Sécurisation du réseau dans Oracle® Solaris 11.2

Quitter la vue de l'impression

Mis à jour : Septembre 2014
 
 

Utilisation d'IPsec pour protéger Web Server Communication avec d'autres serveurs

Sur un système qui s'exécute sur un serveur Web, vous pouvez utiliser l'ensemble du trafic IPsec à l'exception Web pour protéger les demandes des clients. En règle générale, le trafic réseau protégée entre le serveur Web et d'autres serveurs backend.

En plus d'autoriser des clients Web à contourner IPSec, la stratégie IPsec de cette procédure permet au serveur DNS d'effectuer des demandes client DNS. Tout autre trafic est protégé par IPsec.

Avant de commencer

    Cette procédure part du principe que les étapes de la section Sécurisation du trafic entre deux serveurs réseau à l'aide d'IPsec qui permettent de configurer IPsec sur les deux serveurs ont été accomplies, de sorte que les conditions suivantes sont en vigueur :

  • Chaque système est une zone globale ou une zone avec une exclusif Le multipathing sur réseau IP adresses fixe IP. Pour plus d'informations, reportez-vous à la section IPsec et les zones Oracle Solaris.

  • La communication avec le serveur Web est déjà protégée par IPsec.

  • Les numéros de clés sont générés par IKE.

  • Vous avez vérifié que les paquets sont protégés.

    Un utilisateur disposant des droits spécifiques peut exécuter les commandes sans être utilisateur root.

  • Pour exécuter les commandes de configuration, vous devez vous connecter en tant qu'administrateur disposant du profil de droits Network IPsec Management (gestion IPsec du réseau).

  • Pour modifier les fichiers système ayant trait à IPsec et créer des clés, vous utilisez la commande pfedit.

  • Pour modifier le fichier hosts, vous devez être dans le rôle root ou avoir une autorisation explicite pour modifier le fichier.

Pour plus d'informations, reportez-vous à la section A l’aide de vos droits administratifs attribués du manuel Sécurisation des utilisateurs et des processus dans Oracle Solaris 11.2 .

Si vous administrez à distance, reportez-vous à l'Example 7–1 et à Administration à distance de ZFS avec le shell sécurisé du manuel Gestion de l’accès au shell sécurisé dans Oracle Solaris 11.2 pour des instructions sur la connexion à distance sécurisée.

  1. Déterminez les services qui doivent ignorer les vérifications de stratégie IPsec.

    Pour un serveur Web, ces services incluent les ports TCP 80 (HTTP) et 443 (HTTP sécurisé). Si le serveur Web assure la recherche de noms DNS, le serveur doit peut-être inclure également le port 53 pour TCP et UDP.

  2. Ajoutez la stratégie relative au serveur Web au fichier de stratégie IPsec.

    Ajoutez les lignes suivantes au fichier ipsecinit.conf :

    # pfedit /etc/inet/ipsecinit.conf
    ...
    # Web traffic that web server should bypass.
    {lport  80 ulp tcp dir both} bypass {}
    {lport 443 ulp tcp dir both} bypass {}
    
    # Outbound DNS lookups should also be bypassed.
    {rport 53 dir both} bypass {}
    
    # Require all other traffic to use ESP with AES and SHA-2.
    # Use a unique SA for outbound traffic from the port
    {} ipsec {encr_algs aes encr_auth_algs sha512 sa shared}

    Cette configuration permet uniquement au trafic sécurisé d'accéder au système, avec les exceptions de contournement décrites à l'Step 1.

  3. Vérifiez la syntaxe du fichier de stratégie IPsec.
    # ipsecconf -c /etc/inet/ipsecinit.conf
  4. Actualisez la stratégie IPsec.
    # svcadm refresh ipsec/policy
  5. Actualisez les clés pour IPsec.

    Redémarrez le service ike.

    # svcadm restart ike:ikev2

    Remarque - Si vous communiquez avec un système qui ne prend en charge que le protocole IKEv1, spécifiez l'instance ike:default.

    Si vous avez configuré les clés manuellement, suivez les instructions de la section Création manuelle de clés IPsec.

    Votre installation est terminée.

  6. (Facultatif) Autorisez un système distant à communiquer avec le serveur Web pour le trafic non-Web.

    Ajoutez les lignes suivantes dans un fichier /etc/inet/ipsecinit.conf stocké sur le système distant :

    ## Communicate with web server about nonweb stuff
    ##
    {raddr webserver} ipsec {encr_algs aes encr_auth_algs sha512 sa shared}

    Vérifiez la syntaxe, puis actualisez la statégie IPsec pour l'activer.

    remote-system # ipsecconf -c /etc/inet/ipsecinit.conf
    remote-system # svcadm refresh ipsec/policy

    Un système distant peut communiquer de manière sécurisée avec le serveur Web pour le trafic non-Web uniquement lorsque les stratégies IPsec des systèmes sont identiques.

  7. (Facultatif) Affichez les entrées de stratégie IPsec, y compris les entrées définies par tunnel, dans l'ordre dans lequel les correspondances sont repérées.
    # ipsecconf -L -n