La longueur des clés des algorithmes d'implémentation du protocole IKE est variable. Elle dépend du niveau de sécurité dont vous souhaitez doter le site. En règle générale, la longueur des clés est proportionnelle au niveau de sécurité.
Dans cette procédure, vous générez des clés au format ASCII.
Les noms de systèmes choisis pour illustrer cette procédure sont : enigma et partym. Remplacez enigma et partym par les noms de vos systèmes.
Avant de commencer
Vous devez vous connecter en tant qu'administrateur disposant du profil de droits Network IPsec Management (gestion IPsec du réseau). Pour plus d'informations, reportez-vous à la section A l’aide de vos droits administratifs attribués du manuel Sécurisation des utilisateurs et des processus dans Oracle Solaris 11.2 .
Si vous administrez à distance, reportez-vous à l'Example 7–1 et à Administration à distance de ZFS avec le shell sécurisé du manuel Gestion de l’accès au shell sécurisé dans Oracle Solaris 11.2 pour des instructions sur la connexion à distance sécurisée.
Vous pouvez utiliser le fichier /etc/inet/ike/config.sample comme modèle.
Les règles et paramètres globaux de ce fichier doivent garantir le fonctionnement de la stratégie IPsec du fichier ipsecinit.conf. Les exemples suivants de configuration d'IKEv1 fonctionnent avec les exemples d'ipsecinit.conf dans Sécurisation du trafic entre deux serveurs réseau à l'aide d'IPsec.
### ike/config file on enigma, 192.168.116.16
## Global parameters
#
## Defaults that individual rules can override.
p1_xform
{ auth_method preshared oakley_group 5 auth_alg sha encr_alg 3des }
p2_pfs 2
#
## The rule to communicate with partym
# Label must be unique
{ label "enigma-partym"
local_addr 192.168.116.16
remote_addr 192.168.13.213
p1_xform
{ auth_method preshared oakley_group 5 auth_alg sha256 encr_alg aes }
p2_pfs 5
}
### ike/config file on partym, 192.168.13.213
## Global Parameters
#
p1_xform
{ auth_method preshared oakley_group 5 auth_alg sha encr_alg 3des }
p2_pfs 2
## The rule to communicate with enigma
# Label must be unique
{ label "partym-enigma"
local_addr 192.168.13.213
remote_addr 192.168.116.16
p1_xform
{ auth_method preshared oakley_group 5 auth_alg sha256 encr_alg aes }
p2_pfs 5
}
# /usr/lib/inet/in.iked -c -f /etc/inet/ike/config
## ike.preshared on enigma, 192.168.116.16
#…
{ localidtype IP
localid 192.168.116.16
remoteidtype IP
remoteid 192.168.13.213
# The preshared key can also be represented in hex
# as in 0xf47cb0f432e14480951095f82b
# key "This is an ASCII Cqret phrAz, use str0ng p@ssword tekniques"
}
## ike.preshared on partym, 192.168.13.213
#…
{ localidtype IP
localid 192.168.13.213
remoteidtype IP
remoteid 192.168.116.16
# The preshared key can also be represented in hex
# as in 0xf47cb0f432e14480951095f82b
key "This is an ASCII Cqret phrAz, use str0ng p@ssword tekniques"
}
# svcadm enable ipsec/ike:default
Lorsqu'un administrateur IKEv1 souhaite actualiser la clé prépartagée, il modifie les fichiers sur ses systèmes homologues et redémarre le démon in.iked.
En première position, à tous les systèmes du les deux sous-réseaux qui utilise la clé prépartagée, l'administrateur modifie la clé prépartagée entrée.
# pfedit -s /etc/inet/secret/ike.preshared
…
{ localidtype IP
localid 192.168.116.0/24
remoteidtype IP
remoteid 192.168.13.0/24
# The two subnet's shared passphrase for keying material
key "LOooong key Th@t m^st Be Ch*angEd \'reguLarLy)"
}
Ensuite, l'administrateur redémarre le service IKEv1 sur chaque système.
Pour plus d'informations sur les options de la commande pfedit, reportez-vous à la page de manuel pfedit(1M).
# svcadm enable ipsec/ike:default
Etapes suivantes
Si vous n'avez pas terminé d'établir la stratégie IPsec, effectuez de nouveau la procédure IPsec pour activer ou actualiser la stratégie IPsec. Pour obtenir des exemples de la stratégie IPsec de protection de VPN, reportez-vous à Protection d'un VPN à l'aide d'IPsec. Pour plus d'exemples de la stratégie IPsec, reportez-vous à la section Sécurisation du trafic entre deux serveurs réseau à l'aide d'IPsec.