Ignorer les liens de navigation | |
Quitter l'aperu | |
![]() |
Administration d'Oracle Solaris : Services IP Oracle Solaris 10 1/13 Information Library (Français) |
Partie I Introduction à l'administration système : services IP
1. Suite de protocoles réseau TCP/IP Oracle Solaris (présentation)
Partie II Administration TCP/IP
2. Planification de votre réseau TCP/IP (tâches)
4. Planification d'un réseau IPv6 (tâches)
5. Configuration des services réseau TCP/IP et de l'adressage IPv4 (tâches)
6. Administration d'interfaces réseau (tâches)
7. Configuration d'un réseau IPv6 (tâches)
8. Gestion d'un réseau TCP/IP (tâches)
9. Dépannage des problèmes de réseau (tâches)
10. Présentation détaillée de TCP/IP et IPv4 (référence)
11. Présentation détaillée de IPv6 (référence)
12. A propos de DHCP (présentation)
13. Planification pour le service DHCP (liste des tâches)
14. Configuration du service DHCP (tâches)
15. Administration de DHCP (tâches)
16. Configuration et administration du client DHCP
17. Résolution des problèmes DHCP (référence)
18. Commandes et fichiers DHCP (référence)
19. Architecture IPsec (présentation)
20. Configuration d'IPsec (tâches)
21. Architecture IPsec (référence)
22. Protocole IKE (présentation)
23. Configuration du protocole IKE (tâches)
Configuration du protocole IKE (liste des tâches)
Configuration du protocole IKE avec des clés prépartagées (liste des tâches)
Configuration du protocole IKE avec des clés prépartagées
Configuration du protocole IKE avec des clés prépartagées
Actualisation des clés IKE prépartagées
Affichage des clés IKE prépartagées
Ajout d'une clé IKE prépartagée pour une nouvelle entrée de stratégie dans ipsecinit.conf
Méthode de vérification de la concordance des clés prépartagées IKE
Configuration du protocole IKE avec des certificats de clés publiques (liste des tâches)
Configuration du protocole IKE avec des certificats de clés publiques
Configuration du protocole IKE avec des certificats de clés publiques autosignés
Configuration du protocole IKE avec des certificats signés par une CA
Génération et stockage de certificats de clés publiques dans le matériel
Traitement des listes des certificats révoqués
Configuration du protocole IKE pour les systèmes portables (liste des tâches)
Configuration du protocole IKE pour les systèmes portables
Configuration du protocole IKE pour les systèmes hors site
Configuration du protocole IKE en vue de l'utilisation du matériel connecté (liste des tâches)
Configuration du protocole IKE en vue de l'utilisation du matériel connecté
Configuration du protocole IKE en vue de l'utilisation d'une carte Sun Crypto Accelerator 1000
Configuration du protocole IKE en vue de l'utilisation d'une carte Sun Crypto Accelerator 4000
Configuration du protocole IKE en vue de l'utilisation d'une carte Sun Crypto Accelerator 6000
Modification des paramètres de transmission du protocole IKE (liste des tâches)
Modification des paramètres de transmission du protocole IKE
Modification de la durée de la phase 1 de la négociation des clés IKE
25. IP Filter dans Oracle Solaris (présentation)
28. Administration d'IPMP (tâches)
Partie VI Qualité de service IP (IPQoS)
29. Présentation d'IPQoS (généralités)
30. Planification d'un réseau IPQoS (tâches)
31. Création du fichier de configuration IPQoS (tâches)
32. Démarrage et maintenance d'IPQoS (tâches)
33. Utilisation de la comptabilisation des flux et de la collecte statistique (tâches)
Les clés prépartagées sont la méthode d'authentification la plus simple pour IKE. Elles s'utilisent notamment lors de la configuration du protocole IKE sur deux systèmes gérés par le même administrateur. N'oubliez cependant pas que, contrairement aux certificats de clés publiques, les clés prépartagées sont liées à une adresse IP donnée et ne peuvent pas s'utiliser avec des systèmes portables ou des systèmes susceptibles d'être renumérotés.
La longueur des clés des algorithmes d'implémentation du protocole IKE est variable. Elle dépend du niveau de sécurité dont vous souhaitez doter le site. En règle générale, la longueur des clés est proportionnelle au niveau de sécurité.
Les noms de systèmes choisis pour illustrer cette procédure sont : enigma et partym. Remplacez enigma et partym par les noms de vos systèmes.
Le rôle d'administrateur principal inclut le profil d'administrateur principal. Pour plus d'informations sur la création d'un rôle et son assignation à un utilisateur, reportez-vous au Chapitre 2, Utilisation de Solaris Management Console (tâches) du manuel Administration d’Oracle Solaris : Administration de base.
Remarque - En vous connectant à distance, vous exposez le trafic de données confidentielles à des risques d'écoute électronique. Même si vous protégez la connexion à distance d'une manière ou d'une autre, la sécurité du système se limite à celle de la session à distance. Exécutez la commande ssh pour une connexion à distance sécurisée.
Les règles et paramètres globaux de ce fichier doivent garantir le fonctionnement de la stratégie IPsec du fichier ipsecinit.conf. Les exemples ike/config ci-dessous vont de pair avec les exemples ipsecinit.conf de la section Sécurisation du trafic entre deux systèmes à l'aide d'IPsec.
### ike/config file on enigma, 192.168.116.16 ## Global parameters # ## Phase 1 transform defaults p1_lifetime_secs 14400 p1_nonce_len 40 # ## Defaults that individual rules can override. p1_xform { auth_method preshared oakley_group 5 auth_alg sha encr_alg 3des } p2_pfs 2 # ## The rule to communicate with partym # Label must be unique { label "enigma-partym" local_addr 192.168.116.16 remote_addr 192.168.13.213 p1_xform { auth_method preshared oakley_group 5 auth_alg sha1 encr_alg aes } p2_pfs 5 }
### ike/config file on partym, 192.168.13.213 ## Global Parameters # p1_lifetime_secs 14400 p1_nonce_len 40 # p1_xform { auth_method preshared oakley_group 5 auth_alg sha encr_alg 3des } p2_pfs 2 ## The rule to communicate with enigma # Label must be unique { label "partym-enigma" local_addr 192.168.13.213 remote_addr 192.168.116.16 p1_xform { auth_method preshared oakley_group 5 auth_alg sha1 encr_alg aes } p2_pfs 5 }
# /usr/lib/inet/in.iked -c -f /etc/inet/ike/config
Si votre site possède un générateur de nombres aléatoires, utilisez-le. Sur un système Oracle Solaris 10, vous pouvez exécuter la commande od. La commande suivante vous permet par exemple d'imprimer deux lignes de nombres hexadécimaux :
% od -X -A n /dev/random | head -2 f47cb0f4 32e14480 951095f8 2b735ba8 0a9467d0 8f92c880 68b6a40e 0efe067d
Pour plus de détails sur la commande od, reportez-vous à la section Génération de numéros aléatoires sur un système Oracle Solaris et à la page de manuel od(1).
Remarque - D'autres systèmes d'exploitation peuvent nécessiter des numéros de clé au format ASCII. Pour générer une clé identique dans les deux formats, hexadécimal et ASCII, reportez-vous à l'Exemple 23-1.
f47cb0f432e14480951095f82b735ba80a9467d08f92c88068b6a40e
Pour cette procédure, l'algorithme d'authentification est SHA–1, comme indiqué à l'Étape 3. La taille du hachage, c'est-à-dire la taille de la sortie de l'algorithme d'authentification, détermine la taille minimale recommandée pour une clé prépartagée. La taille de la sortie de l'algorithme SHA–1 est de 160 bits ou 40 caractères. Dans cet exemple, la clé possède 56 caractères, ce qui permet au protocole IKE de disposer de numéros de clé supplémentaires.
Placez la clé prépartagée dans chacun des fichiers.
# ike.preshared on enigma, 192.168.116.16 #… { localidtype IP localid 192.168.116.16 remoteidtype IP remoteid 192.168.13.213 # enigma and partym's shared key in hex (192 bits) key f47cb0f432e14480951095f82b735ba80a9467d08f92c88068b6a40e }
# ike.preshared on partym, 192.168.13.213 #… { localidtype IP localid 192.168.13.213 remoteidtype IP remoteid 192.168.116.16 # partym and enigma's shared key in hex (192 bits) key f47cb0f432e14480951095f82b735ba80a9467d08f92c88068b6a40e }
Remarque - Les clés prépartagées doivent être identiques sur chacun des systèmes.
Exemple 23-1 Génération de numéros de clé identiques pour deux systèmes dotés de systèmes d'exploitation différents
La fonction IPsec d'Oracle Solaris interopère avec IPsec sur d'autres systèmes d'exploitation. Si votre système communique avec un système qui requiert des clés prépartagées ASCII, vous devez générer une clé dans les deux formats, hexadécimal et ASCII.
Dans cet exemple, l'administrateur système d'Oracle Solaris veut générer une clé de 56 caractères. Il utilise la commande ci-dessous pour générer une clé hexadécimale à partir d'une phrase de passe ASCII. L'option -tx1 imprime les octets un par un sur tous les systèmes Oracle Solaris.
# /bin/echo "papiermache with cashews and\c" | od -tx1 | cut -c 8-55 | \ tr -d '\n' | tr -d ' ' | awk '{print}' 7061706965726d616368652077697468206361736865777320616e64
Après suppression des décalages et concaténation de la sortie hexadécimale, la clé hexadécimale pour le système Oracle Solaris est 7061706965726d616368652077697468206361736865777320616e64 . L'administrateur place cette valeur dans le fichier ike.preshared sur le système Oracle Solaris.
# Shared key in hex (192 bits) key 7061706965726d616368652077697468206361736865777320616e64
Sur le système qui requiert des clés prépartagées ASCII, la phrase de passe correspond à la clé prépartagée. L'administrateur Oracle Solaris communique la phrase de passe papiermache with cashews and à l'autre administrateur par téléphone.
Cette procédure permet de remplacer une clé prépartagée existante à intervalles réguliers.
Le rôle d'administrateur principal inclut le profil d'administrateur principal. Pour plus d'informations sur la création d'un rôle et son assignation à un utilisateur, reportez-vous au Chapitre 2, Utilisation de Solaris Management Console (tâches) du manuel Administration d’Oracle Solaris : Administration de base.
Remarque - En vous connectant à distance, vous exposez le trafic de données confidentielles à des risques d'écoute électronique. Même si vous protégez la connexion à distance d'une manière ou d'une autre, la sécurité du système se limite à celle de la session à distance. Exécutez la commande ssh pour une connexion à distance sécurisée.
Pour plus de détails, reportez-vous à la section Génération de numéros aléatoires sur un système Oracle Solaris. Si vous générez une clé prépartagée pour un système Oracle Solaris qui communique avec un système d'exploitation nécessitant une clé ASCII, reportez-vous à l'Exemple 23-1.
A titre d'exemple, sur les hôtes enigma et partym, cela revient à remplacer la valeur de key stockée dans le fichier /etc/inet/secret/ike.preshared par un nouveau nombre possédant la même longueur.
# svcadm enable ike
# /usr/sbin/ikeadm get priv Current privilege level is 0x0, base privileges enabled
Vous pouvez modifier les numéros de clé si la commande renvoie un niveau de privilège 0x1 ou 0x2. Si le niveau renvoyé est 0x0, vous ne pouvez ni modifier ni afficher les numéros de clé. Par défaut, le démon in.iked s'exécute au niveau de privilège 0x0.
Lorsque le démon redémarre, il lit la nouvelle version du fichier ike.preshared.
# pkill in.iked # /usr/lib/inet/in.iked
# ikeadm read preshared
Par défaut, la commande ikeadm vous empêche de consulter les clés réelles dans le fichier de vidage d'une SA phase 1. L'affichage des clés est utile lors du débogage.
Pour afficher les clés réelles, vous devez augmenter le niveau de privilège du démon. Pour une description des niveaux de privilège, reportez-vous à la section Commande ikeadm.
Remarque - Pour effectuer cette procédure sur une version antérieure à la version Solaris 10 4/09, voir l'Exemple 23-2.
Avant de commencer
IKE est configuré et le service ike est en cours d'exécution.
# ikeadm ikeadm> dump preshared
# svcprop -p config/admin_privilege ike base # svccfg -s ike setprop config/admin_privilege=keymat
# svcadm refresh ike ; svcadm restart ike
# svcprop -p config/admin_privilege ike keymat
# svccfg -s ike setprop config/admin_privilege=base
# svcadm refresh ike ; svcadm restart ike
Exemple 23-2 Vérification des clés IKE prépartagées dans une version antérieure à la version Solaris 10 4/09
Dans l'exemple suivant, l'administrateur affiche les clés sur un système Solaris n'exécutant pas la version actuelle d'Oracle Solaris 10. L'administrateur souhaite vérifier que les clés de ce système sont identiques aux clés du système communicant. Après avoir vérifié que les clés sont identiques sur les deux systèmes, l'administrateur rétablit le niveau de privilège sur 0.
Tout d'abord, l'administrateur détermine le niveau de privilège du démon in.iked.
adm1 # /usr/sbin/ikeadm get priv Current privilege level is 0x0, base privileges enabled
Le niveau de privilège n'étant pas 0x1 ni 0x2, l'administrateur arrête le démon in.iked, puis augmente le niveau de privilège sur 2.
adm1 # pkill in.iked adm1 # /usr/lib/inet/in.iked -p 2 Setting privilege level to 2
L'administrateur affiche les clés.
adm1 # ikeadm dump preshared PSKEY: Preshared key (24 bytes): f47cb…/192 LOCIP: AF_INET: port 0, 192.168.116.16 (adm1). REMIP: AF_INET: port 0, 192.168.13.213 (com1).
L'administrateur se connecte à distance au système communicant et détermine si les clés sont identiques.
L'administrateur rétablit ensuite le niveau de privilège de base.
# ikeadm set priv base
Si vous ajoutez des entrées de stratégie IPsec à une configuration de travail entre des systèmes homologues, vous devez actualiser le service de stratégie IPsec. Il n'est pas nécessaire de reconfigurer ou de redémarrer IKE.
Si vous ajoutez un nouveau système homologue à la stratégie IPsec, vous devez modifier non seulement IPsec, mais aussi la configuration IKE.
Remarque - Pour effectuer cette procédure sur une version antérieure à la version Solaris 10 4/09, voir l'Exemple 23-3.
Avant de commencer
Vous avez mis à jour le fichier ipsecinit.conf et actualisé la stratégie IPsec pour les systèmes homologues.
Le rôle d'administrateur principal inclut le profil d'administrateur principal. Pour plus d'informations sur la création d'un rôle et son assignation à un utilisateur, reportez-vous au Chapitre 2, Utilisation de Solaris Management Console (tâches) du manuel Administration d’Oracle Solaris : Administration de base.
Remarque - En vous connectant à distance, vous exposez le trafic de données confidentielles à des risques d'écoute électronique. Même si vous protégez la connexion à distance d'une manière ou d'une autre, la sécurité du système se limite à celle de la session à distance. Exécutez la commande ssh pour une connexion à distance sécurisée.
Pour plus de détails, reportez-vous à la section Génération de numéros aléatoires sur un système Oracle Solaris. Si vous générez une clé prépartagée pour un système Oracle Solaris qui communique avec un système d'exploitation nécessitant une clé ASCII, reportez-vous à l'Exemple 23-1.
Vous devez tous deux ajouter simultanément la même clé prépartagée. La sécurité de cette clé est directement liée à celle du moyen de transmission. Utilisez donc de préférence un moyen hors bande de type courrier recommandé ou fax protégé. Vous pouvez également utiliser une session ssh pour administrer les deux systèmes.
### ike/config file on enigma, 192.168.116.16 ## The rule to communicate with ada {label "enigma-to-ada" local_addr 192.168.116.16 remote_addr 192.168.15.7 p1_xform {auth_method preshared oakley_group 5 auth_alg sha1 encr_alg blowfish} p2_pfs 5 }
### ike/config file on ada, 192.168.15.7 ## The rule to communicate with enigma {label "ada-to-enigma" local_addr 192.168.15.7 remote_addr 192.168.116.16 p1_xform {auth_method preshared oakley_group 5 auth_alg sha1 encr_alg blowfish} p2_pfs 5 }
# ike.preshared on enigma for the ada interface # { localidtype IP localid 192.168.116.16 remoteidtype IP remoteid 192.168.15.7 # enigma and ada's shared key in hex (32 - 448 bits required) key 8d1fb4ee500e2bea071deb2e781cb48374411af5a9671714672bb1749ad9364d }
# ike.preshared on ada for the enigma interface # { localidtype IP localid 192.168.15.7 remoteidtype IP remoteid 192.168.116.16 # ada and enigma's shared key in hex (32 - 448 bits required) key 8d1fb4ee500e2bea071deb2e781cb48374411af5a9671714672bb1749ad9364d }
# svcadm refresh ike
Reportez-vous à la section Méthode de vérification de la concordance des clés prépartagées IKE.
Exemple 23-3 Ajout d'une clé IKE prépartagée pour une nouvelle entrée de stratégie IPsec
Dans l'exemple suivant, l'administrateur ajoute une clé prépartagée à un système Solaris n'exécutant pas la version actuelle d'Oracle Solaris 10. L'administrateur suit la procédure précédente pour modifier les fichiers ike/config et ike.preshared et pour générer des clés et contacter le système distant.
Avant de générer une nouvelle clé, l'administrateur définit le niveau de privilège du démon in.iked sur 2.
# pkill in.iked # /usr/lib/inet/in.iked -p 2 Setting privilege level to 2
Après l'envoi de la clé à l'autre système et l'ajout d'une nouvelle clé au système, l'administrateur réduit le niveau de privilège.
# ikeadm set priv base
Enfin, l'administrateur lit les nouvelles règles IKE dans le noyau.
# ikeadm read rules
Étapes suivantes
Si vous n'avez pas terminé d'établir la stratégie IPsec, effectuez de nouveau la procédure IPsec pour activer ou actualiser la stratégie IPsec.
La concordance clés prépartagées des systèmes communicants est nécessaire à l'authentification.
Avant de commencer
IPsec est configuré et a été activé entre les deux systèmes sur lesquels vous travaillez. Vous exécutez la version actuelle Oracle Solaris 10.
Remarque - Pour effectuer cette procédure sur une version antérieure à la version Solaris 10 4/09, voir l'Exemple 23-2.
Le rôle d'administrateur principal inclut le profil d'administrateur principal. Pour plus d'informations sur la création d'un rôle et son assignation à un utilisateur, reportez-vous au Chapitre 2, Utilisation de Solaris Management Console (tâches) du manuel Administration d’Oracle Solaris : Administration de base.
Remarque - En vous connectant à distance, vous exposez le trafic de données confidentielles à des risques d'écoute électronique. Même si vous protégez la connexion à distance d'une manière ou d'une autre, la sécurité du système se limite à celle de la session à distance. Exécutez la commande ssh pour une connexion à distance sécurisée.
# svcprop -p config/admin_privilege ike base
Effectuez une actualisation, puis redémarrez le service ike.
# svccfg -s ike setprop config/admin_privilege=keymat # svcadm refresh ike ; svcadm restart ike # svcprop -p config/admin_privilege ike keymat
# ikeadm dump preshared PSKEY: Preshared key (24 bytes): f47cb…/192 LOCIP: AF_INET: port 0, 192.168.116.16 (enigma). REMIP: AF_INET: port 0, 192.168.13.213 (partym).
Si les clés prépartagées ne sont pas identiques, remplacez l'une d'entre elles dans le fichier /etc/inet/secret/ike.preshared.
# svccfg -s ike setprop config/admin_privilege=base # svcadm restart ike