cvs commit: de-docproj/books/handbook/security chapter.sgml

From: Benedict Reuschling <bcr(at)doc.bsdgroup.de>
Date: Sat, 9 Jan 2010 23:57:35 GMT

bcr 2010-01-09 23:57:34 UTC

FreeBSD German Documentation Repository

  Modified files:
    books/handbook/security chapter.sgml
  Log:
  MFen 1.321

  - raccon in <application>-Tags eingeschlossen
  - Formatierung an einigen Stellen angepasst

  Beigetragen von: Frank Boerner (frank dash freebsd at online dot de)

  Revision Changes Path
  1.158 +44 -42 de-docproj/books/handbook/security/chapter.sgml

  Index: chapter.sgml
  ===================================================================
  RCS file: /home/cvs/de-docproj/books/handbook/security/chapter.sgml,v
  retrieving revision 1.157
  retrieving revision 1.158
  diff -u -I$FreeBSDde.*$ -r1.157 -r1.158
  --- chapter.sgml 26 Mar 2008 14:26:57 -0000 1.157
  +++ chapter.sgml 9 Jan 2010 23:57:34 -0000 1.158
  @@ -2,9 +2,9 @@
        The FreeBSD Documentation Project
        The FreeBSD German Documentation Project

  - $FreeBSD$
  - $FreeBSDde: de-docproj/books/handbook/security/chapter.sgml,v 1.157 2008/03/26 14:26:57 jkois Exp $
  - basiert auf: 1.320
  + $FreeBSD: doc/de_DE.ISO8859-1/books/handbook/security/chapter.sgml,v 1.54 2008/03/26 19:02:45 jkois Exp $
  + $FreeBSDde: de-docproj/books/handbook/security/chapter.sgml,v 1.158 2010/01/09 23:57:34 bcr Exp $
  + basiert auf: 1.321
   -->

   <chapter id="security">
  @@ -3187,12 +3187,13 @@
         <para>Im Verzeichnis
           <filename class="directory">/etc/certs</filename>
           befindet sich der Schlüssel und das Zertifikat.
  - Bauen Sie danach im Verzeichnis
  - <filename class="directory">/etc/mail</filename>
  - mit dem Kommando <command>make install</command>
  - die <filename>.cf</filename>-Datei und starten
  - Sie anschließend <application>sendmail</application>
  - mit <command>make restart</command> neu.</para>
  + Bauen Sie danach im Verzeichnis <filename
  + class="directory">/etc/mail</filename> mit dem Kommando
  + <command>make <maketarget>install</maketarget></command>
  + die <filename>.cf</filename>-Datei und starten Sie
  + anschließend <application>sendmail</application>
  + mit <command>make <maketarget>restart</maketarget></command>
  + neu.</para>

         <para>Wenn alles gut ging, erscheinen keine Fehlermeldungen
           in der Datei <filename>/var/log/maillog</filename> und
  @@ -3913,13 +3914,13 @@
              viel mit diesem Schlüssel anfangen, da schon wieder ein
              anderer Schlüssel verwendet wird.</para>

  - <para>Die Konfiguration von racoon befindet sich in
  - <filename>${PREFIX}/etc/racoon</filename>. In der
  - dort befindlichen Konfigurationsdatei sollten Sie nicht
  - allzu viele Änderungen vornehmen müssen.
  - Sie müssen allerdings den so genannten
  - <quote>Pre-Shared-Key</quote> (den vorher ausgetauschten
  - Schlüssel) ändern.</para>
  + <para>Die Konfiguration von <application>racoon</application> befindet
  + sich in <filename>${PREFIX}/etc/racoon</filename>. In der
  + dort befindlichen Konfigurationsdatei sollten Sie nicht
  + allzu viele Änderungen vornehmen müssen.
  + Sie müssen allerdings den so genannten
  + <quote>Pre-Shared-Key</quote> (den vorher ausgetauschten
  + Schlüssel) ändern.</para>

            <para>In der Voreinstellung befindet sich dieser Schlüssel
              in der Datei <filename>${PREFIX}/etc/racoon/psk.txt</filename>.
  @@ -3954,26 +3955,26 @@
              Die Zugriffsrechte von <filename>psk.txt</filename> müssen
              auf <literal>0600</literal> (Lese- und Schreibzugriff nur
              für <username>root</username>) gesetzt sein, bevor
  - racoon gestartet wird.</para>
  + <application>racoon</application> gestartet wird.</para>

  - <para>Auf beiden Gateway-Maschinen muss racoon laufen. Sie
  - brauchen ebenfalls Firewall-Regeln, die IKE-Verkehr
  - erlauben. IKE verwendet UDP, um Nachrichten zum
  - ISAKMP-Port (Internet Security Association Key Management Protocol)
  - zu schicken. Die Regeln sollten früh in der
  - Regelkette auftauchen:</para>
  + <para>Auf beiden Gateway-Maschinen muss
  + <application>racoon</application> laufen. Sie brauchen ebenfalls
  + Firewall-Regeln, die IKE-Verkehr erlauben. IKE verwendet UDP, um
  + Nachrichten zum ISAKMP-Port (Internet Security Association Key
  + Management Protocol) zu schicken. Die Regeln sollten früh in
  + der Regelkette auftauchen:</para>

            <programlisting>ipfw add 1 allow udp from A.B.C.D to W.X.Y.Z isakmp
   ipfw add 1 allow udp from W.X.Y.Z to A.B.C.D isakmp</programlisting>

  - <para>Wenn racoon läuft, können Sie versuchen,
  - mit <command>ping</command> von einem Gateway-Rechner aus
  - den anderen Gateway zu erreichen. Die Verbindung wird zwar immer
  - noch nicht verschlüsselt, aber racoon wird die
  - Security-Association zwischen beiden Systemen einrichten.
  - Dies kann eine Weile dauern, und Sie bemerken vielleicht
  - eine kleine Verzögerung, bevor die Antworten von
  - der Gegenstelle kommen.</para>
  + <para>Wenn <application>racoon</application> läuft, können
  + Sie versuchen, mit <command>ping</command> von einem Gateway-Rechner
  + aus den anderen Gateway zu erreichen. Die Verbindung wird zwar
  + immer noch nicht verschlüsselt, aber
  + <application>racoon</application> wird die Security-Association
  + zwischen beiden Systemen einrichten. Dies kann eine Weile dauern,
  + und Sie bemerken vielleicht eine kleine Verzögerung, bevor die
  + Antworten von der Gegenstelle kommen.</para>

            <para>Die Security-Association können Sie sich auf einem
              der beiden Gateway-Systeme mit &man.setkey.8; ansehen:</para>
  @@ -4197,18 +4198,19 @@
               </textobject>
             </mediaobject>

  - <para>Am anderen Ende des VPNs werden die Pakete zuerst
  - entsprechend der von racoon ausgehandelten Security-Association
  - entschlüsselt. Das <devicename>gif</devicename>-Interface
  - entfernt dann die zweite Schicht, damit das ursprüngliche
  - Paket zum Vorschein kommt. Dieses kann dann in das interne
  - Netzwerk transportiert werden.</para>
  -
  - <para>Dass die Pakete wirklich verschlüsselt werden,
  - können Sie wieder mit &man.ping.8; überprüfen.
  - Melden Sie sich auf dem Gateway
  - <hostid role="ipaddr">A.B.C.D</hostid> an und rufen
  - das folgende Kommando auf:</para>
  + <para>Am anderen Ende des VPNs werden die Pakete zuerst
  + entsprechend der von <application>racoon</application>
  + ausgehandelten Security-Association entschlüsselt.
  + Das <devicename>gif</devicename>-Interface entfernt dann die zweite
  + Schicht, damit das ursprüngliche Paket zum Vorschein kommt.
  + Dieses kann dann in das interne Netzwerk transportiert
  + werden.</para>
  +
  + <para>Dass die Pakete wirklich verschlüsselt werden,
  + können Sie wieder mit &man.ping.8; überprüfen.
  + Melden Sie sich auf dem Gateway <hostid
  + role="ipaddr">A.B.C.D</hostid> an und rufen das folgende Kommando
  + auf:</para>

            <programlisting>tcpdump dst host 192.168.2.1</programlisting>

To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-cvs-doc" in the body of the message
Received on Sun 10 Jan 2010 - 00:57:50 CET