Ignorer les liens de navigation | |
Quitter l'aperu | |
Administration d'Oracle Solaris : Services IP Oracle Solaris 11 Information Library (Français) |
Partie I Administration TCP/IP
1. Planification du développement du réseau
2. Eléments à prendre en compte lors de l'utilisation d'adresses IPv6
3. Configuration d'un réseau IPv4
4. Activation d'IPv6 sur le réseau
5. Administration d'un réseau TCP/IP
6. Configuration de tunnels IP
7. Dépannage des problèmes de réseau
10. A propos de DHCP (présentation)
11. Administration du service DHCP ISC
12. Configuration et administration du client DHCP
13. Commandes et fichiers DHCP (référence)
14. Architecture IPsec (présentation)
Mécanismes de protection IPsec
ESP (Encapsulating Security Payload, association de sécurité)
Considérations de sécurité lors de l'utilisation de AH et ESP
Authentification et chiffrement dans IPsec
Algorithmes d'authentification dans IPsec
Algorithmes de chiffrement dans IPsec
Stratégies de protection IPsec
Modes Transport et Tunnel dans IPsec
Réseaux privés virtuels et IPsec
Passage de la translation d'adresses et IPsec
IPsec et les zones Oracle Solaris
15. Configuration d'IPsec (tâches)
16. Architecture IPsec (référence)
17. Protocole IKE (présentation)
18. Configuration du protocole IKE (tâches)
20. IP Filter dans Oracle Solaris (présentation)
Partie IV Performances du réseau
22. Présentation de l'équilibreur de charge intégré
23. Configuration de l'équilibreur de charge intégré (tâches)
24. Protocole de redondance de routeur virtuel (VRRP) (Présentation)
25. Configuration VRRP - Tâches
26. Implémentation du contrôle de congestion
Partie V Qualité de service IP (IPQoS)
27. Présentation d'IPQoS (généralités)
28. Planification d'un réseau IPQoS (tâches)
29. Création du fichier de configuration IPQoS (tâches)
30. Démarrage et maintenance d'IPQoS (tâches)
31. Utilisation de la comptabilisation des flux et de la collecte statistique (tâches)
Une association de sécurité (SA, Security Association) IPsec spécifie les propriétés de sécurité que reconnaissent les hôtes lors de la communication. Une seule SA protège les données dans une direction. La protection s'applique à un seul hôte ou à une adresse de groupe (multidiffusion). La communication s'effectuant généralement entre homologues ou entre client et serveur, la sécurité du trafic dans les deux directions requiert la présence de deux SA.
Les trois éléments suivants identifient une SA IPsec de manière unique :
Le protocole de sécurité (AH ou ESP)
L'adresse IP de destination
Le SPI, valeur arbitraire 32 bits, est transmis avec un paquet AH ou ESP. Les pages de manuel ipsecah(7P) et ipsecesp(7P) expliquent l'étendue de la protection AH et ESP. Une somme de contrôle d'intégrité permet d'authentifier un paquet. En cas d'échec de l'authentification, le paquet est rejeté.
Les associations de sécurité sont stockées dans une base de données d'associations de sécurité (SADB). Une interface d'administration socket, l'interface PF_KEY, autorise les applications privilégiées à gérer la base de données. Par exemple, l'application IKE et la commande ipseckeys font appel à l'interface socket PF_KEY.
Pour une description détaillée de la SADB IPsec, reportez-vous à la section Base de données des associations de sécurité IPsec.
Pour plus d'informations sur la gestion de la SADB, consultez la page de manuel pf_key(7P).
Les associations de sécurité (SA) requièrent des numéros de clé pour l'authentification et le chiffrement. La gestion de ces numéros de clés s'appelle gestion des clés. Le protocole IKE (Internet Key Exchange, échange de clé Internet) gère les clés automatiquement. La commande ipseckey permet la gestion manuelle des clés.
Les SA sur les paquets IPv4 et IPv6 peuvent recourir à chacune des méthodes. Il est recommandé d'utiliser IKE à moins d'avoir une bonne raison de préférer la gestion manuelle.
La fonctionnalité d'utilitaire de gestion des services (SMF) d'Oracle Solaris fournit les services de gestion des clés suivants pour IPsec :
Service svc:/network/ipsec/ike:default : service SMF de gestion automatique des clés. Le service ike exécute le démon in.iked pour la gestion automatique des clés. Le Chapitre 17, Protocole IKE (présentation) propose une description du protocole IKE. Pour plus d'informations sur le démon in.iked, reportez-vous à la page de manuel in.iked(1M). Pour plus d'informations sur le service ike, reportez-vous à la section Service IKE.
Service svc:/network/ipsec/manual-key:default : service SMF de gestion manuelle des clés. Le service manual-key exécute la commande ipseckey avec de nombreuses options pour gérer les clés manuellement. Pour obtenir une description de la commande ipseckey, reportez-vous à la section Utilitaires de génération de clés SA dans IPsec. Pour obtenir une description détaillée des options de la commande ipseckey, reportez-vous à la page de manuel ipseckey(1M).