| Navigationslinks �berspringen | |
| Druckansicht beenden | |
|
Systemverwaltungshandbuch: IP Services |
Teil I Einführung in die Systemverwaltung: IP Services
1. Oracle Solaris TCP/IP-Protokollfamilie (Übersicht)
Teil II Administration von TCP/IP
2. Planen Ihres TCP/IP-Netzwerks (Vorgehen)
3. Einführung in IPv6 (Überblick)
4. Planen eines IPv6-Netzwerks (Aufgaben)
5. Konfiguration der TCP/IP-Netzwerkservices und IPv4-Adressierung (Aufgaben)
6. Verwalten von Netzwerkschnittstellen (Aufgaben)
7. Konfigurieren eines IPv6-Netzwerks (Vorgehen)
8. Verwaltung eines TCP/IP-Netzwerks (Aufgaben)
9. Fehlersuche bei Netzwerkproblemen (Aufgaben)
10. TCP/IP und IPv4 im Detail (Referenz)
12. Einführung in DHCP (Übersicht)
13. Planungen für den DHCP-Service (Aufgaben)
14. Konfiguration des DHCP-Services (Aufgaben)
15. Verwalten von DHCP (Aufgaben)
16. Konfiguration und Verwaltung des DHCP-Clients
17. DHCP-Fehlerbehebung (Referenz)
18. DHCP - Befehle und Dateien (Referenz)
19. IP Security Architecture (Übersicht)
20. Konfiguration von IPsec (Aufgaben)
21. IP Security Architecture (Referenz)
IPsec Service Management Facility
Sicherheitszuordnung-Datenbank für IPsec
Dienstprogramme zur Schlüsselerzeugung in IPsec
Sicherheitsbetrachtungen für ipseckey
IPsec-Erweiterungen für andere Dienstprogramme
encr_auth_algs-Sicherheitsoption
22. Internet Key Exchange (Übersicht)
23. Konfiguration von IKE (Aufgaben)
24. Internet Key Exchange (Referenz)
25. IP Filter in Oracle Solaris (Übersicht)
28. Verwalten von Mobile IP (Aufgaben)
29. Mobile IP-Dateien und Befehle (Referenz)
30. Einführung in IPMP (Übersicht)
31. Verwaltung von IPMP (Aufgaben)
Teil VII IP Quality of Service (IPQoS)
32. Einführung in IPQoS (Übersicht)
33. Planen eines IPQoS-konformen Netzwerks (Aufgaben)
34. Erstellen der IPQoS-Konfigurationsdatei (Aufgaben)
35. Starten und Verwalten des IPQoS (Aufgaben)
36. Verwenden von Flow Accounting und Erfassen von Statistiken (Aufgaben)
Um die IPsec-Sicherheitsrichtlinien beim Starten des Solaris OS (Solaris OS) aufzurufen, erstellen Sie eine Konfigurationsdatei, um IPsec mit Ihren speziellen IPsec-Richtlinieneinträgen zu initialisieren. Der Standardname für diese Datei lautet /etc/inet/ipsecinit.conf. Ausführliche Informationen zu Richtlinieneinträgen und deren Format finden Sie auf der Manpage ipsecconf(1M). Nachdem die Richtlinien konfiguriert sind, können Sie den Befehl ipsecconf aufrufen, um die bestehende Konfiguration anzuzeigen oder zu ändern. Ab Solaris 10 4/09 wird die vorhandene Konfiguration durch eine Aktualisierung des policy-Service geändert.
Die Solaris-Software enthält ein Beispiel einer IPsec-Richtliniendatei, ipsecinit.sample. Sie können diese Datei als Vorlage verwenden, um Ihre eigene ipsecinit.conf-Datei zu erstellen. Die Datei ipsecinit.sample enthält die folgenden Beispiele:
#
# For example,
#
# {rport 23} ipsec {encr_algs des encr_auth_algs md5}
#
# will protect the telnet traffic originating from the host with ESP using
# DES and MD5. Also:
#
# {raddr 10.5.5.0/24} ipsec {auth_algs any}
#
# will protect traffic to or from the 10.5.5.0 subnet with AH
# using any available algorithm.
#
#
# To do basic filtering, a drop rule may be used. For example:
#
# {lport 23 dir in} drop {}
# {lport 23 dir out} drop {}
# will disallow any remote system from telnetting in.
#
# If you are using IPv6, it may be useful to bypass neighbor discovery
# to allow in.iked to work properly with on-link neighbors. To do that,
# add the following lines:
#
# {ulp ipv6-icmp type 133-137 dir both } pass { }
#
# This will allow neighbor discovery to work normally.
Seien Sie vorsichtig, wenn Sie eine Kopie der ipsecinit.conf-Datei über ein Netzwerk übertragen. Ein potentieller Angreifer kann eine über das Netzwerk eingehängte Datei lesen, wenn die Datei eingelesen wird. Angenommen, die Datei /etc/inet/ipsecinit.conf wird geöffnet oder von einem NFS eingehängten Dateisystem kopiert, kann ein potentieller Angreifer die in der Datei enthaltene Richtlinie ändern.
Stellen Sie sicher, dass Sie IPsec-Richtlinien einrichten, bevor Sie eine Kommunikation initiieren, da bestehende Verbindungen durch Hinzufügen von neuen Richtlinieneinträgen beeinflusst werden können. Entsprechend sollten Sie keine Richtlinien während der Kommunikation ändern.
Eine IPsec-Richtlinie kann insbesondere nicht für SCTP-, TCP- oder UDP-Sockets geändert werden, für die ein connect()- oder accept()-Funktionsaufruf ausgegeben wurde. Ein Socket, dessen Richtlinie nicht geändert werden kann, wird als gesperrtes Socket bezeichnet. Neue Richtlinieneinträge schützen keine Sockets, die bereits gesperrt sind. Weitere Informationen finden Sie auf den Manpages connect(3SOCKET) und accept(3SOCKET).
Schützen Sie Ihr Benennungssystem. Wenn die folgenden beiden Bedingungen erfüllt sind, sind Ihre Hostnamen nicht mehr vertrauenswürdig:
Ihre Quelladresse ist ein Host, der über das Netzwerk nachgeschlagen werden kann.
Ihr Benennungssystem wurde kompromittiert.
Sicherheitsschwächen beruhen häufig auf dem Fehlverhalten von Tools, nicht von tatsächlichen Tools. Aus diesem Grund sollten Sie bei der Verwendung des ipsecconf-Befehls vorsichtig sein. Verwenden Sie eine Konsole oder ein anderes festverdrahtetes TTY für den sichersten Betriebsmodus.
|