Index: security/chapter.xml =================================================================== --- security/chapter.xml +++ security/chapter.xml @@ -5,7 +5,7 @@ $FreeBSD$ $FreeBSDde: de-docproj/books/handbook/security/chapter.xml,v 1.178 2012/04/30 17:07:41 bcr Exp $ - basiert auf: r44604 + basiert auf: r44630 --> Sicherheit @@ -72,8 +72,8 @@ - Wissen, wie Sie IPsec konfigurieren und ein - VPN einrichten. + Wissen, wie Sie IPsec konfigurieren + und ein VPN einrichten. @@ -2157,75 +2157,100 @@ - <acronym>VPN</acronym> mit IPsec + + <acronym>VPN</acronym> mit + <acronym>IPsec</acronym> + - NikClayton + + + Nik + Clayton + +
nik@FreeBSD.org
- Geschrieben von + + Geschrieben von + + + + + Hiten M. + Pandya + + +
hmp@FreeBSD.org
+ + Geschrieben von + + - IPsec + IPsec - - IPsec Grundlagen - - Hiten M.Pandya -
hmp@FreeBSD.org
- Geschrieben von - - + Internet Protocol Security + (IPsec) ist ein Satz von Protokollen, die auf + dem Internet-Protokoll (IP) aufbauen. Durch + Authentifizierung und Verschlüsselung jedes einzelnen + IP-Pakets, können mehrere Systeme geschützt + miteinander kommunizieren. &os;s IPSsec + Netzwerk-Stack basiert auf der http://www.kame.net + Implementierung und unterstützt sowohl IPv4 + als auch IPv6. - Dieser Abschnitt beschreibt die Einrichtung von IPsec. Um - IPsec einzurichten, sollten Sie einen neuen Kernel bauen können (siehe - ). - - IPsec ist ein Protokoll, das auf dem - Internet-Protokoll (IP) aufbaut. Mit IPsec - können mehrere Systeme geschützt miteinander kommunizieren. Das in - &os; realisierte IPsec-Protokoll baut auf der KAME-Implementierung - auf und unterstützt sowohl IPv4 als auch IPv6. - - IPsec + IPsec ESP - IPsec + IPsec AH - IPsec besteht wiederum aus zwei Protokollen: + IPsec besteht aus den folgenden + Protokollen: Encapsulated Security Payload - (ESP) verschlüsselt - IP-Pakete mit einem symmetrischen Verfahren wie Blowfish - oder 3DES. Damit werden die Pakete vor Manipulationen - Dritter geschützt. + (ESP): dieses Protokoll verschlüsselt + IP-Pakete mit einem symmetrischen + Verfahren wie Blowfish oder 3DES. + Damit werden die Pakete vor Manipulationen Dritter + geschützt. - Der Authentication Header - (AH) enthält eine + Authentication Header + (AH): dieses Protokoll enthält eine kryptographische Prüfsumme, die sicher stellt, dass ein - IP-Paket nicht verändert wurde. Der Authentication-Header - folgt nach dem normalen IP-Header und erlaubt dem Empfänger - eines IP-Paketes, dessen Integrität zu + IP-Paket nicht verändert wurde. Der + Authentication-Header folgt nach dem normalen + IP-Header und erlaubt dem Empfänger + eines IP-Paketes, dessen Integrität zu prüfen. + + + IP Payload Compression Protocol + (IPComp): dieses + Protokoll versucht durch Komprimierung der + IP-Nutzdaten die Menge der gesendeten + Daten zu reduzieren und somit die Kommunikationsleistung + zu verbessern. + - ESP und AH - können, je nach Situation, zusammen oder einzeln - verwendet werden. + Diese Protokolle können, je nach Situation, zusammen oder + einzeln verwendet werden. - VPN + VPN @@ -2233,20 +2258,23 @@ VPN - IPsec kann in zwei Modi betrieben werden: Der + IPsec unterstützt zwei Modi: Der Transport-Modus verschlüsselt die Daten zwischen zwei Systemen. Der Tunnel-Modus verbindet zwei Subnetze miteinander. Durch einen Tunnel können - dann beispielsweise verschlüsselte Daten übertragen + dann verschlüsselte Daten übertragen werden. Ein Tunnel wird auch als Virtual-Private-Network (VPN) bezeichnet. Detaillierte - Informationen über das IPsec-Subsystem von &os; finden Sie in - &man.ipsec.4;. + Informationen über das IPsec-Subsystem von + &os; finden Sie in &man.ipsec.4;. - Die folgenden Optionen in der Kernelkonfiguration - aktivieren IPsec: + Um die Unterstützung für IPsec im + Kernel zu aktivieren, fügen Sie folgenden Optionen in die + Kernelkonfigurationsdatei ein und erstellen Sie einen neuen + Kernel, wie in + beschrieben. Kerneloption @@ -2261,22 +2289,18 @@ IPSEC_DEBUG - Wenn Sie zur Fehlersuche im IPsec-Subsystem + Wenn Sie zur Fehlersuche im IPsec-Subsystem Unterstützung wünschen, sollten Sie die folgende Option ebenfalls aktivieren: options IPSEC_DEBUG #debug for IP security - - - VPN zwischen einem Heim- und Firmennetzwerk - einrichten + Der Rest dieses Kapitels beschreibt die Einrichtung eines + IPsec-VPN zwischen einem + Heimnetzwerk und einem Firmennetzwerk. Für das folgende + Beispiel gilt: - - VPN - einrichten - - + - Es müssen mindestens zwei Netzwerke vorhanden sein, - welche intern IP benutzen. - - - Beide Netzwerke sind über ein &os;-Gateway mit dem Internet verbunden. @@ -2297,21 +2316,36 @@ Der Gateway jedes Netzwerks besitzt mindestens - eine öffentliche IP-Adresse. + eine externe IP-Adresse. In diesem + Beispiel ist die externe IP-Adresse des + Firmennetzwerks (LAN) 172.16.5.4 und das + Heimnetzwerk (LAN) hat die externe + IP-Adresse 192.168.1.12. - Die intern verwendeten IP-Adressen können - private oder öffentliche Adressen sein. - Sie dürfen sich jedoch nicht überlappen. Zum Beispiel + Die intern verwendeten IP-Adressen + können private oder öffentliche Adressen sein. + Sie dürfen sich jedoch nicht überschneiden. Zum Beispiel sollten nicht beide Netze 192.168.1.x - benutzen. + benutzen. In diesem Beispiel ist die interne + IP-Adresse des Firmennetzwerks + (LAN) 10.246.38.1 und das + Heimnetzwerk (LAN) hat die interne + IP-Adresse 10.0.0.5. - - Konfiguration von IPsec in &os; + + + Konfiguration eines <acronym>VPN</acronym> unter + &os; + TomRhodes
trhodes@FreeBSD.org
@@ -2335,35 +2369,22 @@ und externen IP-Adressen der Gateways ersetzen müssen: - &prompt.root; ifconfig gif0 create - &prompt.root; ifconfig gif0 intern1 intern2 - &prompt.root; ifconfig gif0 tunnel extern1 extern2 + &prompt.root; ifconfig gif0 create +&prompt.root; ifconfig gif0 intern1 intern2 +&prompt.root; ifconfig gif0 tunnel extern1 extern2 - In diesem Beispiel ist die externe - IP-Adresse des Firmennetzwerkes - (LAN) 172.16.5.4 und die interne - IP-Adresse ist 10.246.38.1. Das - Heimnetzwerk (LAN) hat die externe - IP-Adresse 192.168.1.12 mit der internen - privaten IP-Adresse 10.0.0.5. + Überprüfen Sie mit ifconfig die + Konfiguration auf beiden Gateways. Hier folgt die Ausgabe + von Gateway 1: - Wenn dies verwirrend erscheint, schauen Sie sich die - folgende Ausgabe von &man.ifconfig.8;an: - - Gateway 1: - -gif0: flags=8051 mtu 1280 + gif0: flags=8051 mtu 1280 tunnel inet 172.16.5.4 --> 192.168.1.12 inet6 fe80::2e0:81ff:fe02:5881%gif0 prefixlen 64 scopeid 0x6 -inet 10.246.38.1 --> 10.0.0.5 netmask 0xffffff00 +inet 10.246.38.1 --> 10.0.0.5 netmask 0xffffff00 -Gateway 2: + Hier folgt die Ausgabe von Gateway 2: -gif0: flags=8051 mtu 1280 + gif0: flags=8051 mtu 1280 tunnel inet 192.168.1.12 --> 172.16.5.4 inet 10.0.0.5 --> 10.246.38.1 netmask 0xffffff00 inet6 fe80::250:bfff:fe3a:c1f%gif0 prefixlen 64 scopeid 0x4 @@ -2396,14 +2417,14 @@ ICMP-Pakete von ihren privaten Adressen senden und empfangen. Als nächstes müssen beide Gateways so konfiguriert werden, dass sie die Pakete des anderen - Netzwerkes richtig routen. Mit dem folgenden Befehl - erreicht man das Ziel: + Netzwerkes richtig routen. Dazu werden folgende Befehle + verwendet: - &prompt.root; corp-net# route add 10.0.0.0 10.0.0.5 255.255.255.0 - &prompt.root; corp-net# route add net 10.0.0.0: gateway 10.0.0.5 + &prompt.root; corp-net# route add 10.0.0.0 10.0.0.5 255.255.255.0 +&prompt.root; corp-net# route add net 10.0.0.0: gateway 10.0.0.5 - &prompt.root; priv-net# route add 10.246.38.0 10.246.38.1 255.255.255.0 - &prompt.root; priv-net# route add host 10.246.38.0: gateway 10.246.38.1 + &prompt.root; priv-net# route add 10.246.38.0 10.246.38.1 255.255.255.0 +&prompt.root; priv-net# route add host 10.246.38.0: gateway 10.246.38.1 Ab jetzt sollten die Rechner von den Gateways sowie von den Rechnern hinter den Gateways erreichbar sein. Dies können @@ -2600,7 +2621,6 @@ ipsec_program="/usr/local/sbin/setkey" ipsec_file="/usr/local/etc/racoon/setkey.conf" # allows setting up spd policies on boot racoon_enable="yes" -