Ignorer les liens de navigation | |
Quitter l'aperu | |
![]() |
Administration d'Oracle Solaris : Services IP Oracle Solaris 10 1/13 Information Library (Français) |
Partie I Introduction à l'administration système : services IP
1. Suite de protocoles réseau TCP/IP Oracle Solaris (présentation)
Partie II Administration TCP/IP
2. Planification de votre réseau TCP/IP (tâches)
4. Planification d'un réseau IPv6 (tâches)
5. Configuration des services réseau TCP/IP et de l'adressage IPv4 (tâches)
6. Administration d'interfaces réseau (tâches)
7. Configuration d'un réseau IPv6 (tâches)
8. Gestion d'un réseau TCP/IP (tâches)
9. Dépannage des problèmes de réseau (tâches)
10. Présentation détaillée de TCP/IP et IPv4 (référence)
11. Présentation détaillée de IPv6 (référence)
12. A propos de DHCP (présentation)
13. Planification pour le service DHCP (liste des tâches)
14. Configuration du service DHCP (tâches)
15. Administration de DHCP (tâches)
16. Configuration et administration du client DHCP
17. Résolution des problèmes DHCP (référence)
18. Commandes et fichiers DHCP (référence)
19. Architecture IPsec (présentation)
20. Configuration d'IPsec (tâches)
21. Architecture IPsec (référence)
Exemple de fichier ipsecinit.conf
Considérations de sécurité pour les commandes ipsecinit.conf et ipsecconf
Base de données des associations de sécurité IPsec
Extensions IPsec d'autres utilitaires
Option de sécurité encr_auth_algs
22. Protocole IKE (présentation)
23. Configuration du protocole IKE (tâches)
25. IP Filter dans Oracle Solaris (présentation)
28. Administration d'IPMP (tâches)
Partie VI Qualité de service IP (IPQoS)
29. Présentation d'IPQoS (généralités)
30. Planification d'un réseau IPQoS (tâches)
31. Création du fichier de configuration IPQoS (tâches)
32. Démarrage et maintenance d'IPQoS (tâches)
33. Utilisation de la comptabilisation des flux et de la collecte statistique (tâches)
Le protocole IKE permet la gestion automatique des clés pour les adresses IPv4 et IPv6. Pour obtenir les instructions relatives à la configuration IKE, reportez-vous au Chapitre 23, Configuration du protocole IKE (tâches). L'utilitaire de génération manuelle de clés est la commande ipseckey et sa description est disponible dans la page de manuel ipseckey(1M).
Exécutez la commande ipseckey pour remplir manuellement la base de données des associations de sécurité (SADB). En règle générale, les SA sont générées manuellement lorsqu'IKE n'est pas disponible pour une raison quelconque. Cependant, si les valeurs SPI sont uniques, la génération manuelle des SA et IKE peuvent être utilisés en même temps.
La commande ipseckey peut être utilisée pour afficher tous les SA connus du système, que les clés aient été ajoutées manuellement ou par IKE. A partir de la version Solaris 10 4/09, avec l'option -c, la commande ipseckey permet de vérifier la syntaxe du fichier de clés que vous spécifiez en tant qu'argument.
Les SA IPsec qui sont ajoutées par le biais de la commande ipseckey ne sont pas conservées après la réinitialisation du système. Dans la version actuelle, pour activer manuellement les SA ajoutés à l'initialisation du système, ajoutez des entrées au fichier /etc/inet/secret/ipseckeys, puis activez le service svc:/network/ipsec/manual-key:default. Pour connaître la procédure, reportez-vous à la section Création manuelle d'associations de sécurité IPsec.
Bien qu'elle présente un nombre limité d'options générales, la commande ipseckey prend en charge un langage de commande enrichi. Si vous le souhaitez, une interface de programmation de génération manuelle de clés peut transmettre les demandes. Pour plus d'informations, reportez-vous à la page de manuel pf_key(7P).
La commande ipseckey permet au superutilisateur ou à un rôle auquel a été attribué le profil de droits Network Security ou Network IPsec Management de saisir des informations de clés cryptographiques confidentielles. Un utilisateur malintentionné accédant à ces informations peut compromettre la sécurité du trafic IPsec.
Remarque - Si possible, utilisez IKE avec ipseckey plutôt que la génération de clés manuelle.
Prenez en considération les points suivants lorsque vous gérez des informations de génération de clés à l'aide de la commande ipseckey :
Avez-vous actualisé les informations relatives à la génération de clés ? L'actualisation périodique des clés est une pratique de sécurité essentielle. Elle permet de prémunir les éventuelles défaillances de l'algorithme et des clés, et de limiter les dommages subis par une clé exposée.
Le TTY est-il connecté à un réseau ? La commande ipseckey est-elle en mode interactif ?
En mode interactif, la sécurité des informations de génération de clés constitue celle du chemin d'accès au réseau pour le trafic du TTY. Evitez d'exécuter la commande ipseckey lors d'une session rlogin ou telnet en clair.
Même les fenêtres locales sont vulnérables aux attaques d'un programme caché qui intercepte les événements de fenêtre.
Avez-vous utilisé l'option -f ? Le fichier est-il en cours d'accès sur le réseau ? Le fichier est-il accessible en lecture par tout utilisateur ?
Un utilisateur malintentionné est en mesure de lire un fichier monté sur le réseau lorsque ce fichier est en cours de lecture. Le fichier contenant les informations de génération de clés ne doit pas être lisible par tous.
Protégez votre système d'attribution de nom. Lorsque les deux conditions suivantes sont vérifiées, vos noms d'hôtes ne sont plus fiables.
Votre adresse source est un hôte que vous pouvez rechercher sur le réseau.
Votre système d'attribution de nom est compromis.
Les défaillances de sécurité proviennent souvent d'une mauvaise utilisation des outils, non des outils eux-mêmes. Faites preuve de prudence lorsque vous exécutez la commande ipseckey. Une console ou autre TTY connecté offrent les modes d'opération les plus sûrs.