Configurar la seguridad IP (IPsec) a través del cifrado de cable
-
PDF de este sitio de documentos
- Administración de clústeres
-
Administración de volúmenes
-
Gestión de almacenamiento lógico con CLI
- Utilice cuotas para restringir o realizar un seguimiento del uso de los recursos
-
Gestión de almacenamiento lógico con CLI
-
Gestión del almacenamiento nas
- Configure NFS con la CLI
- Gestione NFS con la interfaz de línea de comandos
-
Gestione SMB con la interfaz de línea de comandos
- Gestione servidores SMB
- Gestione el acceso a archivos mediante SMB
- Gestión del almacenamiento san
- Gestión del almacenamiento de objetos S3
- Autenticación y control de acceso
- Seguridad y cifrado de datos
-
Protección de datos y recuperación ante desastres
- Protección de datos con la interfaz de línea de comandos
Recopilación de documentos PDF independientes
Creating your file...
ONTAP utiliza la seguridad del protocolo de Internet (IPsec) en el modo de transporte para garantizar que los datos estén protegidos y cifrados de forma continua, incluso durante el tránsito. IPSec ofrece cifrado de datos para todo el tráfico IP, incluidos los protocolos NFS, iSCSI y SMB.
A partir de ONTAP 9.12.1, está disponible la compatibilidad con IPsec del protocolo de host de interfaz de usuario en las configuraciones con conexión a la estructura de MetroCluster IP y MetroCluster.
La compatibilidad con IPSec en clústeres de MetroCluster se limita al tráfico de host de front-end y no se admite en las LIF de interconexión de clústeres de MetroCluster.
A partir de ONTAP 9.10.1, puede utilizar claves precompartidas (PSK) o certificados para la autenticación con IPsec. Anteriormente, sólo PSK eran compatibles con IPsec.
A partir de ONTAP 9.9.1, los algoritmos de cifrado utilizados por IPsec están validados con FIPS 140-2-2. Los algoritmos los genera el módulo de criptografía de NetApp en ONTAP, que conlleva la validación FIPS 140-2-2.
A partir de ONTAP 9,8, ONTAP admite IPsec en modo de transporte.
Una vez configurado IPsec, el tráfico de red entre el cliente y ONTAP está protegido con medidas preventivas para combatir los ataques de repetición y de hombre en el medio (MITM).
Para el cifrado de tráfico de paridad de clústeres y SnapMirror de NetApp, se recomienda el cifrado de paridad de clústeres (CPE) y la seguridad de la capa de transporte (TLS) a través de IPsec para garantizar la seguridad en tránsito por el cable. Esto se debe a que TLS tiene mejor rendimiento que IPsec.
Aunque la capacidad IPsec está habilitada en el clúster, la red requiere una entrada de base de datos de directivas de seguridad (SPD) para que coincida con el tráfico a proteger y para especificar detalles de protección (como la suite de cifrado y el método de autenticación) antes de que pueda fluir el tráfico. También se necesita una entrada SPD correspondiente en cada cliente.
Habilite IPsec en el clúster
Puede habilitar IPsec en el clúster para asegurarse de que los datos están protegidos y cifrados de forma continua, incluso mientras están en tránsito.
-
Detectar si IPsec está activada:
security ipsec config show
Si el resultado incluye
IPsec Enabled: false
, continúe con el próximo paso. -
Habilitar IPsec:
security ipsec config modify -is-enabled true
-
Vuelva a ejecutar el comando Discovery:
security ipsec config show
El resultado ahora incluye
IPsec Enabled: true
.
Prepárese para la creación de directivas IPsec con autenticación de certificados
Puede omitir este paso si solo utiliza claves precompartidas (PSKs) para la autenticación y no utilizará la autenticación de certificados.
Antes de crear una política IPsec que utilice certificados para la autenticación, debe verificar que se cumplan los siguientes requisitos previos:
-
Tanto ONTAP como el cliente deben tener instalado el certificado CA de la otra parte para que los certificados de la entidad final (ya sea ONTAP o el cliente) sean verificables por ambas partes
-
Se instala un certificado para el LIF de ONTAP que participa en la política
Las LIF de ONTAP pueden compartir certificados. No es necesario realizar una asignación de uno a uno entre certificados y LIF. |
-
Instale todos los certificados de CA utilizados durante la autenticación mutua, incluidas las CA de ONTAP y del lado del cliente, en la gestión de certificados de ONTAP a menos que ya esté instalado (como es el caso de una CA raíz autofirmado de ONTAP).
Comando de ejemplo
cluster::> security certificate install -vserver svm_name -type server-ca -cert-name my_ca_cert
-
Para asegurarse de que la CA instalada se encuentra dentro de la ruta de búsqueda de la CA IPsec durante la autenticación, agregue las CA de gestión de certificados ONTAP al módulo IPsec mediante
security ipsec ca-certificate add
comando.Comando de ejemplo
cluster::> security ipsec ca-certificate add -vserver svm_name -ca-certs my_ca_cert
-
Cree e instale un certificado para que lo utilice la LIF de ONTAP. La entidad emisora de certificados de este certificado ya debe estar instalada en ONTAP y agregada a IPsec.
Comando de ejemplo
cluster::> security certificate install -vserver svm_name -type server -cert-name my_nfs_server_cert
Para obtener más información sobre los certificados de ONTAP, consulte los comandos de certificado de seguridad en la documentación de ONTAP 9 .
Definir la base de datos de directivas de seguridad (SPD)
IPSec requiere una entrada SPD antes de permitir que el tráfico fluya por la red. Esto es cierto tanto si está utilizando un PSK como un certificado para la autenticación.
-
Utilice la
security ipsec policy create
comando para:-
Seleccione la dirección IP de ONTAP o la subred de direcciones IP para participar en el transporte IPsec.
-
Seleccione las direcciones IP del cliente que se conectarán a las direcciones IP de ONTAP.
El cliente debe admitir la versión 2 de Exchange de claves de Internet (IKEv2) con una clave compartida previamente (PSK). -
Opcional. Seleccione los parámetros de tráfico detallados, como los protocolos de capa superior (UDP, TCP, ICMP, etc.) ), los números de puerto locales y los números de puerto remotos para proteger el tráfico. Los parámetros correspondientes son
protocols
,local-ports
y..remote-ports
respectivamente.Omita este paso para proteger todo el tráfico entre la dirección IP de ONTAP y la dirección IP del cliente. La protección de todo el tráfico es la opción predeterminada.
-
Introduzca PSK o la infraestructura de clave pública (PKI) para el
auth-method
parámetro del método de autenticación deseado.-
Si introduce un PSK, incluya los parámetros y, a continuación, pulse <enter> para que el mensaje introduzca y verifique la clave precompartida.
local-identity
y..remote-identity
Los parámetros son opcionales si tanto el host como el cliente utilizan strongSwan y no se ha seleccionado ninguna política de comodín para el host o el cliente. -
Si introduce una PKI, deberá introducir también la
cert-name
,local-identity
,remote-identity
parámetros. Si la identidad del certificado del lado remoto es desconocida o si se esperan varias identidades de cliente, introduzca la identidad especialANYTHING
.
-
-
security ipsec policy create -vserver vs1 -name test34 -local-ip-subnets 192.168.134.34/32 -remote-ip-subnets 192.168.134.44/32 Enter the preshared key for IPsec Policy _test34_ on Vserver _vs1_:
security ipsec policy create -vserver vs1 -name test34 -local-ip-subnets 192.168.134.34/32 -remote-ip-subnets 192.168.134.44/32 -local-ports 2049 -protocols tcp -auth-method PKI -cert-name my_nfs_server_cert -local-identity CN=netapp.ipsec.lif1.vs0 -remote-identity ANYTHING
El tráfico IP no puede fluir entre el cliente y el servidor hasta que ONTAP y el cliente hayan configurado las directivas IPsec coincidentes y las credenciales de autenticación (PSK o certificado) estén en su lugar en ambos lados. Para obtener más información, consulte la configuración de IPsec del lado del cliente.
Usar identidades IPsec
Para el método de autenticación de clave precompartida, las identidades locales y remotas son opcionales si tanto el host como el cliente utilizan strongSwan y no se selecciona ninguna política de comodín para el host o el cliente.
Para el método de autenticación PKI/certificado, las identidades locales y remotas son obligatorias. Las identidades especifican qué identidad está certificada dentro del certificado de cada lado y se utilizan en el proceso de verificación. Si la identidad remota es desconocida o si podría ser una identidad muy distinta, utilice la identidad especial ANYTHING
.
En ONTAP, las identidades se especifican modificando la entrada SPD o durante la creación de la política SPD. El SPD puede ser una dirección IP o un nombre de identidad con formato de cadena.
Para modificar una configuración de identidad SPD existente, utilice el siguiente comando:
security ipsec policy modify
security ipsec policy modify -vserver vs1 -name test34 -local-identity 192.168.134.34 -remote-identity client.fooboo.com
Configuración de varios clientes IPSec
Cuando un pequeño número de clientes necesitan aprovechar IPsec, es suficiente utilizar una sola entrada SPD para cada cliente. Sin embargo, cuando cientos o incluso miles de clientes necesitan aprovechar IPsec, NetApp recomienda el uso de una configuración de varios clientes IPsec.
ONTAP admite la conexión de varios clientes a través de varias redes a una única dirección IP de SVM con IPsec habilitada. Para ello, utilice uno de los siguientes métodos:
-
Configuración de subred
Para permitir que todos los clientes de una subred determinada (por ejemplo, 192.168.134.0/24) se conecten a una única dirección IP de SVM mediante una única entrada de directiva SPD, debe especificar el
remote-ip-subnets
en formato de subred. Además, debe especificar elremote-identity
campo con la identidad del cliente correcta.
Al utilizar una sola entrada de directiva en una configuración de subred, los clientes IPsec de esa subred comparten la identidad IPsec y la clave precompartida (PSK). Sin embargo, esto no es cierto con la autenticación de certificado. Cuando se utilizan certificados, cada cliente puede utilizar su propio certificado único o un certificado compartido para autenticarse. IPsec de ONTAP comprueba la validez del certificado en función de las CA instaladas en el almacén de confianza local. ONTAP también admite la comprobación de la lista de revocación de certificados (CRL). |
-
Permitir la configuración de todos los clientes
Para permitir que cualquier cliente, independientemente de su dirección IP de origen, se conecte a la dirección IP habilitada para IPsec de SVM, utilice
0.0.0.0/0
comodín al especificarremote-ip-subnets
campo.Además, debe especificar el
remote-identity
campo con la identidad del cliente correcta. Para la autenticación del certificado, puede introducirANYTHING
.Además, cuando la
0.0.0.0/0
se utiliza el comodín, debe configurar un número de puerto local o remoto específico para utilizarlo. Por ejemplo:NFS port 2049
.Pasos-
Utilice uno de los siguientes comandos para configurar IPsec para varios clientes.
-
Si está utilizando configuración de subred para admitir varios clientes IPsec:
security ipsec policy create -vserver vserver_name -name policy_name -local-ip-subnets IPsec_IP_address/32 -remote-ip-subnets IP_address/subnet -local-identity local_id -remote-identity remote_id
Comando de ejemplosecurity ipsec policy create -vserver vs1 -name subnet134 -local-ip-subnets 192.168.134.34/32 -remote-ip-subnets 192.168.134.0/24 -local-identity ontap_side_identity -remote-identity client_side_identity
-
Si está utilizando Permitir que todos los clientes configuren para admitir múltiples clientes IPsec:
security ipsec policy create -vserver vserver_name -name policy_name -local-ip-subnets IPsec_IP_address/32 -remote-ip-subnets 0.0.0.0/0 -local-ports port_number -local-identity local_id -remote-identity remote_id
-
Comando de ejemplosecurity ipsec policy create -vserver vs1 -name test35 -local-ip-subnets IPsec_IP_address/32 -remote-ip-subnets 0.0.0.0/0 -local-ports 2049 -local-identity ontap_side_identity -remote-identity client_side_identity
-
Estadísticas IPSec
A través de la negociación, se puede establecer un canal de seguridad denominado Asociación de seguridad IKE (SA) entre la dirección IP de la SVM de ONTAP y la dirección IP del cliente. Las unidades SAS IPSec se instalan en ambos extremos para que funcionen el cifrado y descifrado de datos.
Puede utilizar comandos de estadísticas para comprobar el estado de las unidades SAS IPsec y SAS IKE.
Comando de ejemplo IKE SA:
security ipsec show-ikesa -node hosting_node_name_for_svm_ip
Ejemplo de comando SA IPSec y salida:
security ipsec show-ipsecsa -node hosting_node_name_for_svm_ip
cluster1::> security ipsec show-ikesa -node cluster1-node1 Policy Local Remote Vserver Name Address Address Initator-SPI State ----------- ------ --------------- --------------- ---------------- ----------- vs1 test34 192.168.134.34 192.168.134.44 c764f9ee020cec69 ESTABLISHED
Ejemplo de comando SA IPSec y salida:
security ipsec show-ipsecsa -node hosting_node_name_for_svm_ip cluster1::> security ipsec show-ipsecsa -node cluster1-node1 Policy Local Remote Inbound Outbound Vserver Name Address Address SPI SPI State ----------- ------- --------------- --------------- -------- -------- --------- vs1 test34 192.168.134.34 192.168.134.44 c4c5b3d6 c2515559 INSTALLED