Protection d'un VPN à l'aide d'un tunnel IPsec en mode Transport sur IPv6

Les étapes de configuration d'un VPN sur un réseau IPv6 sont identiques à celles de la configuration d'un VPN sur un réseau IPv4. Toutefois, la syntaxe des commandes est légèrement différente. Les raisons pour lesquelles des commandes spécifiques sont requises sont expliquées en détail aux étapes correspondantes de la section Protection d'un VPN à l'aide d'un tunnel IPsec en mode Tunnel sur IPv4.

Effectuez cette procédure sur les deux systèmes.

Cette procédure utilise les paramètres de configuration ci-dessous.

enigma

partym

hme1

hme1

hme0

hme0

6000:6666::aaaa:1116

6000:3333::eeee:1113

2001::aaaa:6666:6666

2001::eeee:3333:3333

router-E

router-C

2001::aaaa:0:4

2001::eeee:0:1

ip6.tun0

ip6.tun0

1. Sur la console du système, connectez-vous en tant qu'administrateur principal ou superutilisateur.

   Le rôle d'administrateur principal inclut le profil d'administrateur principal. Pour plus d'informations sur la création d'un rôle et son assignation à un utilisateur, reportez-vous au Chapitre 2, Working With the Solaris Management Console (Tasks) du System Administration Guide: Basic Administration.

   ---

   Remarque –

   En vous connectant à distance, vous exposez le trafic de données confidentielles à des risques d'écoute électronique. Même si vous protégez la connexion à distance d'une manière ou d'une autre, la sécurité du système se limite à celle de la session à distance. Utilisez la commande ssh pour une connexion à distance sécurisée.

   ---

2. Contrôlez le flux de paquets avant de configurer IPsec.

   1. Assurez-vous que le transfert IP et le routage dynamique IP sont désactivés.

      # routeadm Configuration Current Current Option Configuration System State -------------------------------------------------- … IPv6 forwarding disabled disabled IPv6 routing disabled disabled

      Si le transfert IP et le routage dynamique IP sont activés, vous pouvez les désactiver en tapant :

      # routeadm -d ipv6-forwarding -d ipv6-routing # routeadm -u

   2. Activez le multiréseau de destination strict IP.

      # ndd -set /dev/ip ip6_strict_dst_multihoming 1

      ---

      Attention –

      La valeur par défaut de ip6_strict_dst_multihoming est rétablie lors de l'initialisation du système. Pour rendre persistante la valeur modifiée, reportez-vous à la section Protection contre l'usurpation d'adresse IP.

      ---

   3. Assurez-vous que la plupart des services réseau sont désactivés.

      Assurez-vous que les montages en loopback et le service ssh sont en cours d'exécution.

      # svcs | grep network online Aug_02 svc:/network/loopback:default … online Aug_09 svc:/network/ssh:default

3. Ajoutez une paire de SA entre les deux systèmes.

   Procédez de l'une des manières suivantes :

   • Configurez IKE de manière à gérer les clés pour les SA. Suivez l'une des procédures de la section Configuration du protocole IKE (liste des tâches) afin de configurer IKE pour le VPN.

   • Si, pour une raison particulière, vous souhaitez gérer les clés manuellement, reportez-vous à la section Création manuelle d'associations de sécurité IPsec.

4. Ajoutez une stratégie IPsec.

   Modifiez le fichier /etc/inet/ipsecinit.conf afin d'ajouter la stratégie IPsec pour le VPN.

   1. Sur le système enigma, saisissez l'entrée suivante dans le fichier ipsecinit.conf :

      # IPv6 Neighbor Discovery messages bypass IPsec. {ulp ipv6-icmp type 133-137 dir both} pass {} # LAN traffic can bypass IPsec. {laddr 6000:6666::aaaa:1116 dir both} bypass {} # WAN traffic uses ESP with AES and SHA-1. {tunnel ip6.tun0 negotiate transport} ipsec {encr_algs aes encr_auth_algs sha1}

   2. Sur le système partym, tapez l'entrée suivante dans le fichier ipsecinit.conf :

      # IPv6 Neighbor Discovery messages bypass IPsec. {ulp ipv6-icmp type 133-137 dir both} pass {} # LAN traffic can bypass IPsec. {laddr 6000:3333::eeee:1113 dir both} bypass {} # WAN traffic uses ESP with AES and SHA-1. {tunnel ip6.tun0 negotiate transport} ipsec {encr_algs aes encr_auth_algs sha1}

5. (Facultatif) Vérifiez la syntaxe du fichier de stratégie IPsec.

   # ipsecconf -c -f /etc/inet/ipsecinit.conf

6. Pour configurer le tunnel et le protéger à l'aide d'IPsec, suivez les étapes en fonction de la version de Solaris utilisée :

   • À partir de la version Solaris 10 4/09, suivez les étapes Étape 7 à Étape 13, puis exécutez le protocole de routage tel qu'indiqué à l'Étape 22.

   • Si vous exécutez une version antérieure à la version Solaris 10 4/09, suivez les étapes Étape 14 à Étape 22.

7. Configurez le tunnel ip6.tun0 dans le fichier /etc/hostname.ip6.tun0.

   1. Sur le système enigma, ajoutez l'entrée suivante au fichier hostname.ip6.tun0 :

      6000:6666::aaaa:1116 6000:3333::eeee:1113 tsrc 2001::aaaa:6666:6666 tdst 2001::eeee:3333:3333 router up

   2. Sur le système partym, ajoutez l'entrée suivante au fichier hostname.ip6.tun0 :

      6000:3333::eeee:1113 6000:6666::aaaa:1116 tsrc 2001::eeee:3333:3333 tdst 2001::aaaa:6666:6666 router up

8. Protégez le tunnel à l'aide de la stratégie IPsec créée.

   # svcadm refresh svc:/network/ipsec/policy:default

9. Pour lire le contenu du fichier hostname.ip6.tun0 dans le noyau, redémarrez les services réseau.

   # svcadm restart svc:/network/initial:default

10. Activez le transfert IP pour l'interface hme1.

    1. Sur le système enigma, ajoutez l'entrée de routeur au fichier /etc/hostname6.hme1.

       2001::aaaa:6666:6666 inet6 router

    2. Sur le système partym, ajoutez l'entrée de routeur au fichier /etc/hostname6.hme1.

       2001::eeee:3333:3333 inet6 router

11. Assurez-vous que les protocoles de routage n'indiquent pas la route par défaut sur l'intranet.

    1. Sur le système enigma, ajoutez l'indicateur private au fichier /etc/hostname6.hme0.

       6000:6666::aaaa:1116 inet6 private

    2. Sur le système partym, ajoutez l'indicateur private au fichier /etc/hostname6.hme0.

       6000:3333::eeee:1113 inet6 private

12. Ajoutez manuellement une route par défaut à travers hme0.

    1. Sur le système enigma, ajoutez la route suivante :

       # route add -inet6 default 2001::aaaa:0:4

    2. Sur le système partym, ajoutez la route suivante :

       # route add -inet6 default 2001::eeee:0:1

13. Pour terminer la procédure, passez à l'Étape 22 pour exécuter un protocole de routage.

14. Configurez un tunnel sécurisé ip6.tun0.

    ---

    Remarque –

    Les étapes suivantes permettent de configurer un tunnel sur un système exécutant une version antérieure à la version Solaris 10 4/09.

    ---

    1. Sur le système enigma, saisissez les commandes ci-dessous :

       # ifconfig ip6.tun0 inet6 plumb # ifconfig ip6.tun0 inet6 6000:6666::aaaa:1116 6000:3333::eeee:1113 \ tsrc 2001::aaaa:6666:6666 tdst 2001::eeee:3333:3333

    2. Sur le système partym, tapez les commandes ci-dessous :

       # ifconfig ip6.tun0 inet6 plumb # ifconfig ip6.tun0 inet6 6000:3333::eeee:1113 6000:6666::aaaa:1116 \ tsrc 2001::eeee:3333:3333 tdst 2001::aaaa:6666:6666

15. Protégez le tunnel à l'aide de la stratégie IPsec créée.

    # ipsecconf

16. Affichez le routeur pour le tunnel.

    # ifconfig ip6.tun0 router up

17. Activez le transfert IP pour l'interface hme1.

    # ifconfig hme1 router

18. Assurez-vous que les protocoles de routage n'indiquent pas la route par défaut sur l'intranet.

    # ifconfig hme0 private

19. Sur chaque système, ajoutez manuellement une route par défaut à travers hme0.

    La route par défaut doit correspondre à un routeur bénéficiant d'un accès direct à Internet.

    1. Sur le système enigma, ajoutez la route suivante :

       # route add -inet6 default 2001::aaaa:0:4

    2. Sur le système partym, ajoutez la route suivante :

       # route add -inet6 default 2001::eeee:0:1

20. Sur chaque système, assurez-vous que le VPN démarre à la réinitialisation en ajoutant une entrée au fichier /etc/hostname6.ip6.tun0.

    L'entrée réplique les paramètres spécifiés dans la commande ifconfig lors de l'Étape 14.

    1. Sur le système enigma, ajoutez l'entrée suivante au fichier hostname6.ip6.tun0 :

       6000:6666::aaaa:1116 6000:3333::eeee:1113 \ tsrc 2001::aaaa:6666:6666 tdst 2001::eeee:3333:3333 router up

    2. Sur le système partym, ajoutez l'entrée suivante au fichier hostname6.ip6.tun0 :

       6000:3333::eeee:1113 6000:6666::aaaa:1116 \ tsrc 2001::eeee:3333:3333 tdst 2001::aaaa:6666:6666 router up

21. Configurez les fichiers d'interface afin de transmettre les paramètres adéquats au démon de routage.

    1. Sur le système enigma, modifiez les fichiers /etc/hostname6. interface.

       # cat /etc/hostname6.hme0 ## enigma 6000:6666::aaaa:1116 inet6 private

       # cat /etc/hostname6.hme1 ## enigma 2001::aaaa:6666:6666 inet6 router

    2. Sur le système partym, modifiez les fichiers /etc/hostname6. interface.

       # cat /etc/hostname6.hme0 ## partym 6000:3333::eeee:1113 inet6 private

       # cat /etc/hostname6.hme1 ## partym2001::eeee:3333:3333 inet6 router

22. Exécutez un protocole de routage.

    # routeadm -e ipv6-routing # routeadm -u

Exemple 20–17 Configuration d'IPsec en mode Transport sur IPv6 à l'aide d'une syntaxe désapprouvée

Dans cet exemple, l'administrateur connecte un système Solaris 10 7/07 à un système exécutant la version Solaris10. Par conséquent, l'administrateur utilise la syntaxe Solaris10 dans le fichier de configuration et inclut les algorithmes IPsec à la commande ifconfig.

La procédure suivie par l'administrateur est identique à celle de la section Protection d'un VPN à l'aide d'un tunnel IPsec en mode Transport sur IPv6, à l'exception des modifications syntaxiques ci-dessous.

• Pour l'Étape 4, la syntaxe du fichier ipsecinit.conf est la suivante :

  # IPv6 Neighbor Discovery messages bypass IPsec. {ulp ipv6-icmp type 133-137 dir both} pass {} # LAN traffic can bypass IPsec. {laddr 6000:3333::eeee:1113 dir both} bypass {} # WAN traffic uses ESP with AES and SHA-1. {} ipsec {encr_algs aes encr_auth_algs sha1}

• Pour les étapes Étape 14 à Étape 17, la syntaxe permettant de configurer un tunnel sécurisé est la suivante :

  # ifconfig ip6.tun0 inet6 plumb # ifconfig ip6.tun0 inet6 6000:6666::aaaa:1116 6000:3333::eeee:1113 \ tsrc 2001::aaaa:6666:6666 tdst 2001::eeee:3333:3333 \ encr_algs aes encr_auth_algs sha1 # ifconfig ip6.tun0 inet6 router up

  La stratégie IPsec utilisée dans les commandes ifconfig doit correspondre à celle qui est spécifiée dans le fichier ipsecinit.conf. À la réinitialisation, chaque système lit le fichier ipsecinit.conf pour connaître sa stratégie.

• Pour l'Étape 20, la syntaxe du fichier hostname6.ip6.tun0 est la suivante :

  6000:6666::aaaa:1116 6000:3333::eeee:1113 \ tsrc 2001::aaaa:6666:6666 tdst 2001::eeee:3333:3333 \ encr_algs aes encr_auth_algs sha1 router up