Sécurisation du réseau dans Oracle® Solaris 11.2

Quitter la vue de l'impression

Mis à jour : Septembre 2014
 
 

Sécurisation du trafic entre deux serveurs réseau à l'aide d'IPsec

    Cette procédure correspond à la configuration suivante :

  • Les systèmes reçoivent des adresses IP statiques et exécutent le profil de configuration réseau DefaultFixed. Si la commande netadm list renvoie Automatic, reportez-vous à la page de manuel netcfg(1M) pour plus d'informations.

  • Les systèmes s'appellent enigma et partym.

  • Chaque système dispose d'une adresse IP. Il peut d'agir d'une adresse IPv4, IPv6 ou les deux. Cette procédure utilise des adresses IPv4.

  • Chaque système est une zone globale ou une zone en mode IP exclusif. Pour plus d'informations, reportez-vous à la section IPsec et les zones Oracle Solaris.

  • Chaque système chiffre le trafic avec l'algorithme AES et l'authentifie avec SHA-2.


    Remarque -  L'algorithme SHA-2 peut être requis pour certains sites.
  • Chaque système utilise des associations de sécurité partagées (SA, Security Associations).

    Avec les SA partagées, une seule paire de SA est suffisante pour protéger les deux systèmes.


Remarque - Pour utiliser IPsec avec des étiquettes sur un système Trusted Extensions, reportez-vous aux étapes supplémentaires indiquées à la section Application des protections IPsec dans un réseau Trusted Extensions multiniveau du manuel Configuration et administration de Trusted Extensions .

Avant de commencer

    Un utilisateur disposant des droits spécifiques peut exécuter les commandes suivantes sans être utilisateur root :

  • Pour exécuter les commandes de configuration, vous devez vous connecter en tant qu'administrateur disposant du profil de droits Network IPsec Management (gestion IPsec du réseau).

  • Dans ce rôle administratif, vous pouvez modifier les fichiers système IPsec et créer des clés à l'aide de la commande pfedit.

  • Pour modifier le fichier hosts, vous devez être dans le rôle root ou avoir une autorisation explicite pour modifier le fichier. Reportez-vous à l'Example 7–7.

Pour plus d'informations, reportez-vous à la section A l’aide de vos droits administratifs attribués du manuel Sécurisation des utilisateurs et des processus dans Oracle Solaris 11.2 .

Si vous administrez à distance, reportez-vous à l'Example 7–1 et à Administration à distance de ZFS avec le shell sécurisé du manuel Gestion de l’accès au shell sécurisé dans Oracle Solaris 11.2 pour des instructions sur la connexion à distance sécurisée.

  1. Sur chaque système, ajoutez des entrées pour l'hôte au fichier /etc/inet/hosts.

    Cette étape permet au service de noms local de résoudre les noms de service des adresses IP sans dépendre d'un service de noms en réseau.

    1. Sur un système appelé partym, saisissez les lignes suivantes dans le fichier hosts :
      ## Secure communication with enigma
      192.168.116.16 enigma
    2. Sur un système appelé enigma, saisissez les lignes suivantes dans le fichier hosts :
      ## Secure communication with partym
      192.168.13.213 partym
  2. Sur chaque système, créez le fichier de stratégie IPsec.

    Le nom de fichier est /etc/inet/ipsecinit.conf. Vous en trouverez un exemple dans le fichier /etc/inet/ipsecinit.sample.

    # pfedit /etc/inet/ipsecinit.conf
  3. Ajoutez une entrée de stratégie IPsec au fichier ipsecinit.conf.

    La syntaxe des entrées de stratégie IPsec est décrite dans la page de manuel ipsecconf(1M).

    1. Sur le système enigma, ajoutez la stratégie ci-dessous :
      {laddr enigma raddr partym} ipsec {encr_algs aes encr_auth_algs sha512 sa shared}

      Etant donné que le mot-clé dir n'est pas utilisé, la stratégie s'applique aux paquets entrants et sortants.

    2. Sur le système partym, ajoutez la même stratégie :
      {laddr partym raddr enigma} ipsec {encr_algs aes encr_auth_algs sha512 sa shared}
  4. Dans chaque système, configurez IKE pour gérer les AS IPsec.

    Utilisez l'une des procédures décrites à la section Configuration d'IKEv2. La syntaxe du fichier de configuration IKE est décrite à la page de manuel ikev2.config(4). Si vous communiquez avec un système qui ne prend en charge que le protocole IKEv1, reportez-vous à la section Configuration d'IKEv1 et à la page de manuel ike.config(4).


    Remarque - Si vous devez générer et maintenir vos clés manuellement, reportez-vous à la section Création manuelle de clés IPsec.
  5. Vérifiez la syntaxe du fichier de stratégie IPsec.
    % pfbash
    # /usr/sbin/ipsecconf -c /etc/inet/ipsecinit.conf

    Corrigez les éventuelles erreurs, vérifiez la syntaxe du fichier, puis continuez.

  6. Actualisez la stratégie IPsec.
    # svcadm refresh ipsec/policy:default

    La stratégie IPsec est activée par défaut. Actualisez-la. Si vous avez désactivé la stratégie IPsec, activez-la.

    # svcadm enable ipsec/policy:default
  7. Activez les clés pour IPsec.
    • Si le service ike n'est pas activé, activez-le.

      Remarque - Si vous communiquez avec un système qui ne prend en charge que le protocole IKEv1, spécifiez l'instance ike:default.
      # svcadm enable ipsec/ike:ikev2
    • Si le service ike est activé, redémarrez-le.
      # svcadm restart ike:ikev2

    Si vous avez configuré les clés manuellement à l'Step 4, suivez la procédure de la section Création manuelle de clés IPsec pour activer les clés.

  8. Assurez-vous que les paquets sont protégés.

    La procédure est décrite à la section Vérification de la protection des paquets par IPsec.

Exemple 7-1  Configuration de la stratégie IPsec à distance via une connexion ssh

Dans cet exemple, l'administrateur ayant le rôle root configure la stratégie IPsec et des clés sur deux systèmes en utilisant la commande ssh pour atteindre le second système. L'administrateur est défini à l'identique sur les deux systèmes. Pour plus d'informations, reportez-vous à la page de manuel ssh(1).

  1. L'administrateur configure le premier système en effectuant les Step 1 à Step 5 de la section Sécurisation du trafic entre deux serveurs réseau à l'aide d'IPsec.

  2. Dans une autre fenêtre de terminal, l'administrateur utilise le nom et l'ID utilisateur définis de façon identique pour se connecter à distance avec la commande ssh.

    local-system % ssh -l jdoe other-system
    other-system # su - root 
    Enter password: xxxxxxxx
    other-system #
  3. Dans la fenêtre de terminal de la session ssh, l'administrateur configure la stratégie IPsec et les clés du second système en effectuant les étapes Step 1 à Step 7.

  4. L'administrateur met fin à la session ssh.

    other-system # exit
    local-system 
    # exit
  5. L'administrateur active la stratégie IPsec sur le premier système en suivant les procédures des étapesStep 6 et Step 7.

La prochaine fois que les deux systèmes communiquent, y compris par le biais d'une connexion ssh, la communication est protégée par IPsec.

Exemple 7-2  Configuration de la stratégie Ipsec pour exécution en mode FIPS 140

Dans cet exemple, l'administrateur configure la stratégie IPsec sur un système sur lequel FIPS 140 est activé pour qu'elle suive une stratégie de sécurité de site qui exige des algorithmes symétriques dont la longueur de clé est d'au moins 192 bits.

L'administrateur indique deux stratégies IPsec possibles. La première stratégie indique AES en mode CCM pour le chiffrement et l'authentification, et la seconde indique AES avec longueur de clé de 192 bits et 256 bits pour le chiffrement, et SHA384 pour l'authentification.

 {laddr machine1 raddr machine2} ipsec {encr_algs aes-ccm(192...) sa shared} or ipsec
 {laddr machine1 raddr machine2} ipsec {encr_algs aes(192...) encr_auth_algs sha2(384) sa shared}