From owner-svn-doc-head@freebsd.org Tue Jun 7 22:04:54 2016 Return-Path: Delivered-To: svn-doc-head@mailman.ysv.freebsd.org Received: from mx1.freebsd.org (mx1.freebsd.org [IPv6:2001:1900:2254:206a::19:1]) by mailman.ysv.freebsd.org (Postfix) with ESMTP id 09995B6EDDE; Tue, 7 Jun 2016 22:04:54 +0000 (UTC) (envelope-from bhd@FreeBSD.org) Received: from repo.freebsd.org (repo.freebsd.org [IPv6:2610:1c1:1:6068::e6a:0]) (using TLSv1.2 with cipher ECDHE-RSA-AES256-GCM-SHA384 (256/256 bits)) (Client did not present a certificate) by mx1.freebsd.org (Postfix) with ESMTPS id C377E1A3C; Tue, 7 Jun 2016 22:04:53 +0000 (UTC) (envelope-from bhd@FreeBSD.org) Received: from repo.freebsd.org ([127.0.1.37]) by repo.freebsd.org (8.15.2/8.15.2) with ESMTP id u57M4rkr088049; Tue, 7 Jun 2016 22:04:53 GMT (envelope-from bhd@FreeBSD.org) Received: (from bhd@localhost) by repo.freebsd.org (8.15.2/8.15.2/Submit) id u57M4rgs088048; Tue, 7 Jun 2016 22:04:53 GMT (envelope-from bhd@FreeBSD.org) Message-Id: <201606072204.u57M4rgs088048@repo.freebsd.org> X-Authentication-Warning: repo.freebsd.org: bhd set sender to bhd@FreeBSD.org using -f From: Bjoern Heidotting Date: Tue, 7 Jun 2016 22:04:53 +0000 (UTC) To: doc-committers@freebsd.org, svn-doc-all@freebsd.org, svn-doc-head@freebsd.org Subject: svn commit: r48901 - head/de_DE.ISO8859-1/books/handbook/security X-SVN-Group: doc-head MIME-Version: 1.0 Content-Type: text/plain; charset=UTF-8 Content-Transfer-Encoding: 8bit X-BeenThere: svn-doc-head@freebsd.org X-Mailman-Version: 2.1.22 Precedence: list List-Id: SVN commit messages for the doc tree for head List-Unsubscribe: , List-Archive: List-Post: List-Help: List-Subscribe: , X-List-Received-Date: Tue, 07 Jun 2016 22:04:54 -0000 Author: bhd Date: Tue Jun 7 22:04:52 2016 New Revision: 48901 URL: https://svnweb.freebsd.org/changeset/doc/48901 Log: Update to r44630: Prep work for IPsec chapter. Add additional definitions to intro. Still need to define SA and SAD. Still need to setup test environment to verify tech setup. This section does not yet mention setkey. Reviewed by: bcr Differential Revision: https://reviews.freebsd.org/D6746 Modified: head/de_DE.ISO8859-1/books/handbook/security/chapter.xml Modified: head/de_DE.ISO8859-1/books/handbook/security/chapter.xml ============================================================================== --- head/de_DE.ISO8859-1/books/handbook/security/chapter.xml Tue Jun 7 11:22:53 2016 (r48900) +++ head/de_DE.ISO8859-1/books/handbook/security/chapter.xml Tue Jun 7 22:04:52 2016 (r48901) @@ -5,7 +5,7 @@ $FreeBSD$ $FreeBSDde: de-docproj/books/handbook/security/chapter.xml,v 1.178 2012/04/30 17:07:41 bcr Exp $ - basiert auf: r44604 + basiert auf: r44630 --> Sicherheit @@ -72,8 +72,8 @@ - Wissen, wie Sie IPsec konfigurieren und ein - VPN einrichten. + Wissen, wie Sie IPsec konfigurieren + und ein VPN einrichten. @@ -2157,75 +2157,100 @@ Connection closed by foreign host. - <acronym>VPN</acronym> mit IPsec + + <acronym>VPN</acronym> mit + <acronym>IPsec</acronym> + - NikClayton + + + Nik + Clayton + +
nik@FreeBSD.org
-
Geschrieben von
+
+ Geschrieben von +
+
+ + + + Hiten M. + Pandya + + +
hmp@FreeBSD.org
+
+ Geschrieben von +
- IPsec + IPsec - - IPsec Grundlagen - - Hiten M.Pandya -
hmp@FreeBSD.org
-
Geschrieben von
-
-
- - Dieser Abschnitt beschreibt die Einrichtung von IPsec. Um - IPsec einzurichten, sollten Sie einen neuen Kernel bauen können (siehe - ). - - IPsec ist ein Protokoll, das auf dem - Internet-Protokoll (IP) aufbaut. Mit IPsec - können mehrere Systeme geschützt miteinander kommunizieren. Das in - &os; realisierte IPsec-Protokoll baut auf der KAME-Implementierung - auf und unterstützt sowohl IPv4 als auch IPv6. + Internet Protocol Security + (IPsec) ist ein Satz von Protokollen, die auf + dem Internet-Protokoll (IP) aufbauen. Durch + Authentifizierung und Verschlüsselung jedes einzelnen + IP-Pakets, können mehrere Systeme geschützt + miteinander kommunizieren. &os;s IPSsec + Netzwerk-Stack basiert auf der http://www.kame.net + Implementierung und unterstützt sowohl IPv4 + als auch IPv6. - IPsec + IPsec ESP - IPsec + IPsec AH - IPsec besteht wiederum aus zwei Protokollen: + IPsec besteht aus den folgenden + Protokollen: Encapsulated Security Payload - (ESP) verschlüsselt - IP-Pakete mit einem symmetrischen Verfahren wie Blowfish - oder 3DES. Damit werden die Pakete vor Manipulationen - Dritter geschützt. + (ESP): dieses Protokoll verschlüsselt + IP-Pakete mit einem symmetrischen + Verfahren wie Blowfish oder 3DES. + Damit werden die Pakete vor Manipulationen Dritter + geschützt. - Der Authentication Header - (AH) enthält eine + Authentication Header + (AH): dieses Protokoll enthält eine kryptographische Prüfsumme, die sicher stellt, dass ein - IP-Paket nicht verändert wurde. Der Authentication-Header - folgt nach dem normalen IP-Header und erlaubt dem Empfänger - eines IP-Paketes, dessen Integrität zu + IP-Paket nicht verändert wurde. Der + Authentication-Header folgt nach dem normalen + IP-Header und erlaubt dem Empfänger + eines IP-Paketes, dessen Integrität zu prüfen. + + + IP Payload Compression Protocol + (IPComp): dieses + Protokoll versucht durch Komprimierung der + IP-Nutzdaten die Menge der gesendeten + Daten zu reduzieren und somit die Kommunikationsleistung + zu verbessern. + - ESP und AH - können, je nach Situation, zusammen oder einzeln - verwendet werden. + Diese Protokolle können, je nach Situation, zusammen oder + einzeln verwendet werden. - VPN + VPN @@ -2233,20 +2258,23 @@ Connection closed by foreign host.VPN - IPsec kann in zwei Modi betrieben werden: Der + IPsec unterstützt zwei Modi: Der Transport-Modus verschlüsselt die Daten zwischen zwei Systemen. Der Tunnel-Modus verbindet zwei Subnetze miteinander. Durch einen Tunnel können - dann beispielsweise verschlüsselte Daten übertragen + dann verschlüsselte Daten übertragen werden. Ein Tunnel wird auch als Virtual-Private-Network (VPN) bezeichnet. Detaillierte - Informationen über das IPsec-Subsystem von &os; finden Sie in - &man.ipsec.4;. + Informationen über das IPsec-Subsystem von + &os; finden Sie in &man.ipsec.4;. - Die folgenden Optionen in der Kernelkonfiguration - aktivieren IPsec: + Um die Unterstützung für IPsec im + Kernel zu aktivieren, fügen Sie folgenden Optionen in die + Kernelkonfigurationsdatei ein und erstellen Sie einen neuen + Kernel, wie in + beschrieben. Kerneloption @@ -2261,57 +2289,63 @@ device crypto IPSEC_DEBUG - Wenn Sie zur Fehlersuche im IPsec-Subsystem + Wenn Sie zur Fehlersuche im IPsec-Subsystem Unterstützung wünschen, sollten Sie die folgende Option ebenfalls aktivieren: options IPSEC_DEBUG #debug for IP security -
- - VPN zwischen einem Heim- und Firmennetzwerk - einrichten - - - VPN - einrichten - + Der Rest dieses Kapitels beschreibt die Einrichtung eines + IPsec-VPN zwischen einem + Heimnetzwerk und einem Firmennetzwerk. Für das folgende + Beispiel gilt: + - Es müssen mindestens zwei Netzwerke vorhanden sein, - welche intern IP benutzen. - - - Beide Netzwerke sind über ein &os;-Gateway mit dem Internet verbunden. Der Gateway jedes Netzwerks besitzt mindestens - eine öffentliche IP-Adresse. + eine externe IP-Adresse. In diesem + Beispiel ist die externe IP-Adresse des + Firmennetzwerks (LAN) 172.16.5.4 und das + Heimnetzwerk (LAN) hat die externe + IP-Adresse 192.168.1.12. - Die intern verwendeten IP-Adressen können - private oder öffentliche Adressen sein. - Sie dürfen sich jedoch nicht überlappen. Zum Beispiel + Die intern verwendeten IP-Adressen + können private oder öffentliche Adressen sein. + Sie dürfen sich jedoch nicht überschneiden. Zum Beispiel sollten nicht beide Netze 192.168.1.x - benutzen. + benutzen. In diesem Beispiel ist die interne + IP-Adresse des Firmennetzwerks + (LAN) 10.246.38.1 und das + Heimnetzwerk (LAN) hat die interne + IP-Adresse 10.0.0.5. - - Konfiguration von IPsec in &os; + + + Konfiguration eines <acronym>VPN</acronym> unter + &os; + TomRhodes
trhodes@FreeBSD.org
@@ -2335,35 +2369,22 @@ device crypto und externen IP-Adressen der Gateways ersetzen müssen: - &prompt.root; ifconfig gif0 create - &prompt.root; ifconfig gif0 intern1 intern2 - &prompt.root; ifconfig gif0 tunnel extern1 extern2 - - In diesem Beispiel ist die externe - IP-Adresse des Firmennetzwerkes - (LAN) 172.16.5.4 und die interne - IP-Adresse ist 10.246.38.1. Das - Heimnetzwerk (LAN) hat die externe - IP-Adresse 192.168.1.12 mit der internen - privaten IP-Adresse 10.0.0.5. - - Wenn dies verwirrend erscheint, schauen Sie sich die - folgende Ausgabe von &man.ifconfig.8;an: + &prompt.root; ifconfig gif0 create +&prompt.root; ifconfig gif0 intern1 intern2 +&prompt.root; ifconfig gif0 tunnel extern1 extern2 + + Überprüfen Sie mit ifconfig die + Konfiguration auf beiden Gateways. Hier folgt die Ausgabe + von Gateway 1: - Gateway 1: - -gif0: flags=8051 mtu 1280 + gif0: flags=8051 mtu 1280 tunnel inet 172.16.5.4 --> 192.168.1.12 inet6 fe80::2e0:81ff:fe02:5881%gif0 prefixlen 64 scopeid 0x6 -inet 10.246.38.1 --> 10.0.0.5 netmask 0xffffff00 +inet 10.246.38.1 --> 10.0.0.5 netmask 0xffffff00 -Gateway 2: + Hier folgt die Ausgabe von Gateway 2: -gif0: flags=8051 mtu 1280 + gif0: flags=8051 mtu 1280 tunnel inet 192.168.1.12 --> 172.16.5.4 inet 10.0.0.5 --> 10.246.38.1 netmask 0xffffff00 inet6 fe80::250:bfff:fe3a:c1f%gif0 prefixlen 64 scopeid 0x4 @@ -2396,14 +2417,14 @@ round-trip min/avg/max/stddev = 28.106/9 ICMP-Pakete von ihren privaten Adressen senden und empfangen. Als nächstes müssen beide Gateways so konfiguriert werden, dass sie die Pakete des anderen - Netzwerkes richtig routen. Mit dem folgenden Befehl - erreicht man das Ziel: + Netzwerkes richtig routen. Dazu werden folgende Befehle + verwendet: - &prompt.root; corp-net# route add 10.0.0.0 10.0.0.5 255.255.255.0 - &prompt.root; corp-net# route add net 10.0.0.0: gateway 10.0.0.5 + &prompt.root; corp-net# route add 10.0.0.0 10.0.0.5 255.255.255.0 +&prompt.root; corp-net# route add net 10.0.0.0: gateway 10.0.0.5 - &prompt.root; priv-net# route add 10.246.38.0 10.246.38.1 255.255.255.0 - &prompt.root; priv-net# route add host 10.246.38.0: gateway 10.246.38.1 + &prompt.root; priv-net# route add 10.246.38.0 10.246.38.1 255.255.255.0 +&prompt.root; priv-net# route add host 10.246.38.0: gateway 10.246.38.1 Ab jetzt sollten die Rechner von den Gateways sowie von den Rechnern hinter den Gateways erreichbar sein. Dies können @@ -2600,7 +2621,6 @@ pass out quick on gif0 from any to any -