Ignorer les liens de navigation | |
Quitter l'aperu | |
Sécurisation du réseau dans Oracle Solaris 11.1 Oracle Solaris 11.1 Information Library (Français) |
1. Utilisation de la protection des liens dans des environnements virtualisés
3. Serveurs Web et protocole SSL (Secure Sockets Layer)
4. IP Filter dans Oracle Solaris (présentation)
6. Architecture IPsec (présentation)
7. Configuration d'IPsec (tâches)
Protection du trafic à l'aide d'IPsec
Sécurisation du trafic entre deux systèmes à l'aide d'IPsec
Utilisation d'IPsec pour protéger un serveur Web du trafic non-web.
Protection d'un VPN à l'aide d'IPsec
Protection d'un VPN à l'aide d'IPsec en mode Tunnel (exemples)
Description de la topologie réseau requise par les tâches IPsec afin de protéger un VPN
Protection d'un VPN avec IPsec en mode Tunnel
Création manuelle de clés IPsec
Configuration d'un rôle pour la sécurité réseau
Gestion des services IKE et IPsec
Vérification de la protection des paquets par IPsec
8. Architecture IPsec (référence)
9. Protocole IKE (présentation)
Cette section décrit les procédures permettant de sécuriser le trafic entre deux systèmes et de sécuriser un serveur Web. Pour protéger un VPN (Virtual Private Network, réseau privé virtuel), reportez-vous à la section Protection d'un VPN à l'aide d'IPsec. Pour obtenir des informations sur les procédures supplémentaires de gestion d'IPsec et sur l'utilisation des commandes SMF avec IPsec et IKE, reportez-vous à la section Gestion d'IPsec et d'IKE.
Les informations ci-dessous s'appliquent à toutes les tâches de configuration IPsec :
IPsec et zones : pour gérer les clés et la stratégie IPsec dans le cas d'une zone non globale IP partagée, créez le fichier de stratégie IPsec dans la zone globale, puis exécutez les commandes de configuration IPsec à partir de la zone globale. Utilisez l'adresse source correspondant à la zone non globale à configurer. Dans une zone IP exclusive, vous devez configurer la stratégie IPsec dans la zone non globale.
IPsec et RBAC : pour utiliser les rôles afin d'administrer IPsec, reportez-vous au Chapitre 9, Utilisation du contrôle d’accès basé sur les rôles (tâches) du manuel Administration d’Oracle Solaris 11.1 : Services de sécurité. La section Configuration d'un rôle pour la sécurité réseau présente un exemple.
IPsec et SCTP : vous pouvez utiliser IPsec pour protéger les associations SCTP (Streams Control Transmission Protocol, protocole de transmission de contrôle de flux), mais avec prudence. Pour plus d'informations, reportez-vous à la section IPsec et SCTP.
IPsec et étiquettes Trusted Extensions : sur les systèmes configurés avec la fonctionnalité Trusted Extensions d'Oracle Solaris, il est possible d'ajouter des étiquettes aux paquets IPsec. Pour plus d'informations, reportez-vous à la section Administration d’IPsec avec étiquettes du manuel Configuration et administration de Trusted Extensions.
Adresses IPv4 et IPv6 : les exemples IPsec dans ce guide utilisent des adresses IPv4. Oracle Solaris prend également en charge les adresses IPv6. Pour configurer IPsec pour un réseau IPv6, remplacez les adresses des exemples par des adresses IPv6. Lorsque vous protégez des tunnels avec IPsec, vous pouvez utiliser des adresses IPv4 et IPv6 en guise d'adresses internes et externes. Une telle configuration vous permet d'acheminer IPv6 via tunnel sur un réseau IPv4, par exemple.
La liste des tâches ci-dessous répertorie les procédures de configuration d'IPsec sur un ou plusieurs systèmes. Les pages de manuel ipsecconf(1M), ipseckey(1M) et ipadm(1M) décrivent également des procédures utiles dans leurs sections d'exemples respectives.
|
Cette procédure correspond à la configuration suivante :
Les systèmes s'appellent enigma et partym.
Chaque système dispose d'une adresse IP. Il peut d'agir d'une adresse IPv4, IPv6 ou les deux.
Chaque système nécessite le chiffrement ESP avec l'algorithme AES, qui requiert une clé de 128 bits, ainsi que l'authentification ESP avec la synthèse des messages SHA-2, qui requiert une clé de 512 bits.
Chaque système utilise des associations de sécurité partagées (SA, Security Associations).
Avec les SA partagées, une seule paire de SA est suffisante pour protéger les deux systèmes.
Remarque - Pour utiliser IPsec avec des étiquettes sur un système Trusted Extensions, reportez-vous aux étapes supplémentaires indiquées à la section Application des protections IPsec dans un réseau Trusted Extensions multiniveau du manuel Configuration et administration de Trusted Extensions.
Avant de commencer
La stratégie IPsec peut être configurée dans la zone globale ou dans une zone de pile IP en mode exclusif. La stratégie pour une zone de pile IP en mode partagé doit être configurée dans la zone globale. Dans une zone IP exclusive, vous devez configurer la stratégie IPsec dans la zone non globale.
Pour exécuter les commandes de configuration, vous devez vous connecter en tant qu'administrateur disposant du profil de droits Network IPsec Management (gestion IPsec du réseau). Pour modifier les fichiers système et créer des clés, vous devez prendre le rôle root. Pour plus d'informations, reportez-vous à la section Utilisation de vos droits d’administration du manuel Administration d’Oracle Solaris 11.1 : Services de sécurité.
Si vous vous connectez à distance, exécutez la commande ssh pour que votre connexion soit sécurisée. Reportez-vous à l'Exemple 7-1.
Cette étape permet au SMF d'utiliser le système de noms sans dépendre de services de noms inexistants. Pour plus d'informations, reportez-vous à la page de manuel smf(5).
# Secure communication with enigma 192.168.116.16 enigma
# Secure communication with partym 192.168.13.213 partym
Le nom de fichier est /etc/inet/ipsecinit.conf. Vous en trouverez un exemple dans le fichier /etc/inet/ipsecinit.sample.
{laddr enigma raddr partym} ipsec {encr_algs aes encr_auth_algs sha512 sa shared}
{laddr partym raddr enigma} ipsec {encr_algs aes encr_auth_algs sha512 sa shared}
La syntaxe des entrées de stratégie IPsec est décrite dans la page de manuel ipsecconf(1M).
Configurez IKE en suivant l'une des procédures de configuration décrites à la section Configuration du protocole IKE (liste des tâches). La syntaxe du fichier de configuration IKE est décrite à la page de manuel ike.config(4).
Remarque - Si vous devez générer et maintenir vos clés manuellement, reportez-vous à la section Création manuelle de clés IPsec.
# ipsecconf -f -c /etc/inet/ipsecinit.conf
Corrigez les éventuelles erreurs, vérifiez la syntaxe du fichier, puis continuez.
# svcadm refresh svc:/network/ipsec/policy:default
La stratégie IPsec est activée par défaut. Actualisez-la. Si vous avez désactivé la stratégie IPsec, activez-la.
# svcadm enable svc:/network/ipsec/policy:default
# svcadm enable svc:/network/ipsec/ike:default
# svcadm restart svc:/network/ipsec/ike:default
Si vous avez configuré les clés manuellement à l'Étape 4, suivez la procédure de la section Création manuelle de clés IPsec pour activer les clés.
La procédure est décrite à la section Vérification de la protection des paquets par IPsec.
Exemple 7-1 Ajout d'une stratégie IPsec lors de l'utilisation d'une connexion ssh
Dans cet exemple, l'administrateur ayant le rôle root configure la stratégie et les clés IPsec sur deux systèmes en utilisant la commande ssh pour atteindre le second système. L'administrateur est défini à l'identique sur les deux systèmes. Pour plus d'informations, reportez-vous à la page de manuel ssh(1).
Tout d'abord, l'administrateur configure le premier système en effectuant les étapes Étape 1 à Étape 5 de la procédure précédente.
Ensuite, dans une autre fenêtre de terminal, l'administrateur utilise le nom et l'ID utilisateur définis de façon identique pour se connecter à distance avec la commande ssh.
local-system $ ssh -l jdoe other-system other-system $ su - root Enter password: other-system #
Dans la fenêtre de terminal de la session ssh, l'administrateur configure la stratégie IPsec et les clés du second système en effectuant les opérations décrites de l'Étape 1 à l'Étape 7.
Ensuite, l'administrateur met fin à la session ssh.
other-system # exit local-system $ exit
Enfin, l'administrateur active la stratégie IPsec sur le premier système en suivant les procédures de l'Étape 6 et de l'Étape 7.
La prochaine fois que les deux systèmes communiquent, y compris par le biais d'une connexion ssh, la communication est protégée par IPsec.
Un serveur Web sécurisé permet aux clients Web de communiquer avec le service Web. Sur un serveur Web sécurisé, le trafic non Web doit passer des tests de sécurité. La procédure suivante inclut les contournements pour le trafic Web. En outre, ce serveur Web peut effectuer des demandes client DNS non sécurisées. Tout autre trafic requiert ESP avec les algorithmes AES et SHA-2.
Avant de commencer
Vous devez configurer la stratégie IPsec dans la zone globale. Dans une zone IP exclusive, vous devez configurer la stratégie IPsec dans la zone non globale.
Vous avez effectué les étapes de la section Sécurisation du trafic entre deux systèmes à l'aide d'IPsec afin que les conditions suivantes soient remplies :
La communication entre les deux systèmes est protégée par IPsec.
Les numéros de clés sont générés par IKE.
Vous avez vérifié que les paquets sont protégés.
Pour exécuter les commandes de configuration, vous devez vous connecter en tant qu'administrateur disposant du profil de droits Network IPsec Management (gestion IPsec du réseau). Pour modifier les fichiers système, vous devez prendre le rôle root. Pour plus d'informations, reportez-vous à la section Utilisation de vos droits d’administration du manuel Administration d’Oracle Solaris 11.1 : Services de sécurité.
Si vous vous connectez à distance, exécutez la commande ssh pour que votre connexion soit sécurisée. Reportez-vous à l'Exemple 7-1.
Pour un serveur Web, ces services incluent les ports TCP 80 (HTTP) et 443 (HTTP sécurisé). Si le serveur Web assure la recherche de noms DNS, le serveur doit peut-être inclure également le port 53 pour TCP et UDP.
Ajoutez les lignes suivantes dans le fichier /etc/inet/ipsecinit.conf :
# Web traffic that web server should bypass. {lport 80 ulp tcp dir both} bypass {} {lport 443 ulp tcp dir both} bypass {} # Outbound DNS lookups should also be bypassed. {rport 53 dir both} bypass {} # Require all other traffic to use ESP with AES and SHA-2. # Use a unique SA for outbound traffic from the port {} ipsec {encr_algs aes encr_auth_algs sha512 sa shared}
Cette configuration permet uniquement au trafic sécurisé d'accéder au système, avec les exceptions de contournement décrites à l'Étape 1.
# ipsecconf -f -c /etc/inet/ipsecinit.conf
# svcadm refresh svc:/network/ipsec/policy:default
Redémarrez le service ike.
# svcadm restart svc:/network/ipsec/ike
Si vous avez configuré les clés manuellement, suivez les instructions de la section Création manuelle de clés IPsec.
Votre installation est terminée. Si vous le souhaitez, vous pouvez effectuer l'Étape 6.
Ajoutez les lignes suivantes dans un fichier /etc/inet/ipsecinit.conf stocké sur le système distant :
# Communicate with web server about nonweb stuff # {laddr webserver} ipsec {encr_algs aes encr_auth_algs sha512 sa shared}
Vérifiez la syntaxe, puis actualisez la stratégie IPsec pour l'activer.
remote-system # ipsecconf -f -c /etc/inet/ipsecinit.conf remote-system # svcadm refresh svc:/network/ipsec/policy:default
Un système distant peut communiquer de manière sécurisée avec le serveur Web pour le trafic non-Web uniquement lorsque les stratégies IPsec des systèmes sont identiques.
Vous pouvez afficher les stratégies configurées dans le système lorsque vous exécutez la commande ipsecconf sans argument.
Avant de commencer
Vous devez exécuter la commande ipsecconf dans la zone globale. Dans une zone IP exclusive, vous devez exécuter la commande ipsecconf dans la zone non globale.
Vous devez vous connecter en tant qu'administrateur disposant du profil de droits Network IPsec Management (gestion IPsec du réseau). Pour plus d'informations, reportez-vous à la section Utilisation de vos droits d’administration du manuel Administration d’Oracle Solaris 11.1 : Services de sécurité.
$ ipsecconf
La commande affiche chaque entrée avec un index suivi d'un numéro.
$ ipsecconf -l -n
$ ipsecconf -L -n