| Ignorer les liens de navigation | |
| Quitter l'aperu | |
|
Sécurisation du réseau dans Oracle Solaris 11.1 Oracle Solaris 11.1 Information Library (Français) |
| Ignorer les liens de navigation | |
| Quitter l'aperu | |
|
|
Sécurisation du réseau dans Oracle Solaris 11.1 Oracle Solaris 11.1 Information Library (Français) |
1. Utilisation de la protection des liens dans des environnements virtualisés
Présentation de la protection des liens
Configuration de la protection des liens (liste des tâches)
Activation de la protection des liens
Désactivation de la protection des liens
Spécification des adresses IP pour la protection contre l'usurpation d'adresses IP
Spécification des clients DHCP pour assurer une protection contre l'usurpation d'adresses DHCP
Affichage de la configuration et des statistiques de protection des liens
3. Serveurs Web et protocole SSL (Secure Sockets Layer)
4. IP Filter dans Oracle Solaris (présentation)
6. Architecture IPsec (présentation)
7. Configuration d'IPsec (tâches)
8. Architecture IPsec (référence)
9. Protocole IKE (présentation)
Pour utiliser la protection des liens, définissez la propriété protection du lien. Si le type de protection fonctionne avec d'autres fichiers de configuration, tels que ip-nospoof avec allowed-ips ou dhcp-nospoof avec allowed-dhcp-cids, vous devez effectuer deux opérations globales. Vous devez tout d'abord activer la protection des liens. Puis vous devez personnaliser le fichier de configuration pour identifier les autres paquets dont la transmission est autorisée.
Remarque - Vous devez configurer la protection des liens dans la zone globale.
La liste des tâches suivante indique les procédures de configuration de la protection des liens sur un système Oracle Solaris.
|
Cette procédure restreint les types de paquets sortants et empêche l'usurpation des liens.
Avant de commencer
Vous devez vous connecter en tant qu'administrateur disposant du profil de droits Network Link Security (sécurité des liens du réseau). Pour plus d'informations, reportez-vous à la section Utilisation de vos droits d’administration du manuel Administration d’Oracle Solaris 11.1 : Services de sécurité.
# dladm show-linkprop -p protection
LINK PROPERTY PERM VALUE DEFAULT POSSIBLE
vnic0 protection rw -- -- mac-nospoof,
restricted,
ip-nospoof,
dhcp-nospoofPour obtenir une description des types possibles, reportez-vous à la section Types de protection des liens et à la page de manuel dladm(1M).
# dladm set-linkprop -p protection=value[,value,...] link
Dans l'exemple suivant, les quatre types de protection des liens sont activés sur le lien vnic0 :
# dladm set-linkprop \ -p protection=mac-nospoof,restricted,ip-nospoof,dhcp-nospoof vnic0
# dladm show-linkprop -p protection vnic0
LINK PROPERTY PERM VALUE DEFAULT POSSIBLE
vnic0 protection rw mac-nospoof -- mac-nospoof,
restricted restricted,
ip-nospoof ip-nospoof,
dhcp-nospoof dhcp-nospoofLe type de protection des liens sous VALUE indique que la protection est activée.
Cette procédure permet de réinitialiser la protection des liens sur la valeur par défaut, pas de protection des liens.
Avant de commencer
Vous devez vous connecter en tant qu'administrateur disposant du profil de droits Network Link Security (sécurité des liens du réseau). Pour plus d'informations, reportez-vous à la section Utilisation de vos droits d’administration du manuel Administration d’Oracle Solaris 11.1 : Services de sécurité.
# dladm reset-linkprop -p protection link
# dladm show-linkprop -p protection vnic0
LINK PROPERTY PERM VALUE DEFAULT POSSIBLE
vnic0 protection rw -- -- mac-nospoof,
restricted,
ip-nospoof,
dhcp-nospoofAucune liste d'un type de protection des liens sous VALUE n'indique que la protection des liens est désactivée.
Avant de commencer
Le type de protection ip-nospoof est activé, comme indiqué dans la section Activation de la protection des liens.
Vous devez vous connecter en tant qu'administrateur disposant du profil de droits Network Link Security (sécurité des liens du réseau). Pour plus d'informations, reportez-vous à la section Utilisation de vos droits d’administration du manuel Administration d’Oracle Solaris 11.1 : Services de sécurité.
# dladm show-linkprop -p protection link
LINK PROPERTY PERM VALUE DEFAULT POSSIBLE
link protection rw ...
ip-nospoof ip-nospoof L'affichage de ip-nospoof sous VALUE indique que ce type de protection est activé.
# dladm set-linkprop -p allowed-ips=IP-addr[,IP-addr,...] link
L'exemple suivant illustre l'ajout des adresses IP 10.0.0.1 et 10.0.0.2 à la propriété allowed-ips du lien vnic0 :
# dladm set-linkprop -p allowed-ips=10.0.0.1,10.0.0.2 vnic0
Pour plus d'informations, reportez-vous à la page de manuel dladm(1M).
Avant de commencer
Le type de protection dhcp-nospoof est activé, comme indiqué dans la section Activation de la protection des liens.
Vous devez vous connecter en tant qu'administrateur disposant du profil de droits Network Link Security (sécurité des liens du réseau). Pour plus d'informations, reportez-vous à la section Utilisation de vos droits d’administration du manuel Administration d’Oracle Solaris 11.1 : Services de sécurité.
# dladm show-linkprop -p protection link
LINK PROPERTY PERM VALUE DEFAULT POSSIBLE
link protection rw ...
dhcp-nospoof dhcp-nospoof L'affichage de dhcp-nospoof sous VALUE indique que ce type de protection est activé.
# dladm set-linkprop -p allowed-dhcp-cids=CID-or-DUID[,CID-or-DUID,...] link
L'exemple suivant indique comment spécifier la chaîne hello en tant que valeur de la propriété allowed-dhcp-cids du lien vnic0 :
# dladm set-linkprop -p allowed-dhcp-cids=hello vnic0
Pour plus d'informations, reportez-vous à la page de manuel dladm(1M).
Avant de commencer
Vous devez vous connecter en tant qu'administrateur disposant du profil de droits Network Link Security (sécurité des liens du réseau). Pour plus d'informations, reportez-vous à la section Utilisation de vos droits d’administration du manuel Administration d’Oracle Solaris 11.1 : Services de sécurité.
# dladm show-linkprop -p protection,allowed-ips,allowed-dhcp-cids link
L'exemple suivant affiche les valeurs des propriétés protection, allowed-ips et allowed-dhcp-cids du lien vnic0 :
# dladm show-linkprop -p protection,allowed-ips,allowed-dhcp-cids vnic0
LINK PROPERTY PERM VALUE DEFAULT POSSIBLE
vnic0 protection rw mac-nospoof -- mac-nospoof,
restricted restricted,
ip-nospoof ip-nospoof,
dhcp-nospoof dhcp-nospoof
vnic0 allowed-ips rw 10.0.0.1, -- --
10.0.0.2
vnic0 allowed-dhcp-cids rw hello -- --
Remarque - La propriété allowed-ips n'est utilisée que si ip-nospoof est activé, comme indiqué sous VALUE. La propriété allowed-dhcp-cids n'est utilisée que si dhcp-nospoof est activé.
La sortie de la commande dlstat est validée, cette commande est donc appropriée pour les scripts.
# dlstat -A
...
vnic0
mac_misc_stat
multircv 0
brdcstrcv 0
multixmt 0
brdcstxmt 0
multircvbytes 0
bcstrcvbytes 0
multixmtbytes 0
bcstxmtbytes 0
txerrors 0
macspoofed 0 <----------
ipspoofed 0 <----------
dhcpspoofed 0 <----------
restricted 0 <----------
ipackets 3
rbytes 182
...La sortie indique qu'il n'y a eu aucune tentative de transmission d'un paquet falsifié ou faisant l'objet d'une restriction.
Vous pouvez utiliser la commande kstat, mais la sortie correspondante n'est pas validée. Par exemple, la commande suivante affiche les statistiques dhcpspoofed :
# kstat vnic0:0:link:dhcpspoofed
module: vnic0 instance: 0
name: link class: vnic
dhcpspoofed 0 Pour plus d'informations, reportez-vous aux pages de manuel dlstat(1M) et kstat(1M).
|