Ignorer les liens de navigation | |
Quitter l'aperu | |
Administration d'Oracle Solaris : Services IP Oracle Solaris 11 Information Library (Français) |
Partie I Administration TCP/IP
1. Planification du développement du réseau
2. Eléments à prendre en compte lors de l'utilisation d'adresses IPv6
3. Configuration d'un réseau IPv4
4. Activation d'IPv6 sur le réseau
5. Administration d'un réseau TCP/IP
6. Configuration de tunnels IP
7. Dépannage des problèmes de réseau
10. A propos de DHCP (présentation)
11. Administration du service DHCP ISC
12. Configuration et administration du client DHCP
13. Commandes et fichiers DHCP (référence)
14. Architecture IPsec (présentation)
15. Configuration d'IPsec (tâches)
Protection du trafic à l'aide d'IPsec
Sécurisation du trafic entre deux systèmes à l'aide d'IPsec
Utilisation d'IPsec pour protéger un serveur Web du trafic non-web.
Affichage des stratégies IPsec
Protection d'un VPN à l'aide d'IPsec
Protection d'un VPN à l'aide d'IPsec en mode Tunnel (exemples)
Description de la topologie réseau requise par les tâches IPsec afin de protéger un VPN
Procédure de protection d'un VPN avec IPsec en mode Tunnel
Création manuelle de clés IPsec
Configuration d'un rôle pour la sécurité réseau
16. Architecture IPsec (référence)
17. Protocole IKE (présentation)
18. Configuration du protocole IKE (tâches)
20. IP Filter dans Oracle Solaris (présentation)
Partie IV Performances du réseau
22. Présentation de l'équilibreur de charge intégré
23. Configuration de l'équilibreur de charge intégré (tâches)
24. Protocole de redondance de routeur virtuel (VRRP) (Présentation)
25. Configuration VRRP - Tâches
26. Implémentation du contrôle de congestion
Partie V Qualité de service IP (IPQoS)
27. Présentation d'IPQoS (généralités)
28. Planification d'un réseau IPQoS (tâches)
29. Création du fichier de configuration IPQoS (tâches)
30. Démarrage et maintenance d'IPQoS (tâches)
31. Utilisation de la comptabilisation des flux et de la collecte statistique (tâches)
La liste des tâches suivantes fait référence à des tâches utiles dans le cadre de la gestion d'IPsec.
|
La procédure suivante fournit les numéros de clés de l'Étape 5 de la section Sécurisation du trafic entre deux systèmes à l'aide d'IPsec. Vous générez des clés pour deux systèmes, partym et enigma. Vous générez des clés sur un système, puis utilisez les clés du premier système sur les deux systèmes.
Avant de commencer
La gestion manuelle des numéros de clé pour une zone non globale s'effectue dans la zone globale.
Il vous faut trois numéros aléatoires hexadécimaux pour le trafic sortant et trois autres numéros aléatoires hexadécimaux pour le trafic entrant. Un système doit donc générer les numéros suivants :
Deux numéros aléatoires hexadécimaux comme valeur du mot-clé spi : un numéro pour le trafic sortant et un numéro pour le trafic entrant. Chaque numéro peut comporter huit caractères maximum.
Deux numéros aléatoires hexadécimaux pour l'algorithme SHA-2 pour AH. Chacun des numéros doit comporter 512 caractères. L'un d'eux est dédié à dst enigma, l'autre à dst partym.
Deux numéros aléatoires hexadécimaux pour l'algorithme 3DES pour ESP. Chacun des numéros doit comporter 168 caractères. L'un d'eux est dédié à dst enigma, l'autre à dst partym.
Si un générateur de nombres aléatoires est disponible sur votre site, utilisez-le.
Utilisez la commande pktool comme indiqué dans la section Procédure de génération d’une clé symétrique à l’aide de la commande pktool du manuel Administration d’Oracle Solaris : services de sécurité et l'exemple IPsec de cette section.
# ipseckeys - This file takes the file format documented in # ipseckey(1m). # Note that naming services might not be available when this file # loads, just like ipsecinit.conf. # # Backslashes indicate command continuation. # # for outbound packets on enigma add esp spi 0x8bcd1407 \ src 192.168.116.16 dst 192.168.13.213 \ encr_alg 3des \ auth_alg sha512 \ encrkey d41fb74470271826a8e7a80d343cc5aa... \ authkey e896f8df7f78d6cab36c94ccf293f031... # # for inbound packets add esp spi 0x122a43e4 \ src 192.168.13.213 dst 192.168.116.16 \ encr_alg 3des \ auth_alg sha512 \ encrkey dd325c5c137fb4739a55c9b3a1747baa... \ authkey ad9ced7ad5f255c9a8605fba5eb4d2fd...
# chmod 400 /etc/inet/secret/ipseckeys
# ipseckey -c -f /etc/inet/secret/ipseckeys
Remarque - Les numéros de clés utilisés sur chacun des systèmes doivent être identiques.
# svcadm enable svc:/network/ipsec/manual-key:default
# svcadm refresh ipsec/manual-key
Étapes suivantes
Si vous n'avez pas terminé d'établir la stratégie IPsec, effectuez de nouveau la procédure IPsec pour activer ou actualiser la stratégie IPsec.
Si vous administrez vos systèmes à l'aide de la fonctionnalité RBAC (Role-Based Access Control, contrôle d'accès à base de rôles) d'Oracle Solaris, suivez cette procédure pour générer un rôle de gestion ou de sécurité du réseau.
% getent prof_attr | grep Network | more Console User:RO::Manage System as the Console User... Network Management:RO::Manage the host and network configuration... Network Autoconf Admin:RO::Manage Network Auto-Magic configuration via nwamd... Network Autoconf User:RO::Network Auto-Magic User... Network ILB:RO::Manage ILB configuration via ilbadm... Network LLDP:RO::Manage LLDP agents via lldpadm... Network VRRP:RO::Manage VRRP instances... Network Observability:RO::Allow access to observability devices... Network Security:RO::Manage network and host security...:profiles=Network Wifi Security,Network Link Security,Network IPsec Management... Network Wifi Management:RO::Manage wifi network configuration... Network Wifi Security:RO::Manage wifi network security... Network Link Security:RO::Manage network link security... Network IPsec Management:RO::Manage IPsec and IKE... System Administrator:RO::Can perform most non-security administrative tasks:profiles=...Network Management... Information Security:RO::Maintains MAC and DAC security policies:profiles=...Network Security...
Le profil de gestion du réseau est un profil supplémentaire inclus dans le profil d'administrateur système. Si vous avez attribué le profil de droits d'administrateur système à un rôle, alors ce dernier permet d'exécuter les commandes définies dans le profil de gestion du réseau.
% getent exec_attr | grep "Network Management" ... Network Management:solaris:cmd:::/sbin/dlstat:euid=dladm;egid=sys ... Network Management:solaris:cmd:::/usr/sbin/snoop:privs=net_observability Network Management:solaris:cmd:::/usr/sbin/spray:euid=0 ...
Basez votre choix sur les profils de droits définis au cours de l'Étape 1.
Pour créer un rôle qui gère l'ensemble de la sécurité du réseau, utilisez le profil de droits Network Security.
Pour créer un rôle qui gère IPsec et IKE uniquement, utilisez le profil de droits Network IPsec Management.
Un rôle auquel est appliqué le profil de droits Network Security ou Network IPsec Management, en plus du profil Network Management, peut exécuter les commandes ipadm, ipseckey et snoop entre autres, avec les privilèges appropriés.
Pour créer le rôle, l'attribuer à un utilisateur et en enregistrer les modifications auprès du service de noms, reportez-vous à la section Configuration initiale RBAC (liste des tâches) du manuel Administration d’Oracle Solaris : services de sécurité.
Exemple 15-4 Répartition des responsabilités de sécurité réseau entre les rôles
Dans cet exemple, l'administrateur répartit les responsabilités de sécurité réseau entre deux rôles. Un rôle peut administrer la sécurité des connexions Wi-Fi et des liens et un autre rôle administrer IPsec et IKE. Chaque rôle est assigné à trois personnes, une personne par période de travail.
Ces rôles sont créés par l'administrateur comme suit :
L'administrateur nomme le premier rôle LinkWifi.
L'administrateur attribue au rôle les profils de droits Network Wifi, Network Link Security et Network Management.
Ensuite, l'administrateur attribue le rôle LinkWifi aux utilisateurs appropriés.
L'administrateur nomme le deuxième rôle Administrateur IPsec.
L'administrateur attribue au rôle les profils de droits Network IPsec Management et Network Management.
Ensuite, l'administrateur attribue le rôle d'administrateur IPsec aux utilisateurs appropriés.
Les étapes suivantes présentent les utilisations les plus probables des services SMF pour IPsec, IKE et la gestion manuelle des clés. Par défaut, les services policy et ipsecalgs sont activés. Egalement par défaut, les services ike et manual-key sont désactivés.
# svcadm refresh svc:/network/ipsec/policy
# svccfg -s policy setprop config/config_file=/etc/inet/MyIpsecinit.conf # svccfg -s policy listprop config/config_file config/config_file astring /etc/inet/MyIpsecinit.conf # svcadm refresh svc:/network/ipsec/policy # svcadm restart svc:/network/ipsec/policy
# svcadm enable svc:/network/ipsec/ike
# svcadm restart svc:/network/ipsec/ike:default
# svccfg -s ike setprop config/admin_privilege = astring: "modkeys" # svccfg -s ike listprop config/admin_privilege config/admin_privilege astring modkeys # svcadm refresh svc:/network/ipsec/ike # svcadm restart svc:/network/ipsec/ike
# svcadm disable svc:/network/ipsec/ike
# svcadm enable svc:/network/ipsec/manual-key:default
# svcadm refresh manual-key
# svccfg -s manual-key setprop config/config_file=/etc/inet/secret/MyIpseckeyfile # svccfg -s manual-key listprop config/config_file config/config_file astring /etc/inet/secret/MyIpseckeyfile # svcadm refresh svc:/network/ipsec/manual-key # svcadm restart svc:/network/ipsec/manual-key
# svcadm disable svc:/network/ipsec/manual-key
# svcadm refresh svc:/network/ipsec/ipsecalgs
Erreurs fréquentes
Pour connaître l'état d'un service, utilisez la commande de service svcs. Si le service est en mode maintenance, suivez les suggestions de débogage dans la sortie de la commande de service svcs -x.
Pour vérifier que les paquets sont protégés, testez la connexion à l'aide de la commande snoop. Les préfixes suivants peuvent apparaître dans la sortie snoop :
Le préfixe AH: indique que AH protège les en-têtes. AH: s'affiche si le trafic est protégé à l'aide d'auth_alg.
Le préfixe ESP: indique le transfert de données chiffrées. ESP: s'affiche si le trafic est protégé à l'aide d'encr_auth_alg ou d'encr_alg.
Avant de commencer
Vous devez prendre le rôle root pour créer la sortie snoop. Vous devez avoir accès aux deux systèmes afin de tester la connexion.
% su - Password: Type root password #
Dans une fenêtre de terminal sur partym, analysez les paquets du système enigma.
# snoop -d net0 -v enigma Using device /dev/bge (promiscuous mode)
Dans une autre fenêtre de terminal, connectez-vous à distance au système enigma. Tapez le mot de passe. Ensuite, prenez le rôle root et envoyez un paquet à partir du système enigma au système partym. Le paquet doit être capturé à l'aide de la commande snoop -v enigma.
% ssh enigma Password: Type your password % su - Password: Type root password # ping partym
Sur le système partym, la sortie devrait contenir les informations AH et ESP après les informations d'en-tête IP initiales. Les informations AH et ESP semblables à l'exemple ci-dessous indiquent que les paquets sont protégés :
IP: Time to live = 64 seconds/hops IP: Protocol = 51 (AH) IP: Header checksum = 4e0e IP: Source address = 192.168.116.16, enigma IP: Destination address = 192.168.13.213, partym IP: No options IP: AH: ----- Authentication Header ----- AH: AH: Next header = 50 (ESP) AH: AH length = 4 (24 bytes) AH: <Reserved field = 0x0> AH: SPI = 0xb3a8d714 AH: Replay = 52 AH: ICV = c653901433ef5a7d77c76eaa AH: ESP: ----- Encapsulating Security Payload ----- ESP: ESP: SPI = 0xd4f40a61 ESP: Replay = 52 ESP: ....ENCRYPTED DATA.... ETHER: ----- Ether Header ----- ...