Sécurisation du réseau dans Oracle® Solaris 11.2

Quitter la vue de l'impression

 
Mis à jour : Septembre 2014
 
 

Concepts et terminologie du protocole IKE

    Les conditions et termes suivants sont communs aux deux versions d'IKE. Ils peuvent être implémentés différemment dans les deux versions.

  • Négociation et échange de clés – Echange de clés et authentification sécurisée de l'identité de l'homologue. Le processus utilise des algorithmes cryptographiques asymétriques. Les principales méthodes utilisées sont les protocoles RSA et Diffie-Hellman.

    IKE crée et gère les SA IPsec entre les systèmes qui exécutent un démon IKE. IKE négocie un canal sécurisé qui protège la transmission des numéros de clé. Le démon crée les clés à partir d'un générateur de nombres aléatoires à l'aide du périphérique /dev/random. Le démon modifie les clés à une fréquence qui peut être configurée. Les numéros de clé sont accessibles aux algorithmes spécifiés dans le fichier de configuration ipsecinit.conf de la stratégie IPsec.

  • Authentification Diffie-Hellman (DH) – Algorithme d'échange de clés qui permet à deux systèmes de générer une clé secrète partagée de manière sécurisée sur un canal non sécurisé.

  • Algorithme RSA – Un algorithme asymétrique utilisé pour authentifier l'identité de systèmes homologues, généralement en prouvant l'identification du propriétaire d'un certificat X.509. Cet algorithme porte le nom de ses trois créateurs : Rivest, Shamir et Adleman.

    Les algorithmes DSA ou ECDSA peuvent également être utilisés à cette fin.

  • Confidentialité persistante parfaite (PFS, Perfect forward secrecy) – Avec la fonction PFS, la clé visant à protéger la transmission des données n'est pas utilisée pour dériver d'autres clés. Il en est de même pour la source de la clé. Par conséquent, PFS peut empêcher le déchiffrement du trafic précédemment enregistré.

  • Groupe Oakley – Utilisé pour négocier la PFS. Reportez-vous à la section 6 de la RFC The Internet Key Exchange (IKE).

  • Fichier de stratégie IKE – Le jeu de règles d'IKE qui définit les paramètres acceptables à utiliser par un démon IKE lorsqu'il tente de créer un canal d'échange sécurisé avec un système homologue. Il s'agit d'un IKE SA dans IKEv2 ou Phase 1 dans IKEv1.

    Les paramètres incluent des algorithmes, des tailles de clé, des groupes Oakley et la méthode d'authentification. Les démons IKE Oracle Solaris prennent en charge les clés prépartagées et les certificats en tant que méthodes d'authentification.

Copyright © 1999, 2014, Oracle et/ou ses affiliés. Tous droits réservés. Mentions légales
Précédent
Suivant