Gestion d'IPsec et d'IKE

La liste des tâches suivantes fait référence à des tâches utiles dans le cadre de la gestion d'IPsec.

Création manuelle de clés IPsec

La procédure suivante fournit les numéros de clés de l'Étape 4 de la section Sécurisation du trafic entre deux systèmes à l'aide d'IPsec. Vous générez des clés pour deux systèmes, partym et enigma. Vous générez des clés sur un système, puis utilisez les clés du premier système sur les deux systèmes.

Avant de commencer

La gestion manuelle des numéros de clé pour une zone non globale s'effectue dans la zone globale.

Vous devez prendre le rôle root. Pour plus d'informations, reportez-vous à la section Utilisation de vos droits d’administration du manuel Administration d’Oracle Solaris 11.1 : Services de sécurité.

1. Générez les numéros de clé pour les SA.
   1. Déterminez les clés nécessaires.

      Il vous faut trois numéros aléatoires hexadécimaux pour le trafic sortant et trois autres numéros aléatoires hexadécimaux pour le trafic entrant. Un système doit donc générer les numéros suivants :

      • Deux numéros aléatoires hexadécimaux comme valeur du mot-clé spi : un numéro pour le trafic sortant et un numéro pour le trafic entrant. Chaque numéro peut comporter huit caractères maximum.

      • Deux numéros aléatoires hexadécimaux pour l'algorithme SHA-2 pour AH. Chacun des numéros doit comporter 512 caractères. L'un d'eux est dédié à dst enigma, l'autre à dst partym.

      • Deux numéros aléatoires hexadécimaux pour l'algorithme 3DES pour ESP. Chacun des numéros doit comporter 168 caractères. L'un d'eux est dédié à dst enigma, l'autre à dst partym.

   2. Générez les clés requises.

      • Si un générateur de nombres aléatoires est disponible sur votre site, utilisez-le.

      • Utilisez la commande pktool comme indiqué dans la section Génération d’une clé symétrique à l’aide de la commande pktool du manuel Administration d’Oracle Solaris 11.1 : Services de sécurité et dans l'exemple IPsec de cette section.

2. Dans le rôle root sur chaque système, ajoutez les clés au fichier de clés manuelles pour IPsec.
   1. Modifiez le fichier /etc/inet/secret/ipseckeys sur le système enigma pour qu'il soit similaire à ce qui suit :

      # ipseckeys - This file takes the file format documented in 
      #   ipseckey(1m).
      #   Note that naming services might not be available when this file
      #   loads, just like ipsecinit.conf.
      #
      #   Backslashes indicate command continuation.
      #
      # for outbound packets on enigma
      add esp spi 0x8bcd1407 \
         src 192.168.116.16 dst 192.168.13.213  \
         encr_alg 3des \
         auth_alg sha512  \
         encrkey  d41fb74470271826a8e7a80d343cc5aa... \
         authkey  e896f8df7f78d6cab36c94ccf293f031...
      #
      # for inbound packets
      add esp spi 0x122a43e4 \
         src 192.168.13.213 dst 192.168.116.16 \
         encr_alg 3des \
         auth_alg sha512  \
         encrkey dd325c5c137fb4739a55c9b3a1747baa... \
         authkey ad9ced7ad5f255c9a8605fba5eb4d2fd...

   2. Protégez le fichier à l'aide d'autorisations de lecture seule.

      # chmod 400 /etc/inet/secret/ipseckeys

   3. Vérifiez la syntaxe du fichier.

      # ipseckey -c -f /etc/inet/secret/ipseckeys

   ---

   Remarque - Les numéros de clés utilisés sur chacun des systèmes doivent être identiques.

   ---

3. Activez les clés pour IPsec.
   • Si le service manual-key n'est pas activé, activez-le.

     # svcadm enable svc:/network/ipsec/manual-key:default

   • Si le service manual-key est activé, actualisez-le.

     # svcadm refresh ipsec/manual-key

Étapes suivantes

Si vous n'avez pas terminé d'établir la stratégie IPsec, effectuez de nouveau la procédure IPsec pour activer ou actualiser la stratégie IPsec.

Configuration d'un rôle pour la sécurité réseau

Si vous administrez vos systèmes à l'aide de la fonctionnalité RBAC (Role-Based Access Control, contrôle d'accès à base de rôles) d'Oracle Solaris, suivez cette procédure pour générer un rôle de gestion ou de sécurité du réseau.

Avant de commencer

Vous devez prendre le rôle root pour créer et affecter un rôle. Les utilisateurs standard peuvent répertorier et afficher le contenu des profils de droits disponibles.

1. Répertoriez les profils de droits disponibles relatifs au réseau.

   % getent prof_attr | grep Network | more
   Console User:RO::Manage System as the Console User...
   Network Management:RO::Manage the host and network configuration...
   Network Autoconf Admin:RO::Manage Network Auto-Magic configuration via nwamd...
   Network Autoconf User:RO::Network Auto-Magic User...
   Network ILB:RO::Manage ILB configuration via ilbadm...
   Network LLDP:RO::Manage LLDP agents via lldpadm...
   Network VRRP:RO::Manage VRRP instances...
   Network Observability:RO::Allow access to observability devices...
   Network Security:RO::Manage network and host security...:profiles=Network Wifi
   Security,Network Link Security,Network IPsec Management...
   Network Wifi Management:RO::Manage wifi network configuration...
   Network Wifi Security:RO::Manage wifi network security...
   Network Link Security:RO::Manage network link security...
   Network IPsec Management:RO::Manage IPsec and IKE...
   System Administrator:RO::Can perform most non-security administrative tasks:
   profiles=...Network Management...
   Information Security:RO::Maintains MAC and DAC security policies:
   profiles=...Network Security...

   Le profil de gestion du réseau est un profil supplémentaire inclus dans le profil d'administrateur système. Si vous avez attribué le profil de droits d'administrateur système à un rôle, alors ce dernier permet d'exécuter les commandes définies dans le profil de gestion du réseau.

2. Répertoriez les commandes dans le profil de droits Network Management.

   % getent exec_attr | grep "Network Management"
   ...
   Network Management:solaris:cmd:::/sbin/dlstat:euid=dladm;egid=sys
   ...
   Network Management:solaris:cmd:::/usr/sbin/snoop:privs=net_observability
   Network Management:solaris:cmd:::/usr/sbin/spray:euid=0 ...

3. Choisissez l'étendue des rôles de sécurité réseau sur votre site.

   Basez votre choix sur les profils de droits définis au cours de l'Étape 1.

   • Pour créer un rôle qui gère l'ensemble de la sécurité du réseau, utilisez le profil de droits Network Security.

   • Pour créer un rôle qui gère IPsec et IKE uniquement, utilisez le profil de droits Network IPsec Management.

4. Créez un rôle de sécurité réseau incluant le profil de droits Network Management.

   Un rôle auquel est appliqué le profil de droits Network Security ou Network IPsec Management, en plus du profil Network Management, peut exécuter les commandes ipadm, ipseckey et snoop entre autres, avec les privilèges appropriés.

   Pour créer le rôle, l'affecter à un utilisateur et enregistrer les modifications auprès du service de noms, reportez-vous à la section Configuration initiale RBAC (liste des tâches) du manuel Administration d’Oracle Solaris 11.1 : Services de sécurité.

Exemple 7-4 Répartition des responsabilités de sécurité réseau entre les rôles

Dans cet exemple, l'administrateur répartit les responsabilités de sécurité réseau entre deux rôles. Un rôle peut administrer la sécurité des connexions Wi-Fi et des liens et un autre rôle administrer IPsec et IKE. Chaque rôle est assigné à trois personnes, une personne par période de travail.

Ces rôles sont créés par l'administrateur comme suit :

• L'administrateur nomme le premier rôle LinkWifi.

  • L'administrateur attribue au rôle les profils de droits Network Wifi, Network Link Security et Network Management.

  • Ensuite, l'administrateur attribue le rôle LinkWifi aux utilisateurs appropriés.

• L'administrateur nomme le deuxième rôle Administrateur IPsec.

  • L'administrateur attribue au rôle les profils de droits Network IPsec Management et Network Management.

  • Ensuite, l'administrateur attribue le rôle d'administrateur IPsec aux utilisateurs appropriés.

Gestion des services IKE et IPsec

Les étapes suivantes présentent les utilisations les plus probables des services SMF pour IPsec, IKE et la gestion manuelle des clés. Par défaut, les services policy et ipsecalgs sont activés. Egalement par défaut, les services ike et manual-key sont désactivés.

Avant de commencer

Vous devez prendre le rôle root. Pour plus d'informations, reportez-vous à la section Utilisation de vos droits d’administration du manuel Administration d’Oracle Solaris 11.1 : Services de sécurité.

1. Pour gérer la stratégie IPsec, effectuez l'une des opérations suivantes :
   • Après l'ajout de nouvelles stratégies au fichier .conf, actualisez le service policy.

     # svcadm refresh svc:/network/ipsec/policy

   • Après la modification de la valeur d'une propriété du service, affichez la valeur de la propriété, puis actualisez et redémarrez le service policy.

     # svccfg -s policy setprop config/config_file=/etc/inet/MyIpsecinit.conf
     # svccfg -s policy listprop config/config_file
     config/config_file  astring  /etc/inet/MyIpsecinit.conf
     # svcadm refresh svc:/network/ipsec/policy
     # svcadm restart svc:/network/ipsec/policy

2. Pour gérer automatiquement les clés, effectuez l'une des opérations suivantes :
   • Après l'ajout d'entrées dans le fichier /etc/inet/ike/config, activez le service ike.

     # svcadm enable svc:/network/ipsec/ike

   • Après avoir modifié les entrées dans le fichier /etc/inet/ike/config, actualisez le service ike.

     # svcadm restart svc:/network/ipsec/ike:default

   • Après la modification de la valeur d'une propriété du service, affichez la valeur de la propriété, puis actualisez et redémarrez le service.

     # svccfg -s ike setprop config/admin_privilege = astring: "modkeys"
     # svccfg -s ike listprop config/admin_privilege
     config/admin_privilege  astring  modkeys
     # svcadm refresh svc:/network/ipsec/ike
     # svcadm restart svc:/network/ipsec/ike

   • Pour arrêter le service ike, désactivez-le.

     # svcadm disable svc:/network/ipsec/ike

3. Pour gérer manuellement les clés, effectuez l'une des opérations suivantes :
   • Après l'ajout d'entrées pour le fichier /etc/inet/secret/ipseckeys, activez le service manual-key.

     # svcadm enable svc:/network/ipsec/manual-key:default

   • Une fois que vous avez modifié le fichier ipseckeys, actualisez le service.

     # svcadm refresh manual-key

   • Après la modification de la valeur d'une propriété du service, affichez la valeur de la propriété, puis actualisez et redémarrez le service.

     # svccfg -s manual-key setprop config/config_file=/etc/inet/secret/MyIpseckeyfile
     # svccfg -s manual-key listprop config/config_file
     config/config_file  astring  /etc/inet/secret/MyIpseckeyfile
     # svcadm refresh svc:/network/ipsec/manual-key
     # svcadm restart svc:/network/ipsec/manual-key

   • Pour empêcher la gestion manuelle des clés, désactivez le service manual-key.

     # svcadm disable svc:/network/ipsec/manual-key

4. Si vous modifiez le tableau des protocoles IPsec et des algorithmes, actualisez le service ipsecalgs.

   # svcadm refresh svc:/network/ipsec/ipsecalgs

Erreurs fréquentes

Pour connaître l'état d'un service, utilisez la commande de service svcs. Si le service est en mode maintenance, suivez les suggestions de débogage dans la sortie de la commande de service svcs -x.

Vérification de la protection des paquets par IPsec

Pour vérifier que les paquets sont protégés, testez la connexion à l'aide de la commande snoop. Les préfixes suivants peuvent apparaître dans la sortie snoop :

• Le préfixe AH: indique que AH protège les en-têtes. AH: s'affiche si le trafic est protégé à l'aide d'auth_alg.

• Le préfixe ESP: indique le transfert de données chiffrées. ESP: s'affiche si le trafic est protégé à l'aide d'encr_auth_alg ou d'encr_alg.

Avant de commencer

Vous devez avoir accès aux deux systèmes afin de tester la connexion.

Vous devez prendre le rôle root pour créer la sortie snoop. Pour plus d'informations, reportez-vous à la section Utilisation de vos droits d’administration du manuel Administration d’Oracle Solaris 11.1 : Services de sécurité.

1. Sur un système, par exemple partym, prenez le rôle root.

   % su -
   Password: Type root password
   # 

2. A partir du système partym, préparez l'analyse des paquets à l'aide de la commande snoop à partir d'un système distant.

   Dans une fenêtre de terminal sur partym, analysez les paquets du système enigma.

   # snoop -d net0 -v enigma
   Using device /dev/bge (promiscuous mode)

3. Envoyez un paquet à partir du système distant.

   Dans une autre fenêtre de terminal, connectez-vous à distance au système enigma. Entrez votre mot de passe. Ensuite, prenez le rôle root et envoyez un paquet à partir du système enigma au système partym. Le paquet doit être capturé à l'aide de la commande snoop -v enigma.

   % ssh enigma
   Password: Type your password
   % su -
   Password: Type root password
   # ping partym

4. Examinez la sortie de la commande snoop.

   Sur le système partym, la sortie devrait contenir les informations AH et ESP après les informations d'en-tête IP initiales. Les informations AH et ESP semblables à l'exemple ci-dessous indiquent que les paquets sont protégés :

   IP:   Time to live = 64 seconds/hops
   IP:   Protocol = 51 (AH)
   IP:   Header checksum = 4e0e
   IP:   Source address = 192.168.116.16, enigma
   IP:   Destination address = 192.168.13.213, partym
   IP:   No options
   IP:
   AH:  ----- Authentication Header -----
   AH:
   AH:  Next header = 50 (ESP)
   AH:  AH length = 4 (24 bytes)
   AH:  <Reserved field = 0x0>
   AH:  SPI = 0xb3a8d714
   AH:  Replay = 52
   AH:  ICV = c653901433ef5a7d77c76eaa
   AH:
   ESP:  ----- Encapsulating Security Payload -----
   ESP:
   ESP:  SPI = 0xd4f40a61
   ESP:  Replay = 52
   ESP:     ....ENCRYPTED DATA....
   
   ETHER:  ----- Ether Header -----
   ...