Go to main content
Oracle MiniCluster S7-2 - Sicherheitshandbuch

Druckansicht beenden

Aktualisiert: Oktober 2016
 
 

Konfigurieren von IPsec und IKE

Bevor IPsec verwendet werden kann, müssen die spezifischen Hostnamen und/oder IP-Adressen definiert werden, die zwischen kommunizierenden Peers verwendet werden.

Bei dem Beispiel in dieser Prozedur werden die IP-Adressen 10.1.1.1 und 10.1.1.2 zur Angabe von zwei nicht-globalen Solaris-Zonen verwendet, die von einem einzelnen Mandanten betrieben werden. Die Kommunikation zwischen diesen beiden Adressen wird mit IPsec geschützt. Das Beispiel zeigt die Perspektive der nicht-globalen Zone, die mit IP-Adresse 10.1.1.1 verknüpft ist.

Mit den folgenden Schritten können Sie IPsec und IKE zwischen einem Paar mit angegebenen nicht-globalen Zonen (virtuellen Maschinen) konfigurieren und verwenden.

  1. Definieren Sie die IPsec-Sicherheitsrichtlinie.

    Definieren Sie die Sicherheitsrichtlinie, die zwischen dem Paar kommunizierender Zonen durchgesetzt wird.

    In diesem Beispiel wird die gesamte Kommunikation zwischen 10.1.1.1 und 10.1.1.2 verschlüsselt:

    {laddr 10.1.1.1 raddr 10.1.1.2}
ipsec{encr_algs aes encr_auth_algs sha256 sa shared}
  2. Speichern Sie die Richtlinie in der Datei /etc/inet/ipsecinit.conf.
  3. Prüfen Sie, ob die IPsec-Richtlinie syntaktisch korrekt ist.

    Beispiel:

    # ipsecconf –c –f ipsecinit.conf
  4. Konfigurieren Sie den IKE-(Internet Key Exchange-)Service.

    Konfigurieren Sie den Service gemäß den Host- und Algorithmuseinstellungen in der Datei /etc/inet/ike/config.

    { label "ipsec"

local_id_type ip

remote_addr 10.1.1.2

p1_xform { auth_method preshared oakley_group 5

auth_alg sha256 encr_alg aes } }
  5. Konfigurieren Sie den vorinstallierten Schlüssel.

    Bevor IPsec aktiviert werden kann, muss Schlüsselmaterial auf beiden Peer-Knoten vorinstalliert werden, damit sie einander authentifizieren können.

    Die Oracle Solaris IKE-Implementierung unterstützt eine Vielzahl von Schlüsseltypen, einschließlich vorinstallierten Schlüsseln und Zertifikaten. Der Einfachheit halber verwendet dieses Beispiel vorinstallierte Schlüssel, die in der Datei /etc/inet/secret/ike.preshared gespeichert sind. Unternehmen, die jedoch strengere Formen der Authentifizierung verwenden möchten, können dies tun.

    Bearbeiten Sie die Datei /etc/inet/secret/ike.preshared, und geben Sie die vorinstallierten Schlüsselinformationen ein. Beispiel:

    {
localidtype IP
localid 10.1.1.1
remoteid type IP
key "This is an ASCII phrAz, use strOng p@sswords"
}
  6. Aktivieren Sie IPsec- und IKE-Services auf beiden Peers.

    Die Services müssen auf beiden kommunizierenden Peers aktiviert werden, bevor eine verschlüsselte Kommunikation möglich ist.

    Beispiel:

    # svcadm enable svc:/network/ipsec/policy:default
# svcadm enable svc:/network/ipsec/ike:default
Copyright © 2016, Oracle und/oder verbundene Unternehmen. All rights reserved. Alle Rechte vorbehalten. Rechtliche Hinweise
Zurück
Weiter