IPsec und Sicherheitszuordnungen

Eine IPsec-Sicherheitszuordnung (SA) legt die Sicherheitseigenschaften fest, die von miteinander kommunizierenden Hosts erkannt werden. Eine einzelne SA schützt Daten in eine Richtung. Der Schutz gilt entweder für einen bestimmten Host oder eine Gruppenadresse (multicast). Da eine Kommunikation entweder Peer-to-Peer oder Client-Server abläuft, müssen zwei SAs vorhanden sein, um den Datenverkehr in beide Richtungen zu schützen.

Eine IPsec-SA ist durch drei Elemente eindeutig gekennzeichnet:

• Das Sicherheitsprotokoll (AH oder ESP)

• Die IP-Zieladresse

• Den Security Parameter Index (SPI)

Der SPI, eine zufällige 32-Bit-Zahl, wird mit einem AH- oder ESP-Paket übertragen. In den Manpages ipsecah(7P) und ipsecesp(7P) finden Sie ausführliche Informationen zum Schutzumfang durch AH und ESP. Zur Authentifizierung eines Pakets wird eine Integrität-Prüfsumme eingesetzt. Schlägt die Authentifizierung fehl, wird das Paket verworfen.

Sicherheitszuordnungen werden in einer Sicherheitszuordnung-Datenbank (SADB) gespeichert. In berechtigten Anwendungen kann die Datenbank mithilfe einer Socket-basierten Verwaltungsengine, der PF_KEY-Schnittstelle, verwaltet werden. Beispielsweise können die IKE-Anwendung und der Befehl ipseckeys die Socketschnittstelle PF_KEY verwenden.

• Eine ausführliche Beschreibung der IPsec-SADB finden Sie unter Sicherheitszuordnung-Datenbank für IPsec.

• Weitere Informationen zur Verwaltung der SADB finden Sie in der Manpage pf_key(7P).

Schlüsselmanagement in IPsec

Sicherheitszuordnungen (SAs) benötigen Schlüsselmaterial zur Authentifizierung und Verschlüsselung. Die Verwaltung dieses Schlüsselmaterials wird als Schlüsselmanagement bezeichnet. Das Schlüsselmanagement wird automatisch vom Internet Key Exchange (IKE)-Protokoll abgewickelt. Sie können die Schlüssel jedoch auch manuell mit dem Befehl ipseckey verwalten.

SAs für IPv4- und IPv6-Pakete können beide Methoden zum Schlüsselmanagement verwenden. Solange kein zwingender Grund für ein manuelles Schlüsselmanagement vorliegt, sollten Sie das automatische Schlüsselmanagement einsetzen. Ein Grund für ein manuelles Schlüsselmanagement wäre die Zusammenarbeit mit Systemen, die nicht unter Solaris OS ausgeführt werden.

In der aktuellen Version stellt SMF IPsec die folgenden Schlüsselmanagement-Services bereit:

• svc:/network/ipsec/ike:default -Service – Der SMF-Service für das automatische Schlüsselmanagement. Der ike-Service führt zur Bereitstellung des automatischen Schlüsselmanagements den in.iked-Daemon aus. Eine Beschreibung des IKE-Protokolls finden Sie in Kapitel 22Internet Key Exchange (Übersicht). Weitere Informationen zum in.iked-Daemon finden Sie in der Manpage in.iked(1M). Informationen zum ike-Service finden Sie unter IKE Service Management Facility.

• svc:/network/ipsec/manual-key:default-Service – Der SMF-Service für das manuelle Schlüsselmanagement. Der manual-key-Service führt den ipseckey-Befehl mit verschiedenen Optionen zum manuellen Schlüsselmanagement aus. Eine Beschreibung des ipseckey -Befehls finden Sie unter Dienstprogramme zur Schlüsselerzeugung in IPsec. Eine ausführliche Beschreibung der ipseckey-Befehlsoptionen finden Sie in der Manpage ipseckey(1M).

In älteren Versionen als Solaris 10 4/09 dienen die Befehle in.iked und ipseckey zur Verwaltung von Schlüsselmaterial.

• Der in.iked-Daemon bietet automatisches Schlüsselmanagement. Eine Beschreibung des IKE-Protokolls finden Sie in Kapitel 22Internet Key Exchange (Übersicht). Weitere Informationen zum in.iked-Daemon finden Sie in der Manpage in.iked(1M).

• Der ipseckey-Befehl bietet manuelles Schlüsselmanagement. Eine Beschreibung dieses Befehls finden Sie unter Dienstprogramme zur Schlüsselerzeugung in IPsec. Eine ausführliche Beschreibung der ipseckey-Befehlsoptionen finden Sie in der Manpage ipseckey(1M).