Ignorer les liens de navigation | |
Quitter l'aperu | |
Administration d'Oracle Solaris : Services IP Oracle Solaris 11 Information Library (Français) |
Partie I Administration TCP/IP
1. Planification du développement du réseau
2. Eléments à prendre en compte lors de l'utilisation d'adresses IPv6
3. Configuration d'un réseau IPv4
4. Activation d'IPv6 sur le réseau
5. Administration d'un réseau TCP/IP
6. Configuration de tunnels IP
7. Dépannage des problèmes de réseau
10. A propos de DHCP (présentation)
11. Administration du service DHCP ISC
12. Configuration et administration du client DHCP
13. Commandes et fichiers DHCP (référence)
14. Architecture IPsec (présentation)
15. Configuration d'IPsec (tâches)
Protection du trafic à l'aide d'IPsec
Sécurisation du trafic entre deux systèmes à l'aide d'IPsec
Utilisation d'IPsec pour protéger un serveur Web du trafic non-web.
Protection d'un VPN à l'aide d'IPsec
Protection d'un VPN à l'aide d'IPsec en mode Tunnel (exemples)
Description de la topologie réseau requise par les tâches IPsec afin de protéger un VPN
Procédure de protection d'un VPN avec IPsec en mode Tunnel
Création manuelle de clés IPsec
Configuration d'un rôle pour la sécurité réseau
Procédure de gestion des services IKE et IPsec
Vérification de la protection des paquets par IPsec
16. Architecture IPsec (référence)
17. Protocole IKE (présentation)
18. Configuration du protocole IKE (tâches)
20. IP Filter dans Oracle Solaris (présentation)
Partie IV Performances du réseau
22. Présentation de l'équilibreur de charge intégré
23. Configuration de l'équilibreur de charge intégré (tâches)
24. Protocole de redondance de routeur virtuel (VRRP) (Présentation)
25. Configuration VRRP - Tâches
26. Implémentation du contrôle de congestion
Partie V Qualité de service IP (IPQoS)
27. Présentation d'IPQoS (généralités)
28. Planification d'un réseau IPQoS (tâches)
29. Création du fichier de configuration IPQoS (tâches)
30. Démarrage et maintenance d'IPQoS (tâches)
31. Utilisation de la comptabilisation des flux et de la collecte statistique (tâches)
Cette section décrit les procédures permettant de sécuriser le trafic entre deux systèmes et de sécuriser un serveur Web. Pour protéger un VPN (Virtual Private Network, réseau privé virtuel), reportez-vous à la section Protection d'un VPN à l'aide d'IPsec. Pour obtenir des informations sur les procédures supplémentaires de gestion d'IPsec et sur l'utilisation des commandes SMF avec IPsec et IKE, reportez-vous à la section Gestion d'IPsec et d'IKE.
Les informations ci-dessous s'appliquent à toutes les tâches de configuration IPsec :
IPsec et zones : pour gérer les clés et la stratégie IPsec dans le cas d'une zone non globale IP partagée, créez le fichier de stratégie IPsec dans la zone globale, puis exécutez les commandes de configuration IPsec à partir de la zone globale. Utilisez l'adresse source correspondant à la zone non globale à configurer. Dans une zone IP exclusive, vous devez configurer la stratégie IPsec dans la zone non globale.
IPsec et RBAC : pour utiliser les rôles afin d'administrer IPsec, reportez-vous au Chapitre 9, Utilisation du contrôle d’accès basé sur les rôles (tâches) du manuel Administration d’Oracle Solaris : services de sécurité. La section Configuration d'un rôle pour la sécurité réseau présente un exemple.
IPsec et SCTP : vous pouvez utiliser IPsec pour protéger les associations SCTP (Streams Control Transmission Protocol, protocole de transmission de contrôle de flux), mais avec prudence. Pour plus d'informations, reportez-vous à la section IPsec et SCTP.
IPsec et étiquettes Trusted Extensions : sur les systèmes configurés avec la fonctionnalité Trusted Extensions d'Oracle Solaris, il est possible d'ajouter des étiquettes aux paquets IPsec. Pour plus d'informations, reportez-vous à la section Administration d’IPsec avec étiquettes du manuel Configuration et administration d’Oracle Solaris Trusted Extensions.
Adresses IPv4 et IPv6 : l'exemple IPsec dans ce guide utilise des adresses IPv4. Oracle Solaris prend également en charge les adresses IPv6. Pour configurer IPsec pour un réseau IPv6, remplacez les adresses des exemples par des adresses IPv6. Lorsque vous protégez des tunnels avec IPsec, vous pouvez utiliser des adresses IPv4 et IPv6 en guise d'adresses internes et externes. Une telle configuration vous permet d'acheminer IPv6 via tunnel sur un réseau IPv4, par exemple.
La liste des tâches ci-dessous répertorie les procédures de configuration d'IPsec sur un ou plusieurs systèmes. Les pages de manuel ipsecconf(1M), ipseckey(1M) et ipadm(1M) décrivent également des procédures utiles dans leurs sections d'exemples respectives.
|
Cette procédure correspond à la configuration suivante :
Les systèmes s'appellent enigma et partym.
Chaque système dispose d'une adresse IP. Il peut d'agir d'une adresse IPv4, IPv6 ou les deux.
Chaque système nécessite le chiffrement ESP avec l'algorithme AES, qui requiert une clé de 128 bits, ainsi que l'authentification ESP avec la synthèse des messages SHA-2, qui requiert une clé de 512 bits.
Chaque système utilise des associations de sécurité partagées (SA, Security Associations).
Avec les SA partagées, une seule paire de SA est suffisante pour protéger les deux systèmes.
Remarque - Pour utiliser IPsec avec des étiquettes sur un système Trusted Extensions, reportez-vous aux étapes supplémentaires indiquées à la section Procédure d’application des protections IPsec dans un réseau Trusted Extensions multiniveau du manuel Configuration et administration d’Oracle Solaris Trusted Extensions.
Avant de commencer
La stratégie IPsec peut être configurée dans la zone globale ou dans une zone de pile IP en mode exclusif. La stratégie pour une zone de pile IP en mode partagé doit être configurée dans la zone globale. Dans une zone IP exclusive, vous devez configurer la stratégie IPsec dans la zone non globale.
Pour plus d'informations, reportez-vous à la section Procédure d’obtention des droits d’administration du manuel Administration d’Oracle Solaris : services de sécurité. Si vous vous connectez à distance, exécutez la commande ssh pour que votre connexion soit sécurisée. Voir l'Exemple 15-1.
Cette étape permet au SMF d'utiliser le système de noms sans dépendre de services de noms inexistants. Pour plus d'informations, reportez-vous à la page de manuel smf(5).
# Secure communication with enigma 192.168.116.16 enigma
# Secure communication with partym 192.168.13.213 partym
Le nom de fichier est /etc/inet/ipsecinit.conf. Vous en trouverez un exemple dans le fichier /etc/inet/ipsecinit.sample.
{laddr enigma raddr partym} ipsec {encr_algs aes encr_auth_algs sha512 sa shared}
{laddr partym raddr enigma} ipsec {encr_algs aes encr_auth_algs sha512 sa shared}
La syntaxe des entrées de stratégie IPsec est décrite dans la page de manuel ipsecconf(1M).
Configurez IKE en suivant l'une des procédures de configuration décrites à la section Configuration du protocole IKE (liste des tâches). La syntaxe du fichier de configuration IKE est décrite à la page de manuel ike.config(4).
Remarque - Si vous devez générer et maintenir vos clés manuellement, reportez-vous à la section Création manuelle de clés IPsec.
# ipsecconf -c -f /etc/inet/ipsecinit.conf
Corrigez les éventuelles erreurs, vérifiez la syntaxe du fichier, puis continuez.
# svcadm refresh svc:/network/ipsec/policy:default
La stratégie IPsec est activée par défaut. Actualisez-la. Si vous avez désactivé la stratégie IPsec, activez-la.
# svcadm enable svc:/network/ipsec/policy:default
# svcadm enable svc:/network/ipsec/ike:default
# svcadm restart svc:/network/ipsec/ike:default
Si vous avez configuré les clés manuellement à l'Étape 5, suivez la procédure de la section Création manuelle de clés IPsec pour activer les clés.
La procédure est décrite à la section Vérification de la protection des paquets par IPsec.
Exemple 15-1 Ajout d'une stratégie IPsec lors de l'utilisation d'une connexion ssh
Dans cet exemple, l'administrateur ayant le rôle root configure la stratégie et les clés IPsec sur deux systèmes en utilisant la commande ssh pour atteindre le second système. Pour plus d'informations, reportez-vous à la page de manuel ssh(1).
Tout d'abord, l'administrateur configure le premier système en effectuant les étapes Étape 2 à Étape 6 de la procédure précédente.
Ensuite, dans une autre fenêtre de terminal, l'administrateur utilise la commande ssh pour se connecter au deuxième système.
local-system # ssh other-system other-system #
Dans la fenêtre de terminal de la session ssh, l'administrateur configure la stratégie IPsec et les clés du second système en effectuant les étapes Étape 2 à Étape 8.
Ensuite, l'administrateur met fin à la session ssh.
other-system # exit local-system #
Enfin, l'administrateur active la stratégie IPsec sur le premier système en suivant les procédures de l'Étape 7 et de l'Étape 8.
La prochaine fois que les deux systèmes communiquent, y compris par le biais d'une connexion ssh, la communication est protégée par IPsec.
Un serveur Web sécurisé permet aux clients Web de communiquer avec le service Web. Sur un serveur Web sécurisé, le trafic non Web doit passer des tests de sécurité. La procédure suivante inclut les contournements pour le trafic Web. En outre, ce serveur Web peut effectuer des requêtes client DNS non sécurisées. Tout autre trafic requiert ESP avec les algorithmes AES et SHA-2.
Avant de commencer
Vous devez configurer la stratégie IPsec dans la zone globale. Dans une zone IP exclusive, vous devez configurer la stratégie IPsec dans la zone non globale. Vous avez effectué les étapes de la section Sécurisation du trafic entre deux systèmes à l'aide d'IPsec afin que les conditions suivantes soient remplies :
La communication entre les deux systèmes est protégée par IPsec.
Les numéros de clés sont générés par IKE.
Vous avez vérifié que les paquets sont protégés.
Pour plus d'informations, reportez-vous à la section Procédure d’obtention des droits d’administration du manuel Administration d’Oracle Solaris : services de sécurité. Si vous vous connectez à distance, exécutez la commande ssh pour que votre connexion soit sécurisée. Voir l'Exemple 15-1.
Pour un serveur Web, ces services incluent les ports TCP 80 (HTTP) et 443 (HTTP sécurisé). Si le serveur Web assure la recherche de noms DNS, le serveur doit peut-être inclure également le port 53 pour TCP et UDP.
Ajoutez les lignes suivantes dans le fichier /etc/inet/ipsecinit.conf :
# Web traffic that web server should bypass. {lport 80 ulp tcp dir both} bypass {} {lport 443 ulp tcp dir both} bypass {} # Outbound DNS lookups should also be bypassed. {rport 53 dir both} bypass {} # Require all other traffic to use ESP with AES and SHA-2. # Use a unique SA for outbound traffic from the port {} ipsec {encr_algs aes encr_auth_algs sha512 sa shared}
Cette configuration permet uniquement au trafic sécurisé d'accéder au système, avec les exceptions de contournement décrites à l'Étape 2.
# ipsecconf -c -f /etc/inet/ipsecinit.conf
# svcadm refresh svc:/network/ipsec/policy:default
Redémarrez le service ike.
# svcadm restart svc:/network/ipsec/ike
Si vous avez configuré les clés manuellement, suivez les instructions de la section Création manuelle de clés IPsec.
Votre installation est terminée. Si vous le souhaitez, vous pouvez effectuer l'Étape 7.
Ajoutez les lignes suivantes dans un fichier /etc/inet/ipsecinit.conf stocké sur le système distant :
# Communicate with web server about nonweb stuff # {laddr webserver} ipsec {encr_algs aes encr_auth_algs sha512 sa shared}
Vérifiez la syntaxe, puis actualisez la statégie IPsec pour l'activer.
remote-system # ipsecconf -c -f /etc/inet/ipsecinit.conf remote-system # svcadm refresh svc:/network/ipsec/policy:default
Un système distant peut communiquer de manière sécurisée avec le serveur Web pour le trafic non-Web uniquement lorsque les stratégies IPsec des systèmes sont identiques.
Vous pouvez afficher les stratégies configurées dans le système lorsque vous exécutez la commande ipsecconf sans argument.
Avant de commencer
Vous devez exécuter la commande ipsecconf dans la zone globale. Dans une zone IP exclusive, vous devez exécuter la commande ipsecconf dans la zone non globale.
Pour créer un rôle discret pour la sécurité réseau et attribuer ce rôle à un utilisateur, reportez-vous à la section Configuration d'un rôle pour la sécurité réseau.
$ ipsecconf
La commande affiche chaque entrée avec un index suivi d'un numéro.
$ ipsecconf -l -n
$ ipsecconf -L -n