JavaScript is required to for searching.
Ignorer les liens de navigation
Quitter l'aperu
Sécurisation du réseau dans Oracle Solaris 11.1     Oracle Solaris 11.1 Information Library (Français)
search filter icon
search icon

Informations document

Préface

1.  Utilisation de la protection des liens dans des environnements virtualisés

2.  Réglage du réseau (tâches)

3.  Serveurs Web et protocole SSL (Secure Sockets Layer)

4.  IP Filter dans Oracle Solaris (présentation)

5.  IP Filter (tâches)

6.  Architecture IPsec (présentation)

7.  Configuration d'IPsec (tâches)

8.  Architecture IPsec (référence)

Services IPsec

Commande ipsecconf

Fichier ipsecinit.conf

Fichier exemple ipsecinit.conf

Considérations de sécurité pour les commandes ipsecinit.conf et ipsecconf

Commande ipsecalgs

Base de données des associations de sécurité IPsec

Utilitaires de génération de clés SA dans IPsec

Considérations de sécurité pour la commande ipseckey

IPsec et commande snoop

9.  Protocole IKE (présentation)

10.  Configuration du protocole IKE (tâches)

11.  Protocole IKE (référence)

Glossaire

Index

Utilitaires de génération de clés SA dans IPsec

Le protocole IKE permet la gestion automatique des clés pour les adresses IPv4 et IPv6. Pour obtenir les instructions relatives à la configuration IKE, reportez-vous au Chapitre 10, Configuration du protocole IKE (tâches). L'utilitaire de génération manuelle de clés est la commande ipseckey et sa description est disponible dans la page de manuel ipseckey(1M).

Utilisez la commande ipseckey pour remplir manuellement la base de données des associations de sécurité (SADB). En règle générale, les SA sont générées manuellement lorsqu'IKE n'est pas disponible pour une raison quelconque. Cependant, si les valeurs SPI sont uniques, la génération manuelle des SA et IKE peuvent être utilisés en même temps.

La commande ipseckey peut être utilisée pour afficher tous les SA connus du système, que les clés aient été ajoutées manuellement ou par IKE. Avec l'option -c, la commande ipseckey vérifie la syntaxe du fichier de clés que vous avez fourni en tant qu'argument.

Les SA IPsec qui sont ajoutées par le biais de la commande ipseckey ne sont pas conservées après la réinitialisation du système. Pour activer manuellement les SA ajoutés à l'initialisation du système, ajoutez des entrées au fichier /etc/inet/secret/ipseckeys, puis activez le service svc:/network/ipsec/manual-key:default. Pour la procédure, reportez-vous à la section Création manuelle de clés IPsec.

Bien qu'elle présente un nombre limité d'options générales, la commande ipseckey prend en charge un langage de commande enrichi. Si vous le souhaitez, une interface de programmation de génération manuelle de clés peut transmettre les demandes. Pour plus d'informations, reportez-vous à la page de manuel pf_key(7P).

Considérations de sécurité pour la commande ipseckey

La commande ipseckey permet à un rôle auquel a été attribué le profil de droits Network Security ou Network IPsec Management de saisir des informations de clés cryptographiques confidentielles. Un utilisateur malintentionné accédant à ces informations peut compromettre la sécurité du trafic IPsec.


Remarque - Si possible, utilisez IKE avec ipseckey plutôt que la génération de clés manuelle.


Prenez en considération les points suivants lorsque vous gérez des informations de génération de clés à l'aide de la commande ipseckey :

Les défaillances de sécurité proviennent souvent d'une mauvaise utilisation des outils, non des outils eux-mêmes. Utilisez la commande ipseckey avec prudence. La commande ssh, une console ou autre TTY connecté offrent les modes d'opération les plus sûrs.