Configurare la protezione IP in ONTAP
È necessario eseguire diverse attività per configurare e attivare la crittografia in-flight IPSec sul cluster ONTAP.
Assicurarsi di controllare "Prepararsi all'utilizzo della protezione IP" prima di configurare IPsec. Ad esempio, potrebbe essere necessario decidere se utilizzare la funzione di offload dell'hardware IPsec disponibile a partire da ONTAP 9.16,1. |
Abilitare IPSec sul cluster
È possibile abilitare IPsec sul cluster per garantire che i dati vengano crittografati e protetti in modo continuo durante il trasferimento.
-
Scopri se IPsec è già attivato:
security ipsec config show
Se il risultato include
IPsec Enabled: false
, passare alla fase successiva. -
Attiva IPSec:
security ipsec config modify -is-enabled true
È possibile attivare la funzione di offload dell'hardware IPsec utilizzando il parametro booleano
is-offload-enabled
. -
Eseguire nuovamente il comando di rilevamento:
security ipsec config show
Il risultato ora include
IPsec Enabled: true
.
Preparare la creazione del criterio IPsec con l'autenticazione del certificato
È possibile saltare questo passaggio se si utilizzano solo chiavi pre-condivise (PSK) per l'autenticazione e non si utilizza l'autenticazione del certificato.
Prima di creare un criterio IPsec che utilizza i certificati per l'autenticazione, è necessario verificare che siano soddisfatti i seguenti prerequisiti:
-
Sia ONTAP che il client devono avere installato il certificato CA dell'altra parte in modo che i certificati dell'entità finale (ONTAP o client) siano verificabili da entrambe le parti
-
Viene installato un certificato per il LIF ONTAP che partecipa al criterio
Le LIF ONTAP possono condividere i certificati. Non è richiesta una mappatura uno-a-uno tra certificati e LIF. |
-
Installare tutti i certificati CA utilizzati durante l'autenticazione reciproca, incluse le CA lato ONTAP e lato client, nella gestione dei certificati ONTAP, a meno che non sia già installato (come nel caso di una CA root autofirmata di ONTAP).
Comando di esempio
cluster::> security certificate install -vserver svm_name -type server-ca -cert-name my_ca_cert
-
Per assicurarsi che la CA installata rientri nel percorso di ricerca della CA IPSec durante l'autenticazione, aggiungere le CA di gestione dei certificati ONTAP al modulo IPSec utilizzando
security ipsec ca-certificate add
comando.Comando di esempio
cluster::> security ipsec ca-certificate add -vserver svm_name -ca-certs my_ca_cert
-
Creare e installare un certificato per l'utilizzo da parte della LIF ONTAP. La CA emittente di questo certificato deve essere già installata in ONTAP e aggiunta a IPSec.
Comando di esempio
cluster::> security certificate install -vserver svm_name -type server -cert-name my_nfs_server_cert
Per ulteriori informazioni sui certificati in ONTAP, vedere i comandi dei certificati di protezione nella documentazione di ONTAP 9.
Definizione del database dei criteri di protezione (SPD)
IPSec richiede una voce SPD prima di consentire il flusso del traffico sulla rete. Ciò vale sia che si utilizzi un PSK o un certificato per l'autenticazione.
-
Utilizzare
security ipsec policy create
comando a:-
Selezionare l'indirizzo IP ONTAP o la subnet degli indirizzi IP per partecipare al trasporto IPSec.
-
Selezionare gli indirizzi IP del client che si connetteranno agli indirizzi IP ONTAP.
Il client deve supportare Internet Key Exchange versione 2 (IKEv2) con una chiave precondivisa (PSK). -
Opzionale. Selezionare i parametri di traffico a grana fine, ad esempio i protocolli di livello superiore (UDP, TCP, ICMP, ecc.) ), i numeri delle porte locali e i numeri delle porte remote per proteggere il traffico. I parametri corrispondenti sono
protocols
,local-ports
e.remote-ports
rispettivamente.Ignorare questo passaggio per proteggere tutto il traffico tra l'indirizzo IP ONTAP e l'indirizzo IP del client. La protezione di tutto il traffico è l'impostazione predefinita.
-
Immettere PSK o Public-Key Infrastructure (PKI) per
auth-method
parametro per il metodo di autenticazione desiderato.-
Se si immette una PSK, includere i parametri, quindi premere <enter> per visualizzare la richiesta di immissione e verifica della chiave precondivisa.
I local-identity
parametri eremote-identity
sono facoltativi se sia l'host che il client utilizzano lo standard "Swan" e non è stato selezionato alcun criterio wildcard per l'host o il client. -
Se si inserisce un'infrastruttura PKI, è necessario immettere anche il
cert-name
,local-identity
,remote-identity
parametri. Se l'identità del certificato lato remoto non è nota o se sono previste più identità client, inserire l'identità specialeANYTHING
.
-
-
security ipsec policy create -vserver vs1 -name test34 -local-ip-subnets 192.168.134.34/32 -remote-ip-subnets 192.168.134.44/32 Enter the preshared key for IPsec Policy _test34_ on Vserver _vs1_:
security ipsec policy create -vserver vs1 -name test34 -local-ip-subnets 192.168.134.34/32 -remote-ip-subnets 192.168.134.44/32 -local-ports 2049 -protocols tcp -auth-method PKI -cert-name my_nfs_server_cert -local-identity CN=netapp.ipsec.lif1.vs0 -remote-identity ANYTHING
Il traffico IP non può passare tra il client e il server finché ONTAP e il client non hanno impostato i criteri IPSec corrispondenti e le credenziali di autenticazione (PSK o certificato) non sono installate su entrambi i lati.
Utilizzare le identità IPsec
Per il metodo di autenticazione con chiave pre-condivisa, le identità locali e remote sono facoltative se host e client utilizzano il metodo di autenticazione con chiave strongSwan e non è stato selezionato alcun criterio con caratteri jolly per l'host o il client.
Per il metodo di autenticazione PKI/certificato, le identità locali e remote sono obbligatorie. Le identità specificano l'identità certificata all'interno del certificato di ciascun lato e vengono utilizzate nel processo di verifica. Se l'identità remota è sconosciuta o se può essere costituita da diverse identità, utilizzare l'identità speciale ANYTHING
.
All'interno di ONTAP, le identità vengono specificate modificando la voce SPD o durante la creazione del criterio SPD. Il nome SPD può essere un indirizzo IP o un nome di identità in formato stringa.
-
Utilizzare il seguente comando per modificare un'impostazione di identità SPD esistente:
security ipsec policy modify
security ipsec policy modify -vserver vs1 -name test34 -local-identity 192.168.134.34 -remote-identity client.fooboo.com
Configurazione di più client IPSec
Quando un numero limitato di client deve sfruttare IPSec, è sufficiente utilizzare una singola voce SPD per ciascun client. Tuttavia, quando centinaia o addirittura migliaia di client devono sfruttare IPSec, NetApp consiglia di utilizzare una configurazione con più client IPSec.
ONTAP supporta la connessione di più client su molte reti a un singolo indirizzo IP SVM con IPSec attivato. È possibile eseguire questa operazione utilizzando uno dei seguenti metodi:
-
Configurazione subnet
Per consentire a tutti i client di una determinata subnet (ad esempio 192.168.134.0/24) di connettersi a un singolo indirizzo IP SVM utilizzando una singola voce di policy SPD, è necessario specificare
remote-ip-subnets
sotto forma di subnet. Inoltre, è necessario specificareremote-identity
campo con l'identità lato client corretta.
Quando si utilizza una singola voce di criterio in una configurazione di subnet, i client IPSec in tale subnet condividono l'identità IPSec e la chiave precondivisa (PSK). Tuttavia, questo non è vero con l'autenticazione del certificato. Quando si utilizzano i certificati, ciascun client può utilizzare il proprio certificato univoco o un certificato condiviso per l'autenticazione. IPSec ONTAP verifica la validità del certificato in base alle CA installate nel relativo archivio di attendibilità locale. ONTAP supporta anche il controllo dell'elenco di revoche di certificati (CRL). |
-
Consenti configurazione di tutti i client
Per consentire a qualsiasi client, indipendentemente dall'indirizzo IP di origine, di connettersi all'indirizzo IP SVM abilitato a IPSec, utilizzare
0.0.0.0/0
carattere jolly quando si specificaremote-ip-subnets
campo.Inoltre, è necessario specificare
remote-identity
campo con l'identità lato client corretta. Per l'autenticazione del certificato, è possibile immettereANYTHING
.Inoltre, quando
0.0.0.0/0
se si utilizza il carattere jolly, è necessario configurare un numero di porta locale o remota specifico da utilizzare. Ad esempio,NFS port 2049
.Fasi-
Utilizzare uno dei seguenti comandi per configurare IPSec per più client.
-
Se si utilizza la configurazione della subnet per supportare più client IPsec:
security ipsec policy create -vserver vserver_name -name policy_name -local-ip-subnets IPsec_IP_address/32 -remote-ip-subnets IP_address/subnet -local-identity local_id -remote-identity remote_id
Comando di esempiosecurity ipsec policy create -vserver vs1 -name subnet134 -local-ip-subnets 192.168.134.34/32 -remote-ip-subnets 192.168.134.0/24 -local-identity ontap_side_identity -remote-identity client_side_identity
-
Se si utilizza l'opzione Allow all clients Configuration (Consenti configurazione di tutti i client) per supportare più client IPsec:
security ipsec policy create -vserver vserver_name -name policy_name -local-ip-subnets IPsec_IP_address/32 -remote-ip-subnets 0.0.0.0/0 -local-ports port_number -local-identity local_id -remote-identity remote_id
-
Comando di esempiosecurity ipsec policy create -vserver vs1 -name test35 -local-ip-subnets IPsec_IP_address/32 -remote-ip-subnets 0.0.0.0/0 -local-ports 2049 -local-identity ontap_side_identity -remote-identity client_side_identity
-
Visualizza le statistiche IPsec
Attraverso la negoziazione, è possibile stabilire un canale di sicurezza denominato SA (IKE Security Association) tra l'indirizzo IP di ONTAP SVM e l'indirizzo IP del client. I SAS IPSec vengono installati su entrambi gli endpoint per eseguire le operazioni di crittografia e decrittografia dei dati. È possibile utilizzare i comandi delle statistiche per controllare lo stato di IPSec SAS e IKE SAS.
Se si utilizza la funzione di offload dell'hardware IPsec, vengono visualizzati diversi nuovi contatori con il comando security ipsec config show-ipsecsa .
|
Comando di esempio IKE SA:
security ipsec show-ikesa -node hosting_node_name_for_svm_ip
Comando e output di esempio SA IPSec:
security ipsec show-ipsecsa -node hosting_node_name_for_svm_ip
cluster1::> security ipsec show-ikesa -node cluster1-node1 Policy Local Remote Vserver Name Address Address Initator-SPI State ----------- ------ --------------- --------------- ---------------- ----------- vs1 test34 192.168.134.34 192.168.134.44 c764f9ee020cec69 ESTABLISHED
Comando e output di esempio SA IPSec:
security ipsec show-ipsecsa -node hosting_node_name_for_svm_ip cluster1::> security ipsec show-ipsecsa -node cluster1-node1 Policy Local Remote Inbound Outbound Vserver Name Address Address SPI SPI State ----------- ------- --------------- --------------- -------- -------- --------- vs1 test34 192.168.134.34 192.168.134.44 c4c5b3d6 c2515559 INSTALLED