Capítulo 24 Intercambio de claves de Internet (referencia)

Este capítulo contiene la siguiente información de referencia sobre IKE:

• Utilidad de gestión de servicios de IKE

• Daemon IKE

• Archivo de directiva IKE

• Comando de administración de IKE

• Archivos de claves IKE previamente compartidas

• Comandos y bases de datos de claves públicas IKE

Para obtener instrucciones sobre la implementación de IKE, consulte el Capítulo 23Configuración de IKE (tareas). Para obtener una descripción general, consulte el Capítulo 22Intercambio de claves de Internet (descripción general).

Utilidad de gestión de servicios de IKE

svc:/network/ipsec/ike:default servicio – la utilidad de administración de servicios (SMF) proporciona el servicio ike para administrar IKE. Por defecto, este servicio está inhabilitado. Antes de habilitar este servicio, debe crear un archivo de configuración IKE, archivo /etc/inet/ike/config.

las siguientes propiedades del servicio ike son configurables:

• Propiedad config_file – es la ubicación del archivo de configuración IKE. El valor inicial es /etc/inet/ike/config.

• Propiedad debug level – es el nivel de depuración del daemon in.iked. El valor inicial es op u operativos. Para ver los posibles valores, consulte la tabla de niveles de depuración en Object Types en la página de comando man ikeadm(1M).

• Propiedad admin_privilege – es el nivel de privilegio del daemon in.iked. El valor inicial es base. Otros valores son modkeys y keymat. Para obtener más detalles, consulte Comando de administración de IKE.

Para obtener más información sobre SMF, consulte el Capítulo 18, Managing Services (Overview) de System Administration Guide: Basic Administration. Consulte también las páginas de comando man smf(5),svcadm(1M) y svccfg(1M).

Daemon IKE

El daemon in.iked automatiza la administración de claves criptográficas para IPsec en un sistema Solaris. El daemon negocia con un sistema remoto que ejecuta el mismo protocolo para proporcionar materiales de claves autenticados para las asociaciones de seguridad de forma protegida. El daemon debe ejecutarse en todos los sistemas que tienen previsto comunicarse de forma segura.

Por defecto, el servicio svc:/network/ipsec/ike:default servicio no está habilitado. Después de que se haya configurado el archivo /etc/inet/ike/config y se haya habilitado el servicio ike, el daemon in.iked se ejecuta con el inicio del sistema.

Al ejecutar el daemon IKE, el sistema se autentica automáticamente en su entidad IKE equivalente en el intercambio de fase 1. El equivalente se define en el archivo de directiva IKE, al igual que los métodos de autenticación. A continuación, el daemon establece las claves para el intercambio de fase 2. Las claves IKE se actualizan automáticamente a un intervalo especificado en el archivo de directiva. El daemon in.iked escucha las solicitudes IKE entrantes de la red y las solicitudes del tráfico saliente mediante el socket PF_KEY. Para más información, consulte la página del comando man pf_key(7P).

Dos comandos admiten el daemon IKE. El comando ikeadm puede utilizarse para ver y modificar temporalmente la directiva IKE. Para modificar permanentemente la directiva IKE, puede modificar las propiedades del servicio ike. Si desea conocer el procedimiento, consulte Cómo ver las claves IKE previamente compartidas.

El comando ikecert permite ver y administrar las bases de datos de claves públicas. Este comando administra las bases de datos locales, ike.privatekeys y publickeys . Este comando también administra operaciones de claves públicas y el almacenamiento de las claves públicas en el hardware.

Archivo de directiva IKE

El archivo de configuración para la directiva IKE, /etc/inet/ike/config , administra las claves para las interfaces que está protegiendo el archivo de directiva IPsec, /etc/inet/ipsecinit.conf. El archivo de directiva IKE administra claves para IKE y para las asociaciones de seguridad de IPsec. El daemon IKE requiere material de claves en el intercambio de fase 1.

La administración de claves con IKE incluye reglas y parámetros globales. Una regla IKE identifica los sistemas o redes que protege el material de claves. La regla también especifica el método de autenticación. Los parámetros globales incluyen elementos como la ruta a un acelerador de hardware conectado. Para ver ejemplos de los archivos de directiva IKE, consulte Configuración de IKE con claves previamente compartidas (mapa de tareas). Para ver ejemplos y descripciones de las entradas de directiva IKE, consulte la página del comando man ike.config(4).

Las asociaciones de seguridad de IPsec que admite IKE protegen los datagramas IP de acuerdo con las directivas que se establecen en el archivo de configuración para la directiva IPsec, /etc/inet/ipsecinit.conf. El archivo de directiva IKE determina si se utiliza la seguridad directa perfecta (PFS) al crear las asociaciones de seguridad de IPsec.

El archivo ike/config puede incluir la ruta a una biblioteca que se implementa de acuerdo con el estándar siguiente: Interfaz de señal criptográfica RSA Security Inc. PKCS #11 (Cryptoki). IKE utiliza esta biblioteca de PKCS #11 con tal de acceder al hardware para la aceleración de claves y el almacenamiento de claves.

Las consideraciones de seguridad del archivo ike/config son similares a las consideraciones del archivo ipsecinit.conf. Para obtener más información, consulte Consideraciones de seguridad para ipsecinit.conf e ipsecconf.

Comando de administración de IKE

Puede utilizar el comando ikeadm para:

• Ver aspectos del proceso del daemon IKE.

• Cambiar los parámetros que se transfieren al daemon IKE.

• Ver estadísticas sobre la creación de asociaciones de seguridad durante el intercambio de fase 1.

• Depurar procesos de IKE.

• Ver aspectos del estado de IKE.

• Cambiar las propiedades del daemon IKE.

• Ver estadísticas sobre la creación de asociaciones de seguridad durante el intercambio de fase 1.

• Depurar los intercambios del protocolo IKE.

Para ver ejemplos y una descripción completa de las opciones de este comando, consulte la página del comando man ikeadm(1M)

El nivel de privilegio del daemon IKE en ejecución determina qué aspectos del daemon IKE pueden verse y modificarse. Hay tres niveles de privilegio posibles.

Nivel Base

No puede ver ni modificar el material de claves. El nivel base es el nivel de privilegio predeterminado.

Nivel modkeys

Puede eliminar, cambiar y agregar claves previamente compartidas.

Nivel keymat

Puede ver el material de claves real con el comando ikeadm.

Si desea un cambio en un privilegio temporal, puede utilizar el comando ikeadm. Para un cambio permanente, cambie la propiedad admin_privilege del servicio ike. Si desea conocer el procedimiento, consulte Cómo administrar servicios de IPsec e IKE .

Las consideraciones de seguridad del comando ikeadm son similares a las consideraciones del comando ipseckey. Para más detalles, consulte Consideraciones de seguridad para ipseckey.

Archivos de claves IKE previamente compartidas

Al crear manualmente claves previamente compartidas, las claves se almacenan en archivos del directorio /etc/inet/secret. El archivo ike.preshared contiene las claves previamente compartidas para las asociaciones de seguridad del protocolo de administración de claves y asociaciones de seguridad de Internet (ISAKMP). El archivo ipseckeys contiene las claves previamente compartidas para las asociaciones de seguridad de IPsec. Los archivos se protegen en 0600. El directorio secret se protege en 0700.

• El archivo ike.preshared se crea al configurar el archivo ike/config para que requiera claves previamente compartidas. El material de claves se especifica para las asociaciones de seguridad de ISAKMP, es decir, para la autenticación IKE en el archivo ike.preshared. Dado que se utilizan claves previamente compartidas para autenticar el intercambio de fase 1, el archivo debe ser válido antes de iniciar el daemon in.iked.

• El archivo ipseckeys contiene el material de claves para las asociaciones de seguridad de IPsec. Para ver ejemplos de la administración manual del archivo, consulte Cómo crear manualmente asociaciones de seguridad IPsec. El daemon IKE no utiliza este archivo. El material de claves que genera IKE para las asociaciones de seguridad de IPsec se almacena en el núcleo.

---

Nota –

Las claves previamente compartidas no pueden utilizar el almacenamiento de hardware. Las claves previamente compartidas se generan y almacenan en el sistema.

---

Comandos y bases de datos de claves públicas IKE

El comando ikecert administra las bases de datos de claves públicas del sistema local. Este comando se utiliza cuando el archivo ike/config requiere certificados de claves públicas. Dado que IKE utiliza estas bases de datos para autenticar el intercambio de fase 1, las bases de datos deben rellenarse antes de activar el daemon in.iked. Existen tres subcomandos que administran las tres bases de datos: certlocal, certdb y certrldb.

El comando ikecert también administra el almacenamiento de claves. Las claves se pueden almacenar en disco, en una placa Sun Crypto Accelerator 4000 o Crypto Accelerator 6000 de Sun, o bien en un almacén de claves softtoken. El almacén de claves softtoken está disponible cuando la metarranura de la estructura criptográfica de Solaris se utilice para comunicarse con el dispositivo de hardware. El comando ikecert utiliza la biblioteca PKCS #11 para localizar el almacenamiento de claves.

• Solaris 10 1/06: A partir de esta versión, no es preciso especificar la biblioteca. De modo predeterminado, la biblioteca PKCS #11 es /usr/lib/libpkcs11.so.

• Solaris 10: en esta versión, debe especificarse la entrada PKCS #11. De lo contrario, la opción -T del comando ikecert no funcionará. La entrada tiene el siguiente aspecto:

  pkcs11_path "/opt/SUNWconn/cryptov2/lib/libvpkcs11.so"

Para obtener más información, consulte la página del comando man ikecert(1M) Para obtener información sobre la metarranura y el almacén de claves softtoken, consulte la página del comando man cryptoadm(1M).

Comando ikecert tokens

El argumento tokens enumera los ID de testigo que están disponibles. Los ID de símbolo permiten a los comandos ikecert certlocal e ikecert certdb generar certificados de claves públicas y solicitudes de certificados. Las certificados y las solicitudes de certificados también se pueden almacenar mediante la estructura criptográfica del almacén de claves softtoken, o bien en una placa Sun Crypto Accelerator 4000 o Crypto Accelerator 6000 de Sun. El comando ikecert utiliza la biblioteca PKCS #11 para localizar el almacenamiento de certificados.

Comando ikecert certlocal

El subcomando certlocal administra la base de datos de claves privadas. Las opciones de este subcomando permiten agregar, ver y eliminar claves privadas. Este subcomando también crea un certificado autofirmado o una solicitud de certificado. La opción -ks crea un certificado autofirmado. La opción -kc crea una solicitud de certificado. Las claves se almacenan en el directorio /etc/inet/secret/ike.privatekeys del sistema o en el hardware conectado con la opción -T.

Al crear una clave privada, las opciones del comando ikecert certlocal deben tener entradas relacionadas en el archivo ike/config. La tabla siguiente muestra las correspondencias entre las opciones ikecert y las entradas ike/config.

Tabla 24–1 Correspondencias entre las opciones ikecert y las entradas ike/config

Opción ikecert	Entrada ike/config	Descripción
-A nombre_alternativo_tema	cert_trust nombre_alternativo_tema	Apodo que identifica el certificado de modo exclusivo. Los posibles valores son una dirección IP, una dirección de correo electrónico o un nombre de dominio.
-D nombre_distinguido_X.509	nombre_distinguido_X.509	El nombre completo de la autoridad de certificación que incluye el país (C), el nombre de organización (ON), la unidad organizativa (OU) y el nombre común (CN).
-t dsa-sha1	auth_method dss_sig	Método de autenticación que es ligeramente más lento que RSA.
-t rsa-md5 y -t rsa-sha1	auth_method rsa_sig	Método de autenticación que es ligeramente más lento que DSA. La clave pública RSA debe ser lo suficientemente grande para cifrar la carga útil mayor. Normalmente, una carga útil de identidad, como el nombre distinguido X.509, es la mayor carga útil.
-t rsa-md5 y -t rsa-sha1	auth_method rsa_encrypt	El cifrado RSA oculta las identidades de IKE de los intrusos, pero requiere que los equivalentes de IKE conozcan las claves públicas el uno del otro.
-T	pkcs11_path	La biblioteca PKCS #11 gestiona aceleración de claves en las placas de Sun Crypto Accelerator 1000, Crypto Accelerator 6000 de Sun y Sun Crypto Accelerator 4000. La biblioteca también proporciona los símbolos que gestionan el almacenamiento de claves en las placas de Sun Crypto Accelerator 4000 y Crypto Accelerator 6000 de Sun.

Si emite una solicitud de certificado con el comando ikecert certlocal -kc, envía el resultado del comando a una organización de PKI o a una autoridad de certificación. Si su compañía ejecuta su propio PKI, el resultado se envía al administrador de PKI. A continuación, la organización de PKI, la autoridad de certificación o el administrador de PKI crea los certificados. Los certificados que devuelve el PKI o la autoridad de certificación se incluyen en el subcomando certdb. La lista de revocación de certificados (CRL) que devuelve el PKI se incluye en el subcomando certrldb.

Comando ikecert certdb

El subcomando certdb administra la base de datos de claves públicas. Las opciones de este subcomando permiten agregar, ver y eliminar certificados y claves públicas. El comando acepta como entrada los certificados generados con el comando ikecert certlocal -ks en un sistema remoto. Para conocer el procedimiento, consulte Cómo configurar IKE con certificados de clave pública autofirmados. Este comando también acepta el certificado que recibe de un PKI o una autoridad de certificación. Para conocer el procedimiento, consulte Cómo configurar IKE con certificados firmados por una autoridad de certificación.

Los certificados y las claves públicas se almacenan en el directorio /etc/inet/ike/publickeys del sistema. La opción -T almacena los certificados, las claves privadas y las claves públicas del hardware conectado.

Comando ikecert certrldb

El subcomando certrldb administra la base de datos de listas de revocación de certificados (CRL), /etc/inet/ike/crls. La base de datos de CRL mantiene las listas de revocación para las claves públicas. En esta lista se incluyen los certificados que dejan de ser válidos. Cuando los PKI proporcionan una CRL, puede instalar la CRL en la base de datos de CRL con el comando ikecert certrldb. Para conocer el procedimiento, consulte Cómo administrar una lista de revocación de certificados.

Directorio /etc/inet/ike/publickeys

El directorio /etc/inet/ike/publickeys contiene la parte pública de un par de claves pública-privada y su certificado en los archivos, o ranuras. El directorio se protege en 0755 . El comando ikecert certdb rellena el directorio. La opción -T almacena las claves en la placa Sun Crypto Accelerator 4000 o Crypto Accelerator 6000 de Sun en lugar del directorio publickeys.

Las ranuras contienen, de modo codificado, el nombre distinguido X.509 de un certificado generado en otro sistema. Si está utilizando certificados autofirmados, se utiliza el certificado que se recibe del administrador del sistema remoto como entrada del comando. Si está utilizando certificados de una entidad certificadora (CA), puede instalar dos certificados firmados de ésta en la base de datos. Se instala un certificado que está basado en la solicitud de firma de certificado que envió a la entidad certificadora (CA). También se instala un certificado de la entidad certificadora (CA).

Directorio /etc/inet/secret/ike.privatekeys

El directorio /etc/inet/secret/ike.privatekeys contiene archivos de claves privadas que forman parte del par de claves pública-privada, que constituye material de claves para las asociaciones de seguridad de ISAKMP. El directorio se protege en 0700. El comando ikecert certlocal rellena el directorio ike.privatekeys. Las claves privadas no son efectivas hasta que se instalan sus equivalentes de claves públicas, certificados autofirmados o autoridades de certificación. Los equivalentes de claves públicas se almacenan en el directorio /etc/inet/ike/publickeys o en una placa &sca 4; o Crypto Accelerator 6000 de Sun.

Directorio /etc/inet/ike/crls

El directorio /etc/inet/ike/crls contiene archivos de lista de revocación de certificados (CRL). Cada archivo corresponde a un archivo de certificado público del directorio /etc/inet/ike/publickeys. Las organizaciones de PKI proporcionan las CRL para sus certificados. Puede utilizar el comando ikecert certrldb para rellenar la base de datos.