Go to main content
Guida per la sicurezza di Oracle MiniCluster S7-2

Uscire dalla vista stampa

Aggiornato: Ottobre 2016
 
 

Configurazione di IPsec e IKE

Per poter configurare IPsec, è necessario definire i nomi host e/o gli indirizzi IP specifici utilizzati tra i peer comunicanti.

Per l'esempio di questa procedura vengono utilizzati gli indirizzi 10.1.1.1 e 10.1.1.2 per indicare due zone non globali Solaris gestite da un unico tenant. La comunicazione tra i due indirizzi verrà protetta con IPsec. L'esempio si basa sulla prospettiva della zona non globale associata all'indirizzo IP 10.1.1.1.

Per configurare e usare IPsec e IKE in una coppia di zone non globali (virtual machine) designate, attenersi alla procedura riportata di seguito.

  1. Definire il criterio di sicurezza IPsec.

    Definire il criterio di sicurezza che verrà applicato per la coppia di zone comunicanti.

    In questo esempio, tutte le comunicazioni di rete tra gli indirizzi 10.1.1.1 e 10.1.1.2 verranno cifrate:

    {laddr 10.1.1.1 raddr 10.1.1.2}
ipsec{encr_algs aes encr_auth_algs sha256 sa shared}
  2. Memorizzare il criterio nel file /etc/inet/ipsecinit.conf.
  3. Verificare che il criterio IPsec sia corretto dal punto di vista sintattico.

    Esempio:

    # ipsecconf –c –f ipsecinit.conf
  4. Configurare il servizio IKE (Internet Key Exchange).

    Configurare il servizio in conformità con le impostazioni di host e algoritmo presenti nel file /etc/inet/ike/config.

    { label "ipsec"

local_id_type ip

remote_addr 10.1.1.2

p1_xform { auth_method preshared oakley_group 5

auth_alg sha256 encr_alg aes } }
  5. Configurare la chiave precondivisa.

    Per poter abilitare IPsec, è necessario che il materiale chiave venga condiviso per entrambi i nodi peer in modo che possano autenticarsi reciprocamente.

    L'implementazione IKE di Oracle Solaris supporta numerosi tipi di chiavi, tra i quali le chiavi precondivise e i certificati. Per praticità, in questo esempio vengono utilizzate le chiavi precondivise memorizzate nel file /etc/inet/secret/ike.preshared. Possono essere tuttavia adottate forme di autenticazione più rigorose da parte delle organizzazioni che le ritengono necessarie.

    Modificare il file /etc/inet/secret/ike.preshared e immettere le informazioni della chiave precondivisa. Ad esempio:

    {
localidtype IP
localid 10.1.1.1
remoteid type IP
key "This is an ASCII phrAz, use strOng p@sswords"
}
  6. Abilitare i servizi IPsec e IKE in entrambi i peer.

    Affinché la comunicazione cifrata sia possibile, i servizi devono essere abilitati in entrambi i peer in comunicazione.

    Esempio:

    # svcadm enable svc:/network/ipsec/policy:default
# svcadm enable svc:/network/ipsec/ike:default
Copyright © 2016, Oracle e/o relative consociate. Tutti i diritti riservati. Note legali
Precedente
Successivo