Schlüssel und Zertifikate
In diesem Abschnitt werden die Security-Schlüssel und -Zertifikate thematisiert, die Sie
benötigen, um SSL, VPN (IPsec, OpenVPN) und SINEMA RC einzurichten.
● Im Gerät ist ein vorinstalliertes SSL-Zertifikat mit Schlüssel vorhanden. Ersetzen Sie
dieses Zertifikat durch ein selbst erstelltes Zertifikat mit Schlüssel. Es wird empfohlen, ein
Zertifikat zu verwenden, das entweder durch eine zuverlässige externe oder interne
Zertifizierungsstelle signiert ist.
● Nutzen Sie eine Zertifizierungsstelle inklusive Schlüsselwiderruf und -verwaltung, um die
Zertifikate zu signieren.
● Stellen Sie sicher, dass benutzerdefinierte private Schlüssel geschützt und unzugänglich
für unbefugte Personen sind.
● Verifizieren Sie Zertifikate und Fingerprints auf Server- und Clientseite, um "Man-in-the-
middle"-Angriffe zu verhindern.
● Es wird empfohlen, passwortgeschützte Zertifikate im PKCS #12-Format zu verwenden
● Es wird empfohlen, Zertifikate mit einer Schlüssellänge von mindestens 2048 Bit zu
verwenden.
● Ändern Sie Schlüssel und Zertifikate umgehend, wenn der Verdacht auf
Kompromittierung besteht.
Sichere/Unsichere Protokolle
● Vermeiden oder deaktivieren Sie unsichere Protokolle, wie z. B. Telnet und TFTP. Diese
Protokolle sind aus historischen Gründen noch verfügbar, jedoch nicht für einen sicheren
Einsatz gedacht. Setzen Sie unsichere Protokolle auf dem Gerät mit Bedacht ein.
● Vermeiden oder deaktivieren Sie unsichere Protokolle. Prüfen Sie die Notwendigkeit der
Nutzung folgender Protokolle:
– Broadcast-Pings
– Nicht authentifizierte und unverschlüsselte Schnittstellen
– ICMP (redirect)
– LLDP
– Syslog
– DHCP-Optionen 66/67
– TFTP
SCALANCE M826
Betriebsanleitung, 08/2016, C79000-G8900-C362-03
Security-Empfehlungen
11