Configuration du protocole IKE avec des clés prépartagées

Les clés prépartagées sont la méthode d'authentification la plus simple pour IKE. Elles s'utilisent notamment lors de la configuration du protocole IKE sur deux systèmes homologues gérés par le même administrateur. N'oubliez cependant pas que, contrairement aux certificats de clés publiques, les clés prépartagées sont liées à des adresses IP. Les clés prépartagées peuvent être associées à des adresses IP ou des plages d'adresses IP spécifiques, et ne peuvent pas s'utiliser avec des systèmes portables ou des systèmes susceptibles d'être renumérotés, à moins que la renumérotation soit incluse dans la plage d'adresses IP spécifiée.

Configuration du protocole IKE avec des clés prépartagées

La longueur des clés des algorithmes d'implémentation du protocole IKE est variable. Elle dépend du niveau de sécurité dont vous souhaitez doter le site. En règle générale, la longueur des clés est proportionnelle au niveau de sécurité.

Dans cette procédure, vous générez des clés au format ASCII.

Les noms de systèmes choisis pour illustrer cette procédure sont : enigma et partym. Remplacez enigma et partym par les noms de vos systèmes.

1. Connectez-vous en tant qu'administrateur.

   Pour plus d'informations, reportez-vous à la section Procédure d’obtention des droits d’administration du manuel Administration d’Oracle Solaris : services de sécurité. Si vous vous connectez à distance, exécutez la commande ssh pour que votre connexion soit sécurisée. Voir l'Exemple 15-1.

2. Sur chaque système, créez un fichier /etc/inet/ike/config.

   Vous pouvez utiliser le fichier /etc/inet/ike/config.sample comme modèle.

3. Entrez les règles et paramètres globaux dans le fichier ike/config sur chacun des systèmes.

   Les règles et paramètres globaux de ce fichier doivent garantir le fonctionnement de la stratégie IPsec du fichier ipsecinit.conf. Les exemples de configuration IKE ci-dessous vont de pair avec les exemples ipsecinit.conf de la section Sécurisation du trafic entre deux systèmes à l'aide d'IPsec.

   1. Modifiez par exemple le fichier /etc/inet/ike/config sur le système enigma :

      ### ike/config file on enigma, 192.168.116.16
      
      ## Global parameters
      #
      ## Defaults that individual rules can override.
      p1_xform
        { auth_method preshared oakley_group 5 auth_alg sha encr_alg 3des }
      p2_pfs 2
      #
      ## The rule to communicate with partym # Label must be unique { label "enigma-partym" local_addr 192.168.116.16 remote_addr 192.168.13.213 p1_xform { auth_method preshared oakley_group 5 auth_alg sha256 encr_alg aes } p2_pfs 5 }

   2. Modifiez le fichier /etc/inet/ike/config sur le système partym :

      ### ike/config file on partym, 192.168.13.213
      ## Global Parameters
      #
      p1_xform
        { auth_method preshared oakley_group 5 auth_alg sha encr_alg 3des }
      p2_pfs 2
      
      ## The rule to communicate with enigma # Label must be unique { label "partym-enigma" local_addr 192.168.13.213 remote_addr 192.168.116.16 p1_xform { auth_method preshared oakley_group 5 auth_alg sha256 encr_alg aes } p2_pfs 5 }

4. Sur chaque système, vérifiez la syntaxe du fichier.

   # /usr/lib/inet/in.iked -c -f /etc/inet/ike/config

5. Créez un fichier /etc/inet/secret/ike.preshare sur chacun des systèmes.

   Placez la clé prépartagée dans chacun des fichiers.

   1. Sur le système enigma par exemple, le fichier ike.preshared se présente comme suit :

      # ike.preshared on enigma, 192.168.116.16
      #…
      { localidtype IP
          localid 192.168.116.16
          remoteidtype IP
          remoteid 192.168.13.213
          # The preshared key can also be represented in hex
      # as in 0xf47cb0f432e14480951095f82b
      # key "This is an ASCII Cqret phrAz, use str0ng p@ssword tekniques"
      }

   2. Sur le système partym, le fichier ike.preshared se présente comme suit :

      # ike.preshared on partym, 192.168.13.213
      #…
      { localidtype IP
          localid 192.168.13.213
          remoteidtype IP
          remoteid 192.168.116.16
          # The preshared key can also be represented in hex
      # as in 0xf47cb0f432e14480951095f82b
          key "This is an ASCII Cqret phrAz, use str0ng p@ssword tekniques"
          }

6. Activez le service IKE.

   # svcadm enable ipsec/ike

Exemple 18-1 Actualisation d'une clé prépartagée IKE

Lorsqu'un administrateur IKE souhaite actualiser la clé prépartagée, il modifie les fichiers sur ses systèmes homologues et redémarre le démon in.iked.

Il commence par ajouter l'entrée de clé partagée, valide pour n'importe quel hôte sur le sous-réseau 192.168.13.0/24.

#…
{ localidtype IP
    localid 192.168.116.0/24
    remoteidtype IP
    remoteid 192.168.13.0/24
    # enigma and partym's shared passphrase for keying material 
key "LOooong key Th@t m^st Be Ch*angEd \"reguLarLy)"
    }

Ensuite, l'administrateur redémarre le service IKE sur chaque système.

# svcadm enable ipsec/ike

Étapes suivantes

Si vous n'avez pas terminé d'établir la stratégie IPsec, effectuez de nouveau la procédure IPsec pour activer ou actualiser la stratégie IPsec.

Procédure de configuration d'IKE pour un nouveau système homologue

Si vous ajoutez des entrées de stratégie IPsec à une configuration de travail entre des systèmes homologues, vous devez actualiser le service de stratégie IPsec. Il n'est pas nécessaire de reconfigurer ou de redémarrer IKE.

Si vous ajoutez un nouveau système homologue à la stratégie IPsec, vous devez modifier non seulement IPsec, mais aussi la configuration IKE.

Avant de commencer

Vous avez mis à jour le fichier ipsecinit.conf et actualisé la stratégie IPsec pour les systèmes homologues.

1. Connectez-vous en tant qu'administrateur.

   Pour plus d'informations, reportez-vous à la section Procédure d’obtention des droits d’administration du manuel Administration d’Oracle Solaris : services de sécurité. Si vous vous connectez à distance, exécutez la commande ssh pour que votre connexion soit sécurisée. Voir l'Exemple 15-1.

2. Créez une règle pour la gestion des clés par IKE, pour le nouveau système qui utilise IPsec.
   1. Par exemple, sur le système enigma, ajoutez la règle suivante au fichier /etc/inet/ike/config :

      ### ike/config file on enigma, 192.168.116.16
       
      ## The rule to communicate with ada
      
      {label "enigma-to-ada"
       local_addr 192.168.116.16
       remote_addr 192.168.15.7
       p1_xform
       {auth_method preshared oakley_group 5 auth_alg sha256 encr_alg aes}
       p2_pfs 5
          }

   2. Sur le système ada, ajoutez la règle suivante :

      ### ike/config file on ada, 192.168.15.7
       
      ## The rule to communicate with enigma
      
      {label "ada-to-enigma"
       local_addr 192.168.15.7
       remote_addr 192.168.116.16
       p1_xform
       {auth_method preshared oakley_group 5 auth_alg sha256 encr_alg aes}
       p2_pfs 5
      }

3. Créez une clé prépartagée IKE pour les systèmes homologues.
   1. Sur le système enigma, ajoutez les informations suivantes au fichier /etc/inet/secret/ike.preshared :

      # ike.preshared on enigma for the ada interface
      # 
      { localidtype IP
        localid 192.168.116.16
        remoteidtype IP
        remoteid 192.168.15.7
        # enigma and ada's shared key
        key "Twas brillig and the slivey toves did *s0mEtHiNg* be CareFULL hEEEr"
      }

   2. Sur le système ada, ajoutez les informations suivantes au fichier ike.preshared :

      # ike.preshared on ada for the enigma interface
      # 
      { localidtype IP
        localid 192.168.15.7
        remoteidtype IP
        remoteid 192.168.116.16
        # ada and enigma's shared key
        key "Twas brillig and the slivey toves did *s0mEtHiNg* be CareFULL hEEEr"
      }

4. Sur chaque système, actualisez le service ike.

   # svcadm refresh ike

Étapes suivantes

Si vous n'avez pas terminé d'établir la stratégie IPsec, effectuez de nouveau la procédure IPsec pour activer ou actualiser la stratégie IPsec.