Guía de administración del sistema: servicios IP

Opciones de configuración de IKE

El archivo de configuración /etc/inet/ike/config contiene entradas de directiva IKE. Para que dos daemons IKE se autentiquen entre sí, las entradas deben ser válidas. Además, el material de claves debe estar disponible. Las entradas del archivo de configuración determinan el método para utilizar el material de claves para autenticar el intercambio de fase 1. Las opciones son las claves previamente compartidas o los certificados de claves públicas.

La entrada auth_method preshared indica que se utilizan claves previamente compartidas. Los valores de auth_method que no sean preshared indican que se deben utilizar certificados de claves públicas. Los certificados de claves públicas pueden ser autofirmados o instalarse desde una organización de PKI. Para más información, consulte la página del comando man ike.config(4).

IKE con claves previamente compartidas

Las claves previamente compartidas las crea un administrador de un sistema. A continuación, se comparten las claves fuera de la banda con administradores de sistemas remotos. Debe procurar crear claves aleatorias largas y proteger el archivo y la transmisión fuera de banda. Las claves se colocan en el archivo /etc/inet/secret/ike.preshared de cada sistema. El archivo ike.preshared para IKE hace las funciones del archivo ipseckeys para IPsec. Cualquier peligro para las claves del archivo ike.preshared pondrá en peligro todas las claves que se deriven de las claves del archivo.

La clave precompartida de un sistema debe ser idéntica a la clave de su sistema remoto. Las claves están vinculadas a una dirección IP específica. Las claves son más seguras cuando un administrador controla los sistemas que se comunican. Para obtener más información, consulte la página del comando man ike.preshared(4).

IKE con certificados de claves públicas

Los certificados de claves públicas acaban con la necesidad de que los sistemas que se comunican compartan el material de claves secreto fuera de banda. Las claves publicas utilizan el protocolo de Diffie-Hellman (DH) para autenticar y negociar claves. Existen dos tipos de certificados de claves públicas. Los certificados pueden ser autofirmados o certificados por una autoridad de certificación.

Los certificados de claves públicas autofirmadas los crea el administrador. El comando ikecert certlocal -ks crea la parte privada del par de claves pública-privada para el sistema. A continuación se obtiene el resultado del certificado autofirmado en formato X.509 del sistema remoto. El certificado del sistema remoto se incluye en el comando ikecert certdb para la parte pública del par de claves. Los certificados autofirmados se encuentran en el directorio /etc/inet/ike/publickeys de los sistemas que se comunican. Cuando se utiliza la opción -T, los certificados residen en el hardware conectado.

Los certificados autofirmados son un punto intermedio entre las claves previamente compartidas y las autoridades de certificación. A diferencia de las claves previamente compartidas, un certificado autofirmado se puede utilizar en un equipo portátil o en un sistema cuya numeración podría cambiar. Para autofirmar un certificado para un sistema sin un número fijo, utilice un nombre alternativo DNS (www.example.org ) o email (root@domain.org).

Las claves públicas se pueden entregar mediante PKI o una organización de autoridad de certificación. Las claves públicas y sus autoridades de certificación pertinentes se instalan en el directorio /etc/inet/ike/publickeys. Cuando se utiliza la opción -T, los certificados residen en el hardware conectado. Los proveedores también emiten listas de revocación de certificados (CRL). Junto con la instalación de las claves y las autoridades de certificación, debe instalar la CRL en el directorio /etc/inet/ike/crls.

Las autoridades de certificación tienen la ventaja de estar certificadas por una organización exterior, en lugar del administrador del sitio. En cierto modo, las autoridades de certificación son certificados autorizados. Al igual que ocurre con los certificados autofirmados, las autoridades de certificación se pueden utilizar en un equipo portátil o en un sistema cuya numeración podría cambiar. A diferencia de los certificados autofirmados, las autoridades de certificación se pueden escalar muy fácilmente para proteger una gran cantidad de sistemas que se comunican.