| Navigationslinks überspringen | |
| Druckansicht beenden | |
|
Oracle Systemverwaltungshandbuch: IP-Services Oracle Solaris 10 1/13 Information Library (Deutsch) |
| Navigationslinks überspringen | |
| Druckansicht beenden | |
|
|
Oracle Systemverwaltungshandbuch: IP-Services Oracle Solaris 10 1/13 Information Library (Deutsch) |
Teil I Einführung in die SystemAdministration: IP Services
1. Oracle Solaris TCP/IP-Protokollfamilie (Übersicht)
Teil II Administration von TCP/IP
2. Planen Ihres TCP/IP-Netzwerks (Vorgehen)
3. Einführung in IPv6 (Überblick)
4. Planen eines IPv6-Netzwerks (Aufgaben)
5. Konfiguration der TCP/IP-Netzwerkservices und IPv4-Adressierung (Aufgaben)
6. Verwalten von Netzwerkschnittstellen (Aufgaben)
7. Konfigurieren eines IPv6-Netzwerks (Vorgehen)
8. Administration eines TCP/IP-Netzwerks (Aufgaben)
9. Fehlersuche bei Netzwerkproblemen (Aufgaben)
10. TCP/IP und IPv4 im Detail (Referenz)
12. Einführung in DHCP (Übersicht)
13. Planungen für den DHCP-Service (Aufgaben)
14. Konfiguration des DHCP-Services (Aufgaben)
15. Verwalten von DHCP (Aufgaben)
16. Konfiguration und Administration des DHCP-Clients
17. DHCP-Fehlerbehebung (Referenz)
18. DHCP - Befehle und Dateien (Referenz)
19. IP Security Architecture (Übersicht)
Encapsulating Security Payload
Sicherheitsbetrachtungen beim Verwenden von AH und ESP
Authentifizierungs- und Verschlüsselungsalgorithmen in IPsec
Authentifizierungsalgorithmen in IPsec
Verschlüsselungsalgorithmen in IPsec
Transport- und Tunnelmodi in IPsec
Virtuelle private Netzwerke und IPsec
IPsec und Oracle Solaris-Zonen
IPsec-Serviceprogramme und Dateien
Änderungen an IPsec im Oracle Solaris 10-Release
20. Konfiguration von IPsec (Aufgaben)
21. IP Security Architecture (Referenz)
22. Internet Key Exchange (Übersicht)
23. Konfiguration von IKE (Aufgaben)
24. Internet Key Exchange (Referenz)
25. IP Filter in Oracle Solaris (Übersicht)
27. Einführung in IPMP (Übersicht)
28. Administration von IPMP (Aufgaben)
Teil VI IP Quality of Service (IPQoS)
29. Einführung in IPQoS (Übersicht)
30. Planen eines IPQoS-konformen Netzwerks (Aufgaben)
31. Erstellen der IPQoS-Konfigurationsdatei (Aufgaben)
32. Starten und Verwalten des IPQoS (Aufgaben)
33. Verwenden von Flow Accounting und Erfassen von Statistiken (Aufgaben)
Eine IPsec-Sicherheitszuordnung (SA) legt die Sicherheitseigenschaften fest, die von miteinander kommunizierenden Hosts erkannt werden. Eine einzelne SA schützt Daten in eine Richtung. Der Schutz gilt entweder für einen bestimmten Host oder eine Gruppenadresse (multicast). Da eine Kommunikation entweder Peer-to-Peer oder Client-Server abläuft, müssen zwei SAs vorhanden sein, um den Datenverkehr in beide Richtungen zu schützen.
Eine IPsec-SA ist durch drei Elemente eindeutig gekennzeichnet:
Das Sicherheitsprotokoll (AH oder ESP)
Die IP-Zieladresse
Der SPI, eine zufällige 32-Bit-Zahl, wird mit einem AH- oder ESP-Paket übertragen. Auf den Manpages ipsecah(7P) und ipsecesp(7P) finden Sie ausführliche Informationen zum Schutzumfang durch AH und ESP. Zur Authentifizierung eines Pakets wird eine Integrität-Prüfsumme eingesetzt. Schlägt die Authentifizierung fehl, wird das Paket verworfen.
Sicherheitszuordnungen werden in einer Sicherheitszuordnung-Datenbank (SADB) gespeichert. In berechtigten Anwendungen kann die Datenbank mithilfe einer Socket-basierten Administrationsschnittstelle, PF_KEY, verwaltet werden. Beispielsweise können die IKE-Anwendung und der Befehl ipseckeys die Socket-Schnittstelle PF_KEY verwenden.
Eine ausführliche Beschreibung der IPsec-SADB finden Sie unter Sicherheitszuordnungsdatenbank für IPsec.
Weitere Informationen zur Administration der SADB finden Sie auf der Manpage pf_key(7P).
Sicherheitszuordnungen (SAs) benötigen Schlüsselmaterial zur Authentifizierung und Verschlüsselung. Die Administration dieses Schlüsselmaterials wird als Schlüsselmanagement bezeichnet. Das Schlüsselmanagement wird automatisch vom Internet Key Exchange (IKE)-Protokoll abgewickelt. Sie können die Schlüssel jedoch auch manuell mit dem Befehl ipseckey verwalten.
SAs für IPv4- und IPv6-Pakete können beide Methoden zum Schlüsselmanagement verwenden. Solange kein zwingender Grund für ein manuelles Schlüsselmanagement vorliegt, sollten Sie IKE einsetzen.
Die Funktion Service Management Facility (SMF) von Oracle Solaris bietet folgende Schlüsselmanagementservices für IPsec:
svc:/network/ipsec/ike:default-Service – Der SMF-Service für das automatische Schlüsselmanagement. Der ike-Service führt zur Bereitstellung des automatischen Schlüsselmanagements den in.iked-Daemon aus. Eine Beschreibung des IKE-Protokolls finden Sie in Kapitel 22, Internet Key Exchange (Übersicht). Weitere Informationen zum in.iked-Daemon finden Sie auf der Manpage in.iked(1M). Informationen zum ike-Service finden Sie unter IKE-Service.
svc:/network/ipsec/manual-key:default-Service – Der SMF-Service für das manuelle Schlüsselmanagement. Der manual-key-Service führt den ipseckey-Befehl mit verschiedenen Optionen zum manuellen Schlüsselmanagement aus. Eine Beschreibung des ipseckey-Befehls finden Sie unter Serviceprogramme zur SA-Erzeugung in IPsec. Eine ausführliche Beschreibung der ipseckey-Befehlsoptionen finden Sie auf der Manpage ipseckey(1M).
In älteren Versionen als Solaris 10 4/09 dienen die Befehle in.iked und ipseckey zur Administration von Schlüsselmaterial.
Der in.iked-Daemon bietet automatisches Schlüsselmanagement. Eine Beschreibung des IKE-Protokolls finden Sie in Kapitel 22, Internet Key Exchange (Übersicht). Weitere Informationen zum in.iked-Dämon finden Sie auf der Manpage in.iked(1M).
Der ipseckey-Befehl bietet manuelles Schlüsselmanagement. Eine Beschreibung dieses Befehls finden Sie unter Serviceprogramme zur SA-Erzeugung in IPsec. Eine ausführliche Beschreibung der ipseckey-Befehlsoptionen finden Sie auf der Manpage ipseckey(1M).
|