Verbesserte Sicherheitsfunktionen

Solaris 9 umfasst die folgenden Sicherheitsverbesserungen:

IKE-Protokoll (Internet Key Exchange)

IKE (Internet Key Exchange) automatisiert die Schlüsselverwaltung für IPsec. IKE ersetzt die manuelle Schlüsselzuweisung und -Aktualisierung in IPv4-Netzwerken. IKE gibt dem Administrator also die Möglichkeit, eine größere Menge von sicheren Netzwerken zu verwalten.

Systemadministratoren können mit IPsec sichere IPv4-Netzwerke einrichten. Der Dämon in.iked bietet Schlüsselableitung, Authentifizierung und Authentifizierungsschutz beim Booten. Der Dämon kann konfiguriert werden. Der Administrator definiert die Parameter in einer Konfigurationsdatei. Nach dem Definieren der Parameter ist keine manuelle Schlüsselaktualisierung mehr erforderlich.

Weitere Informationen finden Sie unter “Internet Key Exchange” in System Administration Guide: IP Services.

Solaris Secure Shell

Dank der Secure Shell können Benutzer auch über ein nicht gesichertes Netzwerk sicher auf einen entfernten Host zugreifen. Datenübertragungen und interaktive Sitzungen im Netzwerk sind vor Abhörversuchen, der Übernahme von Sitzungen und sonstigen Angriffen geschützt. Solaris 9 Secure Shell unterstützt die Protokollversionen SSHv1 und SSHv2. Außerdem steht die starke Authentifizierung, die mit Public-Key-Kryptographie arbeitet, zur Verfügung. Zum zusätzlichen Schutz können das X Window System und andere Netzwerkdienste per Tunneling sicher über Secure Shell-Verbindungen geleitet werden.

Der Secure Shell-Server, sshd, unterstützt die Überwachung und Filterung eingehender Anforderungen für Netzwerkdienste. Bei entsprechender Konfiguration protokolliert der Server den Host-Namen eingehender Anforderungen und erhöht somit die Netzwerksicherheit. sshd beruht auf demselben Mechanismus wie das Dienstprogramm Tcp-wrappers 7.6, das unter Verbesserung der Freeware beschrieben ist.

Weitere Informationen finden Sie in den Manpages sshd(1M), hosts_access(4) und hosts_options(4). Siehe auch “Using Solaris Secure Shell (Tasks)” in System Administration Guide: Security Services.

Kerberos-KDC (Key Distribution Center) und Administrations-Tools

Systemadministratoren können dank der Kerberos V5-Funktionen zu Authentifizierung, Vertraulichkeit und Integrität eine höhere Systemsicherheit gewährleisten. NFS ist ein Beispiel für eine mit Kerberos V5 geschützte Anwendung.

In der folgenden Auflistung sind die wichtigsten neuen Funktionen von Kerberos V5 enthalten.

• Kerberos V5 Server – Der Server umfasst die folgenden Komponenten:

  • System zur Administration von Principals (Benutzern) – Das System umfasst einen zentralen Server für die lokale und ferne Administration von Principals und Sicherheitsrichtlinien. Das System wird mit einem Administrations-Tool mit grafischer Oberfläche und Befehlszeilenschnittstelle geliefert.

  • Key Distribution Center (KDC) – Nutzt die Informationen aus der vom Administrationsserver erzeugten Principal-Datenbank. Vergibt Tickets an Clients.

  • System zum Replizieren der Principal-Datenbank – Das System dient zum Duplizieren der KDC-Datenbank auf einem Sicherungsserver.

• Interoperabilität bei MIT- und Microsoft Windows 2000-Passwortübertragung – Kerberos V5-Passwörter können jetzt von einem Solaris-Client auf einen MIT-Kerberos-Server und Microsoft Windows 2000 übertragen werden.

• Optimiertes DES – Die Kerberos V5-Kernel-DES-Operationen wurden für die Sun4u-Architektur optimiert.

• Solaris-Core unterstützt nun mit Kerberos verschlüsselte Kommunikation – Ein Verschlüsselungsmodul mit Unterstützung für Kerberos-verschlüsselte Kommunikation steht im Betriebssystem Solaris 9 zur Verfügung. Bisher war ein Verschlüsselungsmodul nur auf der Solaris Encryption Kit CD-ROM oder als Download im Internet verfügbar.

• Adresslose Tickets – Systemadministratoren und Benutzer können jetzt adresslose Tickets angeben. Diese Möglichkeit kann in Multi-homed- und NAT-Netzwerkumgebungen von Nutzen sein.

• Das PAM-Modul von Kerberos V5 unterstützt die Passwortalterung – Das Modul pam_krb5 unterstützt die im KDC für jeden Benutzer-Principal festgelegte Passwortalterung.

Weitere Informationen finden Sie unter “Administering the Kerberos Database” in System Administration Guide: Security Services.

Secure LDAP-Client

Das Release Solaris 9 umfasst neue Funktionen für die auf LDAP-Clients basierte Sicherheit. Eine neue LDAP-Bibliothek bietet SSL (TLS) und CRAM-MD5-Verschlüsselungsmechanismen. Diese Verschlüsselungsmechanismen ermöglichen es Kunden, Verschüsselungsverfahren für die Verbindung zwischen LDAP-Clients und dem LDAP-Server einzurichten.

Sun ONE Directory Server 5.1 (zuvor iPlanet Directory Server 5.1) ist der LDAP-Verzeichnisserver. Weitere Informationen zu diesem Server finden Sie unter Verbesserungen für die Vernetzung.

Verschlüsselungsmodule für IPsec und Kerberos

Das Release Solaris 9 umfasst starke Verschlüsselung für IPsec und Kerberos. Zuvor waren Verschlüsselungsmodule nur auf der Solaris Encryption Kit CD-ROM oder als Download über das Internet verfügbar. Im Betriebssystem Solaris 9 sind nun eine Reihe dieser Algorithmen enthalten. Hierzu gehören die 56-Bit-DES-Vertraulichkeitsunterstützung für Kerberos sowie die 56-Bit-DES- und 128-Bit-Triple-DES-Unterstützung mit drei Schlüsseln für IPsec.

Unterstützung für eine noch stärkere Verschlüsselung steht auf der Solaris Encryption Kit CD-ROM und als Download im Internet zur Verfügung. IPsec unterstützt 128-Bit-, 192-Bit- und 256-Bit-AES (Advanced Encryption Standard) sowie 32-Bit bis 448-Bit-Blowfish in Schritten zu 8 Bit.

Informationen zur IPsec-Unterstützung finden Sie unter “IPsec (Overview)” in System Administration Guide: IP Services. Informationen zur Kerberos-Unterstützung finden Sie unter “Introduction to SEAM” in System Administration Guide: Security Services.

IP-Sicherheitsarchitektur für IPv6

Im Release Solaris 9 wurden die IPsec-Sicherheitsfunktionen verbessert und ermöglichen nun sichere IPv6-Datagramme zwischen Systemen. Beim Einsatz von IPsec für IPv6 ist in Solaris 9 nur die Verwendung manueller Schlüssel möglich.

Die IPsec-Sicherheitsstruktur für IPv4 wurde mit dem Release Solaris 8 eingeführt. Das IKE-Protokoll (Internet Key Exchange) ist für IPv4 verfügbar.

Weitere Informationen finden Sie unter “IPsec (Overview)” in System Administration Guide: IP Services.

Verbesserungen für RBAC (Role-Based Access Control)

Die RBAC-Datenbanken (Role-Based Access Control, rollenbasierte Zugriffssteuerung) lassen sich über die grafische Benutzerschnittstelle von Solaris Management Console verwalten. Es ist jetzt möglich, Berechtigungen standardmäßig in der Datei policy.conf zuzuweisen. Darüber hinaus können Berechtigungen jetzt weitere Berechtigungen enthalten.

Weitere Informationen zu RBAC finden Sie unter “Role-Based Access Control (Overview)” in System Administration Guide: Security Services. Informationen zur Solaris Management Console finden Sie unter Systemadministrations-Tools.

Xserver-Sicherheitsoptionen

Dank neuer Optionen können Systemadministratoren jetzt festlegen, dass nur verschlüsselte Verbindungen zum Solaris X-Server zulässig sind. Weitere Informationen finden Sie in Solaris 9-Funktionen für Desktop-Benutzer.

Generic Security Services Application Programming Interface (GSS-API)

Die GSS-API (Generic Security Services Application Programming Interface) ist eine Sicherheitsstruktur, die es Anwendungen ermöglicht, die von ihnen übertragenen Daten zu schützen. Die GSS-API stellt den Anwendungen Dienste für Authentifizierung, Integrität und Geheimhaltung zur Verfügung. Dank dieser Schnittstelle können die Anwendungen in Bezug auf die Sicherheit vollkommen unspezifisch gestaltet sein. Das bedeutet, dass die Anwendungen weder die zugrunde liegende Plattform, wie z. B. die Solaris-Plattform, noch den verwendeten Sicherheitsmechanismus, wie z. B. Kerberos, abfragen müssen. Anwendungen, die mit der GSS-API arbeiten, können folglich höchst portierbar sein.

Weitere Informationen entnehmen Sie bitte dem Dokument GSS-API Programming Guide.

Zusätzliche Sicherheitssoftware

Informationen über SunScreen^TM 3.2, ein Firewall-Produkt, finden Sie unter Zusätzliche Software.

Außerdem finden Sie Informationen zur Tcp-wrappers 7.6-Freeware im Release Solaris 9 unter Verbesserung der Freeware. Tcp-wrappers 7.6 sind kleine Dämon-Programme, die Anforderungen nach Netzwerkdiensten überwachen und filtern.