| Ignorer les liens de navigation | |
| Quitter l'aperu | |
|
Administration d'Oracle Solaris : Services IP Oracle Solaris 10 1/13 Information Library (Français) |
| Ignorer les liens de navigation | |
| Quitter l'aperu | |
|
|
Administration d'Oracle Solaris : Services IP Oracle Solaris 10 1/13 Information Library (Français) |
Partie I Introduction à l'administration système : services IP
1. Suite de protocoles réseau TCP/IP Oracle Solaris (présentation)
Partie II Administration TCP/IP
2. Planification de votre réseau TCP/IP (tâches)
4. Planification d'un réseau IPv6 (tâches)
5. Configuration des services réseau TCP/IP et de l'adressage IPv4 (tâches)
6. Administration d'interfaces réseau (tâches)
7. Configuration d'un réseau IPv6 (tâches)
8. Gestion d'un réseau TCP/IP (tâches)
9. Dépannage des problèmes de réseau (tâches)
10. Présentation détaillée de TCP/IP et IPv4 (référence)
11. Présentation détaillée de IPv6 (référence)
12. A propos de DHCP (présentation)
13. Planification pour le service DHCP (liste des tâches)
14. Configuration du service DHCP (tâches)
15. Administration de DHCP (tâches)
16. Configuration et administration du client DHCP
17. Résolution des problèmes DHCP (référence)
18. Commandes et fichiers DHCP (référence)
19. Architecture IPsec (présentation)
20. Configuration d'IPsec (tâches)
21. Architecture IPsec (référence)
22. Protocole IKE (présentation)
IKE avec l'authentification des clés prépartagées
IKE avec certificats de clés publiques
Protocole IKE et accélération matérielle
Protocole IKE et stockage matériel
Modifications apportées à IKE dans la version Oracle Solaris 10
23. Configuration du protocole IKE (tâches)
25. IP Filter dans Oracle Solaris (présentation)
28. Administration d'IPMP (tâches)
Partie VI Qualité de service IP (IPQoS)
29. Présentation d'IPQoS (généralités)
30. Planification d'un réseau IPQoS (tâches)
31. Création du fichier de configuration IPQoS (tâches)
32. Démarrage et maintenance d'IPQoS (tâches)
33. Utilisation de la comptabilisation des flux et de la collecte statistique (tâches)
Le démon IKE, in.iked, négocie et authentifie de manière sécurisée le matériel de génération de clés pour les SA IPsec. Il utilise des amorces aléatoires pour les clés des fonctions internes fournies par le SE. Le protocole IKE assure une confidentialité de transmission parfaite (PFS, perfect forward secrecy). En mode PFS, les clés qui protègent la transmission des données ne sont pas utilisées pour générer des clés complémentaires. Les amorces employées pour créer des clés de transmission de données ne sont pas réutilisées. Reportez-vous à la page de manuel in.iked(1M).
Le tableau ci-dessous répertorie les termes utilisés dans la négociation des clés et les acronymes les plus couramment employés. Vous y trouverez également une définition de chacun de ces termes ainsi que leur contexte d'utilisation.
Tableau 22-1 Terminologie de négociation des clés, acronymes et utilisation
|
La phase 1 est connue sous le nom de Main Mode (mode principal). Pendant la phase 1, IKE utilise des méthodes de chiffrement de clé publique pour s'authentifier auprès d'entités IKE homologues. Il en résulte une association de sécurité (SA, security association) ISAKMP (Internet Security Association and Key Management Protocol). Une SA ISAKMP est un canal sécurisé sur lequel IKE négocie les numéros de clé des datagrammes IP. Contrairement aux SA IPsec, les SA ISAKMP sont bidirectionnelles. Il n'est donc pas nécessaire de disposer de plus d'une association de sécurité.
La façon dont IKE négocie les numéros de clé lors de la phase 1 peut être configurée. IKE lit les informations concernant la configuration dans le fichier /etc/inet/ike/config. Ces informations incluent :
Des paramètres généraux tels que le nom des certificats de clés publiques
L'activation ou non du mode de confidentialité de transmission parfaite (PFS)
Les interfaces concernées
Les protocoles de sécurité et leurs algorithmes
La méthode d'authentification
Les deux méthodes d'authentification utilisent respectivement les clés prépartagées et les certificats de clés publiques. Les certificats de clés publiques peuvent être autosignés ou émis par l'autorité de certification (AC) d'un fournisseur d'infrastructures de clés publiques (PKI).
La phase 2 est connue sous le nom de Quick Mode (mode rapide). Lors de la phase 2, IKE crée et gère les SA IPsec entre les systèmes qui exécutent le démon IKE. IKE utilise le canal sécurisé qui a été créé lors de la phase 1 pour protéger la transmission des numéros de clé. Le démon IKE crée les clés à partir d'un générateur de nombres aléatoires à l'aide du périphérique /dev/random. Le démon actualise les clés à une fréquence qui peut être configurée. Les numéros de clé sont accessibles aux algorithmes spécifiés dans le fichier de configuration ipsecinit.conf de la stratégie IPsec.
|