この手順では、次の条件に対応できるように、2 つの Trusted Extensions システムで IPsec を構成します。
2 つのシステム enigma と partym は、マルチレベルネットワーク内で動作しているマルチレベル Trusted Extensions システムです。
アプリケーションデータは暗号化され、ネットワーク内での承認されていない変更から保護されます。
データのセキュリティーラベルは、enigma システムと partym システム間のパス上にあるマルチレベルルーターやセキュリティーデバイスで使用される CALIPSO または CIPSO IP オプションの形で可視となります。
enigma と partym の間で交換されるセキュリティーラベルは、承認されていない変更から保護されます。
始める前に
大域ゾーンで root 役割になっています。
ホストおよびネットワークへのラベル付けの手順に従います。cipso ホストタイプのテンプレートを使用します。
手順については、Oracle Solaris 11.3 でのネットワークのセキュリティー保護 の IPsec によって 2 つのサーバー間でネットワークトラフィックをセキュリティー保護する方法を参照してください。鍵管理については、次の手順で説明するように IKE を使用します。
Oracle Solaris 11.3 でのネットワークのセキュリティー保護 の 事前共有鍵で IKEv2 を構成する方法 の手順に従ったあと、ike/config ファイルを次のように変更します。
結果となるファイルは次のようになります。ラベルの追加箇所が強調表示されています。
### ike/config file on enigma, 192.168.116.16 ## Global parameters # ## Use IKE to exchange security labels. label_aware # ## Defaults that individual rules can override. p1_xform { auth_method preshared oakley_group 5 auth_alg sha encr_alg 3des } p2_pfs 2 # ## The rule to communicate with partym # Label must be unique { label "enigma-partym" local_addr 192.168.116.16 remote_addr 192.168.13.213 multi_label wire_label inner p1_xform { auth_method preshared oakley_group 5 auth_alg sha1 encr_alg aes } p2_pfs 5 }
### ike/config file on partym, 192.168.13.213 ## Global Parameters # ## Use IKE to exchange security labels. label_aware # p1_xform { auth_method preshared oakley_group 5 auth_alg sha encr_alg 3des } p2_pfs 2 ## The rule to communicate with enigma # Label must be unique { label "partym-enigma" local_addr 192.168.13.213 remote_addr 192.168.116.16 multi_label wire_label inner p1_xform { auth_method preshared oakley_group 5 auth_alg sha1 encr_alg aes } p2_pfs 5 }
認証を処理する方法として、/etc/inet/ipsecinit.conf ファイルで auth_algs の代わりに encr_auth_algs を使用します。ESP 認証は、IP ヘッダーや IP オプションを保護しませんが、ESP ヘッダーのあとの情報をすべて認証します。
{laddr enigma raddr partym} ipsec {encr_algs any encr_auth_algs any sa shared}