Inhaltsverzeichnis
Werbung
2.12 Geräteinterne SSH-/SSL-Schlüssel
Sämtliche Geräte, die mit einer LCOS-Version vor 8.84 ausgeliefert werden, sind ab Werk mit einem Satz vordefinierter
Kryptographie-Schlüssel mit 1024 Bit Länge ausgestattet, die folgende Fingerprints abbilden:
SSH
ssh-dss 27:c5:1d:9f:be:27:3d:50:d7:bf:c1:68:0b:18:97:d7
ssh-rsa 03:56:e6:52:ee:d2:da:f0:73:b5:df:3d:09:08:54:b7
SSL
SHA-1: f9:14:7f:7c:e0:15:20:b6:71:94:46:3f:0e:00:93:9c:ad:ff:d9:fb
MD5:
Das Gerät übermittelt diese Fingerprints beim Aufbau gesicherter Verbindungen (z. B. via SSH oder SSL) an die anfragende
Gegenstelle. Die Gegenstelle kann anhand des Fingerprints 1.) das Gerät eindeutig identifizieren und 2.) für sich verifizieren,
den Verbindungsaufbau mit dem korrekten als vertrauenswürdig eingestuften Gerät durchgeführt zu haben.
Wenn Sie also z. B. in LANconfig als Kommunikationsprotokoll SSH auswählen und darüber erstmalig eine Verbindung
zum betreffenden Gerät aufbauen, hinterfragt LANconfig in einer Sicherheitsabfrage, ob Ihnen der zugehörige
ssh-rsa-Schlüssel vertraut ist und LANconfig das Gerät darüber zukünftig als 'bekannt' registrieren soll.
5
Da diese Schlüssel für alle Geräte gleich sind, sollten Sie diese Schlüssel für den Produktivbetrieb unbedingt
durch eigene individuelle Schlüssel ersetzen (vgl.
Seite 89). Modelle mit bestimmten Firmware-Versionen und hinreichender Entropie versuchen teils auch
automatisch, gerätespezifische Schlüssel zu erzeugen (vgl.
SSH-Schlüssel
2.12.1 Automatische Erzeugung gerätespezifischer SSH-Schlüssel
Sofern Sie ein Gerät mit LCOS 8.84 oder höher einsetzen und keinen individuellen Schlüssel ins Gerät geladen haben,
versucht der interne SSH-Server nach einem Konfigurations-Reset direkt beim Systemstart, eigene gerätespezifische
SSH-Schlüssel zu kompilieren. Dazu gehören
1
ein SSH-2-RSA-Schlüssel mit 2048 Bit Länge;
1
ein SSH-2-DSS-Schlüssel mit 1024 Bit Länge (Definition nach FIPS 186-2);
1
ein SSH-2-ECDSA-Schlüssel mit 256, 384 oder 521 Bit Länge;
welche das Gerät als ssh_rsakey, ssh_dsakey oder ssh_ecdsakey in seinem internen Dateisystem ablegt.
Im Falle einer erfolgreichen Schlüsselerzeugung erfolgt der Eintrag SSH: ... host key generated als Hinweis ins SYSLOG;
bei fehlgeschlagener Erzeugung der Eintrag SSH: host key generation failed, try later again with '...' als Alarm.
Bei fehlgeschlagener Erzeugung (z. B. mangelnder Entropie) erfolgt ein Rückfall auf den werksseitig implementierten
Kryptographie-Schlüssel.
5
Wenn Sie von einer älteren LCOS-Version ein Update auf 8.84 oder höher ohne anschließenden
Konfigurations-Reset durchführen, generiert das Gerät keinen gerätespezifischen SSH-Schlüssel, um die
Kompatibilität zu Bestandsinstallationen zu wahren. Sie haben jedoch die Möglichkeit, die Schlüsselerzeugung
manuell zu initiieren. Geben Sie dazu an der Konsole die folgenden Befehle ein:
sshkeygen -t rsa -b 2048 -f ssh_rsakey
sshkeygen -t dsa -b 1024 -f ssh_dsakey
sshkeygen -t ecdsa -b 256 -f ssh_ecdsakey
2.12.2 Individuelle SSH-Schlüssel manuell erzeugen
Sie haben Sie Möglichkeit, die werksseitig installierten sowie die automatisch generierten SSH-Schlüssel durch eigene
RSA- und DSA- bzw. DSS-Schlüssel zu ersetzen, um z. B. eine höhere Verschlüsselungsstärke zu realisieren. Dafür stehen
Ihnen mehrere Wege zur Auswahl:
ac:5b:45:2d:f9:20:3e:0b:b0:45:35:44:b8:3a:de:c6
auf Seite 89).
Automatische Erzeugung gerätespezifischer SSH-Schlüssel
Automatische Erzeugung gerätespezifischer
Referenzhandbuch
2 Konfiguration
auf
89
Werbung
Inhaltsverzeichnis
