© 1995-2008 by The FreeBSD Project. All rights reserved.URL: http://www.FreeBSD.de
bcr 2010-01-12 20:36:54 UTC
FreeBSD German Documentation Repository
Modified files:
books/handbook/security chapter.sgml
Log:
MFen 1.324
Komplette Umstrukturierung des IPsec-Abschnitts, um es einfacher zu
machen, ein VPN aufzubauen.
Beigetragen von: Frank Boerner (frank dash freebsd at online dot de)
Kontrollgelesen von: Daniel Seuffert (ds at praxis123 dot de)
Revision Changes Path
1.161 +304 -891 de-docproj/books/handbook/security/chapter.sgml
Index: chapter.sgml
===================================================================
RCS file: /home/cvs/de-docproj/books/handbook/security/chapter.sgml,v
retrieving revision 1.160
retrieving revision 1.161
diff -u -I$FreeBSDde.*$ -r1.160 -r1.161
--- chapter.sgml 10 Jan 2010 13:50:30 -0000 1.160
+++ chapter.sgml 12 Jan 2010 20:36:54 -0000 1.161
@@ -3,8 +3,8 @@
The FreeBSD German Documentation Project
$FreeBSD: doc/de_DE.ISO8859-1/books/handbook/security/chapter.sgml,v 1.54 2008/03/26 19:02:45 jkois Exp $
- $FreeBSDde: de-docproj/books/handbook/security/chapter.sgml,v 1.160 2010/01/10 13:50:30 bcr Exp $
- basiert auf: 1.323
+ $FreeBSDde: de-docproj/books/handbook/security/chapter.sgml,v 1.161 2010/01/12 20:36:54 bcr Exp $
+ basiert auf: 1.324
-->
<chapter id="security">
@@ -706,7 +706,7 @@
für das besonders geschützte System exportieren, oder
Sie können der besonders geschützten Maschine
<application>SSH</application> auf die anderen Maschinen erlauben,
- indem Sie <application>SSH</application> Schlüsselpaare
+ indem Sie <application>SSH</application>-Schlüsselpaare
installieren. Mit Ausnahme des verursachten Netzwerkverkehrs
ist die NFS-Methode die am wenigsten sichtbare. Sie erlaubt es Ihnen,
nahezu unentdeckt die Dateisysteme der Clients zu beobachten. Wenn
@@ -3183,16 +3183,14 @@
define(`confSERVER_KEY',`/etc/certs/myca.key')dnl
define(`confTLS_SRV_OPTIONS', `V')dnl</programlisting>
- <para>Im Verzeichnis
- <filename class="directory">/etc/certs</filename>
- befindet sich der Schlüssel und das Zertifikat.
- Bauen Sie danach im Verzeichnis <filename
- class="directory">/etc/mail</filename> mit dem Kommando
- <command>make <maketarget>install</maketarget></command>
- die <filename>.cf</filename>-Datei und starten Sie
- anschließend <application>sendmail</application>
- mit <command>make <maketarget>restart</maketarget></command>
- neu.</para>
+ <para>Im Verzeichnis <filename class="directory">/etc/certs</filename>
+ befindet sich der Schlüssel und das Zertifikat. Bauen Sie danach
+ im Verzeichnis <filename class="directory">/etc/mail</filename>
+ mit dem Kommando <command>make
+ <maketarget>install</maketarget></command> die
+ <filename>.cf</filename>-Datei und starten Sie anschließend
+ <application>sendmail</application> mit <command>make
+ <maketarget>restart</maketarget></command> neu.</para>
<para>Wenn alles gut ging, erscheinen keine Fehlermeldungen
in der Datei <filename>/var/log/maillog</filename> und
@@ -3273,50 +3271,16 @@
<para>Dieser Abschnitt zeigt Ihnen, wie Sie IPsec einrichten
und damit &os;-Systeme und µsoft.windows; 2000/XP Systeme
sicher miteinander verbinden. Um IPsec einzurichten,
- sollten Sie einen neuen Kernel erzeugen können (siehe
+ sollten Sie einen neuen Kernel bauen können (siehe
<xref linkend="kernelconfig">).</para>
<para>IPsec ist ein Protokoll, das auf dem Internet-Protokoll
(IP) aufbaut. Mit IPsec können mehrere Systeme
geschützt miteinander kommunizieren. Das in
- &os; realisierte IPsec-Protokoll baut auf der
- <ulink url="http://www.kame.net/">KAME-Implementierung</ulink>
+ &os; realisierte IPsec-Protokoll baut auf der <ulink
+ url="http://www.kame.net/">KAME-Implementierung</ulink>
auf und unterstützt sowohl IPv4 als auch IPv6.</para>
- <note>
- <para>&os enthält eine von Hardware
- beschleunigte Variante des IPsec-Protokolls. Diese
- Variante wurde von OpenBSD übernommen und wird
- <quote>Fast-IPsec</quote> genannt. Das
- &man.crypto.4;-Subsystem arbeitet mit Kryptographie-Hardware
- zusammen, die IPsec beschleunigt. Das Subsystem
- ist neu und bietet noch nicht alle Funktionen, die
- KAME-IPsec bietet. Wenn Sie die Hardware-Beschleunigung
- nutzen wollen, fügen Sie folgende Zeile der
- Kernelkonfiguration hinzu:</para>
-
- <indexterm>
- <primary>Kerneloption</primary>
- <secondary>FAST_IPSEC</secondary>
- </indexterm>
-
- <screen>options FAST_IPSEC # new IPsec (cannot define w/ IPSEC)</screen>
-
- <para>Momentan können Sie <quote>Fast-IPsec</quote>
- nicht zusammen mit KAME-IPsec benutzen. Weiteres zu
- <quote>Fast-IPsec</quote> erfahren Sie in der
- Hilfeseite &man.fast.ipsec.4;.</para>
- </note>
-
- <note>
- <para>Damit Firewalls den Status von &man.gif.4;-Tunneln
- überwachen können, müssen Sie die Option
- <option>IPSEC_FILTERGIF</option> in Ihrer
- Kernelkonfiguration aktivieren:</para>
-
- <screen>options IPSEC_FILTERGIF #filter ipsec packets from a tunnel</screen>
- </note>
-
<indexterm>
<primary>IPsec</primary>
<secondary>ESP</secondary>
@@ -3339,7 +3303,7 @@
<listitem>
<para>Der <emphasis>Authentication Header (AH)</emphasis>
- enthät eine kryptographische Prüsumme,
+ enthät eine kryptographische Prüfsumme,
die sicher stellt, dass ein IP-Paket nicht verändert
wurde. Der Authentication-Header folgt nach dem
normalen IP-Header und erlaubt dem Empfänger
@@ -3412,7 +3376,9 @@
</sect2>
<sect2>
- <title>VPN zwischen zwei Netzen über das Internet</title>
+ <title>Das Szenario: Zwei Netzwerke, ein Heim- und ein
+ Firmennetzwerk. Beide sind mit dem Internet verbunden und
+ verhalten sich dank <acronym>VPN</acronym> wie ein Netzwerk.</title>
<indexterm>
<primary>VPN</primary>
@@ -3431,7 +3397,7 @@
</listitem>
<listitem>
- <para>Beide Netzwerke sind über einen &os;-Gateway
+ <para>Beide Netzwerke sind über ein &os;-Gateway
mit dem Internet verbunden.</para>
</listitem>
@@ -3443,858 +3409,305 @@
<listitem>
<para>Die intern verwendeten IP-Adressen können
private oder öffentliche Adressen sein.
- Der Gateway kann, wenn nötig, IP-Adressen mit
- NAT umschreiben.</para>
- </listitem>
-
- <listitem>
- <para>Die IP-Adressen der internen Netzwerke
- <emphasis>dürfen nicht überlappen</emphasis>.
- Mit NAT ließe sich diese Anforderung zwar umgehen, doch
- wäre die Konfiguration und Pflege des resultierenden
- Netzwerks zu aufwändig.</para>
+ Sie dürfen sich nicht überlappen; zum Beispiel:
+ nicht beide sollten <hostid role="ipaddr">192.168.1.x</hostid>
+ benutzen.</para>
</listitem>
</itemizedlist>
+ </sect2>
- <para>Wenn die zu verbindenden Netzwerke intern dieselben
- IP-Adressen benutzen (beispielsweise
- <hostid role="ipaddr">192.168.1.x</hostid>), müssen
- einem der Netzwerke neue IP-Adressen zugewiesen werden.</para>
-
- <para>Die Netzwerktopologie sieht wie folgt aus:</para>
-
- <mediaobject>
- <imageobject>
- <imagedata fileref="security/ipsec-network" align="center">
- </imageobject>
-
- <textobject>
-<literallayout class="monospaced">Netzwerk #1 [ Interne Rechner ] Privates Netz, 192.168.1.2-254
- [ Win9x/NT/2K ]
- [ UNIX ]
- |
- |
- .---[fxp1]---. Private IP, 192.168.1.1
- | FreeBSD |
- `---[fxp0]---' Öffentliche IP, A.B.C.D
- |
- |
- -=-=- Internet -=-=-
- |
- |
- .---[fxp0]---. Öffentliche IP, W.X.Y.Z
- | FreeBSD |
- `---[fxp1]---' Private IP, 192.168.2.1
- |
- |
-Netzwerk #2 [ Interne Rechner ]
- [ Win9x/NT/2K ] Privates Netz, 192.168.2.2-254
- [ UNIX ]</literallayout>
- </textobject>
- </mediaobject>
-
- <para>Beachten Sie die beiden öffentlichen IP-Adressen.
- Im Folgenden werden sie durch Buchstaben (als Platzhalter)
- gekennzeichnet. Setzen Sie hierfür Ihre eigenen
- öffentlichen IP-Adressen ein. Beide Gateways
- besitzen die interne Adresse
- <hostid role="ipaddr">x.x.x.1</hostid> und beide
----------------------------------------------
Diff block truncated. (Max lines = 200)
----------------------------------------------
To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-cvs-doc" in the body of the message
Received on Tue 12 Jan 2010 - 21:37:11 CET