JavaScript is required to for searching.
Navigationslinks �berspringen
Druckansicht beenden
Systemverwaltungshandbuch: IP Services
Oracle Technologienetzwerk
Bibliothek
PDF
Druckansicht
Feedback
search filter icon
search icon

Dokument-Informationen

Vorwort

Teil I Einführung in die Systemverwaltung: IP Services

1.  Oracle Solaris TCP/IP-Protokollfamilie (Übersicht)

Teil II Administration von TCP/IP

2.  Planen Ihres TCP/IP-Netzwerks (Vorgehen)

3.  Einführung in IPv6 (Überblick)

4.  Planen eines IPv6-Netzwerks (Aufgaben)

5.  Konfiguration der TCP/IP-Netzwerkservices und IPv4-Adressierung (Aufgaben)

6.  Verwalten von Netzwerkschnittstellen (Aufgaben)

7.  Konfigurieren eines IPv6-Netzwerks (Vorgehen)

8.  Verwaltung eines TCP/IP-Netzwerks (Aufgaben)

9.  Fehlersuche bei Netzwerkproblemen (Aufgaben)

10.  TCP/IP und IPv4 im Detail (Referenz)

11.  IPv6 im Detail (Referenz)

Teil III DHCP

12.  Einführung in DHCP (Übersicht)

13.  Planungen für den DHCP-Service (Aufgaben)

14.  Konfiguration des DHCP-Services (Aufgaben)

15.  Verwalten von DHCP (Aufgaben)

16.  Konfiguration und Verwaltung des DHCP-Clients

17.  DHCP-Fehlerbehebung (Referenz)

18.  DHCP - Befehle und Dateien (Referenz)

Teil IV IP-Sicherheit

19.  IP Security Architecture (Übersicht)

20.  Konfiguration von IPsec (Aufgaben)

21.  IP Security Architecture (Referenz)

22.  Internet Key Exchange (Übersicht)

Neuerungen bei IKE

Schlüsselmanagement mit IKE

IKE-Schlüsselaushandlung

IKE-Schlüssel - Terminologie

IKE Phase 1 Exchange

IKE Phase 2 Exchange

IKE-Konfigurationsmöglichkeiten

IKE mit PresharedKeys

IKE mit PublicKey-Zertifikaten

IKE und Hardwarebeschleunigung

IKE und Hardware-Speicherung

IKE-Dienstprogramme und Dateien

Änderungen an IKE für das Release Solaris 10

23.  Konfiguration von IKE (Aufgaben)

24.  Internet Key Exchange (Referenz)

25.  IP Filter in Oracle Solaris (Übersicht)

26.  IP Filter (Aufgaben)

Teil V Mobile IP

27.  Mobile IP (Übersicht)

28.  Verwalten von Mobile IP (Aufgaben)

29.  Mobile IP-Dateien und Befehle (Referenz)

Teil VI IPMP

30.  Einführung in IPMP (Übersicht)

31.  Verwaltung von IPMP (Aufgaben)

Teil VII IP Quality of Service (IPQoS)

32.  Einführung in IPQoS (Übersicht)

33.  Planen eines IPQoS-konformen Netzwerks (Aufgaben)

34.  Erstellen der IPQoS-Konfigurationsdatei (Aufgaben)

35.  Starten und Verwalten des IPQoS (Aufgaben)

36.  Verwenden von Flow Accounting und Erfassen von Statistiken (Aufgaben)

37.  IPQoS im Detail (Referenz)

Glossar

Index

IKE-Schlüsselaushandlung

Der IKE-Daemon in.iked sorgt für eine sichere Aushandlung und Authentifizierung des Schlüsselmaterials für SAs. Der Daemon verwendet Zufalls-Seeds für Schlüssel aus internen Funktionen, die von Solaris OS bereitgestellt werden. IKE bietet umfassende Sicherheit bei Weiterleitungen (PFS, Perfect Forward Secrecy). Bei PFS können die Schlüssel, mit denen die Datenübertragung geschützt wird, nicht zum Ableiten von weiteren Schlüsseln verwendet werden. Außerdem können Seeds, die zum Erstellen von Datenübertragungsschlüsseln verwendet werden, nicht wieder verwendet werden. Weitere Informationen finden Sie in der Manpage in.iked(1M).

Wenn der IKE-Daemon einen öffentlichen Chiffrierschlüssel eines Remote-Systems erfasst, kann das lokale System diesen Schlüssel verwenden. Das System verschlüsselt Nachrichten mithilfe des öffentlichen Schlüssels des Remote-Systems. Die Nachrichten können nur von diesem Remote-System gelesen werden. Der IKE-Daemon arbeitet in zwei Stufen. Diese Stufen werden als exchanges (Austauschvorgänge) bezeichnet.

IKE-Schlüssel – Terminologie

In der folgenden Tabelle sind Begriffe aufgeführt, die bei der Schlüsselaushandlung verwendet werden. Darüber hinaus sind Akronyme, Erklärungen und Verwendungsmöglichkeiten für jeden Begriff angegeben.

Tabelle 22-1 Begriffe, Akronyme und Verwendungsmöglichkeiten bei der Schlüsselaushandlung

Begriff
Acronym
Definition und Verwendung
Key Exchange
Der Prozess zum Erzeugen von Schlüsseln für asymmetrische kryptografische Algorithmen. Die zwei wichtigsten Methoden sind die RSA-Protokolle und das Diffie-Hellman-Protokoll.
Diffie-Hellman- Protokoll
DH
Ein Key Exchange-Protokoll zur Erzeugung und Authentifizierung von Schlüsseln. Wird häufig auch als authentifizierter Schlüsselaustausch bezeichnet.
RSA-Protokoll
RSA
Ein Key Exchange-Protokoll zur Erzeugung und Verteilung von Schlüsseln. Das Protokoll ist nach seinen drei Autoren Rivest, Shamir und Adleman benannt.
Perfect Forward Secrecy
PFS
Gilt nur für authentifizierten Schlüsselaustausch. PFS stellt sicher, dass sich langfristig sicheres Schlüsselmaterial nicht negativ auf die Geheimhaltung von Schlüsseln auswirkt, die bei früheren Kommunikationen ausgetauscht wurden.

Bei PFS kann der Schlüssel, der zum Schützen der Datenübertragung verwendet wird, nicht zum Ableiten weiterer Schlüssel verwendet werden. Außerdem wird die Quelle des Schlüssels, der zum Schützen von Datenübertragungen verwendet wird, niemals zum Ableiten weiterer Schlüssel verwendet.
Oakley-Methode
Eine Methode zum sicheren Erstellen der Schlüssel für Stufe 2. Das Protokoll ist analog zur Diffie-Hellman-Methode beim Key Exchange. Wie Diffie-Hellman führt der Schlüsselaustausch der Oakley-Methode Schlüsselerzeugung und Schlüsselauthentifizierung aus. Die Oakley-Methode dient zur Aushandlung von PFS.

IKE Phase 1 Exchange

Der Phase 1 Exchange wird als Hauptmodus bezeichnet. Im Phase 1 Exchange verwendet IKE Verschlüsselungsmethoden mit öffentlichem Schlüssel, um sich selbst gegenüber IKE-Peer- Entitäten zu authentifizieren. Das Ergebnis ist eine Internet Security Association and Key Management Protocol (ISAKMP)-Sicherheitszuordnung (SA). Eine ISAKMP SA ist ein sicherer Kanal für IKE zur Aushandlung des Schlüsselmaterials für IP-Datagramme. Im Gegensatz zu IPsec SAs sind ISAKMP SAs bidirektional, daher wird nur eine Sicherheitszuordnung benötigt.

Das Verfahren zur Aushandlung des Schlüsselmaterials durch IKE beim Phase 1 Exchange kann konfiguriert werden. IKE liest die Konfigurationsinformationen in der Datei /etc/inet/ike/config ein. Die Konfigurationsinformationen umfassen Folgendes:

Die zwei Authentifizierungsmethoden sind PresharedKeys und PublicKey-Zertifikate. Die PublicKey-Zertifikate können selbst-signiert sein. Die Zertifikate können auch von einer Zertifizierungsstelle (Certificate authority, CA), einer PublicKey-Infrastruktur (PKI)-Organisation ausgegeben werden. Diese Organisationen sind z. B. beTrusted, Entrust, GeoTrust, RSA Security und Verisign.

IKE Phase 2 Exchange

Der Phase 2 Exchange wird als Schnellmodus bezeichnet. Beim Phase 2 Exchange erstellt und verwaltet IKE die IPsec SAs zwischen Systemen, die den IKE-Daemon ausführen. IKE verwendet den sicheren Kanal, der in Phase 1 erstellt wurde, für den Schutz der Übertragung des Schlüsselmaterials. Der IKE-Daemon erstellt die Schlüssel mithilfe des Geräts /dev/random aus einem Zufallszahlengenerator. Der Daemon aktualisiert die Schlüssel in einem konfigurierbaren Intervall. Das Schlüsselmaterial steht Algorithmen zur Verfügung, die in der Konfigurationsdatei für die IPsec-Richtlinie, ipsecinit.conf, angegeben sind.

Copyright © 1999, 2010, Oracle und/oder verbundene Unternehmen. Alle Rechte vorbehalten. Rechtlicher Hinweis
Zurück Vor