在此过程中,在两个 Trusted Extensions 系统上配置 IPsec 以处理以下情况:
这两个系统分别为 enigma 和 partym,都是在多级别网络中运行的多级别 Trusted Extensions 系统。
对应用程序数据进行加密和保护,以防在网络中进行未经授权的更改。
数据的安全标签以 CALIPSO 或 CIPSO IP 选项的形式显示,供 enigma 和 partym 系统之间路径中的多级别路由器和安全设备使用。
enigma 和 partym 交换的安全标签受到保护,以免受到未经授权的更改。
开始之前
您是全局区域中的 root 角色。
按照为主机和网络设置标签中的过程操作。使用主机类型为 cipso 的模板。
有关过程,请参见在 Oracle Solaris 11.2 中确保网络安全 中的如何使用 IPsec 保护两台服务器之间的网络通信。将 IKE 用于密钥管理,如以下步骤中所述。
按照在 Oracle Solaris 11.2 中确保网络安全 中的如何使用预先共享的密钥配置 IKEv2中的过程进行操作,然后修改 ike/config 文件,如下所示:
生成的文件将类似于以下内容。突出显示标签添加项。
### ike/config file on enigma, 192.168.116.16
## Global parameters
#
## Use IKE to exchange security labels.
label_aware
#
## Defaults that individual rules can override.
p1_xform
{ auth_method preshared oakley_group 5 auth_alg sha encr_alg 3des }
p2_pfs 2
#
## The rule to communicate with partym
# Label must be unique
{ label "enigma-partym"
local_addr 192.168.116.16
remote_addr 192.168.13.213
multi_label
wire_label inner
p1_xform
{ auth_method preshared oakley_group 5 auth_alg sha1 encr_alg aes }
p2_pfs 5
}
### ike/config file on partym, 192.168.13.213
## Global Parameters
#
## Use IKE to exchange security labels.
label_aware
#
p1_xform
{ auth_method preshared oakley_group 5 auth_alg sha encr_alg 3des }
p2_pfs 2
## The rule to communicate with enigma
# Label must be unique
{ label "partym-enigma"
local_addr 192.168.13.213
remote_addr 192.168.116.16
multi_label
wire_label inner
p1_xform
{ auth_method preshared oakley_group 5 auth_alg sha1 encr_alg aes }
p2_pfs 5
}
使用 /etc/inet/ipsecinit.conf 文件中的 encr_auth_algs(而非 auth_algs)来处理验证。ESP 验证不包含 IP 头和 IP 选项,但验证 ESP 头后面的所有信息。
{laddr enigma raddr partym} ipsec {encr_algs any encr_auth_algs any sa shared}