Sécurisation du réseau dans Oracle® Solaris 11.2

Quitter la vue de l'impression

Mis à jour : Septembre 2014
 
 

Configuration d'IKEv1 avec des clés prépartagées

La longueur des clés des algorithmes d'implémentation du protocole IKE est variable. Elle dépend du niveau de sécurité dont vous souhaitez doter le site. En règle générale, la longueur des clés est proportionnelle au niveau de sécurité.

Dans cette procédure, vous générez des clés au format ASCII.

Les noms de systèmes choisis pour illustrer cette procédure sont : enigma et partym. Remplacez enigma et partym par les noms de vos systèmes.


Remarque - Pour utiliser IPsec avec des étiquettes sur un système Trusted Extensions, reportez-vous aux étapes supplémentaires indiquées à la section Application des protections IPsec dans un réseau Trusted Extensions multiniveau du manuel Configuration et administration de Trusted Extensions .

Avant de commencer

Vous devez vous connecter en tant qu'administrateur disposant du profil de droits Network IPsec Management (gestion IPsec du réseau). Pour plus d'informations, reportez-vous à la section A l’aide de vos droits administratifs attribués du manuel Sécurisation des utilisateurs et des processus dans Oracle Solaris 11.2 .

Si vous administrez à distance, reportez-vous à l'Example 7–1 et à Administration à distance de ZFS avec le shell sécurisé du manuel Gestion de l’accès au shell sécurisé dans Oracle Solaris 11.2 pour des instructions sur la connexion à distance sécurisée.

  1. Sur chaque système, créez un fichier /etc/inet/ike/config.

    Vous pouvez utiliser le fichier /etc/inet/ike/config.sample comme modèle.

  2. Entrez les règles et paramètres globaux dans le fichier ike/config sur chaque système.

    Les règles et paramètres globaux de ce fichier doivent garantir le fonctionnement de la stratégie IPsec du fichier ipsecinit.conf. Les exemples suivants de configuration d'IKEv1 fonctionnent avec les exemples d'ipsecinit.conf dans Sécurisation du trafic entre deux serveurs réseau à l'aide d'IPsec.

    1. Modifiez par exemple le fichier /etc/inet/ike/config sur le système enigma :
      ### ike/config file on enigma, 192.168.116.16
      
      ## Global parameters
      #
      ## Defaults that individual rules can override.
      p1_xform
        { auth_method preshared oakley_group 5 auth_alg sha encr_alg 3des }
      p2_pfs 2
      #
      ## The rule to communicate with partym
      #  Label must be unique
      { label "enigma-partym"
        local_addr 192.168.116.16
        remote_addr 192.168.13.213
        p1_xform
         { auth_method preshared oakley_group 5 auth_alg sha256 encr_alg aes }
        p2_pfs 5
      }
    2. Modifiez le fichier /etc/inet/ike/config sur le système partym :
      ### ike/config file on partym, 192.168.13.213
      ## Global Parameters
      #
      p1_xform
        { auth_method preshared oakley_group 5 auth_alg sha encr_alg 3des }
      p2_pfs 2
      
      ## The rule to communicate with enigma
      #  Label must be unique
      { label "partym-enigma"
        local_addr 192.168.13.213
        remote_addr 192.168.116.16
      p1_xform
       { auth_method preshared oakley_group 5 auth_alg sha256 encr_alg aes }
      p2_pfs 5
      }
  3. Sur chaque système, vérifiez la syntaxe du fichier.
    # /usr/lib/inet/in.iked -c -f /etc/inet/ike/config
  4. Mettez la clé prépartagée dans le fichier /etc/inet/secret/ike.preshared sur chaque système.
    1. Sur le système enigma par exemple, le fichier ike.preshared se présente comme suit :
      ## ike.preshared on enigma, 192.168.116.16
      #…
      { localidtype IP
      	localid 192.168.116.16
      	remoteidtype IP
      	remoteid 192.168.13.213
      	# The preshared key can also be represented in hex
      # as in 0xf47cb0f432e14480951095f82b
      # key "This is an ASCII Cqret phrAz, use str0ng p@ssword tekniques"
      }
    2. Sur le système partym, le fichier ike.preshared se présente comme suit :
      ## ike.preshared on partym, 192.168.13.213
      #…
      { localidtype IP
      	localid 192.168.13.213
      	remoteidtype IP
      	remoteid 192.168.116.16
      	# The preshared key can also be represented in hex
      # as in 0xf47cb0f432e14480951095f82b
      	key "This is an ASCII Cqret phrAz, use str0ng p@ssword tekniques"
      	}
  5. Activez le service IKEv1.
    # svcadm enable ipsec/ike:default
Exemple 10-1  Actualisation d'une clé prépartagée IKEv1

Lorsqu'un administrateur IKEv1 souhaite actualiser la clé prépartagée, il modifie les fichiers sur ses systèmes homologues et redémarre le démon in.iked.

En première position, à tous les systèmes du les deux sous-réseaux qui utilise la clé prépartagée, l'administrateur modifie la clé prépartagée entrée.

# pfedit -s /etc/inet/secret/ike.preshared
…
{ localidtype IP
	localid 192.168.116.0/24
	remoteidtype IP
	remoteid 192.168.13.0/24
	# The two subnet's shared passphrase for keying material 
key "LOooong key Th@t m^st Be Ch*angEd \'reguLarLy)"
	}

Ensuite, l'administrateur redémarre le service IKEv1 sur chaque système.

Pour plus d'informations sur les options de la commande pfedit, reportez-vous à la page de manuel pfedit(1M).

# svcadm enable ipsec/ike:default

Etapes suivantes

Si vous n'avez pas terminé d'établir la stratégie IPsec, effectuez de nouveau la procédure IPsec pour activer ou actualiser la stratégie IPsec. Pour obtenir des exemples de la stratégie IPsec de protection de VPN, reportez-vous à Protection d'un VPN à l'aide d'IPsec. Pour plus d'exemples de la stratégie IPsec, reportez-vous à la section Sécurisation du trafic entre deux serveurs réseau à l'aide d'IPsec.