Configuration d'IPsec avec étiquettes (liste des tâches)

La liste ci-dessous décrit les tâches permettant d'ajouter des étiquettes aux protections IPsec.

Tâche	Description	Voir
Utilisation d'IPsec avec Trusted Extensions	Ajoute des étiquettes aux protections IPsec.	Procédure d'application des protections IPsec dans un réseau Trusted Extensions multiniveau
Utilisation d'IPsec avec Trusted Extensions dans un réseau non sécurisé	Met en tunnel les paquets IPsec dans un réseau sans étiquette.	Procédure de configuration d'un tunnel au sein d'un réseau non autorisé

Procédure d'application des protections IPsec dans un réseau Trusted Extensions multiniveau

Dans cette procédure, vous devez configurer IPsec sur deux systèmes Trusted Extensions pour gérer les conditions suivantes :

Les deux systèmes, enigma et partym sont des systèmes Trusted Extensions multiniveau exécutés dans un réseau multiniveau.
Les données d'application sont cryptées et protégées contre toute modification non autorisée au sein du réseau.
L'étiquette de sécurité des données est visible dans le formulaire sous forme d'une option IP CIPSO à disposition des routeurs multiniveau et des périphériques de sécurité sur le chemin situé entre les systèmes enigma et partym.
Les étiquettes de sécurité échangées par enigma et partym sont protégées contre toute modification non autorisée.

Avant de commencer

Vous êtes dans le rôle root dans la zone globale.

Ajoutez les hôtes enigma et partym à un modèle de sécurité CIPSO.
Suivez les procédures décrites dans la section Étiquetage d'hôtes et de réseaux (liste des tâches). Utilisez un modèle avec un type d'hôte CIPSO.
Configurez IPsec pour les systèmes enigma et partym.
Pour connaître cette procédure , reportez-vous à la section Sécurisation du trafic entre deux systèmes à l’aide d’IPsec du manuel Administration d’Oracle Solaris : Services IP. Utilisez IKE pour la gestion des clés, comme décrit dans l'étape suivante.

Ajoutez des étiquettes à des négociations IKE.

Suivez la procédure décrite dans la section Configuration du protocole IKE avec des clés prépartagées du manuel Administration d’Oracle Solaris : Services IP, puis modifiez le fichier ike/configcomme suit :

Ajoutez les mots-clés label_aware, multi_label et wire_label inner dans le fichier /etc/inet/ike/config du système enigma.

Le fichier qui en résulte se présente comme indiqué ci-dessous. Les éléments ajoutés à l'étiquette sont mis en surbrillance.

    ### ike/config file on enigma, 192.168.116.16
    ## Global parameters
    #
## Use IKE to exchange security labels.
    label_aware
  #
        ## Defaults that individual rules can override.
    p1_xform
          { auth_method preshared oakley_group 5 auth_alg sha encr_alg 3des }
    p2_pfs 2
    #
  ## The rule to communicate with partym
      # Label must be unique
    { label "enigma-partym"
          local_addr 192.168.116.16
          remote_addr 192.168.13.213
          multi_label
          wire_label inner
          p1_xform
           { auth_method preshared oakley_group 5 auth_alg sha1 encr_alg aes }
          p2_pfs 5
    }

Ajoutez les mêmes mots-clés dans le fichier ike/config du système partym.

    ### ike/config file on partym, 192.168.13.213
    ## Global Parameters
    #
## Use IKE to exchange security labels.
    label_aware
    #
        p1_xform
          { auth_method preshared oakley_group 5 auth_alg sha encr_alg 3des }
    p2_pfs 2
    ## The rule to communicate with enigma
    # Label must be unique
    { label "partym-enigma"
          local_addr 192.168.13.213
          remote_addr 192.168.116.16
          multi_label
          wire_label inner
    p1_xform
           { auth_method preshared oakley_group 5 auth_alg sha1 encr_alg aes }
        p2_pfs 5
    }

Si la protection AH des options IP CIPSO ne peut pas être utilisée sur le réseau, utilisez l'authentification ESP.
Pour gérer l'authentification, utilisez encr_auth_algs plutôt qu'auth_algs dans le fichier /etc/inet/ipsecinit.conf. L'authentification ESP ne couvre pas l'en-tête IP ni les options IP, mais elle authentifie toutes les informations qui suivent l'en-tête ESP.
```
{laddr enigma raddr partym} ipsec {encr_algs any encr_auth_algs any sa shared}
```
Remarque - Vous pouvez également ajouter des étiquettes aux systèmes protégés par des certificats. Les certificats de clé publique sont gérés dans la zone globale sur les systèmes Trusted Extensions. Modifiez les fichiers ike/config de façon similaire lorsque vous effectuez les étapes de la procédure décrite dans la section Configuration du protocole IKE avec des certificats de clés publiques du manuel Administration d’Oracle Solaris : Services IP.

Procédure de configuration d'un tunnel au sein d'un réseau non autorisé

Cette procédure permet de configurer un tunnel IPsec au sein d'un réseau public entre deux systèmes de passerelle VPN Trusted Extensions. L'exemple utilisé dans cette procédure est basé sur la configuration illustrée dans la section Description de la topologie réseau requise par les tâches IPsec afin de protéger un VPN du manuel Administration d’Oracle Solaris : Services IP.

L'illustration présuppose les modifications suivantes :

Les sous-réseaux 10 sont des réseaux de confiance multiniveau. Les étiquettes de sécurité de l'option IP CIPSO sont visibles sur ces LAN.
Les sous-réseaux 192.168 sont des réseaux non sécurisés à étiquette unique fonctionnant sous l'étiquette PUBLIC. Ces réseaux ne prennent pas en charge les options IP CIPSO.
Le trafic étiqueté entre euro-vpn et calif-vpn est protégé contre les modifications non autorisées.

Avant de commencer

Vous êtes dans le rôle root dans la zone globale.

Suivez les procédures décrites dans la section Étiquetage d'hôtes et de réseaux (liste des tâches) pour définir ce qui suit :
1. Ajoutez les adresses IP 10.0.0.0/8 à un modèle de sécurité étiqueté.
  Utilisez un modèle avec un type d'hôte CIPSO. Conservez la plage d'étiquettes par défaut, ADMIN_LOW à ADMIN_HIGH.
2. Ajoutez les adresses IP 192.168.0.0/16 à un modèle de sécurité sans étiquette sous l'étiquette PUBLIC.
  Utilisez un modèle à l'aide d'un type d'hôte sans étiquette. Définissez l'étiquette par défaut sur PUBLIC. Conservez la plage d'étiquettes par défaut, ADMIN_LOW à ADMIN_HIGH.
3. Ajoutez les adresses Internet Calif-vpn et Euro-vpn, puis 192.168.13.213 et 192.168.116.16 à un modèle CIPSO.
  Conservez la plage d'étiquettes par défaut.
Créez un tunnel IPsec.
Suivez les procédures décrites dans la section Procédure de protection d’un VPN avec IPsec en mode Tunnel du manuel Administration d’Oracle Solaris : Services IP. Utilisez IKE pour la gestion des clés, comme décrit dans l'étape suivante.

Ajoutez des étiquettes à des négociations IKE.

Ajoutez les mots-clés label_aware, multi_label et wire_label none PUBLIC dans le fichier etc/inet/ike/config du système euro-vpn.

Le fichier qui en résulte se présente comme indiqué ci-dessous. Les éléments ajoutés à l'étiquette sont mis en surbrillance.

        ### ike/config file on euro-vpn, 192.168.116.16
    ## Global parameters
    #
## Use IKE to exchange security labels.
    label_aware
    #
        ## Defaults that individual rules can override.
    p1_xform
          { auth_method preshared oakley_group 5 auth_alg sha encr_alg 3des }
    p2_pfs 2
    #
   ## The rule to communicate with calif-vpn
       # Label must be unique
    { label "eurovpn-califvpn"
          local_addr 192.168.116.16
          remote_addr 192.168.13.213
          multi_label
          wire_label none PUBLIC
          p1_xform
           { auth_method preshared oakley_group 5 auth_alg sha1 encr_alg aes }
          p2_pfs 5
        }

Ajoutez les mêmes mots-clés au fichier ike/config sur le système calif-vpn.

    ### ike/config file on calif-vpn, 192.168.13.213
    ## Global Parameters
    #
## Use IKE to exchange security labels.
    label_aware
    #
        p1_xform
          { auth_method preshared oakley_group 5 auth_alg sha encr_alg 3des }
    p2_pfs 2
    ## The rule to communicate with euro-vpn
    # Label must be unique
    { label "califvpn-eurovpn"
          local_addr 192.168.13.213
          remote_addr 192.168.116.16
          multi_label
          wire_label none PUBLIC
    p1_xform
           { auth_method preshared oakley_group 5 auth_alg sha1 encr_alg aes }
        p2_pfs 5
    }

Remarque - Vous pouvez également ajouter des étiquettes aux systèmes protégés par des certificats. Modifiez les fichiers ike/config de façon similaire lorsque vous effectuez les étapes de la procédure décrite dans la section Configuration du protocole IKE avec des certificats de clés publiques du manuel Administration d’Oracle Solaris : Services IP.

Ignorer les liens de navigation
Quitter l'aperu
	Configuration et administration d'Oracle Solaris Trusted Extensions Oracle Solaris 11 Information Library (Français)