Ignorer les liens de navigation | |
Quitter l'aperu | |
Configuration et administration d'Oracle Solaris Trusted Extensions Oracle Solaris 11 Information Library (Français) |
Partie I Configuration initiale de Trusted Extensions
1. Planification de la sécurité pour Trusted Extensions
2. Déroulement de la configuration de Trusted Extensions
3. Ajout de la fonction Trusted Extensions à Oracle Solaris (tâches)
4. Configuration de Trusted Extensions (tâches)
5. Configuration de LDAP pour Trusted Extensions (tâches)
Partie II Administration de Trusted Extensions
6. Concepts d'administration de Trusted Extensions
7. Outils d'administration de Trusted Extensions
8. Exigences de sécurité sur un système Trusted Extensions (présentation)
9. Exécution de tâches courantes dans Trusted Extensions (tâches)
10. Utilisateurs, droits et rôles dans Trusted Extensions (présentation)
11. Gestion des utilisateurs, des droits et des rôles dans Trusted Extensions (tâches)
12. Administration à distance dans Trusted Extensions (tâches)
13. Gestion des zones dans Trusted Extensions (tâches)
14. Gestion et montage de fichiers dans Trusted Extensions (tâches)
15. Gestion de réseaux de confiance (présentation)
16. Gestion des réseaux dans Trusted Extensions (tâches)
Gestion du réseau de confiance (liste des tâches)
Étiquetage d'hôtes et de réseaux (liste des tâches)
Procédure d'affichage des modèles de sécurité
Procédure de création de modèles de sécurité
Procédure d'ajout d'hôtes au réseau connu du système
Procédure d'ajout d'un hôte au modèle de sécurité
Procédure d'ajout d'une plage d'hôtes au modèle de sécurité
Procédure de limitation des hôtes pouvant être contactés sur le réseau de confiance
Configuration des routes et ports multiniveau (MLP) (tâches)
Procédure d'ajout des routes par défaut
Procédure de création d'un port multiniveau pour une zone
Configuration d'IPsec avec étiquettes (liste des tâches)
Procédure d'application des protections IPsec dans un réseau Trusted Extensions multiniveau
Procédure de configuration d'un tunnel au sein d'un réseau non autorisé
Dépannage du réseau de confiance (liste des tâches)
Procédure de vérification de l'affichage des interfaces du système
Débogage du réseau Trusted Extensions
Procédure de débogage d'une connexion client au serveur LDAP
17. Trusted Extensions et LDAP (présentation)
18. Messagerie multiniveau dans Trusted Extensions (présentation)
19. Gestion de l'impression étiquetée (tâches)
20. Périphériques dans Trusted Extensions (présentation)
21. Gestion des périphériques pour Trusted Extensions (tâches)
22. Audit de Trusted Extensions (présentation)
23. Gestion des logiciels dans Trusted Extensions (Référence)
A. Stratégie de sécurité du site
Création et gestion d'une stratégie de sécurité
Stratégie de sécurité du site et Trusted Extensions
Recommandations relatives à la sécurité informatique
Recommandations relatives à la sécurité physique
Recommandations relatives à la sécurité du personnel
Violations de sécurité courantes
Références de sécurité supplémentaires
B. Liste de contrôle de configuration pour Trusted Extensions
Liste de contrôle de configuration de Trusted Extensions
C. Guide de référence rapide pour l'administration de Trusted Extensions
Interfaces d'administration dans Trusted Extensions
Interfaces Oracle Solaris étendues par Trusted Extensions
Renforcement des paramètres de sécurité par défaut dans Trusted Extensions
Options limitées dans Trusted Extensions
D. Liste des pages de manuel Trusted Extensions
Pages de manuel Trusted Extensions par ordre alphabétique
Pages de manuel Oracle Solaris modifiées par Trusted Extensions
La liste ci-dessous décrit les tâches permettant d'ajouter des étiquettes aux protections IPsec.
|
Dans cette procédure, vous devez configurer IPsec sur deux systèmes Trusted Extensions pour gérer les conditions suivantes :
Les deux systèmes, enigma et partym sont des systèmes Trusted Extensions multiniveau exécutés dans un réseau multiniveau.
Les données d'application sont cryptées et protégées contre toute modification non autorisée au sein du réseau.
L'étiquette de sécurité des données est visible dans le formulaire sous forme d'une option IP CIPSO à disposition des routeurs multiniveau et des périphériques de sécurité sur le chemin situé entre les systèmes enigma et partym.
Les étiquettes de sécurité échangées par enigma et partym sont protégées contre toute modification non autorisée.
Avant de commencer
Vous êtes dans le rôle root dans la zone globale.
Suivez les procédures décrites dans la section Étiquetage d'hôtes et de réseaux (liste des tâches). Utilisez un modèle avec un type d'hôte CIPSO.
Pour connaître cette procédure , reportez-vous à la section Sécurisation du trafic entre deux systèmes à l’aide d’IPsec du manuel Administration d’Oracle Solaris : Services IP. Utilisez IKE pour la gestion des clés, comme décrit dans l'étape suivante.
Suivez la procédure décrite dans la section Configuration du protocole IKE avec des clés prépartagées du manuel Administration d’Oracle Solaris : Services IP, puis modifiez le fichier ike/configcomme suit :
Le fichier qui en résulte se présente comme indiqué ci-dessous. Les éléments ajoutés à l'étiquette sont mis en surbrillance.
### ike/config file on enigma, 192.168.116.16 ## Global parameters # ## Use IKE to exchange security labels. label_aware # ## Defaults that individual rules can override. p1_xform { auth_method preshared oakley_group 5 auth_alg sha encr_alg 3des } p2_pfs 2 # ## The rule to communicate with partym # Label must be unique { label "enigma-partym" local_addr 192.168.116.16 remote_addr 192.168.13.213 multi_label wire_label inner p1_xform { auth_method preshared oakley_group 5 auth_alg sha1 encr_alg aes } p2_pfs 5 }
### ike/config file on partym, 192.168.13.213 ## Global Parameters # ## Use IKE to exchange security labels. label_aware # p1_xform { auth_method preshared oakley_group 5 auth_alg sha encr_alg 3des } p2_pfs 2 ## The rule to communicate with enigma # Label must be unique { label "partym-enigma" local_addr 192.168.13.213 remote_addr 192.168.116.16 multi_label wire_label inner p1_xform { auth_method preshared oakley_group 5 auth_alg sha1 encr_alg aes } p2_pfs 5 }
Pour gérer l'authentification, utilisez encr_auth_algs plutôt qu'auth_algs dans le fichier /etc/inet/ipsecinit.conf. L'authentification ESP ne couvre pas l'en-tête IP ni les options IP, mais elle authentifie toutes les informations qui suivent l'en-tête ESP.
{laddr enigma raddr partym} ipsec {encr_algs any encr_auth_algs any sa shared}
Remarque - Vous pouvez également ajouter des étiquettes aux systèmes protégés par des certificats. Les certificats de clé publique sont gérés dans la zone globale sur les systèmes Trusted Extensions. Modifiez les fichiers ike/config de façon similaire lorsque vous effectuez les étapes de la procédure décrite dans la section Configuration du protocole IKE avec des certificats de clés publiques du manuel Administration d’Oracle Solaris : Services IP.
Cette procédure permet de configurer un tunnel IPsec au sein d'un réseau public entre deux systèmes de passerelle VPN Trusted Extensions. L'exemple utilisé dans cette procédure est basé sur la configuration illustrée dans la section Description de la topologie réseau requise par les tâches IPsec afin de protéger un VPN du manuel Administration d’Oracle Solaris : Services IP.
L'illustration présuppose les modifications suivantes :
Les sous-réseaux 10 sont des réseaux de confiance multiniveau. Les étiquettes de sécurité de l'option IP CIPSO sont visibles sur ces LAN.
Les sous-réseaux 192.168 sont des réseaux non sécurisés à étiquette unique fonctionnant sous l'étiquette PUBLIC. Ces réseaux ne prennent pas en charge les options IP CIPSO.
Le trafic étiqueté entre euro-vpn et calif-vpn est protégé contre les modifications non autorisées.
Avant de commencer
Vous êtes dans le rôle root dans la zone globale.
Utilisez un modèle avec un type d'hôte CIPSO. Conservez la plage d'étiquettes par défaut, ADMIN_LOW à ADMIN_HIGH.
Utilisez un modèle à l'aide d'un type d'hôte sans étiquette. Définissez l'étiquette par défaut sur PUBLIC. Conservez la plage d'étiquettes par défaut, ADMIN_LOW à ADMIN_HIGH.
Conservez la plage d'étiquettes par défaut.
Suivez les procédures décrites dans la section Procédure de protection d’un VPN avec IPsec en mode Tunnel du manuel Administration d’Oracle Solaris : Services IP. Utilisez IKE pour la gestion des clés, comme décrit dans l'étape suivante.
Suivez la procédure décrite dans la section Configuration du protocole IKE avec des clés prépartagées du manuel Administration d’Oracle Solaris : Services IP, puis modifiez le fichier ike/configcomme suit :
Le fichier qui en résulte se présente comme indiqué ci-dessous. Les éléments ajoutés à l'étiquette sont mis en surbrillance.
### ike/config file on euro-vpn, 192.168.116.16 ## Global parameters # ## Use IKE to exchange security labels. label_aware # ## Defaults that individual rules can override. p1_xform { auth_method preshared oakley_group 5 auth_alg sha encr_alg 3des } p2_pfs 2 # ## The rule to communicate with calif-vpn # Label must be unique { label "eurovpn-califvpn" local_addr 192.168.116.16 remote_addr 192.168.13.213 multi_label wire_label none PUBLIC p1_xform { auth_method preshared oakley_group 5 auth_alg sha1 encr_alg aes } p2_pfs 5 }
### ike/config file on calif-vpn, 192.168.13.213 ## Global Parameters # ## Use IKE to exchange security labels. label_aware # p1_xform { auth_method preshared oakley_group 5 auth_alg sha encr_alg 3des } p2_pfs 2 ## The rule to communicate with euro-vpn # Label must be unique { label "califvpn-eurovpn" local_addr 192.168.13.213 remote_addr 192.168.116.16 multi_label wire_label none PUBLIC p1_xform { auth_method preshared oakley_group 5 auth_alg sha1 encr_alg aes } p2_pfs 5 }
Remarque - Vous pouvez également ajouter des étiquettes aux systèmes protégés par des certificats. Modifiez les fichiers ike/config de façon similaire lorsque vous effectuez les étapes de la procédure décrite dans la section Configuration du protocole IKE avec des certificats de clés publiques du manuel Administration d’Oracle Solaris : Services IP.