Ignorer les liens de navigation | |
Quitter l'aperu | |
Sécurisation du réseau dans Oracle Solaris 11.1 Oracle Solaris 11.1 Information Library (Français) |
1. Utilisation de la protection des liens dans des environnements virtualisés
3. Serveurs Web et protocole SSL (Secure Sockets Layer)
4. IP Filter dans Oracle Solaris (présentation)
6. Architecture IPsec (présentation)
Mécanismes de protection IPsec
ESP (Encapsulating Security Payload, association de sécurité)
Considérations de sécurité lors de l'utilisation de AH et ESP
Authentification et chiffrement dans IPsec
Algorithmes d'authentification dans IPsec
Algorithmes de chiffrement dans IPsec
Stratégies de protection IPsec
Modes Transport et Tunnel dans IPsec
Réseaux privés virtuels et IPsec
Passage de la translation d'adresses et IPsec
IPsec et les zones Oracle Solaris
7. Configuration d'IPsec (tâches)
8. Architecture IPsec (référence)
9. Protocole IKE (présentation)
Une association de sécurité (SA, Security Association) IPsec spécifie les propriétés de sécurité que reconnaissent les hôtes lors de la communication. Une seule SA protège les données dans une direction. La protection s'applique à un seul hôte ou à une adresse de groupe (multidiffusion). La communication s'effectuant généralement entre homologues ou entre client et serveur, la sécurité du trafic dans les deux directions requiert la présence de deux SA.
Les trois éléments suivants identifient une SA IPsec de manière unique :
Le protocole de sécurité (AH ou ESP)
L'adresse IP de destination
Le SPI, valeur arbitraire 32 bits, est transmis avec un paquet AH ou ESP. Les pages de manuel ipsecah(7P) et ipsecesp(7P) expliquent l'étendue de la protection AH et ESP. Une somme de contrôle d'intégrité permet d'authentifier un paquet. En cas d'échec de l'authentification, le paquet est rejeté.
Les associations de sécurité sont stockées dans une base de données d'associations de sécurité (SADB). Une interface d'administration socket, l'interface PF_KEY, autorise les applications privilégiées à gérer la base de données. Par exemple, l'application IKE et la commande ipseckeys font appel à l'interface socket PF_KEY.
Pour une description détaillée de la SADB IPsec, reportez-vous à la section Base de données des associations de sécurité IPsec.
Pour plus d'informations sur la gestion de la SADB, consultez la page de manuel pf_key(7P).
Les associations de sécurité (SA) requièrent des numéros de clé pour l'authentification et le chiffrement. La gestion de ces numéros de clés s'appelle gestion des clés. Le protocole IKE (Internet Key Exchange, échange de clé Internet) gère les clés automatiquement. La commande ipseckey permet la gestion manuelle des clés.
Les SA sur les paquets IPv4 et IPv6 peuvent recourir à chacune des méthodes. Il est recommandé d'utiliser IKE à moins d'avoir une bonne raison de préférer la gestion manuelle.
La fonctionnalité d'utilitaire de gestion des services (SMF) d'Oracle Solaris fournit les services de gestion des clés suivants pour IPsec :
Service svc:/network/ipsec/ike:default : service SMF de gestion automatique des clés. Le service ike exécute le démon in.iked pour la gestion automatique des clés. Le Chapitre 9, Protocole IKE (présentation) propose une description du protocole IKE. Pour plus d'informations sur le démon in.iked, reportez-vous à la page de manuel in.iked(1M). Pour plus d'informations sur le service ike, reportez-vous à la section Service IKE.
Service svc:/network/ipsec/manual-key:default : service SMF de gestion manuelle des clés. Le service manual-key exécute la commande ipseckey avec de nombreuses options pour gérer les clés manuellement. Pour obtenir une description de la commande ipseckey, reportez-vous à la section Utilitaires de génération de clés SA dans IPsec. Pour obtenir une description détaillée des options de la commande ipseckey, reportez-vous à la page de manuel ipseckey(1M).