Date: Tue, 7 Jun 2016 22:04:53 +0000 (UTC) From: Bjoern Heidotting <bhd@FreeBSD.org> To: doc-committers@freebsd.org, svn-doc-all@freebsd.org, svn-doc-head@freebsd.org Subject: svn commit: r48901 - head/de_DE.ISO8859-1/books/handbook/security Message-ID: <201606072204.u57M4rgs088048@repo.freebsd.org>
next in thread | raw e-mail | index | archive | help
Author: bhd Date: Tue Jun 7 22:04:52 2016 New Revision: 48901 URL: https://svnweb.freebsd.org/changeset/doc/48901 Log: Update to r44630: Prep work for IPsec chapter. Add additional definitions to intro. Still need to define SA and SAD. Still need to setup test environment to verify tech setup. This section does not yet mention setkey. Reviewed by: bcr Differential Revision: https://reviews.freebsd.org/D6746 Modified: head/de_DE.ISO8859-1/books/handbook/security/chapter.xml Modified: head/de_DE.ISO8859-1/books/handbook/security/chapter.xml ============================================================================== --- head/de_DE.ISO8859-1/books/handbook/security/chapter.xml Tue Jun 7 11:22:53 2016 (r48900) +++ head/de_DE.ISO8859-1/books/handbook/security/chapter.xml Tue Jun 7 22:04:52 2016 (r48901) @@ -5,7 +5,7 @@ $FreeBSD$ $FreeBSDde: de-docproj/books/handbook/security/chapter.xml,v 1.178 2012/04/30 17:07:41 bcr Exp $ - basiert auf: r44604 + basiert auf: r44630 --> <chapter xmlns="http://docbook.org/ns/docbook" xmlns:xlink="http://www.w3.org/1999/xlink" version="5.0" xml:id="security"> <info><title>Sicherheit</title> @@ -72,8 +72,8 @@ </listitem> <listitem> - <para>Wissen, wie Sie IPsec konfigurieren und ein - <acronym>VPN</acronym> einrichten.</para> + <para>Wissen, wie Sie <acronym>IPsec</acronym> konfigurieren + und ein <acronym>VPN</acronym> einrichten.</para> </listitem> <listitem> @@ -2157,75 +2157,100 @@ Connection closed by foreign host.</scre </sect1> <sect1 xml:id="ipsec"> - <info><title><acronym>VPN</acronym> mit IPsec</title> + <info> + <title><acronym>VPN</acronym> mit + <acronym>IPsec</acronym></title> + <authorgroup> - <author><personname><firstname>Nik</firstname><surname>Clayton</surname></personname><affiliation> + <author> + <personname> + <firstname>Nik</firstname> + <surname>Clayton</surname> + </personname> + <affiliation> <address><email>nik@FreeBSD.org</email></address> - </affiliation><contrib>Geschrieben von </contrib></author> + </affiliation> + <contrib>Geschrieben von </contrib> + </author> + </authorgroup> + <authorgroup> + <author> + <personname> + <firstname>Hiten M.</firstname> + <surname>Pandya</surname> + </personname> + <affiliation> + <address><email>hmp@FreeBSD.org</email></address> + </affiliation> + <contrib>Geschrieben von </contrib> + </author> </authorgroup> </info> <indexterm> - <primary>IPsec</primary> + <primary><acronym>IPsec</acronym></primary> </indexterm> - <sect2> - <info><title>IPsec Grundlagen</title> - <authorgroup> - <author><personname><firstname>Hiten M.</firstname><surname>Pandya</surname></personname><affiliation> - <address><email>hmp@FreeBSD.org</email></address> - </affiliation><contrib>Geschrieben von </contrib></author> - </authorgroup> - </info> - - <para>Dieser Abschnitt beschreibt die Einrichtung von IPsec. Um - IPsec einzurichten, sollten Sie einen neuen Kernel bauen können (siehe - <xref linkend="kernelconfig"/>).</para> - - <para><emphasis>IPsec</emphasis> ist ein Protokoll, das auf dem - Internet-Protokoll (<acronym>IP</acronym>) aufbaut. Mit IPsec - können mehrere Systeme geschützt miteinander kommunizieren. Das in - &os; realisierte IPsec-Protokoll baut auf der <link xlink:href="http://www.kame.net/">KAME-Implementierung</link> - auf und unterstützt sowohl IPv4 als auch IPv6.</para> + <para><foreignphrase>Internet Protocol Security</foreignphrase> + (<acronym>IPsec</acronym>) ist ein Satz von Protokollen, die auf + dem Internet-Protokoll (<acronym>IP</acronym>) aufbauen. Durch + Authentifizierung und Verschlüsselung jedes einzelnen + <acronym>IP</acronym>-Pakets, können mehrere Systeme geschützt + miteinander kommunizieren. &os;s <acronym>IPSsec</acronym> + Netzwerk-Stack basiert auf der <link + xlink:href="http://www.kame.net">http://www.kame.net</link> + Implementierung und unterstützt sowohl <acronym>IPv4</acronym> + als auch <acronym>IPv6</acronym>.</para> <indexterm> - <primary>IPsec</primary> + <primary><acronym>IPsec</acronym></primary> <secondary>ESP</secondary> </indexterm> <indexterm> - <primary>IPsec</primary> + <primary><acronym>IPsec</acronym></primary> <secondary>AH</secondary> </indexterm> - <para>IPsec besteht wiederum aus zwei Protokollen:</para> + <para><acronym>IPsec</acronym> besteht aus den folgenden + Protokollen:</para> <itemizedlist> <listitem> <para><emphasis>Encapsulated Security Payload - (<acronym>ESP</acronym>)</emphasis> verschlüsselt - IP-Pakete mit einem symmetrischen Verfahren wie Blowfish - oder 3DES. Damit werden die Pakete vor Manipulationen - Dritter geschützt.</para> + (<acronym>ESP</acronym>)</emphasis>: dieses Protokoll verschlüsselt + <acronym>IP</acronym>-Pakete mit einem symmetrischen + Verfahren wie Blowfish oder <acronym>3DES</acronym>. + Damit werden die Pakete vor Manipulationen Dritter + geschützt.</para> </listitem> <listitem> - <para>Der <emphasis>Authentication Header - (<acronym>AH</acronym>)</emphasis> enthält eine + <para><emphasis>Authentication Header + (<acronym>AH</acronym>)</emphasis>: dieses Protokoll enthält eine kryptographische Prüfsumme, die sicher stellt, dass ein - IP-Paket nicht verändert wurde. Der Authentication-Header - folgt nach dem normalen IP-Header und erlaubt dem Empfänger - eines IP-Paketes, dessen Integrität zu + <acronym>IP</acronym>-Paket nicht verändert wurde. Der + Authentication-Header folgt nach dem normalen + <acronym>IP</acronym>-Header und erlaubt dem Empfänger + eines <acronym>IP</acronym>-Paketes, dessen Integrität zu prüfen.</para> </listitem> + + <listitem> + <para><emphasis>IP Payload Compression Protocol + (<acronym>IPComp</acronym>)</emphasis>: dieses + Protokoll versucht durch Komprimierung der + <acronym>IP</acronym>-Nutzdaten die Menge der gesendeten + Daten zu reduzieren und somit die Kommunikationsleistung + zu verbessern.</para> + </listitem> </itemizedlist> - <para><acronym>ESP</acronym> und <acronym>AH</acronym> - können, je nach Situation, zusammen oder einzeln - verwendet werden.</para> + <para>Diese Protokolle können, je nach Situation, zusammen oder + einzeln verwendet werden.</para> <indexterm> - <primary>VPN</primary> + <primary><acronym>VPN</acronym></primary> </indexterm> <indexterm> @@ -2233,20 +2258,23 @@ Connection closed by foreign host.</scre <see>VPN</see> </indexterm> - <para>IPsec kann in zwei Modi betrieben werden: Der + <para><acronym>IPsec</acronym> unterstützt zwei Modi: Der <firstterm>Transport-Modus</firstterm> verschlüsselt die Daten zwischen zwei Systemen. Der <firstterm>Tunnel-Modus</firstterm> verbindet zwei Subnetze miteinander. Durch einen Tunnel können - dann beispielsweise verschlüsselte Daten übertragen + dann verschlüsselte Daten übertragen werden. Ein Tunnel wird auch als <foreignphrase>Virtual-Private-Network</foreignphrase> (<acronym>VPN</acronym>) bezeichnet. Detaillierte - Informationen über das IPsec-Subsystem von &os; finden Sie in - &man.ipsec.4;.</para> + Informationen über das <acronym>IPsec</acronym>-Subsystem von + &os; finden Sie in &man.ipsec.4;.</para> - <para>Die folgenden Optionen in der Kernelkonfiguration - aktivieren IPsec:</para> + <para>Um die Unterstützung für <acronym>IPsec</acronym> im + Kernel zu aktivieren, fügen Sie folgenden Optionen in die + Kernelkonfigurationsdatei ein und erstellen Sie einen neuen + Kernel, wie in <link linkend="kernelconfig"/> + beschrieben.</para> <indexterm> <primary>Kerneloption</primary> @@ -2261,57 +2289,63 @@ device crypto</screen> <secondary>IPSEC_DEBUG</secondary> </indexterm> - <para>Wenn Sie zur Fehlersuche im IPsec-Subsystem + <para>Wenn Sie zur Fehlersuche im <acronym>IPsec</acronym>-Subsystem Unterstützung wünschen, sollten Sie die folgende Option ebenfalls aktivieren:</para> <screen>options IPSEC_DEBUG #debug for IP security</screen> - </sect2> - <sect2> - <title>VPN zwischen einem Heim- und Firmennetzwerk - einrichten</title> - - <indexterm> - <primary>VPN</primary> - <secondary>einrichten</secondary> - </indexterm> + <para>Der Rest dieses Kapitels beschreibt die Einrichtung eines + <acronym>IPsec</acronym>-<acronym>VPN</acronym> zwischen einem + Heimnetzwerk und einem Firmennetzwerk. Für das folgende + Beispiel gilt:</para> + <!-- <para>Es gibt keinen Standard, der festlegt, was ein Virtual-Private-Network ist. VPNs können mit verschiedenen Techniken, die jeweils eigene Vor- und Nachteile besitzen, implementiert werden. Dieser Abschnitt stellt Möglichkeiten vor, um ein VPN für das folgende Szenario aufzubauen:</para> - +--> <itemizedlist> <listitem> - <para>Es müssen mindestens zwei Netzwerke vorhanden sein, - welche intern IP benutzen.</para> - </listitem> - - <listitem> <para>Beide Netzwerke sind über ein &os;-Gateway mit dem Internet verbunden.</para> </listitem> <listitem> <para>Der Gateway jedes Netzwerks besitzt mindestens - eine öffentliche IP-Adresse.</para> + eine externe <acronym>IP</acronym>-Adresse. In diesem + Beispiel ist die externe <acronym>IP</acronym>-Adresse des + Firmennetzwerks (<acronym>LAN</acronym>) <systemitem + class="ipaddress">172.16.5.4</systemitem> und das + Heimnetzwerk (<acronym>LAN</acronym>) hat die externe + <acronym>IP</acronym>-Adresse <systemitem + class="ipaddress">192.168.1.12</systemitem>.</para> </listitem> <listitem> - <para>Die intern verwendeten IP-Adressen können - private oder öffentliche Adressen sein. - Sie dürfen sich jedoch nicht überlappen. Zum Beispiel + <para>Die intern verwendeten <acronym>IP</acronym>-Adressen + können private oder öffentliche Adressen sein. + Sie dürfen sich jedoch nicht überschneiden. Zum Beispiel sollten nicht beide Netze <systemitem class="ipaddress">192.168.1.x</systemitem> - benutzen.</para> + benutzen. In diesem Beispiel ist die interne + <acronym>IP</acronym>-Adresse des Firmennetzwerks + (<acronym>LAN</acronym>) <systemitem + class="ipaddress">10.246.38.1</systemitem> und das + Heimnetzwerk (<acronym>LAN</acronym>) hat die interne + <acronym>IP</acronym>-Adresse <systemitem + class="ipaddress">10.0.0.5</systemitem>.</para> </listitem> </itemizedlist> - <sect3> - <info><title>Konfiguration von IPsec in &os;</title> + <sect2> + <info> + <title>Konfiguration eines <acronym>VPN</acronym> unter + &os;</title> + <authorgroup> <author><personname><firstname>Tom</firstname><surname>Rhodes</surname></personname><affiliation> <address><email>trhodes@FreeBSD.org</email></address> @@ -2335,35 +2369,22 @@ device crypto</screen> und externen <acronym>IP</acronym>-Adressen der Gateways ersetzen müssen:</para> - <screen>&prompt.root; <userinput>ifconfig gif0 create</userinput></screen> - <screen>&prompt.root; <userinput>ifconfig gif0 <replaceable>intern1 intern2</replaceable></userinput></screen> - <screen>&prompt.root; <userinput>ifconfig gif0 tunnel <replaceable>extern1 extern2</replaceable></userinput></screen> - - <para>In diesem Beispiel ist die externe - <acronym>IP</acronym>-Adresse des Firmennetzwerkes - (<acronym>LAN</acronym>) <systemitem - class="ipaddress">172.16.5.4</systemitem> und die interne - <acronym>IP</acronym>-Adresse ist <systemitem - class="ipaddress">10.246.38.1</systemitem>. Das - Heimnetzwerk (<acronym>LAN</acronym>) hat die externe - <acronym>IP</acronym>-Adresse <systemitem - class="ipaddress">192.168.1.12</systemitem> mit der internen - privaten <acronym>IP</acronym>-Adresse <systemitem - class="ipaddress">10.0.0.5</systemitem>.</para> - - <para>Wenn dies verwirrend erscheint, schauen Sie sich die - folgende Ausgabe von &man.ifconfig.8;an:</para> + <screen>&prompt.root; <userinput>ifconfig gif0 create</userinput> +&prompt.root; <userinput>ifconfig gif0 <replaceable>intern1 intern2</replaceable></userinput> +&prompt.root; <userinput>ifconfig gif0 tunnel <replaceable>extern1 extern2</replaceable></userinput></screen> + + <para>Überprüfen Sie mit <command>ifconfig</command> die + Konfiguration auf beiden Gateways. Hier folgt die Ausgabe + von Gateway 1:</para> - <programlisting>Gateway 1: - -gif0: flags=8051 mtu 1280 + <programlisting>gif0: flags=8051 mtu 1280 tunnel inet 172.16.5.4 --> 192.168.1.12 inet6 fe80::2e0:81ff:fe02:5881%gif0 prefixlen 64 scopeid 0x6 -inet 10.246.38.1 --> 10.0.0.5 netmask 0xffffff00 +inet 10.246.38.1 --> 10.0.0.5 netmask 0xffffff00</programlisting> -Gateway 2: + <para>Hier folgt die Ausgabe von Gateway 2:</para> -gif0: flags=8051 mtu 1280 + <programlisting>gif0: flags=8051 mtu 1280 tunnel inet 192.168.1.12 --> 172.16.5.4 inet 10.0.0.5 --> 10.246.38.1 netmask 0xffffff00 inet6 fe80::250:bfff:fe3a:c1f%gif0 prefixlen 64 scopeid 0x4</programlisting> @@ -2396,14 +2417,14 @@ round-trip min/avg/max/stddev = 28.106/9 <acronym>ICMP</acronym>-Pakete von ihren privaten Adressen senden und empfangen. Als nächstes müssen beide Gateways so konfiguriert werden, dass sie die Pakete des anderen - Netzwerkes richtig routen. Mit dem folgenden Befehl - erreicht man das Ziel:</para> + Netzwerkes richtig routen. Dazu werden folgende Befehle + verwendet:</para> - <screen>&prompt.root; <userinput>corp-net# route add <replaceable>10.0.0.0 10.0.0.5 255.255.255.0</replaceable></userinput></screen> - <screen>&prompt.root; <userinput>corp-net# route add net <replaceable>10.0.0.0: gateway 10.0.0.5</replaceable></userinput></screen> + <screen>&prompt.root; <userinput>corp-net# route add <replaceable>10.0.0.0 10.0.0.5 255.255.255.0</replaceable></userinput> +&prompt.root; <userinput>corp-net# route add net <replaceable>10.0.0.0: gateway 10.0.0.5</replaceable></userinput></screen> - <screen>&prompt.root; <userinput>priv-net# route add <replaceable>10.246.38.0 10.246.38.1 255.255.255.0</replaceable></userinput></screen> - <screen>&prompt.root; <userinput>priv-net# route add host <replaceable>10.246.38.0: gateway 10.246.38.1</replaceable></userinput></screen> + <screen>&prompt.root; <userinput>priv-net# route add <replaceable>10.246.38.0 10.246.38.1 255.255.255.0</replaceable></userinput> +&prompt.root; <userinput>priv-net# route add host <replaceable>10.246.38.0: gateway 10.246.38.1</replaceable></userinput></screen> <para>Ab jetzt sollten die Rechner von den Gateways sowie von den Rechnern hinter den Gateways erreichbar sein. Dies können @@ -2600,7 +2621,6 @@ pass out quick on gif0 from any to any</ ipsec_program="/usr/local/sbin/setkey" ipsec_file="/usr/local/etc/racoon/setkey.conf" # allows setting up spd policies on boot racoon_enable="yes"</programlisting> - </sect3> </sect2> </sect1>
Want to link to this message? Use this URL: <https://mail-archive.FreeBSD.org/cgi/mid.cgi?201606072204.u57M4rgs088048>