Sicherheitsbetrachtungen für ipseckey (Systemverwaltungshandbuch: IP Services)

Systemverwaltungshandbuch: IP Services

Sicherheitsbetrachtungen für `ipseckey`

Mit dem ipseckey-Befehl können Sie als Superuser oder in einer Rolle mit dem Rechteprofil für Netzwerksicherheit bzw. Netzwerk-IPsec-Management vertrauliche kryptografische Informationen eingeben. Wenn ein potenzieller Gegner Zugriff auf diese Informationen erhält, könnte er die Sicherheit des IPsec-Datenverkehrs beeinflussen.

Berücksichtigen Sie bei der Verwaltung des Schlüsselmaterials und dem Verwenden des Befehls ipseckey sollten Sie die folgenden Punkte:

Haben Sie das Schlüsselmaterial aktualisiert? Eine regelmäßige Schlüsselaktualisierung ist eine grundlegende Sicherheitsanforderung. Die Schlüsselaktualisierung schützt gegen potentielle Schwächen von Algorithmen und Schlüsseln und verhindert größere Schäden durch einen offen liegenden Schlüssel.
Verläuft das TTY über ein Netzwerk? Wird der Befehl ipseckey im interaktiven Modus ausgeführt?
- Im interaktiven Modus ist die Sicherheit des Schlüsselmaterials die Sicherheit für den Netzwerkpfad dieses TTY-Verkehrs. Vermeiden Sie, den Befehl ipseckey über eine Reintext-Telnet- oder rlogin-Sitzung zu verwenden.
- Auch lokale Fenster können von einem versteckten Programm angegriffen werden, das die Ereignisse im Fenster ausliest.
Haben Sie die Option -f verwendet? Wird über das Netzwerk auf die Datei zugegriffen? Kann die Datei von Außenstehenden gelesen werden?
- Ein potentieller Angreifer kann eine über das Netzwerk eingehängte Datei lesen, wenn die Datei eingelesen wird. Vermeiden Sie, für das Schlüsselmaterial eine für Außenstehende lesbare Datei zu verwenden.
- Schützen Sie Ihr Benennungssystem. Wenn die folgenden beiden Bedingungen erfüllt sind, sind Ihre Hostnamen nicht mehr vertrauenswürdig:
  - Ihre Quelladresse ist ein Host, der über das Netzwerk nachgeschlagen werden kann.
  - Ihr Benennungssystem wurde kompromittiert.

Sicherheitsschwächen beruhen häufig auf dem Fehlverhalten von Tools, nicht von tatsächlichen Tools. Aus diesem Grund sollten Sie bei der Verwendung des ipseckey-Befehls vorsichtig sein. Verwenden Sie eine Konsole oder ein anderes festverdrahtetes TTY für den sichersten Betriebsmodus.