Sur un système qui s'exécute sur un serveur Web, vous pouvez utiliser l'ensemble du trafic IPsec à l'exception Web pour protéger les demandes des clients. En règle générale, le trafic réseau protégée entre le serveur Web et d'autres serveurs backend.
En plus d'autoriser des clients Web à contourner IPSec, la stratégie IPsec de cette procédure permet au serveur DNS d'effectuer des demandes client DNS. Tout autre trafic est protégé par IPsec.
Avant de commencer
Cette procédure part du principe que les étapes de la section Sécurisation du trafic entre deux serveurs réseau à l'aide d'IPsec qui permettent de configurer IPsec sur les deux serveurs ont été accomplies, de sorte que les conditions suivantes sont en vigueur :
Chaque système est une zone globale ou une zone avec une exclusif Le multipathing sur réseau IP adresses fixe IP. Pour plus d'informations, reportez-vous à la section IPsec et les zones Oracle Solaris.
La communication avec le serveur Web est déjà protégée par IPsec.
Les numéros de clés sont générés par IKE.
Vous avez vérifié que les paquets sont protégés.
Un utilisateur disposant des droits spécifiques peut exécuter les commandes sans être utilisateur root.
Pour exécuter les commandes de configuration, vous devez vous connecter en tant qu'administrateur disposant du profil de droits Network IPsec Management (gestion IPsec du réseau).
Pour modifier les fichiers système ayant trait à IPsec et créer des clés, vous utilisez la commande pfedit.
Pour modifier le fichier hosts, vous devez être dans le rôle root ou avoir une autorisation explicite pour modifier le fichier.
Pour plus d'informations, reportez-vous à la section A l’aide de vos droits administratifs attribués du manuel Sécurisation des utilisateurs et des processus dans Oracle Solaris 11.2 .
Si vous administrez à distance, reportez-vous à l'Example 7–1 et à Administration à distance de ZFS avec le shell sécurisé du manuel Gestion de l’accès au shell sécurisé dans Oracle Solaris 11.2 pour des instructions sur la connexion à distance sécurisée.
Pour un serveur Web, ces services incluent les ports TCP 80 (HTTP) et 443 (HTTP sécurisé). Si le serveur Web assure la recherche de noms DNS, le serveur doit peut-être inclure également le port 53 pour TCP et UDP.
Ajoutez les lignes suivantes au fichier ipsecinit.conf :
# pfedit /etc/inet/ipsecinit.conf
...
# Web traffic that web server should bypass.
{lport 80 ulp tcp dir both} bypass {}
{lport 443 ulp tcp dir both} bypass {}
# Outbound DNS lookups should also be bypassed.
{rport 53 dir both} bypass {}
# Require all other traffic to use ESP with AES and SHA-2.
# Use a unique SA for outbound traffic from the port
{} ipsec {encr_algs aes encr_auth_algs sha512 sa shared}
Cette configuration permet uniquement au trafic sécurisé d'accéder au système, avec les exceptions de contournement décrites à l'Step 1.
# ipsecconf -c /etc/inet/ipsecinit.conf
# svcadm refresh ipsec/policy
Redémarrez le service ike.
# svcadm restart ike:ikev2
Si vous avez configuré les clés manuellement, suivez les instructions de la section Création manuelle de clés IPsec.
Votre installation est terminée.
Ajoutez les lignes suivantes dans un fichier /etc/inet/ipsecinit.conf stocké sur le système distant :
## Communicate with web server about nonweb stuff
##
{raddr webserver} ipsec {encr_algs aes encr_auth_algs sha512 sa shared}
Vérifiez la syntaxe, puis actualisez la statégie IPsec pour l'activer.
remote-system # ipsecconf -c /etc/inet/ipsecinit.conf remote-system # svcadm refresh ipsec/policy
Un système distant peut communiquer de manière sécurisée avec le serveur Web pour le trafic non-Web uniquement lorsque les stratégies IPsec des systèmes sont identiques.
# ipsecconf -L -n