Skip to main content
Se proporciona el idioma español mediante traducción automática para su comodidad. En caso de alguna inconsistencia, el inglés precede al español.

Configurar la seguridad IP (IPsec) a través del cifrado de cable

Colaboradores

ONTAP utiliza la seguridad del protocolo de Internet (IPsec) en el modo de transporte para garantizar que los datos estén protegidos y cifrados de forma continua, incluso durante el tránsito. IPSec ofrece cifrado de datos para todo el tráfico IP, incluidos los protocolos NFS, iSCSI y SMB.

A partir de ONTAP 9.12.1, está disponible la compatibilidad con IPsec del protocolo de host de interfaz de usuario en las configuraciones con conexión a la estructura de MetroCluster IP y MetroCluster.
La compatibilidad con IPSec en clústeres de MetroCluster se limita al tráfico de host de front-end y no se admite en las LIF de interconexión de clústeres de MetroCluster.

A partir de ONTAP 9.10.1, puede utilizar claves precompartidas (PSK) o certificados para la autenticación con IPsec. Anteriormente, sólo PSK eran compatibles con IPsec.

A partir de ONTAP 9.9.1, los algoritmos de cifrado utilizados por IPsec están validados con FIPS 140-2-2. Los algoritmos los genera el módulo de criptografía de NetApp en ONTAP, que conlleva la validación FIPS 140-2-2.

A partir de ONTAP 9,8, ONTAP admite IPsec en modo de transporte.

Una vez configurado IPsec, el tráfico de red entre el cliente y ONTAP está protegido con medidas preventivas para combatir los ataques de repetición y de hombre en el medio (MITM).

Para el cifrado de tráfico de paridad de clústeres y SnapMirror de NetApp, se recomienda el cifrado de paridad de clústeres (CPE) y la seguridad de la capa de transporte (TLS) a través de IPsec para garantizar la seguridad en tránsito por el cable. Esto se debe a que TLS tiene mejor rendimiento que IPsec.

Aunque la capacidad IPsec está habilitada en el clúster, la red requiere una entrada de base de datos de directivas de seguridad (SPD) para que coincida con el tráfico a proteger y para especificar detalles de protección (como la suite de cifrado y el método de autenticación) antes de que pueda fluir el tráfico. También se necesita una entrada SPD correspondiente en cada cliente.

Habilite IPsec en el clúster

Puede habilitar IPsec en el clúster para asegurarse de que los datos están protegidos y cifrados de forma continua, incluso mientras están en tránsito.

Pasos
  1. Detectar si IPsec está activada:

    security ipsec config show

    Si el resultado incluye IPsec Enabled: false, continúe con el próximo paso.

  2. Habilitar IPsec:

    security ipsec config modify -is-enabled true

  3. Vuelva a ejecutar el comando Discovery:

    security ipsec config show

    El resultado ahora incluye IPsec Enabled: true.

Prepárese para la creación de directivas IPsec con autenticación de certificados

Puede omitir este paso si solo utiliza claves precompartidas (PSKs) para la autenticación y no utilizará la autenticación de certificados.

Antes de crear una política IPsec que utilice certificados para la autenticación, debe verificar que se cumplan los siguientes requisitos previos:

  • Tanto ONTAP como el cliente deben tener instalado el certificado CA de la otra parte para que los certificados de la entidad final (ya sea ONTAP o el cliente) sean verificables por ambas partes

  • Se instala un certificado para el LIF de ONTAP que participa en la política

Nota Las LIF de ONTAP pueden compartir certificados. No es necesario realizar una asignación de uno a uno entre certificados y LIF.
Pasos
  1. Instale todos los certificados de CA utilizados durante la autenticación mutua, incluidas las CA de ONTAP y del lado del cliente, en la gestión de certificados de ONTAP a menos que ya esté instalado (como es el caso de una CA raíz autofirmado de ONTAP).

    Comando de ejemplo
    cluster::> security certificate install -vserver svm_name -type server-ca -cert-name my_ca_cert

  2. Para asegurarse de que la CA instalada se encuentra dentro de la ruta de búsqueda de la CA IPsec durante la autenticación, agregue las CA de gestión de certificados ONTAP al módulo IPsec mediante security ipsec ca-certificate add comando.

    Comando de ejemplo
    cluster::> security ipsec ca-certificate add -vserver svm_name -ca-certs my_ca_cert

  3. Cree e instale un certificado para que lo utilice la LIF de ONTAP. La entidad emisora de certificados de este certificado ya debe estar instalada en ONTAP y agregada a IPsec.

    Comando de ejemplo
    cluster::> security certificate install -vserver svm_name -type server -cert-name my_nfs_server_cert

Para obtener más información sobre los certificados de ONTAP, consulte los comandos de certificado de seguridad en la documentación de ONTAP 9 .

Definir la base de datos de directivas de seguridad (SPD)

IPSec requiere una entrada SPD antes de permitir que el tráfico fluya por la red. Esto es cierto tanto si está utilizando un PSK como un certificado para la autenticación.

Pasos
  1. Utilice la security ipsec policy create comando para:

    1. Seleccione la dirección IP de ONTAP o la subred de direcciones IP para participar en el transporte IPsec.

    2. Seleccione las direcciones IP del cliente que se conectarán a las direcciones IP de ONTAP.

      Nota El cliente debe admitir la versión 2 de Exchange de claves de Internet (IKEv2) con una clave compartida previamente (PSK).
    3. Opcional. Seleccione los parámetros de tráfico detallados, como los protocolos de capa superior (UDP, TCP, ICMP, etc.) ), los números de puerto locales y los números de puerto remotos para proteger el tráfico. Los parámetros correspondientes son protocols, local-ports y.. remote-ports respectivamente.

      Omita este paso para proteger todo el tráfico entre la dirección IP de ONTAP y la dirección IP del cliente. La protección de todo el tráfico es la opción predeterminada.

    4. Introduzca PSK o la infraestructura de clave pública (PKI) para el auth-method parámetro del método de autenticación deseado.

      1. Si introduce un PSK, incluya los parámetros y, a continuación, pulse <enter> para que el mensaje introduzca y verifique la clave precompartida.

        Nota local-identity y.. remote-identity Los parámetros son opcionales si tanto el host como el cliente utilizan strongSwan y no se ha seleccionado ninguna política de comodín para el host o el cliente.
      2. Si introduce una PKI, deberá introducir también la cert-name, local-identity, remote-identity parámetros. Si la identidad del certificado del lado remoto es desconocida o si se esperan varias identidades de cliente, introduzca la identidad especial ANYTHING.

security ipsec policy create -vserver vs1 -name test34 -local-ip-subnets 192.168.134.34/32 -remote-ip-subnets 192.168.134.44/32
Enter the preshared key for IPsec Policy _test34_ on Vserver _vs1_:
security ipsec policy create -vserver vs1 -name test34 -local-ip-subnets 192.168.134.34/32 -remote-ip-subnets 192.168.134.44/32 -local-ports 2049 -protocols tcp -auth-method PKI -cert-name my_nfs_server_cert -local-identity CN=netapp.ipsec.lif1.vs0 -remote-identity ANYTHING

El tráfico IP no puede fluir entre el cliente y el servidor hasta que ONTAP y el cliente hayan configurado las directivas IPsec coincidentes y las credenciales de autenticación (PSK o certificado) estén en su lugar en ambos lados. Para obtener más información, consulte la configuración de IPsec del lado del cliente.

Usar identidades IPsec

Para el método de autenticación de clave precompartida, las identidades locales y remotas son opcionales si tanto el host como el cliente utilizan strongSwan y no se selecciona ninguna política de comodín para el host o el cliente.

Para el método de autenticación PKI/certificado, las identidades locales y remotas son obligatorias. Las identidades especifican qué identidad está certificada dentro del certificado de cada lado y se utilizan en el proceso de verificación. Si la identidad remota es desconocida o si podría ser una identidad muy distinta, utilice la identidad especial ANYTHING.

Acerca de esta tarea

En ONTAP, las identidades se especifican modificando la entrada SPD o durante la creación de la política SPD. El SPD puede ser una dirección IP o un nombre de identidad con formato de cadena.

Paso

Para modificar una configuración de identidad SPD existente, utilice el siguiente comando:

security ipsec policy modify

Comando de ejemplo

security ipsec policy modify -vserver vs1 -name test34 -local-identity 192.168.134.34 -remote-identity client.fooboo.com

Configuración de varios clientes IPSec

Cuando un pequeño número de clientes necesitan aprovechar IPsec, es suficiente utilizar una sola entrada SPD para cada cliente. Sin embargo, cuando cientos o incluso miles de clientes necesitan aprovechar IPsec, NetApp recomienda el uso de una configuración de varios clientes IPsec.

Acerca de esta tarea

ONTAP admite la conexión de varios clientes a través de varias redes a una única dirección IP de SVM con IPsec habilitada. Para ello, utilice uno de los siguientes métodos:

  • Configuración de subred

    Para permitir que todos los clientes de una subred determinada (por ejemplo, 192.168.134.0/24) se conecten a una única dirección IP de SVM mediante una única entrada de directiva SPD, debe especificar el remote-ip-subnets en formato de subred. Además, debe especificar el remote-identity campo con la identidad del cliente correcta.

Nota Al utilizar una sola entrada de directiva en una configuración de subred, los clientes IPsec de esa subred comparten la identidad IPsec y la clave precompartida (PSK). Sin embargo, esto no es cierto con la autenticación de certificado. Cuando se utilizan certificados, cada cliente puede utilizar su propio certificado único o un certificado compartido para autenticarse. IPsec de ONTAP comprueba la validez del certificado en función de las CA instaladas en el almacén de confianza local. ONTAP también admite la comprobación de la lista de revocación de certificados (CRL).
  • Permitir la configuración de todos los clientes

    Para permitir que cualquier cliente, independientemente de su dirección IP de origen, se conecte a la dirección IP habilitada para IPsec de SVM, utilice 0.0.0.0/0 comodín al especificar remote-ip-subnets campo.

    Además, debe especificar el remote-identity campo con la identidad del cliente correcta. Para la autenticación del certificado, puede introducir ANYTHING.

    Además, cuando la 0.0.0.0/0 se utiliza el comodín, debe configurar un número de puerto local o remoto específico para utilizarlo. Por ejemplo: NFS port 2049.

    Pasos
    1. Utilice uno de los siguientes comandos para configurar IPsec para varios clientes.

      1. Si está utilizando configuración de subred para admitir varios clientes IPsec:

        security ipsec policy create -vserver vserver_name -name policy_name -local-ip-subnets IPsec_IP_address/32 -remote-ip-subnets IP_address/subnet -local-identity local_id -remote-identity remote_id

      Comando de ejemplo

      security ipsec policy create -vserver vs1 -name subnet134 -local-ip-subnets 192.168.134.34/32 -remote-ip-subnets 192.168.134.0/24 -local-identity ontap_side_identity -remote-identity client_side_identity

      1. Si está utilizando Permitir que todos los clientes configuren para admitir múltiples clientes IPsec:

        security ipsec policy create -vserver vserver_name -name policy_name -local-ip-subnets IPsec_IP_address/32 -remote-ip-subnets 0.0.0.0/0 -local-ports port_number -local-identity local_id -remote-identity remote_id

    Comando de ejemplo

    security ipsec policy create -vserver vs1 -name test35 -local-ip-subnets IPsec_IP_address/32 -remote-ip-subnets 0.0.0.0/0 -local-ports 2049 -local-identity ontap_side_identity -remote-identity client_side_identity

Estadísticas IPSec

A través de la negociación, se puede establecer un canal de seguridad denominado Asociación de seguridad IKE (SA) entre la dirección IP de la SVM de ONTAP y la dirección IP del cliente. Las unidades SAS IPSec se instalan en ambos extremos para que funcionen el cifrado y descifrado de datos.

Puede utilizar comandos de estadísticas para comprobar el estado de las unidades SAS IPsec y SAS IKE.

Comandos de ejemplo

Comando de ejemplo IKE SA:

security ipsec show-ikesa -node hosting_node_name_for_svm_ip

Ejemplo de comando SA IPSec y salida:

security ipsec show-ipsecsa -node hosting_node_name_for_svm_ip

cluster1::> security ipsec show-ikesa -node cluster1-node1
            Policy Local           Remote
Vserver     Name   Address         Address         Initator-SPI     State
----------- ------ --------------- --------------- ---------------- -----------
vs1         test34
                   192.168.134.34  192.168.134.44  c764f9ee020cec69 ESTABLISHED

Ejemplo de comando SA IPSec y salida:

security ipsec show-ipsecsa -node hosting_node_name_for_svm_ip

cluster1::> security ipsec show-ipsecsa -node cluster1-node1
            Policy  Local           Remote          Inbound  Outbound
Vserver     Name    Address         Address         SPI      SPI      State
----------- ------- --------------- --------------- -------- -------- ---------
vs1         test34
                    192.168.134.34  192.168.134.44  c4c5b3d6 c2515559 INSTALLED