Next: IPSec mit Linux FreeS/WAN
Up: Netzwerksicherheit durch IPSec
Previous: Was kann IPSec nicht?
IPSec kann für verschieden Zwecke konfiguriert werden. Um den bestmöglichen
Schutz zu haben sollten folgende Punkte beachtet werden.
- 1.
- Getrennte Netzverbindungen für Klar- und Chiffretext.
Die sicherste Methode ist alle Nachrichten ohne IPSec-Header abzuweisen.
- 2.
- Länge des Chiffrierschlüssels.
Es muß ein Schlüssel mit ausreichender Schlüssellänge benützt werden.
- 3.
- Kryptographische Algorithmen.
Für Anwendungen von IPSec mit mittlerem Risiko sind z.B. der DES-Algorithmus im CBC-Modus
und der MD5-Hashalgorithmus geeignet.
- 4.
- Anwendung des AH auf den ESP.
Nur mit beiden Headern können die vorher aufgezeigten Angriffe abgewehrt werden.
- 5.
- Schutz des Verschlüsselungsrouter und Schutz gegen unnötige
Preisgabe von Schlüsseln.
Sicherheitssysteme sollten sich stets in verschlossenen Räumen befinden und nur
für authorisiertes Personal zugänglich sein.
- 6.
- Kompatibilitätstests.
Kommt ein Router zum Einsatz, so sollte dieser einem Kompatibilitätstest
unterzogen werden. (z.B. durch die S/WAN-Initiative oder dem SKIP Forum).
- 7.
- Automatische Einrichtung neuer Schlüssel.
Chiffrierschlüssel sollten am besten in regelmäßigen Abständen oder bei
jedem Verbindungsaufbau automatisch geändert werden.
- 8.
- Protokollierung von Ereignissen und Erkennung unerwünschter Vorfälle.
Damit können gegebenenfalls Angriffe erkannt werden.
- 9.
- Unterstützung des IPSec-Tunnelmodus.
Durch den Einsatz des Tunnelmodus wird der größte Teil an Adreßinformationen verborgen.
Dieses Verfahren ist besonders vorteilhaft, wenn die Standorte mit nicht-registrierten
Internet-Rechneradressen arbeiten.
Next: IPSec mit Linux FreeS/WAN
Up: Netzwerksicherheit durch IPSec
Previous: Was kann IPSec nicht?
Copyright Munich Network Management Team