| Navigationslinks �berspringen | |
| Druckansicht beenden | |
|
Systemverwaltungshandbuch: IP Services |
Teil I Einführung in die Systemverwaltung: IP Services
1. Oracle Solaris TCP/IP-Protokollfamilie (Übersicht)
Teil II Administration von TCP/IP
2. Planen Ihres TCP/IP-Netzwerks (Vorgehen)
3. Einführung in IPv6 (Überblick)
4. Planen eines IPv6-Netzwerks (Aufgaben)
5. Konfiguration der TCP/IP-Netzwerkservices und IPv4-Adressierung (Aufgaben)
6. Verwalten von Netzwerkschnittstellen (Aufgaben)
7. Konfigurieren eines IPv6-Netzwerks (Vorgehen)
8. Verwaltung eines TCP/IP-Netzwerks (Aufgaben)
9. Fehlersuche bei Netzwerkproblemen (Aufgaben)
10. TCP/IP und IPv4 im Detail (Referenz)
12. Einführung in DHCP (Übersicht)
13. Planungen für den DHCP-Service (Aufgaben)
14. Konfiguration des DHCP-Services (Aufgaben)
15. Verwalten von DHCP (Aufgaben)
16. Konfiguration und Verwaltung des DHCP-Clients
17. DHCP-Fehlerbehebung (Referenz)
18. DHCP - Befehle und Dateien (Referenz)
19. IP Security Architecture (Übersicht)
20. Konfiguration von IPsec (Aufgaben)
21. IP Security Architecture (Referenz)
IPsec Service Management Facility
Beispiel einer ipsecinit.conf-Datei
Sicherheitsbetrachtungen für ipsecinit.conf und ipsecconf
Sicherheitszuordnung-Datenbank für IPsec
IPsec-Erweiterungen für andere Dienstprogramme
encr_auth_algs-Sicherheitsoption
22. Internet Key Exchange (Übersicht)
23. Konfiguration von IKE (Aufgaben)
24. Internet Key Exchange (Referenz)
25. IP Filter in Oracle Solaris (Übersicht)
28. Verwalten von Mobile IP (Aufgaben)
29. Mobile IP-Dateien und Befehle (Referenz)
30. Einführung in IPMP (Übersicht)
31. Verwaltung von IPMP (Aufgaben)
Teil VII IP Quality of Service (IPQoS)
32. Einführung in IPQoS (Übersicht)
33. Planen eines IPQoS-konformen Netzwerks (Aufgaben)
34. Erstellen der IPQoS-Konfigurationsdatei (Aufgaben)
35. Starten und Verwalten des IPQoS (Aufgaben)
36. Verwenden von Flow Accounting und Erfassen von Statistiken (Aufgaben)
Das IKE-Protokoll bietet ein automatisches Schlüsselmanagement für IPv4- und IPv6-Adressen. Informationen zum Einrichten von IKE finden Sie in Kapitel 23Konfiguration von IKE (Aufgaben). Das manuelle Schlüssel-Dienstprogramm ist der Befehl ipseckey, der auf der Manpage ipseckey(1M) ausführlich beschrieben wird.
Mit dem ipseckey-Befehl können Sie die Datenbank mit den Sicherheitszuordnungen (SADB) manuell auffüllen. In der Regel werden Sicherheitszuordnungen manuell erstellt, wenn IKE nicht zur Verfügung steht. Bei eindeutigen SPI-Werten können die manuelle SA-Erstellung und IKE jedoch auch parallel eingesetzt werden.
Mit dem ipseckey-Befehl können alle im System bekannten SAs aufgerufen werden – unabhängig davon, ob die Schlüssel manuell oder mit IKE hinzugefügt wurden. Ab Solaris 10 4/09 kann mit der -c-Option des ipseckey-Befehls die Syntax der als Argument bereitgestellten Schlüsseldatei überprüft werden.
IPsec-SAs, die mit dem ipseckey-Befehl hinzugefügt wurden, gehen bei einem erneuten Booten des Systems verloren. Wenn Sie in der aktuellen Version manuell hinzugefügte SAs beim Booten des Systems aktivieren möchten, fügen Sie Einträge in die Datei /etc/inet/secret/ipseckeys ein, und aktivieren Sie anschließend den svc:/network/ipsec/manual-key:default-Service. Die Verfahrensweise ist unter So erstellen Sie manuell IPsec-Sicherheitszuordnungen erläutert.
Obwohl der Befehl ipseckey nur über wenige allgemeine Optionen verfügt, unterstützt er eine umfangreiche Befehlssprache. Sie können festlegen, dass Anforderungen mittels einer programmatischen Schnittstelle zugestellt werden, die speziell für die manuelle Schlüsselerstellung gilt. Weitere Informationen finden Sie auf der Manpage pf_key(7P).
Mit dem ipseckey-Befehl können Sie als Superuser oder in einer Rolle mit dem Rechteprofil für Netzwerksicherheit bzw. Netzwerk-IPsec-Management vertrauliche kryptografische Informationen eingeben. Wenn ein potenzieller Gegner Zugriff auf diese Informationen erhält, könnte er die Sicherheit des IPsec-Datenverkehrs beeinflussen.
Berücksichtigen Sie bei der Verwaltung des Schlüsselmaterials und dem Verwenden des Befehls ipseckey sollten Sie die folgenden Punkte:
Haben Sie das Schlüsselmaterial aktualisiert? Eine regelmäßige Schlüsselaktualisierung ist eine grundlegende Sicherheitsanforderung. Die Schlüsselaktualisierung schützt gegen potentielle Schwächen von Algorithmen und Schlüsseln und verhindert größere Schäden durch einen offen liegenden Schlüssel.
Verläuft das TTY über ein Netzwerk? Wird der Befehl ipseckey im interaktiven Modus ausgeführt?
Im interaktiven Modus ist die Sicherheit des Schlüsselmaterials die Sicherheit für den Netzwerkpfad dieses TTY-Verkehrs. Vermeiden Sie, den Befehl ipseckey über eine Reintext-Telnet- oder rlogin-Sitzung zu verwenden.
Auch lokale Fenster können von einem versteckten Programm angegriffen werden, das die Ereignisse im Fenster ausliest.
Haben Sie die Option -f verwendet? Wird über das Netzwerk auf die Datei zugegriffen? Kann die Datei von Außenstehenden gelesen werden?
Ein potentieller Angreifer kann eine über das Netzwerk eingehängte Datei lesen, wenn die Datei eingelesen wird. Vermeiden Sie, für das Schlüsselmaterial eine für Außenstehende lesbare Datei zu verwenden.
Schützen Sie Ihr Benennungssystem. Wenn die folgenden beiden Bedingungen erfüllt sind, sind Ihre Hostnamen nicht mehr vertrauenswürdig:
Ihre Quelladresse ist ein Host, der über das Netzwerk nachgeschlagen werden kann.
Ihr Benennungssystem wurde kompromittiert.
Sicherheitsschwächen beruhen häufig auf dem Fehlverhalten von Tools, nicht von tatsächlichen Tools. Aus diesem Grund sollten Sie bei der Verwendung des ipseckey-Befehls vorsichtig sein. Verwenden Sie eine Konsole oder ein anderes festverdrahtetes TTY für den sichersten Betriebsmodus.
|