JavaScript is required to for searching.
Navigationslinks �berspringen
Druckansicht beenden
Systemverwaltungshandbuch: IP Services
Oracle Technologienetzwerk
Bibliothek
PDF
Druckansicht
Feedback
search filter icon
search icon

Dokument-Informationen

Vorwort

Teil I Einführung in die Systemverwaltung: IP Services

1.  Oracle Solaris TCP/IP-Protokollfamilie (Übersicht)

Teil II Administration von TCP/IP

2.  Planen Ihres TCP/IP-Netzwerks (Vorgehen)

3.  Einführung in IPv6 (Überblick)

4.  Planen eines IPv6-Netzwerks (Aufgaben)

5.  Konfiguration der TCP/IP-Netzwerkservices und IPv4-Adressierung (Aufgaben)

6.  Verwalten von Netzwerkschnittstellen (Aufgaben)

7.  Konfigurieren eines IPv6-Netzwerks (Vorgehen)

8.  Verwaltung eines TCP/IP-Netzwerks (Aufgaben)

9.  Fehlersuche bei Netzwerkproblemen (Aufgaben)

10.  TCP/IP und IPv4 im Detail (Referenz)

11.  IPv6 im Detail (Referenz)

Teil III DHCP

12.  Einführung in DHCP (Übersicht)

13.  Planungen für den DHCP-Service (Aufgaben)

14.  Konfiguration des DHCP-Services (Aufgaben)

15.  Verwalten von DHCP (Aufgaben)

16.  Konfiguration und Verwaltung des DHCP-Clients

17.  DHCP-Fehlerbehebung (Referenz)

18.  DHCP - Befehle und Dateien (Referenz)

Teil IV IP-Sicherheit

19.  IP Security Architecture (Übersicht)

Neuerungen in IPsec

Einführung in IPsec

IPsec RFCs

IPsec-Terminologie

IPsec-Paketfluss

IPsec und Sicherheitszuordnungen

Schlüsselmanagement in IPsec

IPsec-Schutzmechanismen

Authentication Header

Encapsulating Security Payload

Sicherheitsbetrachtungen beim Verwenden von AH und ESP

Authentifizierungs- und Verschlüsselungsalgorithmen in IPsec

Authentifizierungsalgorithmen in IPsec

Verschlüsselungsalgorithmen in IPsec

IPsec-Schutzrichtlinien

Transport- und Tunnelmodi in IPsec

Virtuelle private Netzwerke und IPsec

IPsec und NAT Traversal

IPsec und SCTP

IPsec und Solaris Zones

IPsec und Logische Domains

IPsec-Dienstprogramme und Dateien

Änderungen an IPsec für Solaris 10

20.  Konfiguration von IPsec (Aufgaben)

21.  IP Security Architecture (Referenz)

22.  Internet Key Exchange (Übersicht)

23.  Konfiguration von IKE (Aufgaben)

24.  Internet Key Exchange (Referenz)

25.  IP Filter in Oracle Solaris (Übersicht)

26.  IP Filter (Aufgaben)

Teil V Mobile IP

27.  Mobile IP (Übersicht)

28.  Verwalten von Mobile IP (Aufgaben)

29.  Mobile IP-Dateien und Befehle (Referenz)

Teil VI IPMP

30.  Einführung in IPMP (Übersicht)

31.  Verwaltung von IPMP (Aufgaben)

Teil VII IP Quality of Service (IPQoS)

32.  Einführung in IPQoS (Übersicht)

33.  Planen eines IPQoS-konformen Netzwerks (Aufgaben)

34.  Erstellen der IPQoS-Konfigurationsdatei (Aufgaben)

35.  Starten und Verwalten des IPQoS (Aufgaben)

36.  Verwenden von Flow Accounting und Erfassen von Statistiken (Aufgaben)

37.  IPQoS im Detail (Referenz)

Glossar

Index

Transport- und Tunnelmodi in IPsec

Die IPsec-Standards definieren zwei unterschiedlichen Modi für den IPsec-Betrieb: den Transportmodus und den Tunnelmodus. Die Modi wirken sich nicht auf die Verschlüsselung von Paketen aus. Die Pakete werden in beiden Modi durch AH, ESP oder durch beides geschützt. Die Modi unterscheiden sich in der Richtlinienauslegung, wenn es sich bei dem inneren Paket um ein ID-Paket handelt:

Im Transportmodus können der äußere Header, der nächste Header und alle Ports, die der nächste Header unterstützt, zum Festlegen der IPsec-Richtlinie verwendet werden. Somit kann IPsec aufgrund der Granularität eines einzelnen Port unterschiedliche Transportmodus-Richtlinien für zwei IP-Adressen erzwingen. Ist beispielsweise der nächste Header ein TCP-Header, der Ports unterstützt, kann die IPsec-Richtlinie für einen TCP-Port der äußeren IP-Adresse eingerichtet werden. Entsprechend gilt: ist der nächste Header ein IP-Header, können der äußere Header und der innere IP-Header zum Festlegen der IPsec-Richtlinie verwendet werden.

Der Tunnelmodus arbeitet nur für IP-in-IP-Datagramme. Tunneling im Tunnelmodus eignet sich dann, wenn Mitarbeiter von zu Hause aus eine Verbindung mit einem Zentralcomputer herstellen. Im Tunnelmodus wird die IPsec-Richtlinie für die Inhalte des inneren IP-Datagramms durchgesetzt. Bei mehreren verschiedenen inneren IP-Adressen können unterschiedliche IPsec-Richtlinien durchgesetzt werden. Das heißt, die innere IP-Adresse, der nächste Header, und Ports, die der nächste Header unterstützt, können eine Richtlinie durchsetzen. Im Gegensatz zum Transportmodus kann der äußere IP-Header im Tunnelmodus die Richtlinie für das innere IP-Datagramm nicht vorschreiben.

Aus diesem Grund kann die IPsec-Richtlinie im Tunnelmodus für Teilnetze eines LAN hinter einem Router und für Ports dieser Teilnetze angegeben werden. Eine IPsec-Richtlinie kann auch für bestimmte IP-Adressen (Hosts) in diesem Teilnetzen angegeben werden. Den Ports dieser Hosts kann auch jeweils eine bestimmte IPsec-Richtlinie zugewiesen sein. Wird jedoch ein dynamisches Routing-Protokoll über einen Tunnel ausgeführt, verwenden Sie keine Teilnetz- oder Adressauswahl, da sich die Ansicht der Netzwerktopologie auf dem Peer-Netzwerk ändern könnte. Änderungen würden die statische IPsec-Richtlinie ungültig machen. Beispiele für Tunneling-Verfahren, die eine Konfiguration statischer Routen beinhalten, finden Sie unter Schützen eines VPN mit IPsec.

Unter Solaris OS kann der Tunnelmodus nur bei einer IP Tunneling-Netzwerkschnittstelle erzwungen werden. Der Befehl ipsecconf bietet ein Schlüsselwort tunnel, mit dem eine IP Tunneling-Netzwerkschnittstelle ausgewählt werden kann. Ist das Schlüsselwort tunnel in einer Regel vorhanden, gelten alle in dieser Regel angegebenen Selektoren für das innere Paket.

Im Transportmodus kann das Datagramm durch ESP, AH oder durch beides geschützt werden.

Die folgende Abbildung zeigt eine IP-Adresse mit einem ungeschützten TCP-Paket.

Abbildung 19-3 Ungeschütztes IP-Paket mit TCP-Informationen

image:Das Diagramm zeigt den IP-Header, gefolgt vom TCP-Header. Der TCP-Header ist nicht geschützt.

Im Transportmodus schützt ESP die Daten wie in der folgenden Abbildung gezeigt. Der schattierte Bereich kennzeichnet den verschlüsselten Teil des Pakets.

Abbildung 19-4 Geschütztes IP-Paket mit TCP-Informationen

image:Das Diagramm zeigt den ESP-Header zwischen IP-Header und TCP-Header. Der TCP-Header ist durch den ESP-Header verschlüsselt.

Im Transportmodus schützt AH die Daten wie in der folgenden Abbildung gezeigt.

Abbildung 19-5 Von einem Authentication Header geschütztes Paket

image:Das Diagramm zeigt den AH-Header zwischen IP-Header und TCP-Header.

Tatsächlich schützt AH die Daten, bevor die Daten im Datagramm erscheinen. Entsprechend wirkt sich der Schutz durch den AH auch im Transportmodus auf einen Teil des IP-Headers aus.

Im Tunnelmodus befindet sich das gesamte Datagramm innerhalb des Schutzes eines IPsec-Headers. Das Datagramm in Abbildung 19-3 wird im Tunnelmodus durch einen äußeren IPsec-Header (in diesem Fall ESP) geschützt. Dies wird in der folgenden Abbildung dargestellt.

Abbildung 19-6 Im Tunnelmodus geschütztes IPsec-Paket

image:Das Diagramm zeigt den ESP-Header hinter dem IP-Header und vor einem IP-Header und einem TCP-Header. Die letzten beiden Header sind durch eine Verschlüsselung geschützt.

Der Befehl ipsecconf umfasst Schlüsselwörter zum Einrichten von Tunneln im Tunnel- oder Transportmodus.

Copyright © 1999, 2010, Oracle und/oder verbundene Unternehmen. Alle Rechte vorbehalten. Rechtlicher Hinweis
Zurück Vor