Para ser possível configurar o IPsec, os nomes de host específicos e/ou endereços IP usados entre pares de comunicação devem ser definidos.
Para o exemplo neste procedimento, os endereços IP 10.1.1.1 e 10.1.1.2 são usados para designar duas zonas não globais Solaris operadas por um único tenant. A comunicação entre esses dois endereços será protegida pelo IPsec. O exemplo é da perspectiva de uma zona não global associada ao endereço IP 10.1.1.1.
Use as seguintes etapas para configurar e usar IPsec e IKE entre um par de zonas não globais designadas (máquinas virtuais):
Defina a política de segurança que será aplicada entre o par de zonas em comunicação.
Neste exemplo, todas as comunicações entre 10.1.1.1 e 10.1.1.2 serão criptografadas:
{laddr 10.1.1.1 raddr 10.1.1.2} ipsec{encr_algs aes encr_auth_algs sha256 sa shared}
Exemplo:
# ipsecconf –c –f ipsecinit.conf
Configure o serviço seguindo as configurações de host e algoritmos no arquivo /etc/inet/ike/config.
{ label "ipsec" local_id_type ip remote_addr 10.1.1.2 p1_xform { auth_method preshared oakley_group 5 auth_alg sha256 encr_alg aes } }
Para ser possível configurar o IPsec, é necessário compartilhar o material de chaves com os dois nós pares para que eles possam ser autenticados entre si.
A implementação do Oracle Solaris IKE dá suporte a uma variedade de tipos de chave que incluem chaves pré-compartilhadas e certificados. Para simplificar, este exemplo usa chaves pré-compartilhadas que são armazenadas no arquivo /etc/inet/secret/ike.preshared. No entanto, as organizações que buscam usar formas mais fortes de autenticação pode seguir esse procedimento.
Edite o arquivo /etc/inet/secret/ike.preshared e forneça as informações de chave pré-compartilhada. Por exemplo:
{ localidtype IP localid 10.1.1.1 remoteid type IP key "This is an ASCII phrAz, use strOng p@sswords" }
Os serviços devem ser ativados nos pares de comunicação para que a comunicação criptografada seja possível.
Exemplo:
# svcadm enable svc:/network/ipsec/policy:default # svcadm enable svc:/network/ipsec/ike:default