Ignorer les liens de navigation | |
Quitter l'aperu | |
Administration d'Oracle Solaris : Services IP Oracle Solaris 11 Information Library (Français) |
Partie I Administration TCP/IP
1. Planification du développement du réseau
2. Eléments à prendre en compte lors de l'utilisation d'adresses IPv6
3. Configuration d'un réseau IPv4
4. Activation d'IPv6 sur le réseau
5. Administration d'un réseau TCP/IP
6. Configuration de tunnels IP
7. Dépannage des problèmes de réseau
10. A propos de DHCP (présentation)
11. Administration du service DHCP ISC
12. Configuration et administration du client DHCP
13. Commandes et fichiers DHCP (référence)
14. Architecture IPsec (présentation)
15. Configuration d'IPsec (tâches)
16. Architecture IPsec (référence)
Fichier exemple ipsecinit.conf
Considérations de sécurité pour les commandes ipsecinit.conf et ipsecconf
Base de données des associations de sécurité IPsec
Utilitaires de génération de clés SA dans IPsec
Considérations de sécurité pour la commande ipseckey
17. Protocole IKE (présentation)
18. Configuration du protocole IKE (tâches)
20. IP Filter dans Oracle Solaris (présentation)
Partie IV Performances du réseau
22. Présentation de l'équilibreur de charge intégré
23. Configuration de l'équilibreur de charge intégré (tâches)
24. Protocole de redondance de routeur virtuel (VRRP) (Présentation)
25. Configuration VRRP - Tâches
26. Implémentation du contrôle de congestion
Partie V Qualité de service IP (IPQoS)
27. Présentation d'IPQoS (généralités)
28. Planification d'un réseau IPQoS (tâches)
29. Création du fichier de configuration IPQoS (tâches)
30. Démarrage et maintenance d'IPQoS (tâches)
31. Utilisation de la comptabilisation des flux et de la collecte statistique (tâches)
Pour activer la stratégie de sécurité IPsec lorsque vous démarrez Oracle Solaris, vous créez un fichier de configuration pour initialiser IPsec avec vos entrées de stratégie IPsec spécifiques. Le nom par défaut de ce fichier est /etc/inet/ipsecinit.conf. Reportez-vous à la page de manuel ipsecconf(1M) pour plus d'informations sur les entrées d'une stratégie et leur format. Une fois la stratégie configurée, vous pouvez l'actualiser avec la commande svcadm refresh ipsec/policy.
Le logiciel Oracle Solaris inclut un exemple de fichier de stratégie IPsec, ipsecinit.sample. Vous pouvez l'utiliser comme modèle pour créer votre propre fichier ipsecinit.conf. Le fichier ipsecinit.sample contient les exemples suivants :
... # In the following simple example, outbound network traffic between the local # host and a remote host will be encrypted. Inbound network traffic between # these addresses is required to be encrypted as well. # # This example assumes that 10.0.0.1 is the IPv4 address of this host (laddr) # and 10.0.0.2 is the IPv4 address of the remote host (raddr). # {laddr 10.0.0.1 raddr 10.0.0.2} ipsec {encr_algs aes encr_auth_algs sha256 sa shared} # The policy syntax supports IPv4 and IPv6 addresses as well as symbolic names. # Refer to the ipsecconf(1M) man page for warnings on using symbolic names and # many more examples, configuration options and supported algorithms. # # This example assumes that 10.0.0.1 is the IPv4 address of this host (laddr) # and 10.0.0.2 is the IPv4 address of the remote host (raddr). # # The remote host will also need an IPsec (and IKE) configuration that mirrors # this one. # # The following line will allow ssh(1) traffic to pass without IPsec protection: {lport 22 dir both} bypass {} # # {laddr 10.0.0.1 dir in} drop {} # # Uncommenting the above line will drop all network traffic to this host unless # it matches the rules above. Leaving this rule commented out will allow # network packets that does not match the above rules to pass up the IP # network stack. ,,,
La stratégie IPsec ne peut être modifiée pour les connexions établies. Un socket dont la stratégie ne peut pas être modifiée est appelé un socket verrouillé. Les nouvelles entrées de stratégie ne protègent pas les sockets qui sont déjà verrouillés. Pour plus d'informations, reportez-vous aux pages de manuel connect(3SOCKET) et accept(3SOCKET). En cas de doute, redémarrez la connexion.
Protégez votre système d'attribution de nom. Lorsque les deux conditions suivantes sont vérifiées, vos noms d'hôtes ne sont plus fiables.
Votre adresse source est un hôte que vous pouvez rechercher sur le réseau.
Votre système d'attribution de nom est compromis.
Les défaillances de sécurité proviennent souvent d'une mauvaise utilisation des outils, non des outils eux-mêmes. Utilisez la commande ipsecconf avec prudence. La commande ssh, une console ou autre TTY connecté offrent les modes d'opération les plus sûrs.