Skip to main content
La versione in lingua italiana fornita proviene da una traduzione automatica. Per eventuali incoerenze, fare riferimento alla versione in lingua inglese.

Configurare la crittografia IP Security (IPsec) over wire

Collaboratori
PDF

ONTAP utilizza IPSec (Internet Protocol Security) in modalità di trasporto per garantire che i dati siano costantemente protetti e crittografati, anche durante il transito. IPSec offre la crittografia dei dati per tutto il traffico IP, inclusi i protocolli NFS, iSCSI e SMB.

A partire da ONTAP 9.12.1, il supporto IPSec del protocollo host front-end è disponibile nelle configurazioni MetroCluster IP e MetroCluster fabric-attached.
Il supporto di IPSec nei cluster MetroCluster è limitato al traffico host front-end e non è supportato dalle LIF intercluster MetroCluster.

A partire da ONTAP 9.10.1, è possibile utilizzare chiavi precondivise (PSK) o certificati per l'autenticazione con IPSec. In precedenza, solo gli PSK erano supportati con IPsec.

A partire da ONTAP 9.9.1, gli algoritmi di crittografia utilizzati da IPSec sono validati in FIPS 140-2. Gli algoritmi vengono generati dal modulo crittografico NetApp in ONTAP che riporta la convalida FIPS 140-2.

A partire da ONTAP 9.8, ONTAP supporta IPSec in modalità di trasporto.

Una volta configurato IPSec, il traffico di rete tra il client e ONTAP viene protetto con misure preventive per combattere gli attacchi di tipo play e man-in-the-middle (MITM).

Per NetApp SnapMirror e la crittografia del traffico di peering del cluster, la crittografia di peering del cluster (CPE) e la protezione TLS (Transport Layer Security) sono ancora consigliate su IPSec per garantire la sicurezza in transito via cavo. Questo perché TLS offre performance migliori rispetto a IPSec.

Mentre la funzionalità IPsec è attivata sul cluster, la rete richiede una voce del database dei criteri di protezione (SPD) che corrisponda al traffico da proteggere e che specifichi i dettagli di protezione (come la suite di crittografia e il metodo di autenticazione) prima che il traffico possa fluire. Su ciascun client è necessaria anche una voce SPD corrispondente.

Abilitare IPSec sul cluster

È possibile attivare IPsec sul cluster per garantire che i dati siano costantemente protetti e crittografati, anche durante il transito.

Fasi

  1. Scopri se IPsec è già attivato:

    security ipsec config show

    Se il risultato include IPsec Enabled: false, passare alla fase successiva.

  2. Attiva IPSec:

    security ipsec config modify -is-enabled true

  3. Eseguire nuovamente il comando di rilevamento:

    security ipsec config show

    Il risultato ora include IPsec Enabled: true.

Preparare la creazione del criterio IPsec con l'autenticazione del certificato

È possibile saltare questo passaggio se si utilizzano solo chiavi pre-condivise (PSK) per l'autenticazione e non si utilizza l'autenticazione del certificato.

Prima di creare un criterio IPsec che utilizza i certificati per l'autenticazione, è necessario verificare che siano soddisfatti i seguenti prerequisiti:

  • Sia ONTAP che il client devono avere installato il certificato CA dell'altra parte in modo che i certificati dell'entità finale (ONTAP o client) siano verificabili da entrambe le parti

  • Viene installato un certificato per il LIF ONTAP che partecipa al criterio

Nota Le LIF ONTAP possono condividere i certificati. Non è richiesta una mappatura uno-a-uno tra certificati e LIF.
Fasi

  1. Installare tutti i certificati CA utilizzati durante l'autenticazione reciproca, incluse le CA lato ONTAP e lato client, nella gestione dei certificati ONTAP, a meno che non sia già installato (come nel caso di una CA root autofirmata di ONTAP).

    Comando di esempio
    cluster::> security certificate install -vserver svm_name -type server-ca -cert-name my_ca_cert

  2. Per assicurarsi che la CA installata rientri nel percorso di ricerca della CA IPSec durante l'autenticazione, aggiungere le CA di gestione dei certificati ONTAP al modulo IPSec utilizzando security ipsec ca-certificate add comando.

    Comando di esempio
    cluster::> security ipsec ca-certificate add -vserver svm_name -ca-certs my_ca_cert

  3. Creare e installare un certificato per l'utilizzo da parte della LIF ONTAP. La CA emittente di questo certificato deve essere già installata in ONTAP e aggiunta a IPSec.

    Comando di esempio
    cluster::> security certificate install -vserver svm_name -type server -cert-name my_nfs_server_cert

Per ulteriori informazioni sui certificati in ONTAP, vedere i comandi dei certificati di protezione nella documentazione di ONTAP 9 .

Definizione del database dei criteri di protezione (SPD)

IPSec richiede una voce SPD prima di consentire il flusso del traffico sulla rete. Ciò vale sia che si utilizzi un PSK o un certificato per l'autenticazione.

Fasi

  1. Utilizzare security ipsec policy create comando a:

    1. Selezionare l'indirizzo IP ONTAP o la subnet degli indirizzi IP per partecipare al trasporto IPSec.

    2. Selezionare gli indirizzi IP del client che si connetteranno agli indirizzi IP ONTAP.

      Nota Il client deve supportare Internet Key Exchange versione 2 (IKEv2) con una chiave precondivisa (PSK).

    3. Opzionale. Selezionare i parametri di traffico a grana fine, ad esempio i protocolli di livello superiore (UDP, TCP, ICMP, ecc.) ), i numeri delle porte locali e i numeri delle porte remote per proteggere il traffico. I parametri corrispondenti sono protocols, local-ports e. remote-ports rispettivamente.

      Ignorare questo passaggio per proteggere tutto il traffico tra l'indirizzo IP ONTAP e l'indirizzo IP del client. La protezione di tutto il traffico è l'impostazione predefinita.

    4. Immettere PSK o Public-Key Infrastructure (PKI) per auth-method parametro per il metodo di autenticazione desiderato.

      1. Se si immette una PSK, includere i parametri, quindi premere <enter> per visualizzare la richiesta di immissione e verifica della chiave precondivisa.

        Nota local-identity e. remote-identity I parametri sono facoltativi se sia l'host che il client utilizzano il metodo strongSwan e non è stato selezionato alcun criterio con caratteri jolly per l'host o il client.

      2. Se si inserisce un'infrastruttura PKI, è necessario immettere anche il cert-name, local-identity, remote-identity parametri. Se l'identità del certificato lato remoto non è nota o se sono previste più identità client, inserire l'identità speciale ANYTHING.

security ipsec policy create -vserver vs1 -name test34 -local-ip-subnets 192.168.134.34/32 -remote-ip-subnets 192.168.134.44/32
Enter the preshared key for IPsec Policy _test34_ on Vserver _vs1_:
security ipsec policy create -vserver vs1 -name test34 -local-ip-subnets 192.168.134.34/32 -remote-ip-subnets 192.168.134.44/32 -local-ports 2049 -protocols tcp -auth-method PKI -cert-name my_nfs_server_cert -local-identity CN=netapp.ipsec.lif1.vs0 -remote-identity ANYTHING

Il traffico IP non può passare tra il client e il server finché ONTAP e il client non hanno impostato i criteri IPSec corrispondenti e le credenziali di autenticazione (PSK o certificato) non sono installate su entrambi i lati. Per ulteriori informazioni, vedere la configurazione IPSec lato client.

Utilizzare le identità IPsec

Per il metodo di autenticazione con chiave pre-condivisa, le identità locali e remote sono facoltative se host e client utilizzano il metodo di autenticazione con chiave strongSwan e non è stato selezionato alcun criterio con caratteri jolly per l'host o il client.

Per il metodo di autenticazione PKI/certificato, le identità locali e remote sono obbligatorie. Le identità specificano l'identità certificata all'interno del certificato di ciascun lato e vengono utilizzate nel processo di verifica. Se l'identità remota è sconosciuta o se può essere costituita da diverse identità, utilizzare l'identità speciale ANYTHING.

A proposito di questa attività

All'interno di ONTAP, le identità vengono specificate modificando la voce SPD o durante la creazione del criterio SPD. Il nome SPD può essere un indirizzo IP o un nome di identità in formato stringa.

Fase

Per modificare un'impostazione di identità SPD esistente, utilizzare il seguente comando:

security ipsec policy modify

Comando di esempio

security ipsec policy modify -vserver vs1 -name test34 -local-identity 192.168.134.34 -remote-identity client.fooboo.com

Configurazione di più client IPSec

Quando un numero limitato di client deve sfruttare IPSec, è sufficiente utilizzare una singola voce SPD per ciascun client. Tuttavia, quando centinaia o addirittura migliaia di client devono sfruttare IPSec, NetApp consiglia di utilizzare una configurazione con più client IPSec.

A proposito di questa attività

ONTAP supporta la connessione di più client su molte reti a un singolo indirizzo IP SVM con IPSec attivato. È possibile eseguire questa operazione utilizzando uno dei seguenti metodi:

  • Configurazione subnet

    Per consentire a tutti i client di una determinata subnet (ad esempio 192.168.134.0/24) di connettersi a un singolo indirizzo IP SVM utilizzando una singola voce di policy SPD, è necessario specificare remote-ip-subnets sotto forma di subnet. Inoltre, è necessario specificare remote-identity campo con l'identità lato client corretta.

Nota Quando si utilizza una singola voce di criterio in una configurazione di subnet, i client IPSec in tale subnet condividono l'identità IPSec e la chiave precondivisa (PSK). Tuttavia, questo non è vero con l'autenticazione del certificato. Quando si utilizzano i certificati, ciascun client può utilizzare il proprio certificato univoco o un certificato condiviso per l'autenticazione. IPSec ONTAP verifica la validità del certificato in base alle CA installate nel relativo archivio di attendibilità locale. ONTAP supporta anche il controllo dell'elenco di revoche di certificati (CRL).

  • Consenti configurazione di tutti i client

    Per consentire a qualsiasi client, indipendentemente dall'indirizzo IP di origine, di connettersi all'indirizzo IP SVM abilitato a IPSec, utilizzare 0.0.0.0/0 carattere jolly quando si specifica remote-ip-subnets campo.

    Inoltre, è necessario specificare remote-identity campo con l'identità lato client corretta. Per l'autenticazione del certificato, è possibile immettere ANYTHING.

    Inoltre, quando 0.0.0.0/0 se si utilizza il carattere jolly, è necessario configurare un numero di porta locale o remota specifico da utilizzare. Ad esempio, NFS port 2049.

    Fasi

    1. Utilizzare uno dei seguenti comandi per configurare IPSec per più client.

      1. Se si utilizza la configurazione della subnet per supportare più client IPsec:

        security ipsec policy create -vserver vserver_name -name policy_name -local-ip-subnets IPsec_IP_address/32 -remote-ip-subnets IP_address/subnet -local-identity local_id -remote-identity remote_id

      Comando di esempio

      security ipsec policy create -vserver vs1 -name subnet134 -local-ip-subnets 192.168.134.34/32 -remote-ip-subnets 192.168.134.0/24 -local-identity ontap_side_identity -remote-identity client_side_identity

      1. Se si utilizza l'opzione Allow all clients Configuration (Consenti configurazione di tutti i client) per supportare più client IPsec:

        security ipsec policy create -vserver vserver_name -name policy_name -local-ip-subnets IPsec_IP_address/32 -remote-ip-subnets 0.0.0.0/0 -local-ports port_number -local-identity local_id -remote-identity remote_id

    Comando di esempio

    security ipsec policy create -vserver vs1 -name test35 -local-ip-subnets IPsec_IP_address/32 -remote-ip-subnets 0.0.0.0/0 -local-ports 2049 -local-identity ontap_side_identity -remote-identity client_side_identity

Statistiche IPsec

Attraverso la negoziazione, è possibile stabilire un canale di sicurezza denominato SA (IKE Security Association) tra l'indirizzo IP di ONTAP SVM e l'indirizzo IP del client. I SAS IPSec vengono installati su entrambi gli endpoint per eseguire le operazioni di crittografia e decrittografia dei dati.

È possibile utilizzare i comandi delle statistiche per controllare lo stato di IPSec SAS e IKE SAS.

Comandi di esempio

Comando di esempio IKE SA:

security ipsec show-ikesa -node hosting_node_name_for_svm_ip

Comando e output di esempio SA IPSec:

security ipsec show-ipsecsa -node hosting_node_name_for_svm_ip

cluster1::> security ipsec show-ikesa -node cluster1-node1
            Policy Local           Remote
Vserver     Name   Address         Address         Initator-SPI     State
----------- ------ --------------- --------------- ---------------- -----------
vs1         test34
                   192.168.134.34  192.168.134.44  c764f9ee020cec69 ESTABLISHED

Comando e output di esempio SA IPSec:

security ipsec show-ipsecsa -node hosting_node_name_for_svm_ip

cluster1::> security ipsec show-ipsecsa -node cluster1-node1
            Policy  Local           Remote          Inbound  Outbound
Vserver     Name    Address         Address         SPI      SPI      State
----------- ------- --------------- --------------- -------- -------- ---------
vs1         test34
                    192.168.134.34  192.168.134.44  c4c5b3d6 c2515559 INSTALLED