La implementación de IKE ofrece algoritmos con claves cuya longitud varía. La longitud de claves que elija dependerá de la seguridad del sitio. En general, las claves largas son más seguras que las cortas.
En este procedimiento, se generan claves en formato ASCII.
Estos procedimientos utilizan los nombres de sistema enigma y partym. Sustituya los nombres de los sistemas con los nombres enigma y partym.
Antes de empezar
Debe convertirse en un administrador que tiene asignado el perfil de derechos de gestión de IPsec de red. Para obtener más información, consulte Uso de sus derechos administrativos asignados de Protección de los usuarios y los procesos en Oracle Solaris 11.2 .
Si realiza administraciones remotas, consulte el Example 7–1 y Cómo administrar ZFS con shell seguro de forma remota de Gestión de acceso mediante shell seguro en Oracle Solaris 11.2 para obtener instrucciones para un inicio de sesión remoto seguro.
Puede usar /etc/inet/ike/config.sample como plantilla.
Las reglas y los parámetros generales de este archivo deberían permitir la correcta aplicación de la política IPsec en el archivo ipsecinit.conf del sistema. Los siguientes ejemplos de configuración de IKEv1 funcionan con los ejemplos de ipsecinit.conf en Cómo proteger el tráfico de red seguro entre dos servidores con IPsec.
### ike/config file on enigma, 192.168.116.16
## Global parameters
#
## Defaults that individual rules can override.
p1_xform
{ auth_method preshared oakley_group 5 auth_alg sha encr_alg 3des }
p2_pfs 2
#
## The rule to communicate with partym
# Label must be unique
{ label "enigma-partym"
local_addr 192.168.116.16
remote_addr 192.168.13.213
p1_xform
{ auth_method preshared oakley_group 5 auth_alg sha256 encr_alg aes }
p2_pfs 5
}
### ike/config file on partym, 192.168.13.213
## Global Parameters
#
p1_xform
{ auth_method preshared oakley_group 5 auth_alg sha encr_alg 3des }
p2_pfs 2
## The rule to communicate with enigma
# Label must be unique
{ label "partym-enigma"
local_addr 192.168.13.213
remote_addr 192.168.116.16
p1_xform
{ auth_method preshared oakley_group 5 auth_alg sha256 encr_alg aes }
p2_pfs 5
}
# /usr/lib/inet/in.iked -c -f /etc/inet/ike/config
## ike.preshared on enigma, 192.168.116.16
#…
{ localidtype IP
localid 192.168.116.16
remoteidtype IP
remoteid 192.168.13.213
# The preshared key can also be represented in hex
# as in 0xf47cb0f432e14480951095f82b
# key "This is an ASCII Cqret phrAz, use str0ng p@ssword tekniques"
}
## ike.preshared on partym, 192.168.13.213
#…
{ localidtype IP
localid 192.168.13.213
remoteidtype IP
remoteid 192.168.116.16
# The preshared key can also be represented in hex
# as in 0xf47cb0f432e14480951095f82b
key "This is an ASCII Cqret phrAz, use str0ng p@ssword tekniques"
}
# svcadm enable ipsec/ike:default
Cuando los administradores de IKEv1 desean actualizar la clave compartida previamente, editan los archivos en los sistemas pares y reinician el daemon in.iked.
Primero, en cada sistema de las dos subredes que usa la clave compartida previamente, el administrador cambia la entrada de la clave compartida previamente.
# pfedit -s /etc/inet/secret/ike.preshared
…
{ localidtype IP
localid 192.168.116.0/24
remoteidtype IP
remoteid 192.168.13.0/24
# The two subnet's shared passphrase for keying material
key "LOooong key Th@t m^st Be Ch*angEd \'reguLarLy)"
}
Luego, el administrador reinicia el servicio IKEv1 en cada sistema.
Para obtener información sobre las opciones del comando pfedit, consulte la página del comando man pfedit(1M).
# svcadm enable ipsec/ike:default
Pasos siguientes
Si no terminó de establecer la política IPsec, regrese al procedimiento IPsec para activar o refrescar la política IPsec. Para ver ejemplos de la política de IPsec para protección de VPN, consulte Protección de una VPN con IPsec. Para ver otros ejemplos de la política de IPsec, consulte Cómo proteger el tráfico de red seguro entre dos servidores con IPsec.