Oracle® Solaris 11.2 でのネットワークのセキュリティー保護

印刷ビューの終了

 
更新: 2014 年 9 月
 
 

事前共有鍵で IKEv1 を構成する方法

IKE 実装では、鍵の長さが異なるさまざまなアルゴリズムが提供されます。鍵の長さは、サイトのセキュリティーに応じて選択します。一般的に、鍵の長さが長いほど、セキュリティーが高くなります。

この手順では、ASCII 形式の鍵を生成します。

これらの手順には、システム名 enigma および partym を使用します。enigmapartym を各自使用しているシステムの名前に置き換えてください。

注 - Trusted Extensions システムのラベルと一緒に IPsec を使用するには、Trusted Extensions 構成と管理 のマルチレベル Trusted Extensions ネットワークで IPsec 保護を適用するにあるこの手順の拡張を参照してください。

始める前に

Network IPsec Management 権利プロファイルが割り当てられている管理者になる必要があります。詳細は、Oracle Solaris 11.2 でのユーザーとプロセスのセキュリティー保護 の割り当てられている管理権利の使用を参照してください。

リモートで管理する場合は、Example 7–1 およびOracle Solaris 11.2 での Secure Shell アクセスの管理 のSecure Shell を使用して ZFS をリモートで管理する方法でセキュアなリモートログイン手順を確認してください。

  1. システムごとに、/etc/inet/ike/config ファイルを作成します。

    /etc/inet/ike/config.sample をテンプレートとして使用できます。

  2. システムごとに、規則とグローバルパラメータを ike/config ファイルに入力します。

    これらの規則やグローバルパラメータは、システムの ipsecinit.conf ファイルに設定されている IPsec ポリシーが正しく動作するものでなければなりません。次の IKEv1 構成の例は、IPsec によって 2 つのサーバー間でネットワークトラフィックをセキュリティー保護する方法ipsecinit.conf の例で機能します。

    1. たとえば、enigma システムの /etc/inet/ike/config ファイルを次のように変更します。 
      ### ike/config file on enigma, 192.168.116.16

## Global parameters
#
## Defaults that individual rules can override.
p1_xform
  { auth_method preshared oakley_group 5 auth_alg sha encr_alg 3des }
p2_pfs 2
#
## The rule to communicate with partym
#  Label must be unique
{ label "enigma-partym"
  local_addr 192.168.116.16
  remote_addr 192.168.13.213
  p1_xform
   { auth_method preshared oakley_group 5 auth_alg sha256 encr_alg aes }
  p2_pfs 5
}
    2. partym システムの /etc/inet/ike/config ファイルを次のように変更します。 
      ### ike/config file on partym, 192.168.13.213
## Global Parameters
#
p1_xform
  { auth_method preshared oakley_group 5 auth_alg sha encr_alg 3des }
p2_pfs 2

## The rule to communicate with enigma
#  Label must be unique
{ label "partym-enigma"
  local_addr 192.168.13.213
  remote_addr 192.168.116.16
p1_xform
 { auth_method preshared oakley_group 5 auth_alg sha256 encr_alg aes }
p2_pfs 5
}
  3. システムごとに、ファイルの構文を確認します。 
    # /usr/lib/inet/in.iked -c -f /etc/inet/ike/config
  4. 事前共有鍵を各システムの /etc/inet/secret/ike.preshared ファイルに追加します。
    1. たとえば、enigma システムの ike.preshared ファイルは次のようになります。 
      ## ike.preshared on enigma, 192.168.116.16
#…
{ localidtype IP
	localid 192.168.116.16
	remoteidtype IP
	remoteid 192.168.13.213
	# The preshared key can also be represented in hex
# as in 0xf47cb0f432e14480951095f82b
# key "This is an ASCII Cqret phrAz, use str0ng p@ssword tekniques"
}
    2. partym システムの ike.preshared ファイルは次のようになります。 
      ## ike.preshared on partym, 192.168.13.213
#…
{ localidtype IP
	localid 192.168.13.213
	remoteidtype IP
	remoteid 192.168.116.16
	# The preshared key can also be represented in hex
# as in 0xf47cb0f432e14480951095f82b
	key "This is an ASCII Cqret phrAz, use str0ng p@ssword tekniques"
	}
  5. IKEv1 サービスを有効にします。 
    # svcadm enable ipsec/ike:default
使用例 10-1  IKEv1 事前共有鍵をリフレッシュする

IKEv1 管理者が事前共有鍵をリフレッシュするときは、ピアシステム上のファイルを編集し、in.iked デーモンを再起動します。

最初に、事前共有鍵を使用する 2 つのサブネット内のすべてのシステムで、管理者が事前共有鍵エントリを変更します。

# pfedit -s /etc/inet/secret/ike.preshared
…
{ localidtype IP
	localid 192.168.116.0/24
	remoteidtype IP
	remoteid 192.168.13.0/24
	# The two subnet's shared passphrase for keying material 
key "LOooong key Th@t m^st Be Ch*angEd \'reguLarLy)"
	}

次に、管理者は各システムの IKEv1 サービスを再起動します。

pfedit コマンドのオプションについては、pfedit(1M) のマニュアルページを参照してください。

# svcadm enable ipsec/ike:default

次のステップ

IPsec ポリシーの設定がまだ完了していない場合、IPsec の手順に戻って IPsec ポリシーを有効にするかリフレッシュしてください。VPN を保護する IPsec ポリシーの例については、IPsec による VPN の保護を参照してください。IPsec ポリシーのその他の例については、IPsec によって 2 つのサーバー間でネットワークトラフィックをセキュリティー保護する方法を参照してください。

Copyright © 1999, 2014, Oracle and/or its affiliates. All rights reserved.  著作権について
前へ
次へ