Inhaltsverzeichnis
Werbung
2.13 Geräteinterne SSH-/SSL-Schlüssel
Sämtliche Geräte, die mit einer LCOS-Version vor 8.84 ausgeliefert werden, sind ab Werk mit einem Satz vordefinierter
Kryptographie-Schlüssel mit 1024 Bit Länge ausgestattet, die folgende Fingerprints abbilden:
SSH
ssh-dss 27:c5:1d:9f:be:27:3d:50:d7:bf:c1:68:0b:18:97:d7
ssh-rsa 03:56:e6:52:ee:d2:da:f0:73:b5:df:3d:09:08:54:b7
SSL
SHA-1: f9:14:7f:7c:e0:15:20:b6:71:94:46:3f:0e:00:93:9c:ad:ff:d9:fb
MD5:
Das Gerät übermittelt diese Fingerprints beim Aufbau gesicherter Verbindungen (z. B. via SSH oder SSL) an die anfragende
Gegenstelle. Die Gegenstelle kann anhand des Fingerprints 1.) das Gerät eindeutig identifizieren und 2.) für sich verifizieren,
den Verbindungsaufbau mit dem korrekten als vertrauenswürdig eingestuften Gerät durchgeführt zu haben.
Wenn Sie also z. B. in LANconfig als Kommunikationsprotokoll SSH auswählen und darüber erstmalig eine Verbindung
zum betreffenden Gerät aufbauen, hinterfragt LANconfig in einer Sicherheitsabfrage, ob Ihnen der zugehörige
ssh-rsa-Schlüssel vertraut ist und LANconfig das Gerät darüber zukünftig als 'bekannt' registrieren soll.
5
Da diese Schlüssel für alle Geräte gleich sind, sollten Sie diese Schlüssel für den Produktivbetrieb unbedingt
durch eigene individuelle Schlüssel ersetzen (vgl.
auf Seite 93). Modelle mit bestimmten Firmware-Versionen und hinreichender Entropie versuchen teils auch
automatisch, gerätespezifische Schlüssel zu erzeugen (vgl.
SSH-/SSL-Schlüssel
2.13.1 Automatische Erzeugung gerätespezifischer SSH-/SSL-Schlüssel
Sofern Sie ein Gerät mit LCOS 8.84 oder höher einsetzen und keinen individuellen Schlüssel ins Gerät geladen haben,
versucht der interne SSH-Server nach einem Konfigurations-Reset direkt beim Systemstart, eigene gerätespezifische
SSH-Schlüssel zu kompilieren. Dazu gehören
1
ein SSH-2-RSA-Schlüssel mit 2048 Bit Länge;
1
ein SSH-2-DSS-Schlüssel mit 1024 Bit Länge (Definition nach FIPS 186-2);
1
ein SSH-2-ECDSA-Schlüssel mit 256, 384 oder 521 Bit Länge;
1
ein SSL-RSA-Schlüssel mit 2048 Bit Länge;
welche das Gerät als ssh_rsakey, ssh_dsakey, ssl_privkey oder ssh_ecdsakey in seinem internen
Dateisystem ablegt.
Im Falle einer erfolgreichen Schlüsselerzeugung erfolgt der Eintrag SSH: ... host key generated als „Hinweis"
ins SYSLOG; bei fehlgeschlagener Erzeugung der Eintrag SSH: host key generation failed, try
later again with '...' als „Alarm". Bei fehlgeschlagener Erzeugung (z. B. mangelnder Entropie) erfolgt ein
Rückfall auf den werksseitig implementierten Kryptographie-Schlüssel.
5
Wenn Sie von einer älteren LCOS-Version ein Update auf 8.84 oder höher ohne anschließenden
Konfigurations-Reset durchführen, generiert das Gerät keinen gerätespezifischen SSH-/SSL-Schlüssel, um die
Kompatibilität zu Bestandsinstallationen zu wahren. Sie haben jedoch die Möglichkeit, die Schlüsselerzeugung
manuell zu initiieren. Geben Sie dazu an der Konsole die folgenden Befehle ein:
sshkeygen -t rsa -b 2048 -f ssh_rsakey
sshkeygen -t dsa -b 1024 -f ssh_dsakey
sshkeygen -t ecdsa -b 256 -f ssh_ecdsakey
sshkeygen -t rsa -b 2048 -f ssh_rsakey
sshkeygen -t dsa -b 1024 -f ssh_dsakey
sshkeygen -t ecdsa -b 256 -f ssh_ecdsakey
sshkeygen -t rsa -b 2048 -f
ac:5b:45:2d:f9:20:3e:0b:b0:45:35:44:b8:3a:de:c6
auf Seite 93).
Automatische Erzeugung gerätespezifischer SSH-/SSL-Schlüssel
Automatische Erzeugung gerätespezifischer
ssl_privkey
Referenzhandbuch
2 Konfiguration
93
Werbung
Inhaltsverzeichnis
