| Navigationslinks �berspringen | |
| Druckansicht beenden | |
|
Systemverwaltungshandbuch: IP Services |
Teil I Einführung in die Systemverwaltung: IP Services
1. Oracle Solaris TCP/IP-Protokollfamilie (Übersicht)
Teil II Administration von TCP/IP
2. Planen Ihres TCP/IP-Netzwerks (Vorgehen)
3. Einführung in IPv6 (Überblick)
4. Planen eines IPv6-Netzwerks (Aufgaben)
5. Konfiguration der TCP/IP-Netzwerkservices und IPv4-Adressierung (Aufgaben)
6. Verwalten von Netzwerkschnittstellen (Aufgaben)
7. Konfigurieren eines IPv6-Netzwerks (Vorgehen)
8. Verwaltung eines TCP/IP-Netzwerks (Aufgaben)
9. Fehlersuche bei Netzwerkproblemen (Aufgaben)
10. TCP/IP und IPv4 im Detail (Referenz)
12. Einführung in DHCP (Übersicht)
13. Planungen für den DHCP-Service (Aufgaben)
14. Konfiguration des DHCP-Services (Aufgaben)
15. Verwalten von DHCP (Aufgaben)
16. Konfiguration und Verwaltung des DHCP-Clients
17. DHCP-Fehlerbehebung (Referenz)
18. DHCP - Befehle und Dateien (Referenz)
19. IP Security Architecture (Übersicht)
Encapsulating Security Payload
Sicherheitsbetrachtungen beim Verwenden von AH und ESP
Authentifizierungs- und Verschlüsselungsalgorithmen in IPsec
Authentifizierungsalgorithmen in IPsec
Verschlüsselungsalgorithmen in IPsec
Transport- und Tunnelmodi in IPsec
Virtuelle private Netzwerke und IPsec
IPsec-Dienstprogramme und Dateien
Änderungen an IPsec für Solaris 10
20. Konfiguration von IPsec (Aufgaben)
21. IP Security Architecture (Referenz)
22. Internet Key Exchange (Übersicht)
23. Konfiguration von IKE (Aufgaben)
24. Internet Key Exchange (Referenz)
25. IP Filter in Oracle Solaris (Übersicht)
28. Verwalten von Mobile IP (Aufgaben)
29. Mobile IP-Dateien und Befehle (Referenz)
30. Einführung in IPMP (Übersicht)
31. Verwaltung von IPMP (Aufgaben)
Teil VII IP Quality of Service (IPQoS)
32. Einführung in IPQoS (Übersicht)
33. Planen eines IPQoS-konformen Netzwerks (Aufgaben)
34. Erstellen der IPQoS-Konfigurationsdatei (Aufgaben)
35. Starten und Verwalten des IPQoS (Aufgaben)
36. Verwenden von Flow Accounting und Erfassen von Statistiken (Aufgaben)
Eine IPsec-Sicherheitszuordnung (SA) legt die Sicherheitseigenschaften fest, die von miteinander kommunizierenden Hosts erkannt werden. Eine einzelne SA schützt Daten in eine Richtung. Der Schutz gilt entweder für einen bestimmten Host oder eine Gruppenadresse (multicast). Da eine Kommunikation entweder Peer-to-Peer oder Client-Server abläuft, müssen zwei SAs vorhanden sein, um den Datenverkehr in beide Richtungen zu schützen.
Eine IPsec-SA ist durch drei Elemente eindeutig gekennzeichnet:
Das Sicherheitsprotokoll (AH oder ESP)
Die IP-Zieladresse
Der SPI, eine zufällige 32-Bit-Zahl, wird mit einem AH- oder ESP-Paket übertragen. Auf den Manpages ipsecah(7P) und ipsecesp(7P) finden Sie ausführliche Informationen zum Schutzumfang durch AH und ESP. Zur Authentifizierung eines Pakets wird eine Integrität-Prüfsumme eingesetzt. Schlägt die Authentifizierung fehl, wird das Paket verworfen.
Sicherheitszuordnungen werden in einer Sicherheitszuordnung-Datenbank (SADB) gespeichert. In berechtigten Anwendungen kann die Datenbank mithilfe einer Socket-basierten Verwaltungsengine, der PF_KEY-Schnittstelle, verwaltet werden. Beispielsweise können die IKE-Anwendung und der Befehl ipseckeys die Socketschnittstelle PF_KEY verwenden.
Eine ausführliche Beschreibung der IPsec-SADB finden Sie unter Sicherheitszuordnung-Datenbank für IPsec.
Weitere Informationen zur Verwaltung der SADB finden Sie auf der Manpage pf_key(7P).
Sicherheitszuordnungen (SAs) benötigen Schlüsselmaterial zur Authentifizierung und Verschlüsselung. Die Verwaltung dieses Schlüsselmaterials wird als Schlüsselmanagement bezeichnet. Das Schlüsselmanagement wird automatisch vom Internet Key Exchange (IKE)-Protokoll abgewickelt. Sie können die Schlüssel jedoch auch manuell mit dem Befehl ipseckey verwalten.
SAs für IPv4- und IPv6-Pakete können beide Methoden zum Schlüsselmanagement verwenden. Solange kein zwingender Grund für ein manuelles Schlüsselmanagement vorliegt, sollten Sie das automatische Schlüsselmanagement einsetzen. Ein Grund für ein manuelles Schlüsselmanagement wäre die Zusammenarbeit mit Systemen, die nicht unter Solaris OS ausgeführt werden.
In der aktuellen Version stellt SMF IPsec die folgenden Schlüsselmanagement-Services bereit:
svc:/network/ipsec/ike:default -Service – Der SMF-Service für das automatische Schlüsselmanagement. Der ike-Service führt zur Bereitstellung des automatischen Schlüsselmanagements den in.iked-Daemon aus. Eine Beschreibung des IKE-Protokolls finden Sie in Kapitel 22Internet Key Exchange (Übersicht). Weitere Informationen zum in.iked-Dämon finden Sie auf der Manpage in.iked(1M). Informationen zum ike-Service finden Sie unter IKE Service Management Facility.
svc:/network/ipsec/manual-key:default-Service – Der SMF-Service für das manuelle Schlüsselmanagement. Der manual-key-Service führt den ipseckey-Befehl mit verschiedenen Optionen zum manuellen Schlüsselmanagement aus. Eine Beschreibung des ipseckey -Befehls finden Sie unter Dienstprogramme zur Schlüsselerzeugung in IPsec. Eine ausführliche Beschreibung der ipseckey-Befehlsoptionen finden Sie auf der Manpage ipseckey(1M).
In älteren Versionen als Solaris 10 4/09 dienen die Befehle in.iked und ipseckey zur Verwaltung von Schlüsselmaterial.
Der in.iked-Daemon bietet automatisches Schlüsselmanagement. Eine Beschreibung des IKE-Protokolls finden Sie in Kapitel 22Internet Key Exchange (Übersicht). Weitere Informationen zum in.iked-Dämon finden Sie auf der Manpage in.iked(1M).
Der ipseckey-Befehl bietet manuelles Schlüsselmanagement. Eine Beschreibung dieses Befehls finden Sie unter Dienstprogramme zur Schlüsselerzeugung in IPsec. Eine ausführliche Beschreibung der ipseckey-Befehlsoptionen finden Sie auf der Manpage ipseckey(1M).
|