Go to main content
Guia de Segurança do MiniCluster S7-2

Sair da Exibição de Impressão

Atualizado: Outubro de 2016
 
 

Configurar IPsec e IKE

Para ser possível configurar o IPsec, os nomes de host específicos e/ou endereços IP usados entre pares de comunicação devem ser definidos.

Para o exemplo neste procedimento, os endereços IP 10.1.1.1 e 10.1.1.2 são usados para designar duas zonas não globais Solaris operadas por um único tenant. A comunicação entre esses dois endereços será protegida pelo IPsec. O exemplo é da perspectiva de uma zona não global associada ao endereço IP 10.1.1.1.

Use as seguintes etapas para configurar e usar IPsec e IKE entre um par de zonas não globais designadas (máquinas virtuais):

  1. Defina a política de segurança IPsec.

    Defina a política de segurança que será aplicada entre o par de zonas em comunicação.

    Neste exemplo, todas as comunicações entre 10.1.1.1 e 10.1.1.2 serão criptografadas:

    {laddr 10.1.1.1 raddr 10.1.1.2}
ipsec{encr_algs aes encr_auth_algs sha256 sa shared}
  2. Armazene a política no arquivo /etc/inet/ipsecinit.conf.
  3. Verifique se a política IPsec está sintaticamente correta.

    Exemplo:

    # ipsecconf –c –f ipsecinit.conf
  4. Configure o serviço IKE (Internet Key Exchange).

    Configure o serviço seguindo as configurações de host e algoritmos no arquivo /etc/inet/ike/config.

    { label "ipsec"

local_id_type ip

remote_addr 10.1.1.2

p1_xform { auth_method preshared oakley_group 5

auth_alg sha256 encr_alg aes } }
  5. Configure a chave pré-compartilhada.

    Para ser possível configurar o IPsec, é necessário compartilhar o material de chaves com os dois nós pares para que eles possam ser autenticados entre si.

    A implementação do Oracle Solaris IKE dá suporte a uma variedade de tipos de chave que incluem chaves pré-compartilhadas e certificados. Para simplificar, este exemplo usa chaves pré-compartilhadas que são armazenadas no arquivo /etc/inet/secret/ike.preshared. No entanto, as organizações que buscam usar formas mais fortes de autenticação pode seguir esse procedimento.

    Edite o arquivo /etc/inet/secret/ike.preshared e forneça as informações de chave pré-compartilhada. Por exemplo:

    {
localidtype IP
localid 10.1.1.1
remoteid type IP
key "This is an ASCII phrAz, use strOng p@sswords"
}
  6. Ative os serviços IPsec e IKE nos dois pares.

    Os serviços devem ser ativados nos pares de comunicação para que a comunicação criptografada seja possível.

    Exemplo:

    # svcadm enable svc:/network/ipsec/policy:default
# svcadm enable svc:/network/ipsec/ike:default
Copyright © 2016, Oracle e/ou suas empresas afiliadas. Todos os direitos reservados. Avisos Legais
Anterior
Próximo