Application des protections IPsec dans un réseau Trusted Extensions multiniveau

Langue :

Dans cette procédure, vous devez configurer IPsec sur deux systèmes Trusted Extensions pour gérer les conditions suivantes :

Les deux systèmes, enigma et partym sont des systèmes Trusted Extensions multiniveau exécutés dans un réseau multiniveau.
Les données d'application sont cryptées et protégées contre toute modification non autorisée au sein du réseau.
L'étiquette de sécurité des données est visible dans le formulaire sous forme d'une option IP CALIPSO ou CIPSO à disposition des routeurs multiniveau et des périphériques de sécurité sur le chemin situé entre les systèmes enigma et partym.
Les étiquettes de sécurité échangées par enigma et partym sont protégées contre toute modification non autorisée.

Avant de commencer

Vous êtes dans le rôle root dans la zone globale.

Ajoutez les hôtes enigma et partym à un modèle de sécurité cipso.
Suivez les procédures décrites dans la section Etiquetage d'hôtes et de réseaux. Utilisez un modèle avec un type d'hôte cipso.
Configurez IPsec pour les systèmes enigma et partym.
Pour la procédure, reportez-vous à la section Sécurisation du trafic entre deux serveurs réseau à l’aide d’IPsec du manuel Sécurisation du réseau dans Oracle Solaris 11.2 . Utilisez IKE pour la gestion des clés, comme décrit dans l'étape suivante.

Ajoutez des étiquettes à des négociations IKE.

Suivez la procédure décrite dans la section Configuration d’IKEv2 avec des clés prépartagées du manuel Sécurisation du réseau dans Oracle Solaris 11.2 , puis modifiez le fichier ike/config comme suit :

Ajoutez les mots-clés label_aware, multi_label et wire_label inner dans le fichier /etc/inet/ike/config du système enigma.

Le fichier qui en résulte se présente comme indiqué ci-dessous. Les éléments ajoutés à l'étiquette sont mis en surbrillance.

	### ike/config file on enigma, 192.168.116.16
## Global parameters
#
## Use IKE to exchange security labels.
label_aware
#
## Defaults that individual rules can override.
p1_xform
{ auth_method preshared oakley_group 5 auth_alg sha encr_alg 3des }
p2_pfs 2
#
## The rule to communicate with partym
# Label must be unique
{ label "enigma-partym"
local_addr 192.168.116.16
remote_addr 192.168.13.213
multi_label
wire_label inner
p1_xform
{ auth_method preshared oakley_group 5 auth_alg sha1 encr_alg aes }
p2_pfs 5
}

Ajoutez les mêmes mots-clés dans le fichier ike/config du système partym.

	### ike/config file on partym, 192.168.13.213
## Global Parameters
#
## Use IKE to exchange security labels.
label_aware
#
p1_xform
{ auth_method preshared oakley_group 5 auth_alg sha encr_alg 3des }
p2_pfs 2
## The rule to communicate with enigma
# Label must be unique
{ label "partym-enigma"
local_addr 192.168.13.213
remote_addr 192.168.116.16
multi_label
wire_label inner
p1_xform
{ auth_method preshared oakley_group 5 auth_alg sha1 encr_alg aes }
p2_pfs 5
}

Si la protection AH des options IP CALIPSO ou CIPSO ne peut pas être utilisée sur le réseau, utilisez l'authentification ESP.
Pour gérer l'authentification, utilisez encr_auth_algs plutôt qu'auth_algs dans le fichier /etc/inet/ipsecinit.conf. L'authentification ESP ne couvre pas l'en-tête IP ni les options IP, mais elle authentifie toutes les informations qui suivent l'en-tête ESP.
```
{laddr enigma raddr partym} ipsec {encr_algs any encr_auth_algs any sa shared}
```
Remarque - Vous pouvez également ajouter des étiquettes aux systèmes protégés par des certificats. Les certificats de clé publique sont gérés dans la zone globale sur les systèmes Trusted Extensions. Modifiez les fichiers ike/config de façon similaire lorsque vous effectuez les étapes de la procédure décrite dans la section Configuration d’IKEv2 avec des certificats à clé publique du manuel Sécurisation du réseau dans Oracle Solaris 11.2 .