So fügen Sie einen IKE PresharedKey für einen neuen Richtlinieneintrag in ipsecinit.conf ein (Systemverwaltungshandbuch: IP Services)

Systemverwaltungshandbuch: IP Services

So fügen Sie einen IKE PresharedKey für einen neuen Richtlinieneintrag in `ipsecinit.conf` ein

Wenn Sie IPsec-Richtlinieneinträge hinzufügen, während IPsec und IKE ausgeführt werden, müssen Sie die neue Richtlinie und die neuen IKE-Regeln in den Systemkern einlesen. Wenn Sie mindestens mit Solaris 10 4/09 arbeiten, starten Sie den policy-Service neu und aktualisieren den ike-Service, nachdem Sie die neuen Schlüssel hinzugefügt haben.

Hinweis –

Wenn Sie dieses Verfahren in einer Version vor Solaris 10 4/09 durchführen möchten, schauen Sie sich die Hinweise unter Beispiel 23–3 an.

Bevor Sie beginnen

Bei diesem Verfahren wird das folgende Setup vorausgesetzt:

Das System enigma ist wie unter So konfigurieren Sie IKE mit PresharedKeys beschrieben eingerichtet.
Das System enigma schützt seinen Datenverkehr mit einem neuen System ada.
Der in.iked-Daemon wird auf beiden Systemen ausgeführt.
Die Schnittstellen der Systeme sind auf beiden Systemen als Einträge in der Datei /etc/hosts vorhanden. Ein Beispiel wäre der folgende Eintrag.
192.168.15.7 ada 192.168.116.16 enigma
Dieses Verfahren arbeitet auch mit einer IPv6-Adresse in der Datei /etc/inet/ipnodes. Ab Solaris 10 6/07 werden IPv6-Einträge in der Datei /etc/hosts abgelegt.

Sie haben auf beiden Systemen einen neuen Richtlinieneintrag in die Datei /etc/inet/ipsecinit.conf eingefügt. Die Einträge sind ähnlich den Folgenden:

# ipsecinit.conf file for enigma
{laddr enigma raddr ada} ipsec {auth_algs any encr_algs any sa shared}

# ipsecinit.conf file for ada
{laddr ada raddr enigma} ipsec {auth_algs any encr_algs any sa shared}

In der aktuellen Version haben Sie die Syntax der Datei /etc/inet/ipsecinit.conf auf beiden Systemen mit folgendem Befehl überprüft:
# ipsecconf -c -f /etc/inet/ipsecinit.conf

Nehmen Sie über die Systemkonsole die Rolle eines Primäradministrators an, oder melden Sie sich als Superuser an.

Die Rolle des Primäradministrators enthält das Primary Administrator-Profil. Informationen zum Erstellen von Rollen und Zuweisen von Rollen zu Benutzern finden Sie in Kapitel 2, Working With the Solaris Management Console (Tasks) in System Administration Guide: Basic Administration.

Hinweis –
Eine remote Anmeldung führt zu sicherheitskritischem Datenverkehr, der abgehört werden könnte. Auch wenn Sie eine remote Anmeldung schützen, wird die Sicherheit des Systems auf die Sicherheit der remoten Anmeldesitzung reduziert. Verwenden Sie den Befehl ssh, um sich sicher remote anzumelden.

Erstellen Sie auf diesem System Zufallszahlen und einen Schlüssel mit 64 bis 448 Bit.

Ausführliche Informationen finden Sie im Abschnitt So erzeugen Sie Zufallszahlen auf einem Solaris-System. Informationen zum Erzeugen von Schlüsselmaterial für ein Solaris-System, das mit einem Betriebssystem kommuniziert, das Schlüsselmaterial im ASCII-Format benötigt, finden Sie in Beispiel 23–1.

Senden Sie den Schlüssel an den Administrator des remoten Systems.

Beide Administratoren müssen den gleichen PresharedKey zum gleichen Zeitpunkt hinzufügen. Ihr Schlüssel ist nur so sicher wie die Sicherheit Ihres Übertragungsmechanismus. Wir empfehlen einen außerbandigen Mechanismus, z. B. einen Einschreibebrief oder eine geschützte Faxübertragung. Sie können die beiden Systeme auch über eine ssh-Sitzung verwalten.

Erstellen Sie eine Regel für IKE, um die Schlüssel für enigma und ada zu verwalten.

Fügen Sie auf dem System enigma der Datei /etc/inet/ike/config die folgende Regel hinzu:

### ike/config file on enigma, 192.168.116.16
 
## The rule to communicate with ada

{label "enigma-to-ada"
 local_addr 192.168.116.16
 remote_addr 192.168.15.7
 p1_xform
 {auth_method preshared oakley_group 5 auth_alg sha1 encr_alg blowfish}
 p2_pfs 5
	}

Fügen Sie auf dem System ada die folgende Regel hinzu:

### ike/config file on ada, 192.168.15.7
 
## The rule to communicate with enigma

{label "ada-to-enigma"
 local_addr 192.168.15.7
 remote_addr 192.168.116.16
 p1_xform
 {auth_method preshared oakley_group 5 auth_alg sha1 encr_alg blowfish}
 p2_pfs 5
}

Stellen Sie sicher, dass die IKE PresharedKeys beim erneuten Booten zur Verfügung stehen.

Fügen Sie auf dem System enigma der Datei /etc/inet/secret/ike.preshared die folgenden Informationen hinzu:

# ike.preshared on enigma for the ada interface
# 
{ localidtype IP
  localid 192.168.116.16
  remoteidtype IP
  remoteid 192.168.15.7
  # enigma and ada's shared key in hex (32 - 448 bits required)
  key 8d1fb4ee500e2bea071deb2e781cb48374411af5a9671714672bb1749ad9364d
}

Fügen Sie auf dem System ada der Datei ike.preshared die folgenden Informationen hinzu:

# ike.preshared on ada for the enigma interface
# 
{ localidtype IP
  localid 192.168.15.7
  remoteidtype IP
  remoteid 192.168.116.16
  # ada and enigma's shared key in hex (32 - 448 bits required)
  key 8d1fb4ee500e2bea071deb2e781cb48374411af5a9671714672bb1749ad9364d
}

Starten Sie auf den einzelnen Systemen den Service für die IPsec-Richtlinie neu, damit die neue Schnittstelle ebenfalls geschützt wird.
# svcadm restart policy

Aktualisieren Sie auf den einzelnen Systemen den ike-Service.
# svcadm refresh ike

Prüfen Sie, ob die Systeme miteinander kommunizieren können.

Lesen Sie dazu So prüfen Sie, ob die IKE PresharedKeys identisch sind.

Beispiel 23–3 Hinzufügen eines IKE PresharedKeys für einen neuen IPsec-Richtlinieneintrag

Im folgenden Beispiel fügt der Administrator einen PresharedKey einem System hinzu, auf dem nicht die aktuellste Solaris-Version ausgeführt wird. Der Administrator befolgt das vorstehende Verfahren zur Änderung der Dateien ike/config und ike.preshared, zur Erstellung von Schlüsseln und zur Herstellung einer Verbindung zum Remote-System. Zum Einlesen der neuen IPsec-Richtlinie und der IKE-Regeln in den Systemkern verwendet der Administrator unterschiedliche Befehle.

Vor der Erstellung des neuen Schlüssels legt der Administrator die Privilegstufe des in.iked-Daemons auf 2 fest.
# pkill in.iked # /usr/lib/inet/in.iked -p 2 Setting privilege level to 2
Nachdem der Schlüssel an das andere System versendet und dem System hinzugefügt wurde, wählt der Administrator eine niedrigere Privilegstufe aus.
# ikeadm set priv base
Anschließend liest der Administrator die neue IPsec-Richtlinie in den Systemkern ein.
# ipsecconf -a /etc/inet/ipsecinit.conf
Zum Schluss werden die neuen IKE-Regeln in den Systemkern eingelesen.
# ikeadm read rules