From owner-svn-doc-all@freebsd.org Mon Jul 11 15:18:14 2016 Return-Path: Delivered-To: svn-doc-all@mailman.ysv.freebsd.org Received: from mx1.freebsd.org (mx1.freebsd.org [IPv6:2001:1900:2254:206a::19:1]) by mailman.ysv.freebsd.org (Postfix) with ESMTP id A4AADB92060; Mon, 11 Jul 2016 15:18:14 +0000 (UTC) (envelope-from bhd@FreeBSD.org) Received: from repo.freebsd.org (repo.freebsd.org [IPv6:2610:1c1:1:6068::e6a:0]) (using TLSv1.2 with cipher ECDHE-RSA-AES256-GCM-SHA384 (256/256 bits)) (Client did not present a certificate) by mx1.freebsd.org (Postfix) with ESMTPS id 594901A25; Mon, 11 Jul 2016 15:18:14 +0000 (UTC) (envelope-from bhd@FreeBSD.org) Received: from repo.freebsd.org ([127.0.1.37]) by repo.freebsd.org (8.15.2/8.15.2) with ESMTP id u6BFIDKh044633; Mon, 11 Jul 2016 15:18:13 GMT (envelope-from bhd@FreeBSD.org) Received: (from bhd@localhost) by repo.freebsd.org (8.15.2/8.15.2/Submit) id u6BFIDdb044632; Mon, 11 Jul 2016 15:18:13 GMT (envelope-from bhd@FreeBSD.org) Message-Id: <201607111518.u6BFIDdb044632@repo.freebsd.org> X-Authentication-Warning: repo.freebsd.org: bhd set sender to bhd@FreeBSD.org using -f From: Bjoern Heidotting Date: Mon, 11 Jul 2016 15:18:13 +0000 (UTC) To: doc-committers@freebsd.org, svn-doc-all@freebsd.org, svn-doc-head@freebsd.org Subject: svn commit: r49095 - head/de_DE.ISO8859-1/books/handbook/security X-SVN-Group: doc-head MIME-Version: 1.0 Content-Type: text/plain; charset=UTF-8 Content-Transfer-Encoding: 8bit X-BeenThere: svn-doc-all@freebsd.org X-Mailman-Version: 2.1.22 Precedence: list List-Id: "SVN commit messages for the entire doc trees \(except for " user" , " projects" , and " translations" \)" List-Unsubscribe: , List-Archive: List-Post: List-Help: List-Subscribe: , X-List-Received-Date: Mon, 11 Jul 2016 15:18:14 -0000 Author: bhd Date: Mon Jul 11 15:18:13 2016 New Revision: 49095 URL: https://svnweb.freebsd.org/changeset/doc/49095 Log: Run igor(1) on this chapter. Modified: head/de_DE.ISO8859-1/books/handbook/security/chapter.xml Modified: head/de_DE.ISO8859-1/books/handbook/security/chapter.xml ============================================================================== --- head/de_DE.ISO8859-1/books/handbook/security/chapter.xml Mon Jul 11 14:01:32 2016 (r49094) +++ head/de_DE.ISO8859-1/books/handbook/security/chapter.xml Mon Jul 11 15:18:13 2016 (r49095) @@ -7,8 +7,13 @@ $FreeBSDde: de-docproj/books/handbook/security/chapter.xml,v 1.178 2012/04/30 17:07:41 bcr Exp $ basiert auf: r48921 --> - - Sicherheit + + + + Sicherheit + @@ -19,11 +24,16 @@ - MartinHeinenÜbersetzt von + + + Martin + Heinen + + Übersetzt von + - Sicherheit @@ -270,18 +280,19 @@ Passwort-Hashes Passwörter sind ein notwendiges Übel. Wenn sie verwendet - werden müssen, sollten sie sehr komplex sein und dazu sollte - eine leistungsfähige Hash-Funktion gewählt werden, um die - Version des Passworts zu verschlüsseln, die in der - Passwortdatenbank gespeichert wird. &os; unterstützt die - Hash-Funktionen DES, MD5, - SHA256, SHA512, sowie - Blowfish Hash-Funktionen in seiner - crypt()-Bibliothek. Das in der - Voreinstellung verwendete SHA512 sollte - nicht durch eine weniger sichere Hash-Funktion getauscht - werden. Es kann jedoch durch den besseren Blowfish-Algorithmus - ersetzt werden. + werden müssen, sollten sie sehr komplex sein und dazu sollte + eine leistungsfähige Hash-Funktion gewählt werden, um die + Version des Passworts zu verschlüsseln, die in der + Passwortdatenbank gespeichert wird. &os; unterstützt die + Hash-Funktionen DES, + MD5, SHA256, + SHA512, sowie + Blowfish Hash-Funktionen in seiner + crypt()-Bibliothek. Das in der + Voreinstellung verwendete SHA512 sollte + nicht durch eine weniger sichere Hash-Funktion getauscht + werden. Es kann jedoch durch den besseren + Blowfish-Algorithmus ersetzt werden. Blowfish ist nicht Bestandteil von @@ -324,8 +335,8 @@ dru:$6$pzIjSvCAn.PBYQBA$PXpSeWPx3g5kscj3 :passwd_format=blf:\ - Führen Sie anschließend cap_mkdb - /etc/login.conf aus, wie in Führen Sie anschließend + cap_mkdb /etc/login.conf aus, wie in beschrieben. Beachten Sie, dass vorhandene Passwort-Hashes durch diese Änderung nicht beeinträchtigt werden. Das bedeutet, dass alle Passwörter neu @@ -340,7 +351,7 @@ dru:$6$pzIjSvCAn.PBYQBA$PXpSeWPx3g5kscj3 für diesen Schlüssel). Da OpenSSH Teil des &os;-Basissystems ist, sollten alle Anmeldungen über das Netzwerk über eine verschlüsselte Verbindung mit einer - schlüsselbasierten Authentifizierung stattfinden. Passwörter + schlüsselbasierten Authentifizierung stattfinden. Passwörter sollten hier nicht verwendet werden. Weitere Informationen finden Sie in . Kerberos-Benutzer müssen eventuell zusätzliche Änderungen vornehmen, um @@ -355,8 +366,8 @@ dru:$6$pzIjSvCAn.PBYQBA$PXpSeWPx3g5kscj3 Die Durchsetzung einer starken Passwort-Richtlinie für lokale Benutzerkonten ist ein wesentlicher Aspekt der Systemsicherheit. In &os; kann die Länge, Stärke und - Komplexität des Passworts mit den - Pluggable Authentication Modules + Komplexität des Passworts mit den Pluggable + Authentication Modules (PAM) implementiert werden. In diesem Abschnitt wird gezeigt, wie Sie die minimale und @@ -444,7 +455,7 @@ Enter new password: &prompt.root; pw usermod -p 30-apr-2015 -n trhodes Wie zu sehen ist, wird das Ablaufdatum in der Form von - Tag, Monat und Jahr angegeben. Weitere Informationen finden + Tag, Monat und Jahr angegeben. Weitere Informationen finden Sie in &man.pw.8;. @@ -509,7 +520,7 @@ Enter new password: System auf Änderungen überwacht wird Intrustion Detection System (IDS) genannt. - + &os; bietet native Unterstützung für ein einfaches IDS-System. Obwohl die täglichen Sicherheits-E-Mails den Administrator über Änderungen in @@ -579,7 +590,7 @@ Enter new password: SHA256-Hashwert. Um sicherzustellen, dass die binären Signaturen nicht - verändert wurden, vergleichen Sie den Inhalt des aktuellen + verändert wurden, vergleichen Sie den Inhalt des aktuellen Verzeichnisses mit der zuvor erstellen Spezifikation. Speichern Sie die Ergebnisse in einer Datei. Dieses Kommando benötigt den Seed, der verwendet wurde um die @@ -791,7 +802,7 @@ cat changed Tätigkeiten. Zuerst wird erläutert, wie Einmalpasswörter über eine gesicherte Verbindung konfiguriert werden. Als nächstes wird erklärt, wie opiepasswd über - eine nicht gesicherte Verbindung eingesetzt wird. Als drittes + eine nicht gesicherte Verbindung eingesetzt wird. Als drittes wird beschrieben, wie man sich über eine nicht gesicherte Verbindung anmeldet. Die vierte Tätigkeit beschreibt, wie man eine Reihe von Schlüsseln generiert, die man sich aufschreiben @@ -816,8 +827,7 @@ Enter new secret pass phrase: Again new secret pass phrase: ID unfurl OTP key is 499 to4268 -MOS MALL GOAT ARM AVID COED - +MOS MALL GOAT ARM AVID COED Die Option startet den Konsolen-Modus, der davon ausgeht, dass der Befehl von einem sicherem Ort @@ -851,13 +861,13 @@ MOS MALL GOAT ARM AVID COED Um Einmalpasswörter über eine nicht gesicherte Verbindung zu initialisieren, oder das geheime Passwort zu ändern, müssen Sie über eine gesicherte Verbindung zu einer Stelle verfügen, - an der Sie opiekey ausführen können. Dies kann etwa die - Eingabeaufforderung auf einer Maschine sein, der Sie - vertrauen. Zudem müssen Sie einen Iterationszähler vorgeben - (100 ist ein guter Wert) und einen Initialwert wählen, wobei - Sie auch einen zufällig generierten benutzen können. Benutzen - Sie &man.opiepasswd.1; über die ungesicherte Verbindung zu der - Maschine, die Sie einrichten wollen: + an der Sie opiekey ausführen können. Dies + kann etwa die Eingabeaufforderung auf einer Maschine sein, der + Sie vertrauen. Zudem müssen Sie einen Iterationszähler + vorgeben (100 ist ein guter Wert) und einen Initialwert + wählen, wobei Sie auch einen zufällig generierten benutzen + können. Benutzen Sie &man.opiepasswd.1; über die ungesicherte + Verbindung zu der Maschine, die Sie einrichten wollen: &prompt.user; opiepasswd @@ -896,7 +906,7 @@ GAME GAG WELT OUT DOWN CHAT Nachdem Sie OPIE eingerichtet haben, werden Sie beim nächsten Anmelden wie folgt begrüßt: -&prompt.user; telnet example.com + &prompt.user; telnet example.com Trying 10.0.0.1... Connected to example.com Escape character is '^]'. @@ -921,7 +931,7 @@ Password: Jetzt müssen Sie das Einmalpasswort generieren, um der Anmeldeaufforderung nachzukommen. Dies muss auf einem gesicherten System geschehen, auf dem Sie - &man.opiekey.1; ausführen können. Dieses Programm gibt es + &man.opiekey.1; ausführen können. Dieses Programm gibt es auch für &windows;, &macos; und &os;. Es benötigt den Iterationszähler sowie den Initialwert als Parameter, die Sie mittels cut-and-paste direkt von der @@ -999,9 +1009,17 @@ Enter secret pass phrase: < - TCP Wrapper + + TCP Wrapper + - TomRhodesBeigetragen von + + + Tom + Rhodes + + Beigetragen von + @@ -1039,37 +1057,34 @@ inetd_flags="-Ww" richtig konfiguriert werden. - Im Gegensatz zu anderen Implementierungen der + Im Gegensatz zu anderen Implementierungen der TCP Wrapper wird unter &os; vom Gebrauch der Datei hosts.deny abgeraten. Die Konfiguration sollte sich vollständig in /etc/hosts.allow befinden. - In der einfachsten Konfiguration werden Dienste - abhängig von den Optionen in - /etc/hosts.allow erlaubt oder - gesperrt. Unter &os; wird in der Voreinstellung + In der einfachsten Konfiguration werden Dienste abhängig + von den Optionen in /etc/hosts.allow + erlaubt oder gesperrt. Unter &os; wird in der Voreinstellung jeder von inetd gestartete Dienst - erlaubt. + erlaubt. Eine Konfigurationszeile ist wie folgt aufgebaut: - Dienst : Adresse : Aktion. - Dienst ist der von - inetd - gestartete Dienst (auch Daemon genannt). Die - Adresse ist ein gültiger - Rechnername, eine IP-Adresse oder - eine IPv6-Adresse in Klammern - ([ ]). - Der Wert allow im Feld - Aktion erlaubt Zugriffe, der Wert - deny verbietet Zugriffe. - Die Zeilen in hosts.allow - werden für jede Verbindung der Reihe nach - abgearbeitet. Trifft eine Zeile auf eine Verbindung - zu, wird die entsprechende Aktion ausgeführt - und die Abarbeitung ist beendet. + Dienst : Adresse : Aktion. + Dienst ist der von + inetd gestartete Dienst (auch + Daemon genannt). Die Adresse ist ein + gültiger Rechnername, eine IP-Adresse oder + eine IPv6-Adresse in Klammern + ([ ]). Der Wert + allow im Feld Aktion + erlaubt Zugriffe, der Wert deny verbietet + Zugriffe. Die Zeilen in hosts.allow + werden für jede Verbindung der Reihe nach abgearbeitet. + Trifft eine Zeile auf eine Verbindung zu, wird die + entsprechende Aktion ausgeführt und die Abarbeitung ist + beendet. Um beispielsweise einkommende POP3-Verbindungen für den Dienst @@ -1089,114 +1104,125 @@ qpopper : ALL : allow Erweiterte Konfiguration - TCP Wrapper besitzen - weitere Optionen, die bestimmen, wie Verbindungen - behandelt werden. In einigen Fällen ist es - gut, wenn bestimmten Rechnern oder Diensten eine - Nachricht geschickt wird. In anderen Fällen - soll vielleicht der Verbindungsaufbau protokolliert - oder eine E-Mail an einen Administrator versandt - werden. Oder ein Dienst soll nur für das - lokale Netz bereitstehen. Dies alles ist mit so genannten - Wildcards, Metazeichen und der Ausführung externer - Programme möglich. - - Stellen Sie sich vor, eine Verbindung soll - verhindert werden und gleichzeitig soll dem Rechner, - der die Verbindung aufgebaut hat, eine Nachricht - geschickt werden. Solch eine Aktion ist mit - möglich. - führt beim Verbindungsaufbau ein Kommando oder ein Skript - aus. Ein Beispiel ist in hosts.allow - enthalten: + TCP Wrapper besitzen weitere + Optionen, die bestimmen, wie Verbindungen behandelt werden. + In einigen Fällen ist es gut, wenn bestimmten Rechnern oder + Diensten eine Nachricht geschickt wird. In anderen Fällen + soll vielleicht der Verbindungsaufbau protokolliert oder eine + E-Mail an einen Administrator versandt werden. Oder ein + Dienst soll nur für das lokale Netz bereitstehen. Dies alles + ist mit so genannten Wildcards, Metazeichen und der Ausführung + externer Programme möglich. + + Stellen Sie sich vor, eine Verbindung soll verhindert + werden und gleichzeitig soll dem Rechner, der die Verbindung + aufgebaut hat, eine Nachricht geschickt werden. Solch eine + Aktion ist mit möglich. + führt beim Verbindungsaufbau ein + Kommando oder ein Skript aus. Ein Beispiel ist in + hosts.allow enthalten: - # Alle anderen Dienste sind geschützt + # Alle anderen Dienste sind geschützt ALL : ALL \ : severity auth.info \ : twist /bin/echo "You are not welcome to use %d from %h." - Für jeden Dienst, der nicht vorher in - hosts.allow konfiguriert wurde, wird - die Meldung You are not allowed to use - daemon name from - hostname. zurückgegeben. - Dies ist nützlich, wenn die Gegenstelle sofort - benachrichtigt werden soll, nachdem die Verbindung getrennt - wurde. Der Text der Meldung muss in - Anführungszeichen (") stehen. + Für jeden Dienst, der nicht vorher in + hosts.allow konfiguriert wurde, wird die + Meldung You are not allowed to use + daemon name from + hostname. zurückgegeben. + Dies ist nützlich, wenn die Gegenstelle sofort benachrichtigt + werden soll, nachdem die Verbindung getrennt wurde. Der Text + der Meldung muss in Anführungszeichen + (") stehen. - - Ein so konfigurierter Server ist anfällig - für Denial-of-Service-Angriffe. Ein Angreifer - kann die gesperrten Dienste mit Verbindungsanfragen - überfluten. - + + Ein so konfigurierter Server ist anfällig für + Denial-of-Service-Angriffe. Ein Angreifer kann die + gesperrten Dienste mit Verbindungsanfragen + überfluten. + - Eine weitere Möglichkeit bietet . - Wie verbietet - die Verbindung und führt externe Kommandos aus. Allerdings - sendet dem Rechner keine - Rückmeldung. Sehen Sie sich die nachstehende - Konfigurationsdatei an: + Eine weitere Möglichkeit bietet . + Wie verbietet + die Verbindung und führt externe Kommandos aus. Allerdings + sendet dem Rechner keine Rückmeldung. + Sehen Sie sich die nachstehende Konfigurationsdatei an: - # Verbindungen von example.com sind gesperrt: + # Verbindungen von example.com sind gesperrt: ALL : .example.com \ : spawn (/bin/echo %a from %h attempted to access %d >> \ /var/log/connections.log) \ : deny - Damit sind Verbindungen von der Domain - *.example.com gesperrt. - Jeder Verbindungsaufbau wird zudem in - /var/log/connections.log - protokolliert. Das Protokoll enthält den - Rechnernamen, die IP-Adresse - und den Dienst, der angesprochen wurde. In diesem Beispiel - wurden die Metazeichen %a und - %h verwendet. Eine vollständige Liste - der Metazeichen finden Sie in &man.hosts.access.5;. - - Die Wildcard ALL passt auf jeden - Dienst, jede Domain oder jede IP-Adresse. - Eine andere Wildcard ist PARANOID. Sie - passt auf jeden Rechner, dessen - IP-Adresse möglicherweise gefälscht ist. - Dies ist beispielsweise der Fall, wenn der Verbindungsaufbau - von einer IP-Adresse erfolgt, die nicht - zu dem übermittelten Rechnernamen passt. In diesem Beispiel - werden alle Verbindungsanfragen zu Sendmail - abgelehnt, wenn die IP-Adresse nicht zum - Rechnernamen passt: + Damit sind Verbindungen von der Domain *.example.com gesperrt. + Jeder Verbindungsaufbau wird zudem in + /var/log/connections.log protokolliert. + Das Protokoll enthält den Rechnernamen, die + IP-Adresse und den Dienst, der angesprochen + wurde. In diesem Beispiel wurden die Metazeichen + %a und %h verwendet. + Eine vollständige Liste der Metazeichen finden Sie in + &man.hosts.access.5;. + + Die Wildcard ALL passt auf jeden + Dienst, jede Domain oder jede IP-Adresse. + Eine andere Wildcard ist PARANOID. Sie + passt auf jeden Rechner, dessen + IP-Adresse möglicherweise gefälscht ist. + Dies ist beispielsweise der Fall, wenn der Verbindungsaufbau + von einer IP-Adresse erfolgt, die nicht zu + dem übermittelten Rechnernamen passt. In diesem Beispiel + werden alle Verbindungsanfragen zu + Sendmail abgelehnt, wenn die + IP-Adresse nicht zum Rechnernamen + passt: - # Block possibly spoofed requests to sendmail: + # Block possibly spoofed requests to sendmail: sendmail : PARANOID : deny - - Die Wildcard PARANOID wird - Verbindungen ablehnen, wenn der - Client oder der Server eine fehlerhafte - DNS-Konfiguration besitzt. - - - Weitere Informationen über Wildcards und deren Funktion - finden Sie in &man.hosts.access.5;. - - - Wenn Sie neue Einträge zur Konfiguration hinzufügen, - sollten Sie sicherstellen, dass nicht benötigte Einträge - in hosts.allow auskommentiert - werden. - + + Die Wildcard PARANOID wird + Verbindungen ablehnen, wenn der Client oder der Server eine + fehlerhafte DNS-Konfiguration + besitzt. + + + Weitere Informationen über Wildcards und deren Funktion + finden Sie in &man.hosts.access.5;. + + + Wenn Sie neue Einträge zur Konfiguration hinzufügen, + sollten Sie sicherstellen, dass nicht benötigte Einträge in + hosts.allow auskommentiert + werden. + - <application>Kerberos</application> + + <application>Kerberos</application> + - TillmanHodgsonBeigetragen von + + + Tillman + Hodgson + + Beigetragen von + - MarkMurrayBeruht auf einem Beitrag von + + + Mark + Murray + + Beruht auf einem Beitrag von + @@ -1306,7 +1332,7 @@ sendmail : PARANOID : deny Das KDC wird in - /etc/rc.conf wie folgt aktiviert: + /etc/rc.conf wie folgt aktiviert: kdc_enable="YES" kadmind_enable="YES" @@ -1331,20 +1357,20 @@ kadmind_enable="YES" Der Rechnername des KDC muss im DNS auflösbar sein. - In großen Netzwerken mit einem ordentlich - konfigurierten DNS-Server kann die Datei - aus dem obigen Beispiel verkürzt werden: + In großen Netzwerken mit einem ordentlich konfigurierten + DNS-Server kann die Datei aus dem obigen + Beispiel verkürzt werden: - [libdefaults] + [libdefaults] default_realm = EXAMPLE.ORG [domain_realm] .example.org = EXAMPLE.ORG - Die Zonendatei von example.org muss dann - die folgenden Zeilen enthalten: + Die Zonendatei von example.org muss dann die + folgenden Zeilen enthalten: - _kerberos._udp IN SRV 01 00 88 kerberos.example.org. + _kerberos._udp IN SRV 01 00 88 kerberos.example.org. _kerberos._tcp IN SRV 01 00 88 kerberos.example.org. _kpasswd._udp IN SRV 01 00 464 kerberos.example.org. _kerberos-adm._tcp IN SRV 01 00 749 kerberos.example.org. @@ -1362,7 +1388,7 @@ _kerberos IN TXT Im nächsten Schritt wird die - Kerberos-Datenbank eingerichtet. + Kerberos-Datenbank eingerichtet. Die Datenbank enthält die Schlüssel aller Prinzipale und ist mit einem Passwort geschützt. Dieses Passwort brauchen Sie sich nicht merken, da ein davon abgeleiteter @@ -1617,7 +1643,7 @@ kadmin> exitwebdevelopers haben beide Prinzipale auch ohne das gemeinsame Passwort Zugriff auf das Konto: - + tillmann@example.org jdoe@example.org @@ -1766,7 +1792,7 @@ kadmind5_server_enable="YES" @@ -1815,37 +1841,34 @@ kadmind5_server_enable="YES"KDC gespeichert. - Ein kompromittierter Haupt-Schlüssel ist nicht - ganz so schlimm wie allgemein angenommen. Der - Haupt-Schlüssel wird nur zum Verschlüsseln - der Passwort-Datenbank und zum Initialisieren des - Zufallsgenerators verwendet. Solange der Zugriff - auf das KDC abgesichert ist, kann - ein Angreifer wenig mit dem Haupt-Schlüssel - anfangen. - - Wenn das KDC nicht zur Verfügung - steht, sind auch die Netzwerkdienste nicht benutzbar, da - eine Authentifizierung nicht durchgeführt werden kann. - Das KDC ist also ein optimales Ziel für - einen Denial-of-Service Angriff. Sie können diesem Angriff - entgegenwirken, indem Sie einen - KDC-Master und einen oder mehrere Slaves - verwenden. Der Rückfall auf ein sekundäres - KDC mittels - PAM-Authentifizierung muss sorgfältig - eingerichtet werden. - - Mit Kerberos können - sich Benutzer, Rechner und Dienste gegenseitig - authentifizieren. Allerdings existiert kein Mechanismus, - der das KDC gegenüber Benutzern, - Rechnern oder Diensten authentifiziert. Ein verändertes - kinit könnte beispielsweise alle - Benutzernamen und Passwörter abfangen. Die von veränderten - Programmen ausgehende Gefahr können Sie lindern, indem Sie - die Integrität von Dateien mit Werkzeugen wie - security/tripwire prüfen. + Ein kompromittierter Haupt-Schlüssel ist nicht ganz so + schlimm wie allgemein angenommen. Der Haupt-Schlüssel wird + nur zum Verschlüsseln der Passwort-Datenbank und zum + Initialisieren des Zufallsgenerators verwendet. Solange der + Zugriff auf das KDC abgesichert ist, kann + ein Angreifer wenig mit dem Haupt-Schlüssel anfangen. + + Wenn das KDC nicht zur Verfügung steht, + sind auch die Netzwerkdienste nicht benutzbar, da eine + Authentifizierung nicht durchgeführt werden kann. Das + KDC ist also ein optimales Ziel für einen + Denial-of-Service Angriff. Sie können diesem Angriff + entgegenwirken, indem Sie einen KDC-Master + und einen oder mehrere Slaves verwenden. Der Rückfall auf ein + sekundäres KDC mittels + PAM-Authentifizierung muss sorgfältig + eingerichtet werden. + + Mit Kerberos können sich + Benutzer, Rechner und Dienste gegenseitig authentifizieren. + Allerdings existiert kein Mechanismus, der das + KDC gegenüber Benutzern, Rechnern oder + Diensten authentifiziert. Ein verändertes + kinit könnte beispielsweise alle + Benutzernamen und Passwörter abfangen. Die von veränderten + Programmen ausgehende Gefahr können Sie lindern, indem Sie die + Integrität von Dateien mit Werkzeugen wie + security/tripwire prüfen. @@ -1858,39 +1881,53 @@ kadmind5_server_enable="YES" - The - Kerberos FAQ + + The Kerberos FAQ - Designing - an Authentication System: a Dialogue in Four - Scenes + + Designing an Authentication System: a Dialogue in Four + Scenes - RFC 4120, - The Kerberos Network - Authentication Service (V5) + + RFC 4120, The Kerberos + Network Authentication Service (V5) - MIT - Kerberos-Seite + + MIT + Kerberos-Seite - Heimdal - Kerberos-Seite + Heimdal + Kerberos-Seite - OpenSSL + + OpenSSL + - TomRhodesBeigetragen von + + + Tom + Rhodes + + Beigetragen von + @@ -1944,18 +1981,18 @@ kadmind5_server_enable="YES"OpenSSL wird auch eingesetzt, um Zertifikate für Anwendungen bereitzustellen. Die - Zertifikate stellen die Identität einer Firma oder - eines Einzelnen sicher. Wenn ein Zertifikat nicht von - einer Zertifizierungsstelle (Certificate - Authority, CA) - gegengezeichnet wurde, erhalten Sie normalerweise eine - Warnung. Eine Zertifizierungsstelle ist eine Firma - wie VeriSign, - die Zertifikate von Personen oder Firmen - gegenzeichnet und damit die Korrektheit der Zertifikate - bestätigt. Diese Prozedur kostet Geld, ist aber - keine Voraussetzung für den Einsatz von Zertifikaten, - beruhigt aber sicherheitsbewusste Benutzer. + Zertifikate stellen die Identität einer Firma oder eines + Einzelnen sicher. Wenn ein Zertifikat nicht von einer + Zertifizierungsstelle + (Certificate Authority, + CA) gegengezeichnet wurde, erhalten Sie + normalerweise eine Warnung. Eine Zertifizierungsstelle ist eine + Firma wie VeriSign, die + Zertifikate von Personen oder Firmen gegenzeichnet und damit die + Korrektheit der Zertifikate bestätigt. Diese Prozedur kostet + Geld, ist aber keine Voraussetzung für den Einsatz von + Zertifikaten, beruhigt aber sicherheitsbewusste Benutzer. Dieser Abschnitt beschreibt, wie Sie auf einem &os;-System Zertifikate erstellen und benutzen. @@ -2192,167 +2229,163 @@ Connection closed by foreign host.IPv4 als auch IPv6. - - IPsec - ESP - + + IPsec + ESP + - - IPsec - AH - + + IPsec + AH + - IPsec besteht aus den folgenden - Protokollen: + IPsec besteht aus den folgenden + Protokollen: - - - Encapsulated Security Payload - (ESP): dieses Protokoll verschlüsselt - IP-Pakete mit einem symmetrischen - Verfahren wie Blowfish oder 3DES. - Damit werden die Pakete vor Manipulationen Dritter - geschützt. - - - - Authentication Header - (AH): dieses Protokoll enthält eine - kryptographische Prüfsumme, die sicher stellt, dass ein - IP-Paket nicht verändert wurde. Der - Authentication-Header folgt nach dem normalen - IP-Header und erlaubt dem Empfänger - eines IP-Paketes, dessen Integrität zu - prüfen. - + + + Encapsulated Security Payload + (ESP): dieses Protokoll + verschlüsselt IP-Pakete mit einem + symmetrischen Verfahren wie Blowfish oder + 3DES. Damit werden die Pakete vor + Manipulationen Dritter geschützt. + - - IP Payload Compression Protocol - (IPComp): dieses - Protokoll versucht durch Komprimierung der - IP-Nutzdaten die Menge der gesendeten - Daten zu reduzieren und somit die Kommunikationsleistung - zu verbessern. - - + + Authentication Header + (AH): dieses Protokoll + enthält eine kryptographische Prüfsumme, die sicher stellt, + dass ein IP-Paket nicht verändert wurde. + Der Authentication-Header folgt nach dem normalen + IP-Header und erlaubt dem Empfänger eines + IP-Paketes, dessen Integrität zu + prüfen. + - Diese Protokolle können, je nach Situation, zusammen oder - einzeln verwendet werden. + + IP Payload Compression Protocol + (IPComp): dieses Protokoll + versucht durch Komprimierung der + IP-Nutzdaten die Menge der gesendeten + Daten zu reduzieren und somit die Kommunikationsleistung zu + verbessern. + + - - VPN - + Diese Protokolle können, je nach Situation, zusammen oder + einzeln verwendet werden. - - Virtual Private Network - VPN - + + VPN + - IPsec unterstützt zwei Modi: Der - Transport-Modus verschlüsselt - die Daten zwischen zwei Systemen. Der - Tunnel-Modus verbindet zwei - Subnetze miteinander. Durch einen Tunnel können - dann verschlüsselte Daten übertragen - werden. Ein Tunnel wird auch als - Virtual-Private-Network - (VPN) bezeichnet. Detaillierte - Informationen über das IPsec-Subsystem von - &os; finden Sie in &man.ipsec.4;. - - Um die Unterstützung für IPsec im - Kernel zu aktivieren, fügen Sie folgenden Optionen in die - Kernelkonfigurationsdatei ein und erstellen Sie einen neuen - Kernel, wie in - beschrieben. + + Virtual Private Network + VPN + - - Kerneloption - IPSEC - + IPsec unterstützt zwei Modi: Der + Transport-Modus verschlüsselt die Daten + zwischen zwei Systemen. Der Tunnel-Modus + verbindet zwei Subnetze miteinander. Durch einen Tunnel können + dann verschlüsselte Daten übertragen werden. Ein Tunnel wird + auch als Virtual-Private-Network + (VPN) bezeichnet. Detaillierte Informationen + über das IPsec-Subsystem von &os; finden Sie + in &man.ipsec.4;. + + Um die Unterstützung für IPsec im Kernel + zu aktivieren, fügen Sie folgenden Optionen in die + Kernelkonfigurationsdatei ein und erstellen Sie einen neuen + Kernel, wie in + beschrieben. + + + Kerneloption + IPSEC + - options IPSEC #IP security + options IPSEC #IP security device crypto - - Kerneloption - IPSEC_DEBUG - + + Kerneloption + IPSEC_DEBUG + - Wenn Sie zur Fehlersuche im IPsec-Subsystem - Unterstützung wünschen, sollten Sie die - folgende Option ebenfalls aktivieren: - - options IPSEC_DEBUG #debug for IP security - - Der Rest dieses Kapitels beschreibt die Einrichtung eines - IPsec-VPN zwischen einem - Heimnetzwerk und einem Firmennetzwerk. Für das folgende - Beispiel gilt: - - - - - Beide Netzwerke sind über ein &os;-Gateway - mit dem Internet verbunden. - - - - Der Gateway jedes Netzwerks besitzt mindestens - eine externe IP-Adresse. In diesem - Beispiel ist die externe IP-Adresse des - Firmennetzwerks (LAN) 172.16.5.4 und das - Heimnetzwerk (LAN) hat die externe - IP-Adresse 192.168.1.12. - - - - Die intern verwendeten IP-Adressen - können private oder öffentliche Adressen sein. - Sie dürfen sich jedoch nicht überschneiden. Zum Beispiel - sollten nicht beide Netze 192.168.1.x - benutzen. In diesem Beispiel ist die interne - IP-Adresse des Firmennetzwerks - (LAN) 10.246.38.1 und das - Heimnetzwerk (LAN) hat die interne - IP-Adresse 10.0.0.5. - - + Wenn Sie zur Fehlersuche im + IPsec-Subsystem Unterstützung wünschen, + sollten Sie die folgende Option ebenfalls aktivieren: + + options IPSEC_DEBUG #debug for IP security + + Der Rest dieses Kapitels beschreibt die Einrichtung eines + IPsec-VPN zwischen einem + Heimnetzwerk und einem Firmennetzwerk. Für das folgende + Beispiel gilt: + + + + Beide Netzwerke sind über ein &os;-Gateway mit dem + Internet verbunden. + + + + Der Gateway jedes Netzwerks besitzt mindestens eine + externe IP-Adresse. In diesem Beispiel + ist die externe IP-Adresse des + Firmennetzwerks (LAN) 172.16.5.4 und das + Heimnetzwerk (LAN) hat die externe + IP-Adresse 192.168.1.12. + + + + Die intern verwendeten IP-Adressen + können private oder öffentliche Adressen sein. Sie dürfen + sich jedoch nicht überschneiden. Zum Beispiel sollten nicht + beide Netze 192.168.1.x benutzen. In + diesem Beispiel ist die interne + IP-Adresse des Firmennetzwerks + (LAN) 10.246.38.1 und das + Heimnetzwerk (LAN) hat die interne + IP-Adresse 10.0.0.5. + + Konfiguration eines <acronym>VPN</acronym> unter &os; - - TomRhodes -
trhodes@FreeBSD.org
- Geschrieben von - + + + + Tom + Rhodes + + +
trhodes@FreeBSD.org
+ + Geschrieben von + + - Als erstes muss security/ipsec-tools aus der Ports-Sammlung installiert werden. Diese Software enthält einige Anwendungen, die bei der Konfiguration von IPsec hilfreich sind. - Als nächstes müssen zwei &man.gif.4;-Pseudogeräte - angelegt werden, um die Pakete zu tunneln und dafür zu sorgen, - dass beide Netzwerke richtig miteinander kommunizieren können. - Geben Sie als root + Als nächstes müssen zwei &man.gif.4;-Pseudogeräte angelegt + werden, um die Pakete zu tunneln und dafür zu sorgen, dass + beide Netzwerke richtig miteinander kommunizieren können. + Geben Sie als root die folgenden Befehle ein, wobei Sie *** DIFF OUTPUT TRUNCATED AT 1000 LINES ***