Protección de la red en Oracle® Solaris 11.2

Salir de la Vista de impresión

 
Actualización: Septiembre de 2014
 
 

Cómo configurar IKEv2 con claves compartidas previamente

Sustituya los nombres de los sistemas con los nombres enigma y partym de este procedimiento. Configure ambos puntos finales de IKE.

Antes de empezar

Debe convertirse en un administrador que tiene asignado el perfil de derechos de gestión de IPsec de red. Debe escribir un shell de perfil. Para obtener más información, consulte Uso de sus derechos administrativos asignados de Protección de los usuarios y los procesos en Oracle Solaris 11.2 .

Si realiza administraciones remotas, consulte el Example 7–1 y Cómo administrar ZFS con shell seguro de forma remota de Gestión de acceso mediante shell seguro en Oracle Solaris 11.2 para obtener instrucciones para un inicio de sesión remoto seguro.

  1. En cada sistema, edite el archivo /etc/inet/ike/ikev2.config. 
    # pfedit /etc/inet/ike/ikev2.config
  2. En el archivo, cree una regla que utilice claves compartidas previamente.
    Notas -  Creará las claves en el Step 4.

    Las reglas y los parámetros globales de este archivo deben gestionar las claves de la política de IPsec en el archivo ipsecinit.conf del sistema. Los siguientes ejemplos de configuración de IKEv2 gestionan las claves de los ejemplos de ipsecinit.conf en Cómo proteger el tráfico de red seguro entre dos servidores con IPsec.

    1. Por ejemplo, modifique el archivo ikev2.config en el sistema enigma:
      Notas - En este ejemplo, se muestran dos transformaciones en la sección de parámetros globales. Un par se puede configurar con cualquiera de estas transformaciones. Para requerir una transformación determinada, incluya esa transformación en la regla. 
      ### ikev2.config file on enigma, 192.168.116.16

## Global parameters
# This default value will apply to all transforms that follow
#
ikesa_lifetime_secs 3600
#
# Global transform definitions.  The algorithm choices are
# based on RFC 4921.
#
## Two transforms are acceptable to this system, Group 20 and Group 19.
## A peer can be configured with 19 or 20.
## To ensure that a particular peer uses a specific transform,
## include the transform in the rule.
## 
# Group 20 is 384-bit ECP - Elliptic Curve over Prime
ikesa_xform { encr_alg aes(256..256) auth_alg sha384 dh_group 20 }
# Group 19 is 256-bit ECP
ikesa_xform { encr_alg aes(128..128) auth_alg sha256 dh_group 19 }
#
## The rule to communicate with partym
##  Label must be unique
{ label "enigma-partym"
  auth_method preshared
  local_addr  192.168.116.16
  remote_addr 192.168.13.213
}
    2. Modifique el archivo ikev2.config en el sistema partym: 
      ## ikev2.config file on partym, 192.168.13.213
## Global Parameters
#
...
ikesa_xform { encr_alg aes(256..256) auth_alg sha384 dh_group 20 }
ikesa_xform { encr_alg aes(128..128) auth_alg sha256 dh_group 19 }
...
## The rule to communicate with enigma
##  Label must be unique
{ label "partym-enigma"
  auth_method preshared
  local_addr  192.168.13.213
  remote_addr 192.168.116.16
}
  3. En cada sistema, verifique la sintaxis del archivo. 
    # /usr/lib/inet/in.ikev2d -c
  4. Coloque la clave compartida previamente en el archivo /etc/inet/ike/ikev2.preshared de cada sistema.
    Caution

    Precaución  -  Este archivo tiene permisos especiales y debe ser propiedad de ikeuser. Nunca suprima ni reemplace este archivo. En su lugar, utilice el comando pfedit que edita su contenido, de forma que el archivo conserve sus propiedades originales.

    1. Por ejemplo, en el sistema enigma, el archivoikev2.preshared sería similar a: 
      # pfedit -s /etc/inet/ike/ikev2.preshared
## ikev2.preshared on enigma, 192.168.116.16
#…
## label must match the rule that uses this key
{ label "enigma-partym"
## The preshared key can also be represented in hex
## as in 0xf47cb0f432e14480951095f82b
   key "This is an ASCII Cqret phrAz, use str0ng p@ssword tekniques"
}

      Para obtener información sobre las opciones del comando pfedit, consulte la página del comando man pfedit(1M).

    2. En el sistema partym, el archivo ikev2.preshared es similar, excepto por esta etiqueta exclusiva: 
      ## ikev2.preshared on partym, 192.168.13.213
#…
## label must match the label of the rule that uses this key
{ label "partym-enigma"
## The preshared key can also be represented in hex
## as in 0xf47cb0f432e14480951095f82b
	key "This is an ASCII Cqret phrAz, use str0ng p@ssword tekniques"
	}
  5. Active la instancia de servicio IKEv2. 
    # svcadm enable ipsec/ike:ikev2

    Cuando reemplace la clave compartida previamente, edite los archivos de claves compartidas previamente en los sistemas pares y reinicie el servicio ikev2.

    # svcadm restart ikev2
Ejemplo 9-1  Uso de diferentes claves locales y remotas compartidas previamente de IKEv2

En este ejemplo, los administradores de IKEv2 crean una clave previamente compartida por sistema, la intercambian y agregan cada clave al archivo de claves compartidas previamente. La etiqueta de la entrada de clave compartida previamente coincide con la etiqueta en una regla del archivo ikev2.config. A continuación, se reinician los daemons in.ikev2d.

Después de recibir la otra clave compartida previamente del sistema, el administrador edita el archivo ikev2.preshared. El archivo de partym es el siguiente:

# pfedit -s /etc/inet/ike/ikev2.preshared
#…
{ label "partym-enigma"
## local and remote preshared keys 
local_key  "P-LongISH key Th@t m^st Be Ch*angEd \'reguLarLy)"
remote_key "E-CHaNge lEyeGhtB+lBs et KeeS b4 2LoOoOoOoOng"
}

Por lo tanto, el archivo de claves ikev2.preshared archivo de claves de enigma debe ser el siguiente:

#…
{ label "enigma-partym"
## local and remote preshared keys 
local_key  "E-CHaNge lEyeGhtB+lBs et KeeS b4 2LoOoOoOoOng"
remote_key "P-LongISH key Th@t m^st Be Ch*angEd \'reguLarLy)"
}

Los administradores reinician la instancia del servicio IKEv2 en cada sistema.

# svcadm restart ikev2

Pasos siguientes

Si no terminó de establecer la política IPsec, regrese al procedimiento IPsec para activar o refrescar la política IPsec. Para ver ejemplos de la política de IPsec para protección de VPN, consulte Protección de una VPN con IPsec. Para ver otros ejemplos de la política de IPsec, consulte Cómo proteger el tráfico de red seguro entre dos servidores con IPsec.

Para obtener más ejemplos, consulte las páginas del comando man ikev2.config(4) y ikev2.preshared(4).

Copyright © 1999, 2014, Oracle y/o sus filiales. Todos los derechos reservados. Advertencia legal
Anterior
Siguiente