Sécurisation du réseau dans Oracle® Solaris 11.2

Quitter la vue de l'impression

 
Mis à jour : Septembre 2014
 
 

Protection de la connexion entre deux réseaux locaux à l'aide d'IPsec en mode Tunnel

En mode Tunnel, le paquet IP interne détermine la stratégie IPsec qui protège son contenu.

Cette procédure est une extension de la procédure Sécurisation du trafic entre deux serveurs réseau à l'aide d'IPsec. La configuration est décrite à la section Description de la topologie réseau requise par les tâches IPsec afin de protéger un VPN.

Pour une description plus détaillée des raisons pour lesquelles certaines commandes doivent être exécutées, reportez-vous aux étapes correspondantes à la section Sécurisation du trafic entre deux serveurs réseau à l'aide d'IPsec.

Remarque - Effectuez cette procédure sur les deux systèmes.

Outre la connexion de deux systèmes, vous connectez deux intranets qui leur sont connectés. Les systèmes de cette procédure fonctionnent comme des passerelles.

Remarque - Pour utiliser IPsec en mode Tunnel avec des étiquettes sur un système Trusted Extensions, reportez-vous aux étapes supplémentaires indiquées à la section Configuration d’un tunnel au sein d’un réseau non autorisé du manuel Configuration et administration de Trusted Extensions .

Avant de commencer

Chaque système est une zone globale ou une zone en mode IP exclusif. Pour plus d'informations, reportez-vous à la section IPsec et les zones Oracle Solaris.

    Un utilisateur disposant des droits spécifiques peut exécuter les commandes sans être utilisateur root.

  • Pour exécuter les commandes de configuration, vous devez vous connecter en tant qu'administrateur disposant du profil de droits Network IPsec Management (gestion IPsec du réseau).

  • Pour modifier les fichiers système ayant trait à IPsec et créer des clés, vous utilisez la commande pfedit.

  • Pour modifier le fichier hosts, vous devez être dans le rôle root ou avoir une autorisation explicite pour modifier le fichier.

Pour plus d'informations, reportez-vous à la section A l’aide de vos droits administratifs attribués du manuel Sécurisation des utilisateurs et des processus dans Oracle Solaris 11.2 .

Si vous administrez à distance, reportez-vous à l'Example 7–1 et à Administration à distance de ZFS avec le shell sécurisé du manuel Gestion de l’accès au shell sécurisé dans Oracle Solaris 11.2 pour des instructions sur la connexion à distance sécurisée.

  1. Contrôlez le flux de paquets avant de configurer IPsec.
    1. Désactivez le transfert IP et le routage IP dynamique. 
      # routeadm -d ipv4-routing
# ipadm set-prop -p forwarding=off ipv4
# routeadm -u

      La désactivation du transfert IP empêche le transfert de paquets d'un réseau vers un autre par l'intermédiaire de ce système. La commande routeadm est décrite à la page de manuel routeadm(1M).

    2. Activez le multihébergement IP strict. 
      # ipadm set-prop -p hostmodel=strong ipv4

      L'activation du multihébergement IP strict requiert que les paquets de l'une des adresses de destination du système arrivent à l'adresse de destination adéquate.

      Lorsque le paramètre hostmodel est défini sur strong, les paquets arrivant sur une interface particulière doivent être adressés à l'une des adresses IP locales de cette interface. Tous les autres paquets sont abandonnés, même les paquets envoyés vers d'autres adresses locales du système.

    3. Assurez-vous que la plupart des services réseau sont désactivés.

      Assurez-vous que le service ssh est en cours d'exécution.

      % svcs | grep network
…
online         Aug_09   svc:/network/ssh:default
  2. Ajoutez la stratégie IPsec pour le VPN dans le fichier /etc/inet/ipsecinit.conf.

    Pour obtenir des exemples supplémentaires, reportez-vous à la section Protection d'un VPN à l'aide d'IPsec en mode Tunnel (exemples).

    Dans cette stratégie, la protection IPsec n'est pas requise entre les systèmes du réseau local et l'adresse IP interne de la passerelle, d'où l'ajout d'une déclaration bypass.

    1. Sur le système euro-vpn, ajoutez l'entrée suivante au fichier ipsecinit.conf : 
      # LAN traffic to and from this host can bypass IPsec.
{laddr 10.16.16.6 dir both} bypass {}

# WAN traffic uses ESP with AES and SHA-2.
{tunnel tun0 negotiate tunnel} 
 ipsec {encr_algs aes encr_auth_algs sha512 sa shared}
    2. Sur le système calif-vpn, ajoutez l'entrée suivante au fichier ipsecinit.conf : 
      # LAN traffic to and from this host can bypass IPsec.
{laddr 10.1.3.3 dir both} bypass {}

# WAN traffic uses ESP with AES and SHA-2.
{tunnel tun0 negotiate tunnel} 
 ipsec {encr_algs aes encr_auth_algs sha512 sa shared}
  3. Sur chaque système, configurez IKE afin d'ajouter une paire d'AS IPsec entre les deux systèmes.

    Configurez IKE en suivant l'une des procédures de configuration décrites à la section Configuration d'IKEv2. La syntaxe du fichier de configuration IKE est décrite à la page de manuel ikev2.config(4). Si vous communiquez avec un système qui ne prend en charge que le protocole IKEv1, reportez-vous à la section Configuration d'IKEv1 et à la page de manuel ike.config(4).

    Remarque - Si vous devez générer et maintenir vos clés manuellement, reportez-vous à la section Création manuelle de clés IPsec.
  4. Vérifiez la syntaxe du fichier de stratégie IPsec. 
    # ipsecconf -c /etc/inet/ipsecinit.conf

    Corrigez les éventuelles erreurs, vérifiez la syntaxe du fichier, puis continuez.

  5. Atualisez la stratégie IPsec. 
    # svcadm refresh ipsec/policy

    La stratégie IPsec est activée par défaut. Actualisez-la. Si vous avez désactivé la stratégie IPsec, activez-la.

    # svcadm enable ipsec/policy
  6. Créez et configurez le tunnel, tun0.

    Les commandes suivantes configurent les interfaces internes et externes, créent le tunnel tun0 et attribuent des adresses IP au tunnel.

    1. Sur le système calif-vpn, créez le tunnel et configurez-le. 
      # ipadm create-ip net1
# ipadm create-addr -T static -a local=10.1.3.3 net1/inside
# dladm create-iptun -T ipv4 -a local=192.168.13.213,remote=192.168.116.16 tun0
# ipadm create-ip tun0
# ipadm create-addr -T static \
-a local=10.1.3.3,remote=10.16.16.6 tun0/v4tunaddr

      La première commande crée l'interface IP net1. La seconde commande ajoute des adresses à net1. La troisième commande crée l'interface IP tun0. La quatrième commande ajoute les adresses IP sont encapsulés dans la liaison de tunnel. Pour plus d'informations, reportez-vous aux pages de manuel dladm(1M) et ipadm(1M).

    2. Sur le système euro-vpn, créez le tunnel et configurez-le. 
      # ipadm create-ip net1
# ipadm create-addr -T static -a local=10.16.16.6 net1/inside
# dladm create-iptun -T ipv4 -a local=192.168.116.16,remote=192.168.13.213 tun0
# ipadm create-ip tun0
# ipadm create-addr -T static \
-a local=10.16.16.6,remote=10.1.3.3 tun0/v4tunaddr
      Remarque - L'option –T de la commande ipadm spécifie le type d'adresse à créer. L'option –T de la commande dladm spécifie le tunnel.

      Pour plus d'informations sur ces commandes, reportez-vous aux pages de manuel dladm(1M) et ipadm(1M) ainsi qu'à la section Configuration d’une interface IPv4 du manuel Configuration et administration des composants réseau dans Oracle Solaris 11.2 . Pour plus d'informations sur les noms personnalisés, reportez-vous à la section Résolution de noms de périphériques réseau et des liaisons de données dans Oracle Solaris du manuel Configuration et administration des composants réseau dans Oracle Solaris 11.2 .

  7. Sur chaque système, configurez le transfert. 
    # ipadm set-ifprop -m ipv4 -p forwarding=on net1
# ipadm set-ifprop -m ipv4 -p forwarding=on tun0
# ipadm set-ifprop -m ipv4 -p forwarding=off net0

    Le transfert IP signifie que les paquets arrivant peuvent être transférés. Le transfert IP signifie également que les paquets quittant l'interface peuvent provenir d'un autre emplacement. Pour que le transfert de paquet s'effectue sans erreur, vous devez activer le transfert IP à la fois sur l'interface réceptrice et sur l'interface émettrice.

    Etant donné que l'interface net1 se trouve dans l'intranet, le transfert IP doit être activé pour net1. Comme tun0 connecte les deux systèmes via Internet, le transfert IP doit être activé pour tun0. Le transfert IP de l'interface net0 est désactivé afin d'éviter toute injection de paquets par un concurrent externe sur Internet dans l'intranet protégé.

  8. Sur chaque système, empêchez la publication de l'interface privée. 
    # ipadm set-addrprop -p private=on net0

    Même si le transfert IP de net0 est désactivé, l'implémentation d'un protocole de routage peut permettre d'annoncer l'interface. Par exemple, le protocole in.routed peut encore annoncer que net0 est disponible pour transférer des paquets à ses homologues dans l'intranet. Pour éviter ces annonces, définissez l'indicateur private de l'interface.

  9. Redémarrez les services réseau. 
    # svcadm restart svc:/network/initial:default
  10. Ajoutez manuellement une route par défaut sur l'interface net0.

    La route par défaut doit correspondre à un routeur bénéficiant d'un accès direct à Internet.

    1. Sur le système calif-vpn, ajoutez la route suivante : 
      # route -p add net default 192.168.13.5
    2. Sur le système euro-vpn, ajoutez la route suivante : 
      # route -p add net default  192.168.116.4

      Même si l'interface net0 ne fait pas partie de l'intranet, net0 n'a pas besoin de passer par Internet pour atteindre le système homologue. Pour trouver son homologue, net0 requiert des informations sur le routage Internet. Pour le reste d'Internet, le système VPN apparaît comme étant un hôte, non un routeur. Par conséquent, vous pouvez utiliser un routeur par défaut ou exécuter le protocole de recherche de routeur pour rechercher le système. Pour plus d'informations, reportez-vous aux pages de manuel route(1M) et in.routed(1M).

Copyright © 1999, 2014, Oracle et/ou ses affiliés. Tous droits réservés. Mentions légales
Précédent
Suivant