekanismer. Dessa krypteringsmekanismer gör att kunder kan använda krypteringsmetoder via nätet mellan LDAP-klienter och LDAP-servern. Sun ONE Directory Server 5.1 (tidigare iPlanet Directory Server 5.1) är LDAP-katalogservern. Mer information finns i "Nätverkshantering".
Krypteringsmoduler för IP-säkerhet och Kerberos I Solaris 9 ingår kryptering med en maximal nyckellängd på 128 bitar. Tidigare var bara krypteringsmodulen tillgänglig på cd-rom-skivan med Solaris Encryption Kit eller via nedladdning från webben. Många av dessa algoritmer finns nu i operativmiljön Solaris 9. Algoritmerna inkluderar 56-bitars DES-sekretesstöd för Kerberos och 56-bitars DES- och tre-nyckels Triple-DES-stöd för IP-säkerhet. Obs! Stöd för starkare kryptering än 128 bitar genom IPsec finns tillgängligt på cd-rom-skivan Solaris Encryption Kit eller på webben. IPsec stöder 128-bitars-, 192-bitars- eller 256-bitars AES (Advanced Encryption Standard), samt 32- till 448-bitars Blowfish i 8-bitarssteg. Mer information om IPsec finns i "IPsec (Overview)" in System Administration Guide: IP Services. Mer information om Kerberos-stöd finns i "Introduction to SEAM" in System Administration Guide: Security Services.
IP-säkerhetsarkitektur för IPv6 Säkerhetsramverket IPsec har förbättrats i Solaris 9 och stöder nu säker överföring av IPv6-datagram mellan datorer. I Solaris 9 går det bara att använda manuella nycklar tillsammans med IPsec för IPv6. Obs! IP-säkerhet för IPv4 introducerades i Solaris 8. IKE-protokollet (Internet Key Exchange) finns tillgängligt för IPv4. Mer information finns i "IPsec (Overview)" in System Administration Guide: IP Services.
RBAC-förbättringar (Role-Based Access Control) RBAC-databaser (Role-based access control) kan hanteras via det grafiska gränssnittet i Solaris Management Console. Rättigheter kan nu tilldelas som standard i filen `policy.conf`. Dessutom kan rättigheter innehålla andra rättigheter. Mer information om RBAC finns i "Role-Based Access Control (Overview)" in System Administration Guide: Security Services. Mer information om Solaris Management Console finns i "Systemadministrationsverktyg".
Säkerhetsalternativ för Xserver Nya alternativ gör att systemadministratörer har möjlighet att tillåta endast krypterade anslutningar till Solaris X server. Mer information hittar du i "Nya funktioner i Solaris 9 för användare".
GSS-API (Generic Security Services Application Programming Interface) GSS-API (Generic Security Services Application Programming Interface) är ett ramverk för säkerhet som gör att program kan skydda skickade data. Med GSS-API får programmen verifierings-, integritets- och sekretesstjänster. Gränsnittet ger programmen en standardsäkerhet. Det betyder att den underliggande plattformen, till exempel Solaris, eller säkerhetsmekanismen, till exempel Kerberos, som används inte behöver vara känd för programmen. Programmen som använder GSS-API blir därmed i högsta grad flyttbara. Mer information finns i GSS-API Programming Guide.
Ytterligare säkerhetsprogramvara Mer information om SunScreen ^TM 3.2, som är en brandväggsprodukt, finns i "Ytterligare programvara". Se även "Gratisprogram" om du vill ha information om `Tcp-wrappers 7.6`-gratisprogramvaran i Solaris 9. `Tcp-wrappers 7.6` är små bakgrundsprogram som övervakar och filtrerar inkommande frågor om nätverkstjänster.

Beskrivning av funktionerna

IKE-protokollet (Internet Key Exchange)

IKE (Internet Key Exchange) automatiserar nyckelhanteringen i IPsec. IKE ersätter manuell nyckeltilldelning och uppdatering på IPv4-nätverk. Med IKE kan administratören hantera ett större antal säkra nätverk.

Systemadministratörer använder IPsec för att konfigurera säkra IPv4-nätverk. Bakgrundsprogrammet in.iked står för nyckelhärledning, verifiering och verifieringsskydd vid start. Bakgrundsprogrammet kan konfigureras. Administratören anger parametrarna i en konfigurationsfil. När parametrarna har angetts krävs ingen mer manuell uppdatering.

Mer information finns i "Internet Key Exchange" in System Administration Guide: IP Services.

SSH (Solaris Secure Shell)

Med säkert skal kan användare upprätta en säker anslutning till en fjärrvärd över ett nätverk som inte behöver vara säkert. Dataöverföringar och användares interaktiva nätverkssessioner skyddas från att avlyssning eller sessionsövertagning samt att en tredje part leder om sessionen via sig själv. Säkert skal i Solaris 9 stöder protokollversionerna SSHv1 och SSHv2. Kraftfull verifiering, baserad på kryptering med allmänna nycklar, ingår. X Windows-systemet och andra nätverkstjänster kan kapslas in i säkra skalanslutningar för ytterligare skydd.

Servern för säkert skal, sshd, stöder övervakning och filtrering av inkommande förfrågningar om nätverkstjänster. Servern kan konfigureras så att klientvärdnamnet för inkommande förfrågningar loggas, vilket ger högre nätverkssäkerhet. sshd använder samma teknik som den som används i verktyget Tcp-wrappers 7.6, som finns beskrivet i "Gratisprogram".

Mer information hittar du i direkthjälpen för sshd(1M), hosts_access(4) och hosts_options(4). Se även "Using Secure Shell" in System Administration Guide: Security Services.

Kerberos Key Distribution Center (KDC) och administrativa verktyg

Systemadministratörer kan öka systemsäkerheten med hjälp av verifierings-, sekretess- och integritetsskyddet i Kerberos V5. NFS kan till exempel skyddas med Kerberos V5.

Här följer en förteckning över viktiga nya funktioner i Kerberos V5.

Kerberos V5 Server - I servern ingår följande komponenter:
- Principbaserat administrationssystem (för användare) - Här ingår en centraliserad server för lokal administration respektive fjärradministration av behöriga klienter och säkerhetsprinciper. Systemet innehåller ett adminstrationsverktyg med ett grafiskt gränssnitt såväl som ett kommandoradsgränssnitt.
- Key Distribution Center (KDC) - Använder informationen i databasen över behöriga klienter som skapats av administrationsservern. Delar ut biljetter till klienter.
- Replikeringssystem för databaser över behöriga klienter - Duplicerar KDC-databasen till en backupserver.
Lösenordsutbytbarhet mellan MIT och Microsoft Windows 2000 - Kerberos V5-lösenord kan nu ändras från en Solaris-klient till en MIT Kerberos-server och Microsoft Windows 2000.
Justerad DES - DES-aktiviteter i Kerberos V5-kärnan har optimiserats för Sun4u-arkitekturen.
Kerberos-krypterad kommunikation stöds nu i Solaris-kärnan - En krypteringsmodul som stöder Kerberos-krypterad kommunikation ingår nu i operativmiljön Solaris 9. Tidigare fanns bara krypteringsmodulen tillgänglig på cd-rom-skivan med Solaris Encryption Kit eller via nedladdning från webben.
Biljetter utan adresser - Systemadministratörer och användare kan nu ange biljetter utan adresser. Detta kan vara nödvändigt i miljöer med fleranslutna nätverk och NAT-nätverk.
Kerberos V5 PAM-modulen stöder tidsbegränsat lösenord - pam_krb5-modulen stöder tidsbegränsat lösenord som anges i KDC för varje användarklient.

Mer information finns i "Administering the Kerberos Database" in System Administration Guide: Security Services.

Säker LDAP-klient

Solaris 9 innehåller nya funktioner för LDAP-klientbaserad säkerhet. Ett nytt LDAP-bibliotek har SSL- (TLS) och CRAM-MD5-krypteringsmekanismer. Dessa krypteringsmekanismer gör att kunder kan använda krypteringsmetoder via nätet mellan LDAP-klienter och LDAP-servern.

Sun ONE Directory Server 5.1 (tidigare iPlanet Directory Server 5.1) är LDAP-katalogservern. Mer information finns i "Nätverkshantering".

Krypteringsmoduler för IP-säkerhet och Kerberos

I Solaris 9 ingår kryptering med en maximal nyckellängd på 128 bitar. Tidigare var bara krypteringsmodulen tillgänglig på cd-rom-skivan med Solaris Encryption Kit eller via nedladdning från webben. Många av dessa algoritmer finns nu i operativmiljön Solaris 9. Algoritmerna inkluderar 56-bitars DES-sekretesstöd för Kerberos och 56-bitars DES- och tre-nyckels Triple-DES-stöd för IP-säkerhet.

Obs!

Stöd för starkare kryptering än 128 bitar genom IPsec finns tillgängligt på cd-rom-skivan Solaris Encryption Kit eller på webben. IPsec stöder 128-bitars-, 192-bitars- eller 256-bitars AES (Advanced Encryption Standard), samt 32- till 448-bitars Blowfish i 8-bitarssteg.

Mer information om IPsec finns i "IPsec (Overview)" in System Administration Guide: IP Services. Mer information om Kerberos-stöd finns i "Introduction to SEAM" in System Administration Guide: Security Services.

IP-säkerhetsarkitektur för IPv6

Säkerhetsramverket IPsec har förbättrats i Solaris 9 och stöder nu säker överföring av IPv6-datagram mellan datorer. I Solaris 9 går det bara att använda manuella nycklar tillsammans med IPsec för IPv6.

Obs!

IP-säkerhet för IPv4 introducerades i Solaris 8. IKE-protokollet (Internet Key Exchange) finns tillgängligt för IPv4.

Mer information finns i "IPsec (Overview)" in System Administration Guide: IP Services.

RBAC-förbättringar (Role-Based Access Control)

RBAC-databaser (Role-based access control) kan hanteras via det grafiska gränssnittet i Solaris Management Console. Rättigheter kan nu tilldelas som standard i filen policy.conf. Dessutom kan rättigheter innehålla andra rättigheter.

Mer information om RBAC finns i "Role-Based Access Control (Overview)" in System Administration Guide: Security Services. Mer information om Solaris Management Console finns i "Systemadministrationsverktyg".

Säkerhetsalternativ för Xserver

Nya alternativ gör att systemadministratörer har möjlighet att tillåta endast krypterade anslutningar till Solaris X server. Mer information hittar du i "Nya funktioner i Solaris 9 för användare".

GSS-API (Generic Security Services Application Programming Interface)

GSS-API (Generic Security Services Application Programming Interface) är ett ramverk för säkerhet som gör att program kan skydda skickade data. Med GSS-API får programmen verifierings-, integritets- och sekretesstjänster. Gränsnittet ger programmen en standardsäkerhet. Det betyder att den underliggande plattformen, till exempel Solaris, eller säkerhetsmekanismen, till exempel Kerberos, som används inte behöver vara känd för programmen. Programmen som använder GSS-API blir därmed i högsta grad flyttbara.

Mer information finns i GSS-API Programming Guide.

Ytterligare säkerhetsprogramvara

Mer information om SunScreen ^TM 3.2, som är en brandväggsprodukt, finns i "Ytterligare programvara".

Se även "Gratisprogram" om du vill ha information om Tcp-wrappers 7.6-gratisprogramvaran i Solaris 9. Tcp-wrappers 7.6 är små bakgrundsprogram som övervakar och filtrerar inkommande frågor om nätverkstjänster.