Skip to main content
Die deutsche Sprachversion wurde als Serviceleistung für Sie durch maschinelle Übersetzung erstellt. Bei eventuellen Unstimmigkeiten hat die englische Sprachversion Vorrang.

Konfigurieren Sie IP-Sicherheit (IPsec) über die Verschlüsselung über das Netzwerk

Beitragende

ONTAP verwendet im Transportmodus IPsec (Internet Protocol Security), um sicherzustellen, dass Daten auch während der Übertragung durchgehend sicher und verschlüsselt sind. IPsec bietet Datenverschlüsselung für den gesamten IP-Datenverkehr, einschließlich NFS-, iSCSI- und SMB-Protokollen.

Ab ONTAP 9.12.1 ist die IPsec-Unterstützung für das Front-End-Hostprotokoll in MetroCluster IP- und MetroCluster Fabric-Attached-Konfigurationen verfügbar.
Die IPsec-Unterstützung in MetroCluster-Clustern ist auf den Front-End-Host-Datenverkehr beschränkt und wird auf MetroCluster-Intercluster-LIFs nicht unterstützt.

Ab ONTAP 9.10.1 können Sie entweder vorfreigegebene Schlüssel (PSKs) oder Zertifikate für die Authentifizierung mit IPsec verwenden. Bisher wurden nur PSKs mit IPsec unterstützt.

Ab ONTAP 9.9 sind die von IPsec verwendeten Verschlüsselungsalgorithmen nach FIPS 140-2 zertifiziert. Die Algorithmen werden durch das NetApp Cryptographic Modul in ONTAP generiert, das die FIPS 140-2 Validierung durchführt.

Ab ONTAP 9.8 unterstützt ONTAP IPsec im Transportmodus.

Nach der Konfiguration von IPsec ist der Netzwerkverkehr zwischen dem Client und ONTAP durch vorbeugende Maßnahmen gegen Replay- und man-in-the-Middle (MITM)-Angriffe geschützt.

Für die Traffic-Verschlüsselung durch NetApp SnapMirror und Cluster-Peering (Cluster Peering Encryption, CPE) wird die Sicherheit der Transportschicht (TLS) für den sicheren Transport über das Netzwerk über IPsec empfohlen. Dies liegt daran, dass TLS eine bessere Leistung als IPsec hat.

Während die IPsec-Funktion auf dem Cluster aktiviert ist, erfordert das Netzwerk einen SPD-Eintrag (Security Policy Database), der dem zu schützenden Datenverkehr entspricht und Schutzdetails (wie Chiffre Suite und Authentifizierungsmethode) vor dem Datenfluss spezifiziert. Für jeden Client ist auch ein entsprechender SPD-Eintrag erforderlich.

Aktivieren Sie IPsec auf dem Cluster

Sie können IPsec auf dem Cluster aktivieren, um sicherzustellen, dass Daten auch während der Übertragung ununterbrochen sicher und verschlüsselt sind.

Schritte
  1. Ermitteln, ob IPsec bereits aktiviert ist:

    security ipsec config show

    Wenn das Ergebnis enthält `IPsec Enabled: false`Fahren Sie mit dem nächsten Schritt fort.

  2. IPsec aktivieren:

    security ipsec config modify -is-enabled true

  3. Führen Sie den Ermittlungsbefehl erneut aus:

    security ipsec config show

    Das Ergebnis umfasst jetzt IPsec Enabled: true.

Bereiten Sie die IPsec-Richtlinienerstellung mit Zertifikatauthentifizierung vor

Sie können diesen Schritt überspringen, wenn Sie nur PSKs (Pre-Shared Keys) zur Authentifizierung verwenden und keine Zertifikatauthentifizierung verwenden.

Bevor Sie eine IPsec-Richtlinie erstellen, die Zertifikate für die Authentifizierung verwendet, müssen Sie überprüfen, ob die folgenden Voraussetzungen erfüllt sind:

  • Sowohl ONTAP als auch der Client müssen das CA-Zertifikat der anderen Partei installiert haben, damit die Zertifikate der Endeinheit (entweder ONTAP oder der Client) von beiden Seiten verifiziert werden können

  • Für die ONTAP LIF, die an der Richtlinie teilnimmt, wird ein Zertifikat installiert

Hinweis ONTAP LIFs können Zertifikate gemeinsam nutzen. Es ist keine 1:1-Zuordnung zwischen Zertifikaten und LIFs erforderlich.
Schritte
  1. Installieren Sie alle während der gegenseitigen Authentifizierung verwendeten CA-Zertifikate, einschließlich ONTAP- und Client-seitiger CAS, in das ONTAP-Zertifikatsmanagement, sofern sie nicht bereits installiert ist (wie bei einer selbstsignierten ONTAP-Root-CA).

    Beispielbefehl
    cluster::> security certificate install -vserver svm_name -type server-ca -cert-name my_ca_cert

  2. Um sicherzustellen, dass die installierte CA während der Authentifizierung innerhalb des IPsec-CA-Suchpfads ist, fügen Sie die ONTAP-Zertifizierungsstelle für die Zertifikatsverwaltung mithilfe des hinzu security ipsec ca-certificate add Befehl.

    Beispielbefehl
    cluster::> security ipsec ca-certificate add -vserver svm_name -ca-certs my_ca_cert

  3. Erstellen und installieren Sie ein Zertifikat zur Verwendung durch die LIF von ONTAP. Die Emittent-CA dieses Zertifikats muss bereits in ONTAP installiert und zu IPsec hinzugefügt werden.

    Beispielbefehl
    cluster::> security certificate install -vserver svm_name -type server -cert-name my_nfs_server_cert

Weitere Informationen zu Zertifikaten in ONTAP finden Sie in den Befehlen für Sicherheitszertifikate in der Dokumentation zu ONTAP 9 .

Security Policy Database (SPD) definieren

IPsec erfordert einen SPD-Eintrag, bevor der Datenverkehr im Netzwerk fließen kann. Dies gilt unabhängig davon, ob Sie ein PSK oder ein Zertifikat zur Authentifizierung verwenden.

Schritte
  1. Verwenden Sie die security ipsec policy create Befehl an:

    1. Wählen Sie die ONTAP-IP-Adresse oder das Subnetz der IP-Adressen aus, die am IPsec-Transport beteiligt werden sollen.

    2. Wählen Sie die Client-IP-Adressen aus, die eine Verbindung zu den ONTAP-IP-Adressen herstellen.

      Hinweis Der Client muss Internet Key Exchange Version 2 (IKEv2) mit einem vorab freigegebenen Schlüssel (PSK) unterstützen.
    3. Optional Wählen Sie die feingranularen Datenverkehrsparameter aus, z. B. die Protokolle der oberen Ebene (UDP, TCP, ICMP usw.) ), die lokalen Port-Nummern und die Remote-Port-Nummern zum Schutz des Datenverkehrs. Die entsprechenden Parameter sind protocols, local-ports Und remote-ports Jeweils.

      Überspringen Sie diesen Schritt, um den gesamten Datenverkehr zwischen der ONTAP-IP-Adresse und der Client-IP-Adresse zu schützen. Der Schutz des gesamten Datenverkehrs ist die Standardeinstellung.

    4. Geben Sie entweder PSK oder Public-Key-Infrastruktur (PKI) für den ein auth-method Parameter für die gewünschte Authentifizierungsmethode.

      1. Wenn Sie eine PSK eingeben, fügen Sie die Parameter ein, und drücken Sie dann <enter>, um die Aufforderung zur Eingabe und Überprüfung der zuvor freigegebenen Taste zu drücken.

        Hinweis local-identity Und remote-identity Parameter sind optional, wenn sowohl Host als auch Client strongSwan verwenden und keine Platzhalterrichtlinie für den Host oder Client ausgewählt ist.
      2. Wenn Sie eine PKI eingeben, müssen Sie auch die eingeben cert-name, local-identity, remote-identity Parameter. Wenn die Identität des externen Zertifikats unbekannt ist oder mehrere Clientidentitäten erwartet werden, geben Sie die spezielle Identität ein ANYTHING.

security ipsec policy create -vserver vs1 -name test34 -local-ip-subnets 192.168.134.34/32 -remote-ip-subnets 192.168.134.44/32
Enter the preshared key for IPsec Policy _test34_ on Vserver _vs1_:
security ipsec policy create -vserver vs1 -name test34 -local-ip-subnets 192.168.134.34/32 -remote-ip-subnets 192.168.134.44/32 -local-ports 2049 -protocols tcp -auth-method PKI -cert-name my_nfs_server_cert -local-identity CN=netapp.ipsec.lif1.vs0 -remote-identity ANYTHING

Der IP-Verkehr kann erst zwischen Client und Server übertragen werden, wenn sowohl ONTAP als auch der Client die entsprechenden IPsec-Richtlinien eingerichtet haben und die Authentifizierungsdaten (entweder PSK oder Zertifikat) auf beiden Seiten vorhanden sind. Weitere Informationen finden Sie in der clientseitigen IPsec-Konfiguration.

Verwenden Sie IPsec-Identitäten

Bei der Authentifizierungsmethode für vorinstallierte Schlüssel sind lokale und Remote-Identitäten optional, wenn sowohl Host als auch Client strongSwan verwenden und keine Platzhalterrichtlinie für den Host oder Client ausgewählt ist.

Für die PKI/Zertifikat-Authentifizierungsmethode sind sowohl lokale als auch Remote-Identitäten zwingend erforderlich. Die Identitäten geben an, welche Identität innerhalb des Zertifikats jeder Seite zertifiziert ist und für den Überprüfungsprozess verwendet wird. Wenn die Remote-Identität unbekannt ist oder viele verschiedene Identitäten vorliegen, verwenden Sie die spezielle Identität ANYTHING.

Über diese Aufgabe

Innerhalb von ONTAP werden Identitäten durch Ändern des SPD-Eintrags oder während der Erstellung der SPD-Richtlinie festgelegt. Beim SPD kann es sich um einen Identitätsnamen im IP-Adressenformat oder String-Format handelt.

Schritt

Verwenden Sie den folgenden Befehl, um eine vorhandene SPD-Identitätseinstellung zu ändern:

security ipsec policy modify

Beispielbefehl

security ipsec policy modify -vserver vs1 -name test34 -local-identity 192.168.134.34 -remote-identity client.fooboo.com

IPsec Konfiguration für mehrere Clients

Wenn eine kleine Anzahl von Clients IPsec nutzen muss, reicht die Verwendung eines einzelnen SPD-Eintrags für jeden Client aus. Wenn jedoch Hunderte oder gar Tausende von Clients IPsec nutzen müssen, empfiehlt NetApp die Verwendung einer IPsec Konfiguration für mehrere Clients.

Über diese Aufgabe

ONTAP unterstützt die Verbindung mehrerer Clients über mehrere Netzwerke mit einer einzelnen SVM-IP-Adresse, wobei IPsec aktiviert ist. Dies lässt sich mit einer der folgenden Methoden erreichen:

  • Subnetz-Konfiguration

    Um allen Clients in einem bestimmten Subnetz (z. B. 192.168.134.0/24) zu erlauben, über einen einzigen SPD-Richtlinieneintrag eine Verbindung mit einer einzelnen SVM-IP-Adresse herzustellen, müssen Sie die angeben remote-ip-subnets Im Subnetz-Formular. Darüber hinaus müssen Sie die angeben remote-identity Feld mit der korrekten clientseitigen Identität.

Hinweis Bei der Verwendung eines einzelnen Richtlinieneintrags in einer Subnetzkonfiguration teilen IPsec-Clients in diesem Subnetz die IPsec-Identität und den vorab gemeinsam genutzten Schlüssel (PSK). Dies gilt jedoch nicht für die Zertifikatauthentifizierung. Bei der Verwendung von Zertifikaten kann jeder Client sein eigenes eindeutiges Zertifikat oder ein freigegebenes Zertifikat zur Authentifizierung verwenden. ONTAP IPsec überprüft die Gültigkeit des Zertifikats auf der Grundlage des CAS, das auf seinem lokalen Vertrauensspeicher installiert ist. ONTAP unterstützt auch die Überprüfung der Zertifikatsperrliste (Certificate Revocation List, CRL).
  • Alle Clients konfigurieren zulassen

    Damit jeder Client unabhängig von seiner Quell-IP-Adresse eine Verbindung zur SVM IPsec-fähigen IP-Adresse herstellen kann, verwenden Sie den 0.0.0.0/0 Platzhalterzeichen bei der Angabe des remote-ip-subnets Feld.

    Darüber hinaus müssen Sie die angeben remote-identity Feld mit der korrekten clientseitigen Identität. Zur Zertifikatauthentifizierung können Sie eingeben ANYTHING.

    Auch, wenn der 0.0.0.0/0 Platzhalterzeichen wird verwendet. Sie müssen eine bestimmte lokale oder Remote-Portnummer konfigurieren, die verwendet werden soll. Beispiel: NFS port 2049.

    Schritte
    1. Verwenden Sie einen der folgenden Befehle, um IPsec für mehrere Clients zu konfigurieren.

      1. Wenn Sie Subnetz-Konfiguration zur Unterstützung mehrerer IPsec-Clients verwenden:

        security ipsec policy create -vserver vserver_name -name policy_name -local-ip-subnets IPsec_IP_address/32 -remote-ip-subnets IP_address/subnet -local-identity local_id -remote-identity remote_id

      Beispielbefehl

      security ipsec policy create -vserver vs1 -name subnet134 -local-ip-subnets 192.168.134.34/32 -remote-ip-subnets 192.168.134.0/24 -local-identity ontap_side_identity -remote-identity client_side_identity

      1. Wenn Sie allow all Clients Configuration verwenden, um mehrere IPsec-Clients zu unterstützen:

        security ipsec policy create -vserver vserver_name -name policy_name -local-ip-subnets IPsec_IP_address/32 -remote-ip-subnets 0.0.0.0/0 -local-ports port_number -local-identity local_id -remote-identity remote_id

    Beispielbefehl

    security ipsec policy create -vserver vs1 -name test35 -local-ip-subnets IPsec_IP_address/32 -remote-ip-subnets 0.0.0.0/0 -local-ports 2049 -local-identity ontap_side_identity -remote-identity client_side_identity

IPsec-Statistiken

Während der Verhandlung kann ein Sicherheitskanal, der als IKE-Sicherheitszuordnung (SA) bezeichnet wird, zwischen der ONTAP SVM-IP-Adresse und der Client-IP-Adresse eingerichtet werden. IPsec SAS werden auf beiden Endpunkten installiert, um die eigentliche Datenverschlüsselung und -Entschlüsselung zu ermöglichen.

Sie können Statistikbefehle verwenden, um den Status von IPsec SAS und IKE SAS zu überprüfen.

Beispielbefehle

IKE SA-Beispielbefehl:

security ipsec show-ikesa -node hosting_node_name_for_svm_ip

IPsec SA-Beispielbefehl und -Ausgabe:

security ipsec show-ipsecsa -node hosting_node_name_for_svm_ip

cluster1::> security ipsec show-ikesa -node cluster1-node1
            Policy Local           Remote
Vserver     Name   Address         Address         Initator-SPI     State
----------- ------ --------------- --------------- ---------------- -----------
vs1         test34
                   192.168.134.34  192.168.134.44  c764f9ee020cec69 ESTABLISHED

IPsec SA-Beispielbefehl und -Ausgabe:

security ipsec show-ipsecsa -node hosting_node_name_for_svm_ip

cluster1::> security ipsec show-ipsecsa -node cluster1-node1
            Policy  Local           Remote          Inbound  Outbound
Vserver     Name    Address         Address         SPI      SPI      State
----------- ------- --------------- --------------- -------- -------- ---------
vs1         test34
                    192.168.134.34  192.168.134.44  c4c5b3d6 c2515559 INSTALLED