Protection du trafic à l'aide d'IPsec

Cette section décrit les procédures permettant de sécuriser le trafic entre deux systèmes et de sécuriser un serveur Web. Pour protéger un VPN (Virtual Private Network, réseau privé virtuel), reportez-vous à la section Protection d'un VPN à l'aide d'IPsec. Pour obtenir des informations sur les procédures supplémentaires de gestion d'IPsec et sur l'utilisation des commandes SMF avec IPsec et IKE, reportez-vous à la section Gestion d'IPsec et d'IKE.

Les informations ci-dessous s'appliquent à toutes les tâches de configuration IPsec :

IPsec et zones : pour gérer les clés et la stratégie IPsec dans le cas d'une zone non globale IP partagée, créez le fichier de stratégie IPsec dans la zone globale, puis exécutez les commandes de configuration IPsec à partir de la zone globale. Utilisez l'adresse source correspondant à la zone non globale à configurer. Dans une zone IP exclusive, vous devez configurer la stratégie IPsec dans la zone non globale.
IPsec et RBAC : pour utiliser les rôles afin d'administrer IPsec, reportez-vous au Chapitre 9, Utilisation du contrôle d’accès basé sur les rôles (tâches) du manuel Administration d’Oracle Solaris : services de sécurité. La section Configuration d'un rôle pour la sécurité réseau présente un exemple.
IPsec et SCTP : vous pouvez utiliser IPsec pour protéger les associations SCTP (Streams Control Transmission Protocol, protocole de transmission de contrôle de flux), mais avec prudence. Pour plus d'informations, reportez-vous à la section IPsec et SCTP.
IPsec et étiquettes Trusted Extensions : sur les systèmes configurés avec la fonctionnalité Trusted Extensions d'Oracle Solaris, il est possible d'ajouter des étiquettes aux paquets IPsec. Pour plus d'informations, reportez-vous à la section Administration d’IPsec avec étiquettes du manuel Configuration et administration d’Oracle Solaris Trusted Extensions.
Adresses IPv4 et IPv6 : l'exemple IPsec dans ce guide utilise des adresses IPv4. Oracle Solaris prend également en charge les adresses IPv6. Pour configurer IPsec pour un réseau IPv6, remplacez les adresses des exemples par des adresses IPv6. Lorsque vous protégez des tunnels avec IPsec, vous pouvez utiliser des adresses IPv4 et IPv6 en guise d'adresses internes et externes. Une telle configuration vous permet d'acheminer IPv6 via tunnel sur un réseau IPv4, par exemple.

La liste des tâches ci-dessous répertorie les procédures de configuration d'IPsec sur un ou plusieurs systèmes. Les pages de manuel ipsecconf(1M), ipseckey(1M) et ipadm(1M) décrivent également des procédures utiles dans leurs sections d'exemples respectives.

Tâche	Description	Voir
Sécurisation du trafic entre deux systèmes	Protège les paquets transmis d'un système à un autre.	Sécurisation du trafic entre deux systèmes à l'aide d'IPsec
Sécurisation d'un serveur Web à l'aide de la stratégie IPsec	Requiert un trafic non-Web pour utiliser IPsec. Les clients Web sont identifiés par des ports particuliers : les vérifications IPsec sont ignorées.	Utilisation d'IPsec pour protéger un serveur Web du trafic non-web.
Affichage des stratégies IPsec	Affiche les stratégies IP actuellement mises en oeuvre, dans l'ordre de mise en oeuvre.	Affichage des stratégies IPsec
Utilisation d'IKE pour créer automatiquement des numéros de clés pour les SA IPsec.	Fournit les données brutes des associations de sécurité.	Configuration du protocole IKE (liste des tâches)
Configuration d'un réseau privé virtuel (VPN, Virtual Private Network) sécurisé	Définit IPsec entre deux systèmes sur Internet.	Protection d'un VPN à l'aide d'IPsec

Sécurisation du trafic entre deux systèmes à l'aide d'IPsec

Cette procédure correspond à la configuration suivante :

Les systèmes s'appellent enigma et partym.
Chaque système dispose d'une adresse IP. Il peut d'agir d'une adresse IPv4, IPv6 ou les deux.
Chaque système nécessite le chiffrement ESP avec l'algorithme AES, qui requiert une clé de 128 bits, ainsi que l'authentification ESP avec la synthèse des messages SHA-2, qui requiert une clé de 512 bits.
Chaque système utilise des associations de sécurité partagées (SA, Security Associations).

Avec les SA partagées, une seule paire de SA est suffisante pour protéger les deux systèmes.

Remarque - Pour utiliser IPsec avec des étiquettes sur un système Trusted Extensions, reportez-vous aux étapes supplémentaires indiquées à la section Procédure d’application des protections IPsec dans un réseau Trusted Extensions multiniveau du manuel Configuration et administration d’Oracle Solaris Trusted Extensions.

Avant de commencer

La stratégie IPsec peut être configurée dans la zone globale ou dans une zone de pile IP en mode exclusif. La stratégie pour une zone de pile IP en mode partagé doit être configurée dans la zone globale. Dans une zone IP exclusive, vous devez configurer la stratégie IPsec dans la zone non globale.

Connectez-vous en tant qu'administrateur.
Pour plus d'informations, reportez-vous à la section Procédure d’obtention des droits d’administration du manuel Administration d’Oracle Solaris : services de sécurité. Si vous vous connectez à distance, exécutez la commande ssh pour que votre connexion soit sécurisée. Voir l'Exemple 15-1.
Sur chaque système, ajoutez des entrées d'hôte au fichier /etc/inet/hosts .
Cette étape permet au SMF d'utiliser le système de noms sans dépendre de services de noms inexistants. Pour plus d'informations, reportez-vous à la page de manuel smf(5).
1. Sur un système appelé partym, saisissez les lignes suivantes dans le fichier hosts :
```
# Secure communication with enigma
192.168.116.16 enigma
```
2. Sur un système appelé enigma, saisissez les lignes suivantes dans le fichier hosts :
```
# Secure communication with partym
192.168.13.213 partym
```
Sur chaque système, créez le fichier de stratégie IPsec.
Le nom de fichier est /etc/inet/ipsecinit.conf. Vous en trouverez un exemple dans le fichier /etc/inet/ipsecinit.sample.
Ajoutez une entrée de stratégie IPsec au fichier ipsecinit.conf.
1. Sur le système enigma, ajoutez la stratégie ci-dessous :
```
{laddr enigma raddr partym} ipsec {encr_algs aes encr_auth_algs sha512 sa shared}
```
2. Sur le système partym, ajoutez la même stratégie :
```
{laddr partym raddr enigma} ipsec {encr_algs aes encr_auth_algs sha512 sa shared}
```
  La syntaxe des entrées de stratégie IPsec est décrite dans la page de manuel ipsecconf(1M).
Dans chaque système, configurez IKE afin d'ajouter une paire de SA IPsec entre les deux systèmes.
Configurez IKE en suivant l'une des procédures de configuration décrites à la section Configuration du protocole IKE (liste des tâches). La syntaxe du fichier de configuration IKE est décrite à la page de manuel ike.config(4).

Remarque - Si vous devez générer et maintenir vos clés manuellement, reportez-vous à la section Création manuelle de clés IPsec.
Vérifiez la syntaxe du fichier de stratégie IPsec.
```
# ipsecconf -c -f /etc/inet/ipsecinit.conf
```
Corrigez les éventuelles erreurs, vérifiez la syntaxe du fichier, puis continuez.
Actualisez la stratégie IPsec.
```
# svcadm refresh svc:/network/ipsec/policy:default
```
La stratégie IPsec est activée par défaut. Actualisez-la. Si vous avez désactivé la stratégie IPsec, activez-la.
```
# svcadm enable svc:/network/ipsec/policy:default
```
Activez les clés pour IPsec.
- Si le service ike n'est pas activé, activez-le.
```
# svcadm enable svc:/network/ipsec/ike:default
```
- Si le service ike est activé, redémarrez-le.
```
# svcadm restart svc:/network/ipsec/ike:default
```
Si vous avez configuré les clés manuellement à l'Étape 5, suivez la procédure de la section Création manuelle de clés IPsec pour activer les clés.
Assurez-vous que les paquets sont protégés.
La procédure est décrite à la section Vérification de la protection des paquets par IPsec.

Exemple 15-1 Ajout d'une stratégie IPsec lors de l'utilisation d'une connexion ssh

Dans cet exemple, l'administrateur ayant le rôle root configure la stratégie et les clés IPsec sur deux systèmes en utilisant la commande ssh pour atteindre le second système. Pour plus d'informations, reportez-vous à la page de manuel ssh(1).

Tout d'abord, l'administrateur configure le premier système en effectuant les étapes Étape 2 à Étape 6 de la procédure précédente.
Ensuite, dans une autre fenêtre de terminal, l'administrateur utilise la commande ssh pour se connecter au deuxième système.
```
local-system # ssh other-system
other-system # 
```
Dans la fenêtre de terminal de la session ssh, l'administrateur configure la stratégie IPsec et les clés du second système en effectuant les étapes Étape 2 à Étape 8.
Ensuite, l'administrateur met fin à la session ssh.
```
other-system # exit
local-system #
```
Enfin, l'administrateur active la stratégie IPsec sur le premier système en suivant les procédures de l'Étape 7 et de l'Étape 8.

La prochaine fois que les deux systèmes communiquent, y compris par le biais d'une connexion ssh, la communication est protégée par IPsec.

Utilisation d'IPsec pour protéger un serveur Web du trafic non-web.

Un serveur Web sécurisé permet aux clients Web de communiquer avec le service Web. Sur un serveur Web sécurisé, le trafic non Web doit passer des tests de sécurité. La procédure suivante inclut les contournements pour le trafic Web. En outre, ce serveur Web peut effectuer des requêtes client DNS non sécurisées. Tout autre trafic requiert ESP avec les algorithmes AES et SHA-2.

Avant de commencer

Vous devez configurer la stratégie IPsec dans la zone globale. Dans une zone IP exclusive, vous devez configurer la stratégie IPsec dans la zone non globale. Vous avez effectué les étapes de la section Sécurisation du trafic entre deux systèmes à l'aide d'IPsec afin que les conditions suivantes soient remplies :

La communication entre les deux systèmes est protégée par IPsec.
Les numéros de clés sont générés par IKE.
Vous avez vérifié que les paquets sont protégés.

Connectez-vous en tant qu'administrateur.
Pour plus d'informations, reportez-vous à la section Procédure d’obtention des droits d’administration du manuel Administration d’Oracle Solaris : services de sécurité. Si vous vous connectez à distance, exécutez la commande ssh pour que votre connexion soit sécurisée. Voir l'Exemple 15-1.
Déterminez les services qui doivent ignorer les vérifications de stratégie de sécurité.
Pour un serveur Web, ces services incluent les ports TCP 80 (HTTP) et 443 (HTTP sécurisé). Si le serveur Web assure la recherche de noms DNS, le serveur doit peut-être inclure également le port 53 pour TCP et UDP.

Ajoutez la stratégie du serveur Web au fichier de stratégie IPsec.

Ajoutez les lignes suivantes dans le fichier /etc/inet/ipsecinit.conf :

# Web traffic that web server should bypass.
{lport  80 ulp tcp dir both} bypass {}
{lport 443 ulp tcp dir both} bypass {}

# Outbound DNS lookups should also be bypassed.
{rport 53 dir both} bypass {}

# Require all other traffic to use ESP with AES and SHA-2.
# Use a unique SA for outbound traffic from the port
{} ipsec {encr_algs aes encr_auth_algs sha512 sa shared}

Cette configuration permet uniquement au trafic sécurisé d'accéder au système, avec les exceptions de contournement décrites à l'Étape 2.

Vérifiez la syntaxe du fichier de stratégie IPsec.
```
# ipsecconf -c -f /etc/inet/ipsecinit.conf
```

Actualisez la stratégie IPsec.

# svcadm refresh svc:/network/ipsec/policy:default

Actualisez les clés pour IPsec.
Redémarrez le service ike.
```
# svcadm restart svc:/network/ipsec/ike
```
Si vous avez configuré les clés manuellement, suivez les instructions de la section Création manuelle de clés IPsec.
Votre installation est terminée. Si vous le souhaitez, vous pouvez effectuer l'Étape 7.
(Facultatif) Autorisez un système distant à communiquer avec le serveur Web pour le trafic non-Web.
Ajoutez les lignes suivantes dans un fichier /etc/inet/ipsecinit.conf stocké sur le système distant :
```
# Communicate with web server about nonweb stuff
#
{laddr webserver} ipsec {encr_algs aes encr_auth_algs sha512 sa shared}
```
Vérifiez la syntaxe, puis actualisez la statégie IPsec pour l'activer.
```
remote-system # ipsecconf -c -f /etc/inet/ipsecinit.conf
remote-system # svcadm refresh svc:/network/ipsec/policy:default
```
Un système distant peut communiquer de manière sécurisée avec le serveur Web pour le trafic non-Web uniquement lorsque les stratégies IPsec des systèmes sont identiques.

Affichage des stratégies IPsec

Vous pouvez afficher les stratégies configurées dans le système lorsque vous exécutez la commande ipsecconf sans argument.

Avant de commencer

Vous devez exécuter la commande ipsecconf dans la zone globale. Dans une zone IP exclusive, vous devez exécuter la commande ipsecconf dans la zone non globale.

Prenez un rôle bénéficiant du profil Network IPsec Management (gestion IPsec du réseau).
Pour créer un rôle discret pour la sécurité réseau et attribuer ce rôle à un utilisateur, reportez-vous à la section Configuration d'un rôle pour la sécurité réseau.
Affichage des stratégies IPsec
- Affichez les entrées de stratégie IPsec globales dans l'ordre dans lequel les entrées ont été insérées.
```
$ ipsecconf
```
  La commande affiche chaque entrée avec un index suivi d'un numéro.
- Affichez les entrées de stratégie IPsec dans l'ordre dans lequel les correspondances sont repérées.
```
$ ipsecconf -l -n
```
- Affichez les entrées de stratégie IPsec, y compris les entrées définies par tunnel, dans l'ordre dans lequel les correspondances sont repérées.
```
$ ipsecconf -L -n
```

Ignorer les liens de navigation
Quitter l'aperu
	Administration d'Oracle Solaris : Services IP Oracle Solaris 11 Information Library (Français)