| Navigationslinks �berspringen | |
| Druckansicht beenden | |
|
Systemverwaltungshandbuch: IP Services |
Teil I Einführung in die Systemverwaltung: IP Services
1. Oracle Solaris TCP/IP-Protokollfamilie (Übersicht)
Teil II Administration von TCP/IP
2. Planen Ihres TCP/IP-Netzwerks (Vorgehen)
3. Einführung in IPv6 (Überblick)
4. Planen eines IPv6-Netzwerks (Aufgaben)
5. Konfiguration der TCP/IP-Netzwerkservices und IPv4-Adressierung (Aufgaben)
6. Verwalten von Netzwerkschnittstellen (Aufgaben)
7. Konfigurieren eines IPv6-Netzwerks (Vorgehen)
8. Verwaltung eines TCP/IP-Netzwerks (Aufgaben)
9. Fehlersuche bei Netzwerkproblemen (Aufgaben)
10. TCP/IP und IPv4 im Detail (Referenz)
12. Einführung in DHCP (Übersicht)
13. Planungen für den DHCP-Service (Aufgaben)
14. Konfiguration des DHCP-Services (Aufgaben)
15. Verwalten von DHCP (Aufgaben)
16. Konfiguration und Verwaltung des DHCP-Clients
17. DHCP-Fehlerbehebung (Referenz)
18. DHCP - Befehle und Dateien (Referenz)
19. IP Security Architecture (Übersicht)
IPsec und Sicherheitszuordnungen
Encapsulating Security Payload
Sicherheitsbetrachtungen beim Verwenden von AH und ESP
Authentifizierungs- und Verschlüsselungsalgorithmen in IPsec
Authentifizierungsalgorithmen in IPsec
Verschlüsselungsalgorithmen in IPsec
Transport- und Tunnelmodi in IPsec
Virtuelle private Netzwerke und IPsec
IPsec-Dienstprogramme und Dateien
Änderungen an IPsec für Solaris 10
20. Konfiguration von IPsec (Aufgaben)
21. IP Security Architecture (Referenz)
22. Internet Key Exchange (Übersicht)
23. Konfiguration von IKE (Aufgaben)
24. Internet Key Exchange (Referenz)
25. IP Filter in Oracle Solaris (Übersicht)
28. Verwalten von Mobile IP (Aufgaben)
29. Mobile IP-Dateien und Befehle (Referenz)
30. Einführung in IPMP (Übersicht)
31. Verwaltung von IPMP (Aufgaben)
Teil VII IP Quality of Service (IPQoS)
32. Einführung in IPQoS (Übersicht)
33. Planen eines IPQoS-konformen Netzwerks (Aufgaben)
34. Erstellen der IPQoS-Konfigurationsdatei (Aufgaben)
35. Starten und Verwalten des IPQoS (Aufgaben)
36. Verwenden von Flow Accounting und Erfassen von Statistiken (Aufgaben)
IPsec schützt IP-Pakete, indem es Pakete authentifiziert, Pakete verschlüsselt oder beides ausführt. IPsec wird innerhalb des IP-Moduls unterhalb der Anwendungsschicht ausgeführt. Aus diesem Grund kann eine Internet-Anwendung die Vorteile von IPsec nutzen, ohne dass sie zur Verwendung von IPsec konfiguriert werden muss. Wenn es richtig eingesetzt wird, ist IPsec ein wirksames Tool bei der Sicherung des Netzwerkverkehrs.
Der IPsec-Schutz umfasst fünf Hauptkomponenten:
Sicherheitsprotokolle – Die Schutzmechanismen für IP-Datagramme. Der Authentication Header (AH) signiert IP-Pakete und stellt so Integrität sicher. Der Inhalt des Datagramms wird nicht verschlüsselt, aber der Empfänger kann sicher sein, dass der Paketinhalt nicht geändert wurde. Darüber hinaus wird dem Empfänger versichert, dass die Pakete vom Absender gesendet wurden. Die Encapsulating Security Payload (ESP) verschlüsselt IP-Daten und verbirgt so den Inhalt während der Paketübertragung. ESP kann darüber hinaus die Datenintegrität über eine Authentifizierungs-Algorithmusoption sicherstellen.
Sicherheitszuordnung-Datenbank (SADB) – Die Datenbank, die ein Sicherheitsprotokoll mit einer IP-Zieladresse und eine Indexnummer verbindet. Die Indexnummer wird als Security Parameter Index (SPI) bezeichnet. Diese drei Elemente (das Sicherheitsprotokoll, die Zieladresse und die SPI) kennzeichnen ein legitimes IPsec-Paket eindeutig. Die Datenbank stellt sicher, dass ein geschütztes Paket, das am Ziel eintrifft, auch vom Empfänger erkannt wird. Der Empfänger verwendet die Informationen aus der Datenbank, um den Datenverkehr zu entschlüsseln, um sicherzustellen, dass die Pakete nicht geändert wurden, um die sie wieder zusammenzusetzen und an das endgültige Ziel weiterzuleiten.
Schlüsselmanagement – Das Erzeugen und Verteilen der Schlüssel für die kryptografischen Algorithmen und für die SPI.
Sicherheitsmechanismen – Die Authentifizierungs- und Verschlüsselungsalgorithmen, mit denen die Daten in den IP-Datagrammen geschützt werden.
Security Policy-Datenbank (SPD) – Die Datenbank, in der die Schutzebene angegeben ist, die für ein bestimmtes Datenpaket gilt. Die SPD filtert IP-Datenverkehr und stellt auf diese Weise fest, wie die Pakete verarbeitet werden müssen. Ein Paket kann vergeworfen werden. Ein Paket kann unverschlüsselt weitergeleitet werden. Ein Paket kann mit IPsec geschützt werden. Bei abgehenden Paketen stellen SPD und SADB fest, welche Schutzebene angewendet werden soll. Bei eingehenden Paketen hilft die SPD festzustellen, ob die Schutzebene des Pakets akzeptabel ist. Wurde das Paket durch IPsec geschützt, wird die SPD abgefragt, nachdem das Paket entschlüsselt und geprüft wurde.
Beim Einsatz von IPsec werden die Sicherheitsmechanismen auf IP-Datagramme angewendet, die zur IP-Zieladresse gesendet werden. Der Empfänger nutzt die Informationen in seiner SADB, um die Legitimität ankommender Pakete sicherzustellen und sie zu entschlüsseln. Anwendungen können IPsec aufrufen, um ebenfalls Sicherheitsmechanismen an IP-Datagrammen auf Socket-Ebene anzuwenden.
Beachten Sie, dass sich Sockets je nach Port unterschiedlich verhalten:
Für einen einzelnen Socket geltende SAs setzen ihren entsprechenden Port-Eingang in der SPD außer Kraft.
Darüber hinaus gilt, ist ein Socket an einen Port angeschlossen und wird die IPsec-Richtlinie wird erst später an diesem Port angewendet, so wird der Datenverkehr, der diesen Socket verwendet, nicht durch IPsec geschützt.
Natürlich wird ein Socket, der auf einem Port geöffnet wird, nachdem die IPsec-Richtlinie an diesem Port angewendet wurde, durch IPsec geschützt.
Die Internet Engineering Task Force (IETF) hat eine Reihe von Requests for Comment (RFCs) veröffentlichen, in denen die Sicherheitsarchitektur für die IP-Schicht beschrieben wird. Das Copyright für diese RFCs liegt bei der Internet Society. Einen Link zu den RFCs finden Sie unter http://www.ietf.org/. Die folgende Liste der RFCs deckt die allgemeinen IP-Sicherheitsreferenzen ab:
RFC 2411, „IP Security Document Roadmap,“ November 1998
RFC 2401, „Security Architecture for the Internet Protocol,“ November 1998
RFC 2402, „IP Authentication Header,“ November 1998
RFC 2406, „IP Encapsulating Security Payload (ESP),“ November 1998
RFC 2408, „Internet Security Association and Key Management Protocol (ISAKMP),“ November 1998
RFC 2407, „The Internet IP Security Domain of Interpretation for ISAKMP,“ November 1998
RFC 2409, „The Internet Key Exchange (IKE),“ November 1998
RFC 3554, „On the Use of Stream Control Transmission Protocol (SCTP) with IPsec,“ Juli 2003 [in der Solaris 10-Release nicht implementiert]
Die IPsec RFCs definieren zahlreiche Begriffe, mit denen Sie vertraut sein sollten, wenn Sie IPsec auf Ihren Systemen umsetzen möchten. In der folgenden Tabelle sind IPsec-Begriffe, ihre am häufigsten verwendeten Akronymen sowie Definitionen aufgeführt. Eine Liste der bei der Schlüsselaushandlung verwendeten Terminologie finden Sie in Tabelle 22-1.
Tabelle 19-1 IPsec-Begriffe, Akronymen und Definitionen
|
|