Nouveautés IPsec

Solaris 10 4/09 : À partir de cette version, l'utilitaire de gestion des services (SMF) gère IPsec en tant qu'ensemble de services.

Par défaut, deux services IPsec sont activés lors de l'initialisation du système :

• svc:/network/ipsec/policy:default

• svc:/network/ipsec/ipsecalgs:default

Par défaut, les services de gestion des clés sont désactivés à l'initialisation du système :

• svc:/network/ipsec/manual-key:default

• svc:/network/ipsec/ike:default

Pour activer les stratégies IPsec sous SMF, effectuez les étapes suivantes :

1. Ajoutez des entrées de stratégie IPsec au fichier ipsecinit.conf.

2. Configurez le protocole IKE (Internet Key Exchange) ou configurez manuellement les clés.

3. Actualisez le service de stratégie IPsec.

4. Activez le service de gestion des clés.

Pour plus d'informations sur l'utilitaire SMF, reportez-vous au Chapitre 18, Managing Services (Overview) du System Administration Guide: Basic Administration. Voir aussi les pages de manuel smf(5) et svcadm(1M).

À partir de cette version, les commandes ipsecconf et ipseckey ont une option -c permettant de vérifier la syntaxe de leurs fichiers de configuration respectifs. De plus, le profil de droits Network IPsec Management est fourni pour administrer IPsec et IKE.

Solaris 10 7/07 : À partir de cette version, IPsec implémente entièrement les tunnels en mode Tunnel et les utilitaires de prise en charge des tunnels sont modifiés.

• IPsec implémente les tunnels en mode Tunnel pour les réseaux privés virtuels (VPN, Virtual Private Network). En mode Tunnel, IPsec prend en charge plusieurs clients derrière un NAT unique. En mode Tunnel, IPsec est interopérable avec les implémentations des tunnels IP-in-IP d'autres constructeurs. IPsec prend toujours en charge les tunnels en mode Transport, ce qui garantit sa compatibilité avec les versions Solaris antérieures.

• La syntaxe de création d'un tunnel est simplifiée. La commande ipsecconf a été étendue à la gestion de la stratégie IPsec. La commande ifconfig ne permet plus la gestion de la stratégie IPsec.

• À partir de cette version, le fichier /etc/ipnodes est supprimé. Configurez les adresses de réseau IPv6 à l'aide du fichier /etc/hosts.

Solaris10 1/06 : à partir de cette version, IKE est entièrement compatible avec la prise en charge NAT-Traversal comme décrit dans le document RFC 3947 et RFC 3948. Les opérations IKE utilisent la bibliothèque PKCS #11 à partir de la structure cryptographique, ce qui améliore les performances.

La structure cryptographique fournit un fichier keystore de clés softtoken pour les applications qui utilisent le métaconnecteur. Lorsque IKE utilise le métaconnecteur, vous avez la possibilité de stocker les clés sur un disque, sur une carte connectée ou dans le fichier keystore de clés softtoken.

• Pour utiliser le fichier keystore de clés softtoken, reportez-vous à la page de manuel cryptoadm(1M).

• Vous trouverez une liste complète des nouvelles fonctionnalités de Solaris et la description des différentes versions de Solaris dans le guide Nouveautés apportées à Oracle Solaris 10 9/10.