Skip to main content
O português é fornecido por meio de tradução automática para sua conveniência. O inglês precede o português em caso de inconsistências.

Configure a segurança IP no ONTAP

Colaboradores

Há várias tarefas que você precisa executar para configurar e ativar a criptografia IPsec em trânsito no cluster do ONTAP.

Observação Certifique-se de revisar "Prepare-se para usar a segurança IP" antes de configurar o IPsec. Por exemplo, talvez seja necessário decidir se deve usar o recurso de descarga de hardware IPsec disponível a partir do ONTAP 9.16,1.

Ative o IPsec no cluster

Você pode habilitar o IPsec no cluster para garantir que os dados estejam criptografados continuamente e seguros enquanto estiverem em trânsito.

Passos
  1. Descubra se o IPsec já está habilitado:

    security ipsec config show

    Se o resultado incluir IPsec Enabled: false, avance para o passo seguinte.

  2. Ativar IPsec:

    security ipsec config modify -is-enabled true

    Você pode ativar o recurso de descarga de hardware IPsec usando o parâmetro booleano is-offload-enabled .

  3. Execute o comando Discovery novamente:

    security ipsec config show

    O resultado agora `IPsec Enabled: true`inclui .

Prepare-se para a criação de diretiva IPsec com autenticação de certificado

Você pode ignorar esta etapa se estiver usando apenas chaves pré-compartilhadas (PSKs) para autenticação e não usar autenticação de certificado.

Antes de criar uma diretiva IPsec que usa certificados para autenticação, você deve verificar se os seguintes pré-requisitos são atendidos:

  • Tanto o ONTAP quanto o cliente devem ter o certificado CA da outra parte instalado para que os certificados da entidade final (ONTAP ou cliente) sejam verificáveis por ambos os lados

  • Um certificado é instalado para o ONTAP LIF que participa da política

Observação ONTAP LIFs podem compartilhar certificados. Não é necessário um mapeamento individual entre certificados e LIFs.
Passos
  1. Instale todos os certificados de CA usados durante a autenticação mútua, incluindo CAs do lado do ONTAP e do lado do cliente, no gerenciamento de certificados do ONTAP, a menos que ele já esteja instalado (como é o caso de uma CA raiz autoassinada do ONTAP).

    • Exemplo de comando*
      cluster::> security certificate install -vserver svm_name -type server-ca -cert-name my_ca_cert

  2. Para garantir que a CA instalada esteja dentro do caminho de pesquisa da CA IPsec durante a autenticação, adicione as CAs de gerenciamento de certificados ONTAP ao módulo IPsec usando o security ipsec ca-certificate add comando.

    • Exemplo de comando*
      cluster::> security ipsec ca-certificate add -vserver svm_name -ca-certs my_ca_cert

  3. Crie e instale um certificado para uso pelo ONTAP LIF. A CA do emissor deste certificado já deve ser instalada no ONTAP e adicionada ao IPsec.

    • Exemplo de comando*
      cluster::> security certificate install -vserver svm_name -type server -cert-name my_nfs_server_cert

Para obter mais informações sobre certificados no ONTAP, consulte os comandos do certificado de segurança na documentação do ONTAP 9.

Definir o banco de dados de políticas de segurança (SPD)

O IPsec requer uma entrada SPD antes de permitir que o tráfego flua na rede. Isso é verdade se você estiver usando um PSK ou um certificado para autenticação.

Passos
  1. Use o security ipsec policy create comando para:

    1. Selecione o endereço IP do ONTAP ou a sub-rede de endereços IP para participar do transporte IPsec.

    2. Selecione os endereços IP do cliente que se conetarão aos endereços IP do ONTAP.

      Observação O cliente deve suportar o Internet Key Exchange versão 2 (IKEv2) com uma chave pré-compartilhada (PSK).
    3. Opcional. Selecione os parâmetros de tráfego detalhados, como os protocolos da camada superior (UDP, TCP, ICMP, etc. ), os números de porta local e os números de porta remota para proteger o tráfego. Os parâmetros correspondentes são protocols, local-ports e remote-ports respetivamente.

      Ignore esta etapa para proteger todo o tráfego entre o endereço IP do ONTAP e o endereço IP do cliente. Proteger todo o tráfego é o padrão.

    4. Insira PSK ou infra-estrutura de chave pública (PKI) para auth-method o parâmetro para o método de autenticação desejado.

      1. Se você inserir um PSK, inclua os parâmetros e pressione <enter> para que o prompt digite e verifique a chave pré-compartilhada.

        Observação Os local-identity parâmetros e remote-identity são opcionais se o host e o cliente usarem strongSwan e nenhuma política de curinga for selecionada para o host ou cliente.
      2. Se introduzir uma PKI, terá de introduzir também os cert-name local-identity parâmetros , . remote-identity Se a identidade do certificado do lado remoto for desconhecida ou se forem esperadas várias identidades de cliente, insira a identidade `ANYTHING`especial .

security ipsec policy create -vserver vs1 -name test34 -local-ip-subnets 192.168.134.34/32 -remote-ip-subnets 192.168.134.44/32
Enter the preshared key for IPsec Policy _test34_ on Vserver _vs1_:
security ipsec policy create -vserver vs1 -name test34 -local-ip-subnets 192.168.134.34/32 -remote-ip-subnets 192.168.134.44/32 -local-ports 2049 -protocols tcp -auth-method PKI -cert-name my_nfs_server_cert -local-identity CN=netapp.ipsec.lif1.vs0 -remote-identity ANYTHING

O tráfego IP não pode fluir entre o cliente e o servidor até que o ONTAP e o cliente tenham configurado as diretivas IPsec correspondentes e as credenciais de autenticação (PSK ou certificado) estejam no lugar em ambos os lados.

Use identidades IPsec

Para o método de autenticação de chave pré-compartilhada, identidades locais e remotas são opcionais se o host e o cliente usarem strongSwan e nenhuma política de curinga for selecionada para o host ou cliente.

Para o método de autenticação PKI/certificado, as identidades locais e remotas são obrigatórias. As identidades especificam qual identidade é certificada no certificado de cada lado e são usadas no processo de verificação. Se a identidade remota for desconhecida ou se puder ser muitas identidades diferentes, use a identidade `ANYTHING`especial .

Sobre esta tarefa

Dentro do ONTAP, as identidades são especificadas modificando a entrada SPD ou durante a criação da política SPD. O SPD pode ser um endereço IP ou um nome de identidade de formato de cadeia de carateres.

Passos
  1. Use o seguinte comando para modificar uma configuração de identidade SPD existente:

security ipsec policy modify

Exemplo de comando

security ipsec policy modify -vserver vs1 -name test34 -local-identity 192.168.134.34 -remote-identity client.fooboo.com

Configuração de vários clientes IPsec

Quando um pequeno número de clientes precisa aproveitar o IPsec, usar uma única entrada SPD para cada cliente é suficiente. No entanto, quando centenas ou mesmo milhares de clientes precisam utilizar o IPsec, o NetApp recomenda o uso de uma configuração de vários clientes IPsec.

Sobre esta tarefa

O ONTAP é compatível com a conexão de vários clientes em várias redes a um único endereço IP SVM com IPsec ativado. Você pode fazer isso usando um dos seguintes métodos:

  • Configuração de sub-rede

    Para permitir que todos os clientes em uma sub-rede específica (por exemplo, 192.168.134.0/24) se conetem a um único endereço IP SVM usando uma única entrada de política SPD, você deve especificar o remote-ip-subnets formulário de sub-rede in. Além disso, você deve especificar o remote-identity campo com a identidade do lado do cliente correta.

Observação Ao usar uma única entrada de diretiva em uma configuração de sub-rede, os clientes IPsec nessa sub-rede compartilham a identidade IPsec e a chave pré-compartilhada (PSK). No entanto, isso não é verdade com a autenticação de certificado. Ao usar certificados, cada cliente pode usar seu próprio certificado exclusivo ou um certificado compartilhado para autenticar. O IPsec do ONTAP verifica a validade do certificado com base nas CAs instaladas em seu armazenamento de confiança local. O ONTAP também suporta verificação de lista de revogação de certificados (CRL).
  • Permitir a configuração de todos os clientes

    Para permitir que qualquer cliente, independentemente do endereço IP de origem, se conete ao endereço IP habilitado para IPsec SVM, use o 0.0.0.0/0 caractere curinga ao especificar o remote-ip-subnets campo.

    Além disso, você deve especificar o remote-identity campo com a identidade do lado do cliente correta. Para autenticação de certificado, pode introduzir ANYTHING.

    Além disso, quando o 0.0.0.0/0 caractere curinga é usado, você deve configurar um número de porta local ou remota específico para usar. Por exemplo, NFS port 2049.

    Passos
    1. Use um dos comandos a seguir para configurar o IPsec para vários clientes.

      1. Se você estiver usando configuração de sub-rede para oferecer suporte a vários clientes IPsec:

        security ipsec policy create -vserver vserver_name -name policy_name -local-ip-subnets IPsec_IP_address/32 -remote-ip-subnets IP_address/subnet -local-identity local_id -remote-identity remote_id

      Exemplo de comando

      security ipsec policy create -vserver vs1 -name subnet134 -local-ip-subnets 192.168.134.34/32 -remote-ip-subnets 192.168.134.0/24 -local-identity ontap_side_identity -remote-identity client_side_identity

      1. Se você estiver usando permitir que a configuração de todos os clientes ofereça suporte a vários clientes IPsec:

        security ipsec policy create -vserver vserver_name -name policy_name -local-ip-subnets IPsec_IP_address/32 -remote-ip-subnets 0.0.0.0/0 -local-ports port_number -local-identity local_id -remote-identity remote_id

    Exemplo de comando

    security ipsec policy create -vserver vs1 -name test35 -local-ip-subnets IPsec_IP_address/32 -remote-ip-subnets 0.0.0.0/0 -local-ports 2049 -local-identity ontap_side_identity -remote-identity client_side_identity

Exibir estatísticas IPsec

Por meio da negociação, um canal de segurança chamado Associação de Segurança IKE (SA) pode ser estabelecido entre o endereço IP do ONTAP SVM e o endereço IP do cliente. As SAS IPsec são instaladas em ambos os endpoints para fazer o trabalho real de criptografia e descriptografia de dados. Você pode usar comandos de estatísticas para verificar o status de SAS IPsec e SAS IKE.

Observação Se você estiver usando o recurso de descarga de hardware IPsec, vários novos contadores serão exibidos com o comando security ipsec config show-ipsecsa.
Comandos de exemplo

Comando de exemplo IKE SA:

security ipsec show-ikesa -node hosting_node_name_for_svm_ip

Comando e saída de amostra IPsec SA:

security ipsec show-ipsecsa -node hosting_node_name_for_svm_ip

cluster1::> security ipsec show-ikesa -node cluster1-node1
            Policy Local           Remote
Vserver     Name   Address         Address         Initator-SPI     State
----------- ------ --------------- --------------- ---------------- -----------
vs1         test34
                   192.168.134.34  192.168.134.44  c764f9ee020cec69 ESTABLISHED

Comando e saída de amostra IPsec SA:

security ipsec show-ipsecsa -node hosting_node_name_for_svm_ip

cluster1::> security ipsec show-ipsecsa -node cluster1-node1
            Policy  Local           Remote          Inbound  Outbound
Vserver     Name    Address         Address         SPI      SPI      State
----------- ------- --------------- --------------- -------- -------- ---------
vs1         test34
                    192.168.134.34  192.168.134.44  c4c5b3d6 c2515559 INSTALLED