Sécurité

Les améliorations et fonctionnalités de sécurité suivantes ont été ajoutées à la version Solaris 10 5/09.

NAT-Traversal pour développeurs d'applications de gestion de clés IPsec

La version Solaris 10 5/09 contient une API publique pour les sockets UDP qui agissent en tant que points d'extrémité de NAT-Traversal IPsec.

L'option de socket UDP_NAT_T_ENDPOINT, lorsqu'elle est activée, dispose d'un trafic UDP préfixé avec une valeur SPI (index de paramètres de sécurité) zéro de quatre octets pour le trafic sortant et un SPI zéro pour le trafic entrant. Le trafic entrant lié pour ce type de socket avec une valeur SPI non nulle est automatiquement transféré à l'ESP (Encapsulating Security Payload) IPsec pour une décapsulation ESP dans UDP. L'encapsulation ESP dans UDP est déterminée par une propriété dans l'association de sécurité IPsec.

Cette fonction permet aux développeurs de logiciels de gestion de clés IPsec de créer des protocoles de gestion des clés pouvant passer par des périphériques NAT. Le démon IKE Solaris dans iked(1M) utilise cette fonction et de tels sockets sont affichés à l'aide de la commande pfiles(1M).

Des algorithmes plus puissants pour IPsec

La version Solaris 10 5/09 introduit les algorithmes suivants pour IPsec et IKE :

• Trois groupes Diffie-Hellman entier-modulo plus grands, de 2 048 bits, 3 072 bits et 4 096 bits. Les groupes Diffie-Hellman les plus grands sont disponibles dans IKE Phase 1 et Phase 2. Les groupes sont spécifiés par des numéros de groupe : 14 pour 2 048 bits, 15 pour 3 072 bits et 16 pour 4 096 bits, par RFC 3526.

• Série SHA-2 de hachages incluant sha256, sha384, sha512.– L'algorithme SHA-2 utilisant HMAC est disponible pour l'en-tête d'authentification IPsec et ESP, ainsi que pour IKE pendant ses interactions. SHA-2 est utilisé dans IPsec par RFC 4868, avec des longueurs ICV tronquées de 16 octets pour SHA256, 24 octets pour SHA384 24 et 32 octets pour SHA512.

  ---

  Remarque –

  SHA-2 n'est pas disponible pour les certificats générés avec ikecert (1M).

  ---

Prise en charge de SunSSH avec moteur OpenSSL PKCS#11

Cette fonction permet au serveur et au client SunSSH d'utiliser la structure cryptographique de Solaris via le moteur OpenSSL PKCS#11. SunSSH utilise la structure cryptographique pour l'accélération cryptographique matérielle des algorithmes de chiffrage symétriques, importante pour la vitesse de transfert de données. Cette fonction est destinée aux plates-formes à processeur T2 UltraSPARC® dotées d'un pilote de chiffrement n2cp (7D).

Les plates-formes à processeur T1 UltraSPARC T1 ne sont pas affectées par cette fonction étant donné que le pilote ncp(7D) ne gère pas les algorithmes de chiffrement symétriques. Les plates-formes sans plug-in de chiffrement matériel ne sont pas affectées par cette fonction, quelle que soit la valeur définie pour l'option UseOpenSSLEngine. La valeur par défaut de l'option UseOpenSSLEngine est ON (activé), et les fichiers de configuration SSH serveur et client n'ont pas besoin d'être mis à jour.

SunSSH doit être utilisé avec une carte accélératrice Sun Crypto Accelerator 6000 version 1.1 avec les patchs suivants installés :

• 128365-02 pour les systèmes SPARC-

• 128366-02 pour les systèmes x86-

Aucun patch n'est disponible pour la carte accélératrice Sun Crypto Accelerator 6000 version 1.0. Pour résoudre ce problème, supprimez le mode compteur AES des mots-clés d'option de chiffrement sur le serveur et le client.

Pour plus d'informations, reportez-vous aux rubriques ssh_config(4) et sshd_config(4)