Sécurisation du réseau dans Oracle® Solaris 11.2

Quitter la vue de l'impression

Mis à jour : Septembre 2014
 
 

Configuration d'IKEv2 avec des clés prépartagées

Dans cette procédure, remplacez les noms enigma et partym par ceux de vos systèmes. Points d'extrémité de la configuration IKE.

Avant de commencer

Vous devez vous connecter en tant qu'administrateur disposant du profil de droits Network IPsec Management (gestion IPsec du réseau). Vous devez saisir dans un shell de profil. Pour plus d'informations, reportez-vous à la section A l’aide de vos droits administratifs attribués du manuel Sécurisation des utilisateurs et des processus dans Oracle Solaris 11.2 .

Si vous administrez à distance, reportez-vous à l'Example 7–1 et à Administration à distance de ZFS avec le shell sécurisé du manuel Gestion de l’accès au shell sécurisé dans Oracle Solaris 11.2 pour des instructions sur la connexion à distance sécurisée.

  1. Sur chaque système, modifiez le fichier /etc/inet/ike/ikev2.config.
    # pfedit /etc/inet/ike/ikev2.config
  2. Dans le fichier, créez une règle utilisant des clés prépartagées.

    Remarque -  Vous créez ainsi les clés de l'Step 4

    Les règles et paramètres globaux de ce fichier doivent gérer les clés dans la stratégie IPsec dans le fichier ipsecinit.conf du système. Les exemples suivants de configuration d'IKEv2 gèrent les clés des exemples d'ipsecinit.conf dans Sécurisation du trafic entre deux serveurs réseau à l'aide d'IPsec.

    1. Par exemple, modifiez le fichier ikev2.config sur le système enigma :

      Remarque - Dans cet exemple, deux section se transforme par les paramètres globaux. Un pair peut être configuré avec l'une de ces transformations. Transformation de façon à exiger un, incluez permettant de transformer particulier dans la règle.
      ### ikev2.config file on enigma, 192.168.116.16
      
      ## Global parameters
      # This default value will apply to all transforms that follow
      #
      ikesa_lifetime_secs 3600
      #
      # Global transform definitions.  The algorithm choices are
      # based on RFC 4921.
      #
      ## Two transforms are acceptable to this system, Group 20 and Group 19.
      ## A peer can be configured with 19 or 20.
      ## To ensure that a particular peer uses a specific transform,
      ## include the transform in the rule.
      ## 
      # Group 20 is 384-bit ECP - Elliptic Curve over Prime
      ikesa_xform { encr_alg aes(256..256) auth_alg sha384 dh_group 20 }
      # Group 19 is 256-bit ECP
      ikesa_xform { encr_alg aes(128..128) auth_alg sha256 dh_group 19 }
      #
      ## The rule to communicate with partym
      ##  Label must be unique
      { label "enigma-partym"
        auth_method preshared
        local_addr  192.168.116.16
        remote_addr 192.168.13.213
      }
    2. Modifiez le ikev2.configfichier sur le système partym :
      ## ikev2.config file on partym, 192.168.13.213
      ## Global Parameters
      #
      ...
      ikesa_xform { encr_alg aes(256..256) auth_alg sha384 dh_group 20 }
      ikesa_xform { encr_alg aes(128..128) auth_alg sha256 dh_group 19 }
      ...
      ## The rule to communicate with enigma
      ##  Label must be unique
      { label "partym-enigma"
        auth_method preshared
        local_addr  192.168.13.213
        remote_addr 192.168.116.16
      }
  3. Sur chaque système, vérifiez la syntaxe du fichier.
    # /usr/lib/inet/in.ikev2d -c
  4. Mettez la clé prépartagée dans le fichier /etc/inet/ike/ikev2.preshared sur chaque système.

    Caution

    Mise en garde  -  Ce fichier a des autorisations spéciales et son propriétaire est ikeuser. Ne jamais supprimer ou de remplacer ce fichier. Au lieu de cela, utilisez la commande pfedit pour modifier son contenu de façon à ce que le fichier conserve ses propriétés d'origine.


    1. Sur le système enigma par exemple, le fichier ikev2.preshared se présente comme suit :
      # pfedit -s /etc/inet/ike/ikev2.preshared
      ## ikev2.preshared on enigma, 192.168.116.16
      #…
      ## label must match the rule that uses this key
      { label "enigma-partym"
      ## The preshared key can also be represented in hex
      ## as in 0xf47cb0f432e14480951095f82b
         key "This is an ASCII Cqret phrAz, use str0ng p@ssword tekniques"
      }

      Pour plus d'informations sur les options de la commande pfedit, reportez-vous à la page de manuel pfedit(1M).

    2. Sur le système partym, le fichier ikev2.preshared est similaire, mis à part son étiquette unique :
      ## ikev2.preshared on partym, 192.168.13.213
      #…
      ## label must match the label of the rule that uses this key
      { label "partym-enigma"
      ## The preshared key can also be represented in hex
      ## as in 0xf47cb0f432e14480951095f82b
      	key "This is an ASCII Cqret phrAz, use str0ng p@ssword tekniques"
      	}
  5. Activez l'instance de service IKEv2.
    # svcadm enable ipsec/ike:ikev2

    Lorsque vous remplacez la clé prépartagée, modifiez les fichiers de clés prépartagées sur ses systèmes homologues et redémarrez le service ikev2.

    # svcadm restart ikev2
Exemple 9-1  Utilisation de différentes clés prépartagées IKEv2

Dans cet exemple, les administrateurs IKEv2 créent une clé prépartagée par système, les échangent et ajoutent chaque clé au fichier de clés prépartagées. L'étiquette de l'entrée de clé prépartagée correspond à l'étiquette dans une règle du fichier ikev2.config. Ensuite, ils redémarrent le démon in.ikev2d.

Après avoir reçu la clé prépartagée de l'autre système, l'administrateur modifie le fichier ikev2.preshared. Le fichier sur partym est le suivant :

# pfedit -s /etc/inet/ike/ikev2.preshared
#…
{ label "partym-enigma"
## local and remote preshared keys 
local_key  "P-LongISH key Th@t m^st Be Ch*angEd \'reguLarLy)"
remote_key "E-CHaNge lEyeGhtB+lBs et KeeS b4 2LoOoOoOoOng"
}

Par conséquent, le fichier ikev2.preshared sur enigma doit être le suivant :

#…
{ label "enigma-partym"
## local and remote preshared keys 
local_key  "E-CHaNge lEyeGhtB+lBs et KeeS b4 2LoOoOoOoOng"
remote_key "P-LongISH key Th@t m^st Be Ch*angEd \'reguLarLy)"
}

Les administrateurs redémarrent l'instance de service IKEv2 sur chacun des systèmes.

# svcadm restart ikev2

Etapes suivantes

Si vous n'avez pas terminé d'établir la stratégie IPsec, effectuez de nouveau la procédure IPsec pour activer ou actualiser la stratégie IPsec. Pour obtenir des exemples de la stratégie IPsec de protection de VPN, reportez-vous à Protection d'un VPN à l'aide d'IPsec. Pour plus d'exemples de la stratégie IPsec, reportez-vous à la section Sécurisation du trafic entre deux serveurs réseau à l'aide d'IPsec.

Pour plus d'exemples, reportez-vous aux pages de manuel ikev2.config(4) et ikev2.preshared(4).