Navigationslinks überspringen | |
Druckansicht beenden | |
![]() |
Oracle Systemverwaltungshandbuch: IP-Services Oracle Solaris 10 1/13 Information Library (Deutsch) |
Teil I Einführung in die SystemAdministration: IP Services
1. Oracle Solaris TCP/IP-Protokollfamilie (Übersicht)
Teil II Administration von TCP/IP
2. Planen Ihres TCP/IP-Netzwerks (Vorgehen)
3. Einführung in IPv6 (Überblick)
4. Planen eines IPv6-Netzwerks (Aufgaben)
5. Konfiguration der TCP/IP-Netzwerkservices und IPv4-Adressierung (Aufgaben)
6. Verwalten von Netzwerkschnittstellen (Aufgaben)
7. Konfigurieren eines IPv6-Netzwerks (Vorgehen)
8. Administration eines TCP/IP-Netzwerks (Aufgaben)
9. Fehlersuche bei Netzwerkproblemen (Aufgaben)
10. TCP/IP und IPv4 im Detail (Referenz)
12. Einführung in DHCP (Übersicht)
13. Planungen für den DHCP-Service (Aufgaben)
14. Konfiguration des DHCP-Services (Aufgaben)
15. Verwalten von DHCP (Aufgaben)
16. Konfiguration und Administration des DHCP-Clients
17. DHCP-Fehlerbehebung (Referenz)
18. DHCP - Befehle und Dateien (Referenz)
19. IP Security Architecture (Übersicht)
20. Konfiguration von IPsec (Aufgaben)
21. IP Security Architecture (Referenz)
22. Internet Key Exchange (Übersicht)
23. Konfiguration von IKE (Aufgaben)
Konfiguration von IKE (Übersicht der Schritte)
Konfiguration von IKE mit PresharedKeys (Übersicht der Schritte)
Konfiguration von IKE mit PresharedKeys
So konfigurieren Sie IKE mit PresharedKeys
So werden IKE PresharedKeys aktualisiert
So rufen Sie IKE PresharedKeys auf
So fügen Sie einen IKE PresharedKey für einen neuen Richtlinieneintrag in ipsecinit.conf ein
Konfiguration von IKE mit PublicKey-Zertifikaten (Übersicht der Schritte)
Konfiguration von IKE mit PublicKey-Zertifikaten
So konfigurieren Sie IKE mit selbst-signierten PublicKey-Zertifikaten
So konfigurieren Sie IKE mit Zertifikaten, die von einer CA signiert wurden
So erzeugen Sie PublicKey-Zertifikate und speichern sie in angehängter Hardware
So verarbeiten Sie eine Zertifikat-Rücknahmeliste
Konfiguration von IKE für mobile Systeme (Übersicht der Schritte)
Konfiguration von IKE für mobile Systeme
So konfigurieren Sie IKE für Offsite-Systeme
Konfiguration von IKE zum Suchen angehängter Hardware (Übersicht der Schritte)
Konfiguration von IKE zum Suchen angehängter Hardware
So konfigurieren Sie IKE zur Suche nach dem Sun Crypto Accelerator 1000-Board
So konfigurieren Sie IKE zur Suche nach dem Sun Crypto Accelerator 4000-Board
So konfigurieren Sie IKE zur Suche nach dem Sun Crypto Accelerator 6000 Board
Ändern der IKE-Übertragungsparameter (Übersicht der Schritte)
Ändern der IKE-Übertragungsparameter
So ändern Sie die Dauer der Phase 1 IKE-Schlüsselaushandlung
24. Internet Key Exchange (Referenz)
25. IP Filter in Oracle Solaris (Übersicht)
27. Einführung in IPMP (Übersicht)
28. Administration von IPMP (Aufgaben)
Teil VI IP Quality of Service (IPQoS)
29. Einführung in IPQoS (Übersicht)
30. Planen eines IPQoS-konformen Netzwerks (Aufgaben)
31. Erstellen der IPQoS-Konfigurationsdatei (Aufgaben)
32. Starten und Verwalten des IPQoS (Aufgaben)
33. Verwenden von Flow Accounting und Erfassen von Statistiken (Aufgaben)
PresharedKeys ist die einfachste Authentifizierungsmethode für IKE. Wenn Sie beide Systeme so könfigurieren, dass sie IKE verwenden und Administrator beide Systeme sind, ist die Methode PresharedKeys eine gute Wahl. Im Gegensatz zu PublicKey-Zertifikaten sind PresharedKeys jedoch an bestimmte IP-Adressen gebunden. PresharedKeys können daher nicht mit mobilen Systemen oder Systemen verwendet werden, die neue Adressen erhalten.
Die IKE-Implementierung bietet Algorithmen, deren Schlüssel unterschiedlich lang sind. Die von Ihnen gewählte Schlüssellänge wird von der Standortsicherheit vorgegeben. Im Allgemeinen bieten längere Schlüssel größere Sicherheit als kürzere Schlüssel.
In diesen Verfahren werden die Systeme enigma und partym verwendet. Ersetzen Sie enigma und partym durch die Namen Ihrer Systeme.
Die Rolle "Primary Administrator" enthält das gleichnamige Profil. Informationen zum Erstellen von Rollen und Zuweisen von Rollen zu Benutzern finden Sie in Kapitel 2, Working With the Solaris Management Console (Tasks) in Oracle Solaris Administration: Basic Administration.
Hinweis - Eine remote Anmeldung führt zu sicherheitskritischem Datenverkehr, der abgehört werden könnte. Auch wenn Sie eine remote Anmeldung schützen, wird die Sicherheit des Systems auf die Sicherheit der remoten Anmeldesitzung reduziert. Verwenden Sie den Befehl ssh, um sich sicher remote anzumelden.
Die Regeln und globalen Parameter in dieser Datei müssen zulassen, dass die IPsec-Richtlinie in der Datei ipsecinit.conf auf dem System erfolgreich ist. Die folgenden ike/config-Beispiele arbeiten mit den ipsecinit.conf-Beispielen unter So sichern Sie Datenverkehr zwischen zwei Systemen mit IPsec.
### ike/config file on enigma, 192.168.116.16 ## Global parameters # ## Phase 1 transform defaults p1_lifetime_secs 14400 p1_nonce_len 40 # ## Defaults that individual rules can override. p1_xform { auth_method preshared oakley_group 5 auth_alg sha encr_alg 3des } p2_pfs 2 # ## The rule to communicate with partym # Label must be unique { label "enigma-partym" local_addr 192.168.116.16 remote_addr 192.168.13.213 p1_xform { auth_method preshared oakley_group 5 auth_alg sha1 encr_alg aes } p2_pfs 5 }
### ike/config file on partym, 192.168.13.213 ## Global Parameters # p1_lifetime_secs 14400 p1_nonce_len 40 # p1_xform { auth_method preshared oakley_group 5 auth_alg sha encr_alg 3des } p2_pfs 2 ## The rule to communicate with enigma # Label must be unique { label "partym-enigma" local_addr 192.168.13.213 remote_addr 192.168.116.16 p1_xform { auth_method preshared oakley_group 5 auth_alg sha1 encr_alg aes } p2_pfs 5 }
# /usr/lib/inet/in.iked -c -f /etc/inet/ike/config
Falls Ihr Standort über einen Generator für Zufallszahlen verfügt, verwenden Sie diesen. Auf einem Oracle Solaris 10-System können Sie den Befehl od verwenden. Beispielsweise druckt der folgende Befehl zwei Zeilen mit hexadezimalen Zahlen:
% od -X -A n /dev/random | head -2 f47cb0f4 32e14480 951095f8 2b735ba8 0a9467d0 8f92c880 68b6a40e 0efe067d
Eine Beschreibung des Befehls od finden Sie unter So erzeugen Sie Zufallszahlen auf einem Oracle Solaris-System und in der Manpage od(1).
Hinweis - Andere Betriebssysteme erfordern Schlüsselmaterial im ASCII-Format. Anweisungen zum Erzeugen eines identischen Schlüssels im hexadezimalen und im ASCII-Format finden Sie in Beispiel 23-1.
f47cb0f432e14480951095f82b735ba80a9467d08f92c88068b6a40e
Der Authentifizierungsalgorithmus in diesem Verfahren ist SHA–1 (wie in Schritt 3 gezeigt). Die Größe des Hash (d. h., die Größe der Ausgabe des Authentifizierungsalgorithmus) schreibt die empfohlene Mindestmenge für einen PresharedKey vor. Die Ausgabe des SHA–1-Algorithmus beträgt 160 Bit oder 40 Zeichen. Der Beispielschlüssel ist 56 Zeichen lang, wodurch IKE zusätzliches Schlüsselmaterial verwenden kann.
Geben Sie den PresharedKey in jede Datei ein.
# ike.preshared on enigma, 192.168.116.16 #… { localidtype IP localid 192.168.116.16 remoteidtype IP remoteid 192.168.13.213 # enigma and partym's shared key in hex (192 bits) key f47cb0f432e14480951095f82b735ba80a9467d08f92c88068b6a40e }
# ike.preshared on partym, 192.168.13.213 #… { localidtype IP localid 192.168.13.213 remoteidtype IP remoteid 192.168.116.16 # partym and enigma's shared key in hex (192 bits) key f47cb0f432e14480951095f82b735ba80a9467d08f92c88068b6a40e }
Hinweis - Die PresharedKeys auf den Systemen müssen identisch sein.
Beispiel 23-1 Erzeugen von identischem Schlüsselmaterial für zwei Systeme mit unterschiedlichen Betriebssystemen
Die IPsec-Funktion Oracle Solaris kann mit IPsec auf anderen Betriebssystemen verwendet werden. Falls Ihr System mit einem System kommuniziert, das PresharedKeys im ASCII-Format benötigt, müssen Sie einen Schlüssel in zwei Formaten, hexadezimal und ASCII, erstellen.
Im folgenden Beispiel möchte der Oracle Solaris-Systemadministrator 56 Zeichen für das Schlüsselmaterial verwenden. Der Administrator verwendet den folgenden Befehl, um einen hexadezimalen Schlüssel aus einem ASCII-Passwortsatz zu erzeugen. Mit der Option -tx1 werden die Byte nacheinander auf allen Oracle Solaris-Systemen gedruckt.
# /bin/echo "papiermache with cashews and\c" | od -tx1 | cut -c 8-55 | \ tr -d '\n' | tr -d ' ' | awk '{print}' 7061706965726d616368652077697468206361736865777320616e64
Durch Entfernen der Offsets und Verketten der hexadezimalen Ausgabe wird der hexadezimale Schlüssel für das Oracle Solaris-System erstellt: 7061706965726d616368652077697468206361736865777320616e64. Der Administrator fügt diesen Wert in die Datei ike.preshared auf dem Oracle Solaris-System ein.
# Shared key in hex (192 bits) key 7061706965726d616368652077697468206361736865777320616e64
Auf dem System, das PresharedKeys im ASCII-Format erfordert, bildet der Passwortsatz den PresharedKey. Der Oracle Solaris-Systemadministrator sendet dem anderen Administrator telefonisch den Passwortsatz papiermache with cashews and.
Bei diesem Verfahren wird davon ausgegangen, dass Sie einen vorhandenen PresharedKey in regelmäßigen Intervallen ersetzen möchten.
Die Rolle "Primary Administrator" enthält das gleichnamige Profil. Informationen zum Erstellen von Rollen und Zuweisen von Rollen zu Benutzern finden Sie in Kapitel 2, Working With the Solaris Management Console (Tasks) in Oracle Solaris Administration: Basic Administration.
Hinweis - Eine remote Anmeldung führt zu sicherheitskritischem Datenverkehr, der abgehört werden könnte. Auch wenn Sie eine remote Anmeldung schützen, wird die Sicherheit des Systems auf die Sicherheit der remoten Anmeldesitzung reduziert. Verwenden Sie den Befehl ssh, um sich sicher remote anzumelden.
Ausführliche Informationen finden Sie im Abschnitt So erzeugen Sie Zufallszahlen auf einem Oracle Solaris-System. Informationen zum Erzeugen eines Preshared-Schlüssels für ein Oracle Solaris-System, das mit einem Betriebssystem kommuniziert, das Schlüsselmaterial im ASCII-Format benötigt, finden Sie in Beispiel 23-1.
Bei den Hosts enigma und partym ersetzen Sie den Wert von key in der Datei /etc/inet/secret/ike.preshared durch eine Zahl der gleichen Länge.
# svcadm enable ike
# /usr/sbin/ikeadm get priv Current privilege level is 0x0, base privileges enabled
Sie können das Schlüsselmaterial ändern, wenn dieser Befehl eine Privilegstufe von 0x1 oder 0x2 zurückgibt. Bei der Privilegstufe 0x0 ist das Ändern oder Anzeigen von Schlüsselmaterial nicht gestattet. Standardmäßig wird der in.iked-Daemon mit der Privilegstufe 0x0 ausgeführt.
Wenn der Daemon neu startet, liest er die neue Version der ike.preshared-Datei ein.
# pkill in.iked # /usr/lib/inet/in.iked
# ikeadm read preshared
Standardmäßig verhindert der Befehl ikeadm die Anzeige der tatsächlichen Schlüssel in einem Speicherauszug einer Phase-1-SA. Die Anzeige der Schlüssel ist beim Debugging hilfreich.
Um die tatsächlichen Schlüssel anzuzeigen, müssen Sie die Privilegstufe für diesen Daemon erhöhen. Eine Beschreibung der Privilegstufe finden Sie unter ikeadm-Befehl.
Hinweis - Wenn Sie dieses Verfahren in einer Version vor Solaris 10 4/09 durchführen möchten, schauen Sie sich die Hinweise unter Beispiel 23-2 an.
Bevor Sie beginnen
IKE ist konfiguriert, und der ike-Service wird ausgeführt.
# ikeadm ikeadm> dump preshared
# svcprop -p config/admin_privilege ike base # svccfg -s ike setprop config/admin_privilege=keymat
# svcadm refresh ike ; svcadm restart ike
# svcprop -p config/admin_privilege ike keymat
# svccfg -s ike setprop config/admin_privilege=base
# svcadm refresh ike ; svcadm restart ike
Beispiel 23-2 Überprüfen von IKE PresharedKeys in einer Version vor Solaris 10 4/09
Im folgenden Beispiel betrachtet der Administrator Schlüssel auf einem Solaris-System mit einem älteren als dem aktuellen Oracle Solaris 10-Release. Der Administrator möchte sich vergewissern, dass die Schlüssel im System identisch mit den Schlüsseln im Kommunikationssystem sind. Nachdem der Administrator festgestellt hat, dass die Schlüssel der beiden Systeme identisch sind, stellt er die Privilegstufe 0 wieder her.
Zuerst bestimmt der Administrator die Privilegstufe des in.iked-Daemons.
adm1 # /usr/sbin/ikeadm get priv Current privilege level is 0x0, base privileges enabled
Da die Privilegstufe nicht 0x1 bzw. 0x2 lautet, hält der Administrator den in.iked-Daemon an und erhöht anschließend die Privilegstufe auf 2.
adm1 # pkill in.iked adm1 # /usr/lib/inet/in.iked -p 2 Setting privilege level to 2
Der Administrator zeigt die Schlüssel an.
adm1 # ikeadm dump preshared PSKEY: Preshared key (24 bytes): f47cb…/192 LOCIP: AF_INET: port 0, 192.168.116.16 (adm1). REMIP: AF_INET: port 0, 192.168.13.213 (com1).
Der Administrator meldet sich am Kommunikationssystem an und stellt fest, dass die Schlüssel identisch sind.
Anschließend setzt der Administrator die Privilegien wieder auf die Basisstufe zurück.
# ikeadm set priv base
Wenn Sie IPsec-Richtlinieneinträge zu einer funktionierenden Konfiguration zwischen zwei Peers hinzufügen, müssen Sie den IPsec-Richtlinienservice aktualisieren. Sie müssen IKE weder neu konfigurieren noch neu starten.
Wenn Sie zu der IPsec-Richtlinie einen neuen Peer hinzufügen, müssen Sie zusätzlich zu den IPsec-Änderungen auch noch die IKE-Konfiguration ändern.
Hinweis - Wenn Sie dieses Verfahren in einer Version vor Solaris 10 4/09 durchführen möchten, schauen Sie sich die Hinweise unter Beispiel 23-3 an.
Bevor Sie beginnen
Sie haben die Datei ipsecinit.conf sowie die IPsec-Richtlinie für die Peer-Systeme aktualisiert.
Die Rolle "Primary Administrator" enthält das gleichnamige Profil. Informationen zum Erstellen von Rollen und Zuweisen von Rollen zu Benutzern finden Sie in Kapitel 2, Working With the Solaris Management Console (Tasks) in Oracle Solaris Administration: Basic Administration.
Hinweis - Eine remote Anmeldung führt zu sicherheitskritischem Datenverkehr, der abgehört werden könnte. Auch wenn Sie eine remote Anmeldung schützen, wird die Sicherheit des Systems auf die Sicherheit der remoten Anmeldesitzung reduziert. Verwenden Sie den Befehl ssh, um sich sicher remote anzumelden.
Ausführliche Informationen finden Sie im Abschnitt So erzeugen Sie Zufallszahlen auf einem Oracle Solaris-System. Informationen zum Erzeugen eines Preshared-Schlüssels für ein Oracle Solaris-System, das mit einem Betriebssystem kommuniziert, das Schlüsselmaterial im ASCII-Format benötigt, finden Sie in Beispiel 23-1.
Beide Administratoren müssen den gleichen PresharedKey zum gleichen Zeitpunkt hinzufügen. Ihr Schlüssel ist nur so sicher wie die Sicherheit Ihres Übertragungsmechanismus. Wir empfehlen einen außerbandigen Mechanismus, z. B. einen Einschreibebrief oder eine geschützte Faxübertragung. Sie können die beiden Systeme auch über eine ssh-Sitzung verwalten.
### ike/config file on enigma, 192.168.116.16 ## The rule to communicate with ada {label "enigma-to-ada" local_addr 192.168.116.16 remote_addr 192.168.15.7 p1_xform {auth_method preshared oakley_group 5 auth_alg sha1 encr_alg blowfish} p2_pfs 5 }
### ike/config file on ada, 192.168.15.7 ## The rule to communicate with enigma {label "ada-to-enigma" local_addr 192.168.15.7 remote_addr 192.168.116.16 p1_xform {auth_method preshared oakley_group 5 auth_alg sha1 encr_alg blowfish} p2_pfs 5 }
# ike.preshared on enigma for the ada interface # { localidtype IP localid 192.168.116.16 remoteidtype IP remoteid 192.168.15.7 # enigma and ada's shared key in hex (32 - 448 bits required) key 8d1fb4ee500e2bea071deb2e781cb48374411af5a9671714672bb1749ad9364d }
# ike.preshared on ada for the enigma interface # { localidtype IP localid 192.168.15.7 remoteidtype IP remoteid 192.168.116.16 # ada and enigma's shared key in hex (32 - 448 bits required) key 8d1fb4ee500e2bea071deb2e781cb48374411af5a9671714672bb1749ad9364d }
# svcadm refresh ike
Lesen Sie dazu So prüfen Sie, ob die IKE PresharedKeys identisch sind.
Beispiel 23-3 Hinzufügen eines IKE PresharedKeys für einen neuen IPsec-Richtlinieneintrag
Im folgenden Beispiel fügt der Administrator einen PresharedKey einem Solaris-System hinzu, auf dem nicht das aktuellste Oracle Solaris 10-Release ausgeführt wird. Der Administrator befolgt das vorstehende Verfahren zur Änderung der Dateien ike/config und ike.preshared, zur Erstellung von Schlüsseln und zur Herstellung einer Verbindung zum Remote-System.
Vor der Erstellung des neuen Schlüssels legt der Administrator die Privilegstufe des in.iked-Daemons auf 2 fest.
# pkill in.iked # /usr/lib/inet/in.iked -p 2 Setting privilege level to 2
Nachdem der Schlüssel an das andere System versendet und dem System hinzugefügt wurde, wählt der Administrator eine niedrigere Privilegstufe aus.
# ikeadm set priv base
Zum Schluss werden die neuen IKE-Regeln in den Systemkern eingelesen.
# ikeadm read rules
Nächste Schritte
Wenn Sie die Einrichtung der IPsec-Richtlinie nicht abgeschlossen haben, kehren Sie zur IPsec-Prozedur zurück, um die IPsec-Richtlinie zu aktivieren oder zu aktualisieren.
Wenn die PresharedKeys auf den kommunizierenden Systemen nicht identisch sind, können die Systeme nicht authentifiziert werden.
Bevor Sie beginnen
IPsec wurde konfiguriert und ist zwischen den zu testenden Systemen aktiviert. Sie führen das aktuelle Release (Oracle Solaris 10) aus.
Hinweis - Wenn Sie dieses Verfahren in einer Version vor Solaris 10 4/09 durchführen möchten, schauen Sie sich die Hinweise unter Beispiel 23-2 an.
Die Rolle "Primary Administrator" enthält das gleichnamige Profil. Informationen zum Erstellen von Rollen und Zuweisen von Rollen zu Benutzern finden Sie in Kapitel 2, Working With the Solaris Management Console (Tasks) in Oracle Solaris Administration: Basic Administration.
Hinweis - Eine remote Anmeldung führt zu sicherheitskritischem Datenverkehr, der abgehört werden könnte. Auch wenn Sie eine remote Anmeldung schützen, wird die Sicherheit des Systems auf die Sicherheit der remoten Anmeldesitzung reduziert. Verwenden Sie den Befehl ssh, um sich sicher remote anzumelden.
# svcprop -p config/admin_privilege ike base
Aktualisieren Sie anschließend das System, und starten Sie den ike-Service neu.
# svccfg -s ike setprop config/admin_privilege=keymat # svcadm refresh ike ; svcadm restart ike # svcprop -p config/admin_privilege ike keymat
# ikeadm dump preshared PSKEY: Preshared key (24 bytes): f47cb…/192 LOCIP: AF_INET: port 0, 192.168.116.16 (enigma). REMIP: AF_INET: port 0, 192.168.13.213 (partym).
Sind die PresharedKeys nicht identisch, ersetzen Sie in der Datei /etc/inet/secret/ike.preshared einen Schlüssel durch den anderen.
# svccfg -s ike setprop config/admin_privilege=base # svcadm restart ike