ナビゲーションリンクをスキップ | |
印刷ビューの終了 | |
Oracle Solaris 11.1 でのネットワークのセキュリティー保護 Oracle Solaris 11.1 Information Library (日本語) |
3. Web サーバーと Secure Sockets Layer プロトコル
4. Oracle Solaris の IP フィルタ (概要)
8. IP セキュリティーアーキテクチャー (リファレンス)
フェーズ 1 IKE 交換に使用できるグループおよびアルゴリズムの表示方法
事前共有鍵は、IKE 用のもっとも簡単な認証方法です。IKE を使用するようにピアシステムを構成し、さらに、ユーザーが両方のシステムの管理者である場合、事前共有鍵を使用することをお勧めします。ただし、公開鍵認証とは異なり、事前共有鍵は IP アドレスに関連付けられます。事前共有鍵を特定の IP アドレスまたは IP アドレス範囲に関連付けることができます。事前共有鍵は、移動体システムや、番号が変更されることがあるシステムでは使用できませんが、番号の変更が、指定された IP アドレスの範囲内である場合を除きます。
IKE 実装では、鍵の長さが異なるさまざまなアルゴリズムが提供されます。鍵の長さは、サイトのセキュリティーに応じて選択します。一般的に、鍵の長さが長いほど、セキュリティーが高くなります。
この手順では、ASCII 形式の鍵を生成します。
これらの手順には、システム名 enigma および partym を使用します。enigma と partym を各自使用しているシステムの名前に置き換えてください。
注 - Trusted Extensions システムのラベルと一緒に IPsec を使用するには、『Trusted Extensions 構成と管理』の「マルチレベル Trusted Extensions ネットワークで IPsec 保護を適用する」にあるこの手順の拡張を参照してください。
始める前に
solaris.admin.edit/etc/inet/ike/config 承認に加えて、Network IPsec Management 権利プロファイルが割り当てられている管理者になる必要があります。root 役割には、これらの権利がすべて含まれています。詳細については、『Oracle Solaris 11.1 の管理: セキュリティーサービス』の「割り当てられている管理権限を使用する方法」を参照してください。
リモートからログインする場合、セキュアなリモートログイン用の ssh コマンドを使用してください。例については、例 7-1 を参照してください。
/etc/inet/ike/config.sample をテンプレートとして使用できます。
これらの規則やグローバルパラメータは、システムの ipsecinit.conf ファイルに設定されている IPsec ポリシーが正しく動作するものでなければなりません。次の IKE 構成例は、How to Secure Traffic Between Two Systems With IPsecの 「IPsec で 2 つのシステム間のトラフィックを保護するには」 の例で機能します。
### ike/config file on enigma, 192.168.116.16 ## Global parameters # ## Defaults that individual rules can override. p1_xform { auth_method preshared oakley_group 5 auth_alg sha encr_alg 3des } p2_pfs 2 # ## The rule to communicate with partym # Label must be unique { label "enigma-partym" local_addr 192.168.116.16 remote_addr 192.168.13.213 p1_xform { auth_method preshared oakley_group 5 auth_alg sha256 encr_alg aes } p2_pfs 5 }
### ike/config file on partym, 192.168.13.213 ## Global Parameters # p1_xform { auth_method preshared oakley_group 5 auth_alg sha encr_alg 3des } p2_pfs 2 ## The rule to communicate with enigma # Label must be unique { label "partym-enigma" local_addr 192.168.13.213 remote_addr 192.168.116.16 p1_xform { auth_method preshared oakley_group 5 auth_alg sha256 encr_alg aes } p2_pfs 5 }
# /usr/lib/inet/in.iked -c -f /etc/inet/ike/config
各ファイルに事前共有鍵を書き込みます。
# ike.preshared on enigma, 192.168.116.16 #… { localidtype IP localid 192.168.116.16 remoteidtype IP remoteid 192.168.13.213 # The preshared key can also be represented in hex # as in 0xf47cb0f432e14480951095f82b # key "This is an ASCII Cqret phrAz, use str0ng p@ssword tekniques" }
# ike.preshared on partym, 192.168.13.213 #… { localidtype IP localid 192.168.13.213 remoteidtype IP remoteid 192.168.116.16 # The preshared key can also be represented in hex # as in 0xf47cb0f432e14480951095f82b key "This is an ASCII Cqret phrAz, use str0ng p@ssword tekniques" }
# svcadm enable ipsec/ike
例 10-1 IKE 事前共有鍵をリフレッシュする
IKE 管理者が事前共有鍵をリフレッシュするときは、ピアシステム上のファイルを編集し、in.iked デーモンを再起動します。
最初に、管理者は 192.168.13.0/24 サブネット上のすべてのホストについて有効な、事前共有鍵エントリを追加します。
#… { localidtype IP localid 192.168.116.0/24 remoteidtype IP remoteid 192.168.13.0/24 # enigma and partym's shared passphrase for keying material key "LOooong key Th@t m^st Be Ch*angEd \'reguLarLy)" }
次に、管理者は各システムの IKE サービスを再起動します。
# svcadm enable ipsec/ike
次の手順
IPsec ポリシーの設定がまだ完了していない場合、IPsec の手順に戻って IPsec ポリシーを有効にするかリフレッシュしてください。
同じピア間で動作中の構成に対して IPsec ポリシーエントリを追加した場合、IPsec ポリシーサービスをリフレッシュする必要があります。IKE の再構成または再起動は不要です。
IPsec ポリシーに新しいピアを追加した場合、IPsec の変更に加えて IKE 構成を変更する必要があります。
始める前に
ipsecinit.conf ファイルをリフレッシュし、ピアシステムの IPsec ポリシーをリフレッシュしました。
solaris.admin.edit/etc/inet/ike/config 承認に加えて、Network IPsec Management 権利プロファイルが割り当てられている管理者になる必要があります。root 役割には、これらの権利がすべて含まれています。詳細については、『Oracle Solaris 11.1 の管理: セキュリティーサービス』の「割り当てられている管理権限を使用する方法」を参照してください。
リモートからログインする場合、セキュアなリモートログイン用の ssh コマンドを使用してください。例については、例 7-1 を参照してください。
### ike/config file on enigma, 192.168.116.16 ## The rule to communicate with ada {label "enigma-to-ada" local_addr 192.168.116.16 remote_addr 192.168.15.7 p1_xform {auth_method preshared oakley_group 5 auth_alg sha256 encr_alg aes} p2_pfs 5 }
### ike/config file on ada, 192.168.15.7 ## The rule to communicate with enigma {label "ada-to-enigma" local_addr 192.168.15.7 remote_addr 192.168.116.16 p1_xform {auth_method preshared oakley_group 5 auth_alg sha256 encr_alg aes} p2_pfs 5 }
# ike.preshared on enigma for the ada interface # { localidtype IP localid 192.168.116.16 remoteidtype IP remoteid 192.168.15.7 # enigma and ada's shared key key "Twas brillig and the slivey toves did *s0mEtHiNg* be CareFULL hEEEr" }
# ike.preshared on ada for the enigma interface # { localidtype IP localid 192.168.15.7 remoteidtype IP remoteid 192.168.116.16 # ada and enigma's shared key key "Twas brillig and the slivey toves did *s0mEtHiNg* be CareFULL hEEEr" }
# svcadm refresh ike
次の手順
IPsec ポリシーの設定がまだ完了していない場合、IPsec の手順に戻って IPsec ポリシーを有効にするかリフレッシュしてください。