この手順では、次の条件に対応できるように、2 つの Trusted Extensions システムで IPsec を構成します。
2 つのシステム enigma と partym は、マルチレベルネットワーク内で動作しているマルチレベル Trusted Extensions システムです。
アプリケーションデータは暗号化され、ネットワーク内での承認されていない変更から保護されます。
データのセキュリティーラベルは、enigma システムと partym システム間のパス上にあるマルチレベルルーターやセキュリティーデバイスで使用される CALIPSO または CIPSO IP オプションの形で可視となります。
enigma と partym の間で交換されるセキュリティーラベルは、承認されていない変更から保護されます。
始める前に
大域ゾーンで root 役割になっています。
ホストおよびネットワークへのラベル付けの手順に従います。cipso ホストタイプのテンプレートを使用します。
手順については、Oracle Solaris 11.3 でのネットワークのセキュリティー保護 の IPsec によって 2 つのサーバー間でネットワークトラフィックをセキュリティー保護する方法を参照してください。鍵管理については、次の手順で説明するように IKE を使用します。
Oracle Solaris 11.3 でのネットワークのセキュリティー保護 の 事前共有鍵で IKEv2 を構成する方法 の手順に従ったあと、ike/config ファイルを次のように変更します。
結果となるファイルは次のようになります。ラベルの追加箇所が強調表示されています。
### ike/config file on enigma, 192.168.116.16
## Global parameters
#
## Use IKE to exchange security labels.
label_aware
#
## Defaults that individual rules can override.
p1_xform
{ auth_method preshared oakley_group 5 auth_alg sha encr_alg 3des }
p2_pfs 2
#
## The rule to communicate with partym
# Label must be unique
{ label "enigma-partym"
local_addr 192.168.116.16
remote_addr 192.168.13.213
multi_label
wire_label inner
p1_xform
{ auth_method preshared oakley_group 5 auth_alg sha1 encr_alg aes }
p2_pfs 5
}
### ike/config file on partym, 192.168.13.213
## Global Parameters
#
## Use IKE to exchange security labels.
label_aware
#
p1_xform
{ auth_method preshared oakley_group 5 auth_alg sha encr_alg 3des }
p2_pfs 2
## The rule to communicate with enigma
# Label must be unique
{ label "partym-enigma"
local_addr 192.168.13.213
remote_addr 192.168.116.16
multi_label
wire_label inner
p1_xform
{ auth_method preshared oakley_group 5 auth_alg sha1 encr_alg aes }
p2_pfs 5
}
認証を処理する方法として、/etc/inet/ipsecinit.conf ファイルで auth_algs の代わりに encr_auth_algs を使用します。ESP 認証は、IP ヘッダーや IP オプションを保護しませんが、ESP ヘッダーのあとの情報をすべて認証します。
{laddr enigma raddr partym} ipsec {encr_algs any encr_auth_algs any sa shared}