La sicurezza dei protocolli Internet (IPsec o Internet Protocol Security) protegge le comunicazioni IP provenienti da e in arrivo a un host. Gli host ESXi supportano IPsec utilizzando IPv6.
Quando si configura IPSec in un host ESXi, si abilita l'autenticazione e la crittografia dei pacchetti in entrata e in uscita. Il momento e il modo in cui viene crittografato il traffico IP dipendono da come vengono configurati le associazioni di sicurezza e i criteri di protezione del sistema.
Un'associazione di sicurezza determina il modo in cui il sistema cripta il traffico. Quando si crea un'associazione di sicurezza, è necessario specificare l'origine e la destinazione, i parametri di crittografia e un nome dell'associazione di sicurezza.
Un criterio di protezione determina quando il sistema deve crittografare il traffico. Il criterio di protezione include informazioni sull'origine e sulla destinazione, il protocollo e la direzione del traffico da crittografare, la modalità (trasporto o tunnel) e l'associazione di sicurezza da utilizzare.
Elenco delle associazioni di sicurezza disponibili negli host ESXi
ESXi può fornire un elenco di tutte le associazioni di sicurezza disponibili per l'uso da parte dei criteri di protezione. L'elenco include sia le associazioni di sicurezza create dall'utente sia tutte le associazioni di sicurezza installate da VMkernel utilizzando Internet Key Exchange.
Procedura
- ♦ Al prompt dei comandi, immettere il comando esxcli network ipsec sa list.
risultati
ESXi visualizza un elenco di tutte le associazioni di sicurezza disponibili.
Aggiunta di un'associazione di sicurezza IPSec a un host ESXi
Aggiungere un'associazione di sicurezza per specificare i parametri di crittografia per il traffico IP associato.
È possibile aggiungere un'associazione di sicurezza utilizzando il comando esxcli.
Procedura
- ♦ Dal prompt dei comandi, immettere il comando esxcli network ip ipsec sa add con una o più opzioni tra le seguenti.
Opzione Descrizione --sa-source= indirizzo di origine Obbligatorio. Specificare l'indirizzo di origine. --sa-destination= indirizzo di destinazione Obbligatorio. Specificare l'indirizzo di destinazione. --sa-mode= modalità Obbligatorio. Specificare la modalità, transport oppure tunnel. --sa-spi= indice parametro di sicurezza Obbligatorio. Specificare l'indice del parametro di sicurezza. L'indice del parametro di sicurezza identifica l'associazione di sicurezza all'host. Deve essere un prefisso esadecimale con prefisso 0x. Ogni associazione di sicurezza creata deve disporre di una combinazione univoca di protocollo e indice del parametro di sicurezza. --encryption-algorithm= algoritmo di crittografia Obbligatorio. Specificare l'algoritmo di crittografia utilizzando uno dei seguenti parametri. - 3des-cbc
- aes128-cbc
- null (non fornisce alcuna crittografia)
--encryption-key= chiave di crittografia Obbligatorio quando si specifica un algoritmo di crittografia. Specificare una chiave di crittografia. È possibile immettere le chiavi come testo ASCII o come valore esadecimale con prefisso 0x. --integrity-algorithm= algoritmo di autenticazione Obbligatorio. Specificare l'algoritmo di autenticazione, hmac-sha1 oppure hmac-sha2-256. --integrity-key= chiave di autenticazione Obbligatorio. Specificare la chiave di autenticazione. È possibile immettere le chiavi come testo ASCII o come valore esadecimale con prefisso 0x. --sa-name=nome Obbligatorio. Specificare un nome per l'associazione di sicurezza.
Esempio: Nuovo comando per l'associazione di sicurezza
L'esempio seguente contiene ulteriori interruzioni di riga per la leggibilità.
esxcli network ip ipsec sa add --sa-source 3ffe:501:ffff:0::a --sa-destination 3ffe:501:ffff:0001:0000:0000:0000:0001 --sa-mode transport --sa-spi 0x1000 --encryption-algorithm 3des-cbc --encryption-key 0x6970763672656164796c6f676f336465736362636f757432 --integrity-algorithm hmac-sha1 --integrity-key 0x6970763672656164796c6f67736861316f757432 --sa-name sa1
Rimozione di un'associazione di sicurezza IPSec da un host ESXi
È possibile rimuovere un'associazione di sicurezza utilizzando il comando ESXCLI.
Prerequisiti
Verificare che l'associazione di sicurezza che si desidera utilizzare non sia attualmente in uso. Se si tenta di rimuovere un'associazione di sicurezza in uso, l'operazione di rimozione non riesce.
Procedura
- ♦ Nel prompt dei comandi immettere il comando esxcli network ipsec sa remove --sa-name nome_associazione_sicurezza.
Elenco dei criteri di protezione IPSec disponibili in un host ESXi
È possibile elencare i criteri di protezione disponibili utilizzando il comando ESXCLI.
Procedura
- ♦ Al prompt dei comandi, immettere il comando esxcli network ipsec sp list.
risultati
L'host visualizza un elenco di tutti i criteri di protezione disponibili.
Creazione di un criterio di sicurezza IPSec in un host ESXi
Creare un criterio di sicurezza per determinare quando utilizzare i parametri di autenticazione e crittografia impostati in un'associazione di sicurezza. È possibile aggiungere un criterio di protezione utilizzando il comando ESXCLI.
Prerequisiti
Prima di creare un criterio di sicurezza, aggiungere un'associazione di sicurezza con i parametri di autenticazione e crittografia appropriati, in base a quanto descritto in Aggiunta di un'associazione di sicurezza IPSec a un host ESXi.
Procedura
- ♦ Nel prompt dei comandi, immettere il comando esxcli network ipsec sp add con una o più delle opzioni seguenti.
Opzione Descrizione --sp-source= indirizzo di origine Obbligatorio. Specificare l'indirizzo IP di origine e la lunghezza del prefisso. --sp-destination= indirizzo di destinazione Obbligatorio. Specificare l'indirizzo di destinazione e la lunghezza del prefisso. --source-port= porta Obbligatorio. Specificare la porta di origine. La porta di origine deve essere un numero compreso tra 0 e 65535. --destination-port= porta Obbligatorio. Specificare la porta di destinazione. La porta di origine deve essere un numero compreso tra 0 e 65535. --upper-layer-protocol= protocollo Specificare il protocollo del livello superiore utilizzando uno dei seguenti parametri. - tcp
- udp
- icmp6
- any
--flow-direction= direzione Specificare la direzione in cui si desidera monitorare il traffico utilizzando in o out. --action= azione Specificare l'azione da eseguire quando viene rilevato il traffico con i parametri specificati utilizzando uno dei seguenti parametri. - none: nessuna azione.
- discard: non consente dati in entrata o in uscita.
- ipsec: utilizzare le informazioni di autenticazione e crittografia fornite nell'associazione di sicurezza per determinare se i dati provengono da un'origine attendibile.
--sp-mode= modalità Specificare la modalità, tunnel oppure transport. --sa-name=nome associazione di sicurezza Obbligatorio. Specificare il nome dell'associazione di sicurezza utilizzato dal criterio di sicurezza. --sp-name=nome Obbligatorio. Specificare un nome per il criterio di sicurezza.
Esempio: Nuovo comando del criterio di sicurezza
L'esempio seguente include ulteriori interruzioni di riga per la leggibilità.
esxcli network ip ipsec add --sp-source=2001:db8:1::/64 --sp-destination=2002:db8:1::/64 --source-port=23 --destination-port=25 --upper-layer-protocol=tcp --flow-direction=out --action=ipsec --sp-mode=transport --sa-name=sa1 --sp-name=sp1
Rimozione di un criterio di sicurezza IPSec da un host ESXi
È possibile rimuovere un criterio di sicurezza dall'host ESXi utilizzando il comando ESXCLI.
Prerequisiti
Verificare che il criterio di sicurezza che si desidera utilizzare non sia attualmente in uso. Se si tenta di rimuovere un criterio di sicurezza in uso, l'operazione di rimozione non riesce.
Procedura
- ♦ Nel prompt dei comandi immettere il comando esxcli network ipsec sp remove --sa-name nome criterio di sicurezza.
Per rimuovere tutti i criteri di sicurezza, immettere il comando esxcli network ip ipsec sp remove --remove-all.