En este procedimiento, se configura IPsec en dos sistemas Trusted Extensions para manejar las siguientes condiciones:
Los dos sistemas, enigma y partym, son sistemas Trusted Extensions de varios niveles que se ejecutan en una red de varios niveles.
Los datos de aplicación están cifrados y protegidos contra cambios no autorizados en la red.
La etiqueta de seguridad de los datos se visualiza en forma de una opción IP de CALIPSO o CIPSO para su uso en dispositivos de seguridad y enrutadores de varios niveles en la ruta entre los sistemas enigma y partym.
La etiquetas de seguridad que enigma y partym intercambian están protegidas contra cambios no autorizados.
Antes de empezar
Debe estar con el rol de usuario root en la zona global.
Siga los procedimientos descriptos en Etiquetado de hosts y redes. Utilice una plantilla con un tipo de host cipso.
Para conocer el procedimiento, consulte Cómo proteger el tráfico de red seguro entre dos servidores con IPsec de Protección de la red en Oracle Solaris 11.2 . Utilice IKE para la gestión de claves, como se describe en el siguiente paso.
Siga el procedimiento descripto en Cómo configurar IKEv2 con claves compartidas previamente de Protección de la red en Oracle Solaris 11.2 y, luego, modifique el archivo ike/config de la siguiente manera:
El archivo resultante tiene el siguiente aspecto. Se resaltan las adiciones de etiquetas.
### ike/config file on enigma, 192.168.116.16 ## Global parameters # ## Use IKE to exchange security labels. label_aware # ## Defaults that individual rules can override. p1_xform { auth_method preshared oakley_group 5 auth_alg sha encr_alg 3des } p2_pfs 2 # ## The rule to communicate with partym # Label must be unique { label "enigma-partym" local_addr 192.168.116.16 remote_addr 192.168.13.213 multi_label wire_label inner p1_xform { auth_method preshared oakley_group 5 auth_alg sha1 encr_alg aes } p2_pfs 5 }
### ike/config file on partym, 192.168.13.213 ## Global Parameters # ## Use IKE to exchange security labels. label_aware # p1_xform { auth_method preshared oakley_group 5 auth_alg sha encr_alg 3des } p2_pfs 2 ## The rule to communicate with enigma # Label must be unique { label "partym-enigma" local_addr 192.168.13.213 remote_addr 192.168.116.16 multi_label wire_label inner p1_xform { auth_method preshared oakley_group 5 auth_alg sha1 encr_alg aes } p2_pfs 5 }
Utilice encr_auth_algs en lugar de auth_algs en el archivo /etc/inet/ipsecinit.conf para gestionar la autenticación. La autenticación ESP no abarca el encabezado IP y las opciones IP, pero autenticará toda la información después del encabezado ESP.
{laddr enigma raddr partym} ipsec {encr_algs any encr_auth_algs any sa shared}