Ignorer les liens de navigation | |
Quitter l'aperu | |
Administration d'Oracle Solaris : Services IP Oracle Solaris 11 Information Library (Français) |
Partie I Administration TCP/IP
1. Planification du développement du réseau
2. Eléments à prendre en compte lors de l'utilisation d'adresses IPv6
3. Configuration d'un réseau IPv4
4. Activation d'IPv6 sur le réseau
5. Administration d'un réseau TCP/IP
6. Configuration de tunnels IP
7. Dépannage des problèmes de réseau
10. A propos de DHCP (présentation)
11. Administration du service DHCP ISC
12. Configuration et administration du client DHCP
13. Commandes et fichiers DHCP (référence)
14. Architecture IPsec (présentation)
15. Configuration d'IPsec (tâches)
16. Architecture IPsec (référence)
17. Protocole IKE (présentation)
IKE avec l'authentification des clés prépartagées
IKE avec certificats de clés publiques
18. Configuration du protocole IKE (tâches)
20. IP Filter dans Oracle Solaris (présentation)
Partie IV Performances du réseau
22. Présentation de l'équilibreur de charge intégré
23. Configuration de l'équilibreur de charge intégré (tâches)
24. Protocole de redondance de routeur virtuel (VRRP) (Présentation)
25. Configuration VRRP - Tâches
26. Implémentation du contrôle de congestion
Partie V Qualité de service IP (IPQoS)
27. Présentation d'IPQoS (généralités)
28. Planification d'un réseau IPQoS (tâches)
29. Création du fichier de configuration IPQoS (tâches)
30. Démarrage et maintenance d'IPQoS (tâches)
31. Utilisation de la comptabilisation des flux et de la collecte statistique (tâches)
Le démon IKE, in.iked, négocie et authentifie de manière sécurisée le matériel de génération de clés pour les SA IPsec. Il utilise des germes de sécurité aléatoires pour les clés des fonctions internes fournies par le SE. Le protocole IKE assure une confidentialité de transmission parfaite (PFS, perfect forward secrecy). En mode PFS, les clés qui protègent la transmission des données ne sont pas utilisées pour générer des clés complémentaires. Les germes de sécurité employés pour créer des clés de transmission de données ne sont pas réutilisés. Reportez-vous à la page de manuel in.iked(1M).
Le tableau ci-dessous répertorie les termes utilisés dans la négociation des clés et les acronymes les plus couramment employés. Vous y trouverez également une définition de chacun de ces termes ainsi que leur contexte d'utilisation.
Tableau 17-1 Terminologie de négociation des clés, acronymes et utilisation
|
La phase 1 est connue sous le nom de Main Mode (mode principal). Pendant la phase 1, IKE utilise des méthodes de chiffrement de clé publique pour s'authentifier auprès d'entités IKE homologues. Il en résulte une association de sécurité (SA, security association) ISAKMP (Internet Security Association and Key Management Protocol). Une SA ISAKMP est un canal sécurisé sur lequel IKE négocie les numéros de clé des datagrammes IP. Contrairement aux SA IPsec, les SA ISAKMP sont bidirectionnelles. Il n'est donc pas nécessaire de disposer de plus d'une association de sécurité.
La façon dont IKE négocie les numéros de clé lors de la phase 1 peut être configurée. IKE lit les informations concernant la configuration dans le fichier /etc/inet/ike/config. Ces informations incluent :
Des paramètres généraux tels que le nom des certificats de clés publiques
L'activation ou non du mode de confidentialité de transmission parfaite (PFS)
Les interfaces concernées
Les protocoles de sécurité et leurs algorithmes
La méthode d'authentification
Les deux méthodes d'authentification utilisent respectivement les clés prépartagées et les certificats de clés publiques. Les certificats de clés publiques peuvent être autosignés ou émis par l'autorité de certification (CA) d'un fournisseur d'infrastructures de clés publiques (PKI).
La phase 2 est connue sous le nom de Quick Mode (mode rapide). Lors de la phase 2, IKE crée et gère les SA IPsec entre les systèmes qui exécutent le démon IKE. IKE utilise le canal sécurisé qui a été créé lors de la phase 1 pour protéger la transmission des numéros de clé. Le démon IKE crée les clés à partir d'un générateur de nombres aléatoires à l'aide du périphérique /dev/random. Le démon actualise les clés à une fréquence qui peut être configurée. Les numéros de clé sont accessibles aux algorithmes spécifiés dans le fichier de configuration ipsecinit.conf de la stratégie IPsec.