Capítulo 20 Configuración de IPsec (tareas)

Este capítulo incluye los procedimientos para implementar IPsec en la red. Los procedimientos se describen en los siguientes mapas de tareas:

• Protección del tráfico con IPsec (mapa de tareas)

• Protección de una VPN con IPsec (mapa de tareas)

Para obtener información general sobre IPsec, consulte el Capítulo 19Arquitectura de seguridad IP (descripción general). Para obtener información de referencia sobre IPsec, consulte el Capítulo 21Arquitectura de seguridad IP (referencia).

Protección del tráfico con IPsec (mapa de tareas)

El siguiente mapa de tareas hace referencia a los procedimientos que configuran IPsec entre uno o más sistemas. Las páginas del comando man ipsecconf(1M), ipseckey(1M) y ifconfig(1M) también describen procedimientos útiles en sus secciones de ejemplos correspondientes.

Protección del tráfico con IPsec

En esta sección se describen los procedimientos que permiten proteger un servidor web y el tráfico entre dos sistemas. Para proteger una VPN, consulte Protección de una VPN con IPsec (mapa de tareas) . Existen procedimientos adicionales que proporcionan los materiales de claves y las asociaciones de seguridad, y además verifican que IPsec esté funcionando de acuerdo con la configuración establecida.

La información siguiente se aplica a todas las tareas de configuración de IPsec:

• IPsec y zonas: Para administrar la directiva IPsec y las claves para una zona no global IP compartida, cree el archivo de directiva IPsec en la zona global y ejecute los comandos de configuración de IPsec desde la zona global. Utilice la dirección de origen que corresponda a la zona no global que se esté configurando. También puede configurar la directiva IPsec y las claves en la zona global para la zona global. Para una zona de IP exclusiva, debe configurar directiva IPsec en la zona no global. A partir de la versión Solaris 10 7/07, puede utilizar IKE para administrar claves en una zona no global.

• IPsec y RBAC – Para utilizar los roles para administrar IPsec, consulte el Capítulo 9, Using Role-Based Access Control (Tasks) de System Administration Guide: Security Services. Si desea ver un ejemplo, consulte Cómo configurar una función para la seguridad de la red.

• IPsec y SCTP – IPsec se puede utilizar para proteger las asociaciones SCTP (Streams Control Transmission Protocol), pero debe hacerse con precaución. Para obtener más información, consulte IPsec y SCTP.

Cómo proteger el tráfico entre dos sistemas con IPsec

Este procedimiento presupone la siguiente configuración:

• Los dos sistemas se denominan enigma y partym.

• Cada sistema tiene dos direcciones, una dirección IPv4 y otra IPv6.

• Cada sistema requiere ESP cifrado con el algoritmo AES, que, a su vez, requiere una clave de 128 bits y autenticación ESP con el resumen de mensajes de SHA1, que, a su vez, requiere una clave de 160 bits.

• Cada sistema utiliza asociaciones de seguridad compartidas.

  Con las asociaciones de seguridad (SA) compartidas, sólo se necesita un par de SA para proteger los dos sistemas.

Antes de empezar

Debe estar en la zona global para configurar la directiva IPsec para el sistema o para una zona de IP compartida. Para una zona de IP exclusiva, configure la directiva IPsec en la zona no global.

1. En la consola del sistema, asuma el rol de administrador principal o conviértase en superusuario.

   La función de administrador principal incluye el perfil de administrador principal. Para crear el rol y asignarlo a un usuario, consulte el Capítulo 2, Working With the Solaris Management Console (Tasks) de System Administration Guide: Basic Administration.

   ---

   Nota –

   El registro remoto expone el tráfico cuya seguridad es crítica a intrusos. Aunque proteja de algún modo el inicio de sesión remoto, la seguridad del sistema se reducirá a la seguridad de la sesión remota. Utilice el comando ssh para iniciar una sesión remota de forma segura. Esto se ilustra en el Ejemplo 20–1.

   ---

2. En cada sistema, agregue entradas de host.

   En la versión actual, agregue las entradas de host al archivo /etc/inet/hosts.

   En un sistema que se ejecute en una versión anterior a Solaris 10 7/07, agregue entradas IPv4 e IPv6 en el archivo /etc/inet/ipnodes. Las entradas de un sistema deben ser contiguas en el archivo. Para obtener información sobre los archivos de configuración del sistema, consulte Archivos de configuración TCP/IP y el Capítulo 11IPv6 en profundidad (referencia).

   Si está conectando sistemas sólo con direcciones IPv4, debe modificar el archivo /etc/inet/hosts. En este ejemplo, los sistemas que se conectan ejecutan una versión anterior de Solaris y utilizan direcciones IPv6.

   1. En un sistema denominado enigma, escriba lo siguiente en el archivo hosts o ipnodes:

      # Secure communication with partym 192.168.13.213 partym 2001::eeee:3333:3333 partym

   2. En un sistema denominado partym, escriba lo siguiente en el archivo hosts o ipnodes:

      # Secure communication with enigma 192.168.116.16 enigma 2001::aaaa:6666:6666 enigma

   El uso de los servicios de asignación de nombres simbólicos no es seguro.

3. En cada sistema, cree el archivo de directiva IPsec.

   El nombre de archivo es /etc/inet/ipsecinit.conf. Para ver un ejemplo, consulte el archivo /etc/inet/ipsecinit.sample.

4. Agregue una entrada de directiva IPsec al archivo ipsecinit.conf.

   1. En el sistema enigma, agregue la directiva siguiente:

      {laddr enigma raddr partym} ipsec {encr_algs aes encr_auth_algs sha1 sa shared}

   2. En el sistema partym, agregue una directiva idéntica:

      {laddr partym raddr enigma} ipsec {encr_algs aes encr_auth_algs sha1 sa shared}

      Para ver la sintaxis de las entradas de la directiva IPsec, consulte la página del comando man ipsecconf(1M).

5. En cada sistema, agregue un par de SA IPsec entre los dos sistemas.

   Puede configurar el intercambio de claves de Internet (IKE) para crear las SA automáticamente. También puede agregar las SA de forma manual.

   ---

   Nota –

   Debe utilizar IKE a menos que tenga una razón de peso para generar y mantener las claves manualmente. La administración de claves IKE es más segura que la administración manual.

   ---

   • Configure IKE siguiendo uno de los métodos de configuración de Configuración de IKE (mapa de tareas). Para ver la sintaxis del archivo de configuración de IKE, consulte la página del comando man ike.config(4).

   • Para agregar las SA manualmente, consulte Cómo crear manualmente asociaciones de seguridad IPsec.

6. Habilite la directiva IPsec.

   • Si está ejecutando una versión anterior a Solaris 10 4/09, reinicie el sistema.

     # init 6

     A continuación, vaya a Cómo verificar que los paquetes estén protegidos con IPsec.

   • A partir de la versión Solaris 10 4/09, actualice el servicio IPsec y habilite el servicio de administración de claves.

     Complete del Paso 7 al Paso 10.

7. Compruebe la sintaxis del archivo de directiva IPsec.

   # ipsecconf -c -f /etc/inet/ipsecinit.conf

   Subsane los posibles errores, compruebe la sintaxis del archivo y continúe.

8. Actualice la directiva IPsec.

   # svcadm refresh svc:/network/ipsec/policy:default

   La directiva IPsec está habilitada de forma predeterminada, por lo que puede actualizarla. Si ha inhabilitado la directiva IPsec, habilítela.

   # svcadm enable svc:/network/ipsec/policy:default

9. Active las claves para IPsec.

   • Si ha configurado IKE en el Paso 5, realice una de las acciones siguientes:

     • Si el servicio ike no está habilitado, habilítelo.

       # svcadm enable svc:/network/ipsec/ike:default

     • Si el servicio ike está habilitado, reinícielo.

       # svcadm restart svc:/network/ipsec/ike:default

   • Si ha configurado manualmente las claves en el Paso 5, realice una de las acciones siguientes:

     • Si el servicio manual-key no está habilitado, habilítelo.

       # svcadm enable svc:/network/ipsec/manual-key:default

     • Si el servicio manual-key está habilitado, actualícelo.

       # svcadm refresh svc:/network/ipsec/manual-key:default

10. Compruebe que los paquetes se estén protegiendo.

    Para ver el procedimiento, consulte Cómo verificar que los paquetes estén protegidos con IPsec.

Ejemplo 20–1 Adición de directivas IPsec al utilizar una conexión ssh

En este ejemplo, el administrador configura como superusuario las claves y la directiva IPsec en dos sistemas mediante el comando ssh para llegar al segundo sistema. Para obtener más información, consulte la página de comando man ssh(1).

• En primer lugar, el administrador realiza del Paso 2 al Paso 5 del procedimiento anterior para configurar el primer sistema.

• A continuación, en una ventana de terminal distinta, el administrador utiliza el comando ssh para iniciar la sesión en el segundo sistema.

  local-system # ssh other-system other-system #

• En la ventana de terminal de la sesión ssh, el administrador configura la directiva IPsec y las claves del segundo sistema; para ello, realiza del Paso 2 al Paso 6.

• A continuación, el administrador termina la sesión ssh.

  other-system # exit local-system #

• Por último, el administrador realiza el Paso 6 para habilitar la directiva IPsec en el primer sistema.

La próxima ocasión que los dos sistemas se comunican, incluida la conexión ssh, la comunicación queda protegida por IPsec.

Ejemplo 20–2 Cómo proteger el tráfico con IPsec sin reiniciar

El siguiente ejemplo es útil cuando se está ejecutando una versión anterior a Solaris 10 4/09. Es decir, en su versión, IPsec no se gestiona como un servicio. El ejemplo describe cómo implementar IPsec en un entorno de prueba. En un entorno de producción, es más seguro reiniciar que ejecutar el comando ipsecconf. Consulte las consideraciones de seguridad al final de este ejemplo.

En lugar de reiniciar en el Paso 6, elija una de estas opciones:

• Si ha utilizado IKE para crear material de claves, detenga y reinicie el daemon in.iked.

  # pkill in.iked # /usr/lib/inet/in.iked

• Si ha agregado claves manualmente, utilice el comando ipseckey para agregar las SA a la base de datos.

  # ipseckey -c -f /etc/inet/secret/ipseckeys

  A continuación, active la directiva IPsec con el comando ipsecconf.

  # ipsecconf -a /etc/inet/ipsecinit.conf

Consideraciones de seguridad: Lea la advertencia que aparece al ejecutar el comando ipsecconf. Un socket que ya está bloqueado, es decir, un socket que ya está en uso, constituye una puerta trasera no segura al sistema. Si desea más información al respecto, consulte Consideraciones de seguridad para ipsecinit.conf e ipsecconf.

Cómo utilizar IPsec para proteger un servidor web del tráfico que no procede de Internet

Un servidor web seguro permite a los clientes web comunicarse con el servicio web. En un servidor web seguro, el tráfico que no sea de la red debe someterse a comprobaciones de seguridad. El siguiente procedimiento incluye las omisiones del tráfico de red. Además, este servidor web puede realizar solicitudes de clientes DNS no seguras. El resto del tráfico requiere ESP con los algoritmos AES y SHA-1.

Antes de empezar

Debe encontrarse en la zona global para poder configurar la directiva IPsec. Para una zona de IP exclusiva, configure la directiva IPsec en la zona no global. Ha completado Cómo proteger el tráfico entre dos sistemas con IPsec para que se apliquen las condiciones siguientes:

• Que la comunicación entre los dos sistemas esté protegida por IPsec.

• Que se esté generando material de claves, ya sea de forma manual o mediante IKE.

• Que haya comprobado que los paquetes se estén protegiendo.

1. En la consola del sistema, asuma el rol de administrador principal o conviértase en superusuario.

   La función de administrador principal incluye el perfil de administrador principal. Para crear el rol y asignarlo a un usuario, consulte el Capítulo 2, Working With the Solaris Management Console (Tasks) de System Administration Guide: Basic Administration.

   ---

   Nota –

   El inicio de sesión remoto expone el tráfico cuya seguridad es crítica a intrusos. Aunque proteja de algún modo el inicio de sesión remoto, la seguridad del sistema se reducirá a la seguridad de la sesión remota. Utilice el comando ssh para iniciar una sesión remota de forma segura.

   ---

2. Determine qué servicios deben omitir las comprobaciones de directiva de seguridad.

   En el caso de un servidor web, estos servicios incluyen los puertos TCP 80 (HTTP) y 443 (HTTP seguro). Si el servidor web proporciona consultas de nombres DNS, el servidor también podría incluir el puerto 53 tanto para TCP como para UDP.

3. Cree una directiva IPsec para el servidor web y habilítela.

   • A partir de la versión Solaris 10 4/09, siga del Paso 4 al Paso 7.

   • Si está ejecutando una versión anterior a Solaris 10 4/09 , siga del Paso 8 al Paso 11.

   El Paso 12 es opcional en todas las versiones de Solaris.

4. Agregue la directiva de servidor web al archivo de directiva IPsec.

   Agregue las líneas siguientes al archivo /etc/inet/ipsecinit.conf:

   # Web traffic that web server should bypass. {lport 80 ulp tcp dir both} bypass {} {lport 443 ulp tcp dir both} bypass {} # Outbound DNS lookups should also be bypassed. {rport 53 dir both} bypass {} # Require all other traffic to use ESP with AES and SHA-1. # Use a unique SA for outbound traffic from the port {} ipsec {encr_algs aes encr_auth_algs sha1 sa shared}

   Esta configuración sólo permite que el tráfico seguro acceda al sistema, con las excepciones de omisión que se describen en el Paso 4.

5. Compruebe la sintaxis del archivo de directiva IPsec.

   # ipsecconf -c -f /etc/inet/ipsecinit.conf

6. Actualice la directiva IPsec.

   # svcadm refresh svc:/network/ipsec/policy:default

7. Actualice las claves para IPsec.

   • Si ha configurado IKE en el Paso 5 de Cómo proteger el tráfico entre dos sistemas con IPsec, reinicie el servicio ike.

     # svcadm restart svc:/network/ipsec/ike

   • Si ha configurado manualmente las claves en el Paso 5 de Cómo proteger el tráfico entre dos sistemas con IPsec, actualice el servicio manual-key.

     # svcadm refresh svc:/network/ipsec/manual-key:default

   La configuración se ha completado. Si lo desea, puede llevar a cabo el Paso 12.

8. Cree un archivo en el directorio /etc/inet para la directiva del servidor web.

   ---

   Nota –

   Los siguientes pasos configuran un servidor web que está ejecutando una versión anterior a Solaris 10 4/09.

   ---

   Asigne al archivo un nombre que indique su finalidad, por ejemplo IPsecWebInitFile. Escriba las siguientes líneas en el archivo:

   # Web traffic that web server should bypass. {lport 80 ulp tcp dir both} bypass {} {lport 443 ulp tcp dir both} bypass {} # Outbound DNS lookups should also be bypassed. {rport 53 dir both} bypass {} # Require all other traffic to use ESP with AES and SHA-1. # Use a unique SA for outbound traffic from the port {} ipsec {encr_algs aes encr_auth_algs sha1 sa shared}

   Esta configuración sólo permite que el tráfico seguro acceda al sistema, con las excepciones de omisión que se describen en el Paso 4.

9. Copie el contenido del archivo que haya creado en el Paso 8 en el archivo /etc/inet/ipsecinit.conf.

10. Proteja el archivo IPsecWebInitFile con permisos de sólo lectura.

    # chmod 400 IPsecWebInitFile

11. Proteja el servidor web sin reiniciar.

    Elija una de las siguientes opciones:

    • Si está utilizando IKE para la administración de claves, detenga el daemon in.iked y reinícielo.

      # pkill in.iked # /usr/lib/inet/in.iked

    • Si está administrando las claves manualmente, utilice los comandos ipseckey e ipsecconf.

      Utilice IPsecWebInitFile como argumento para el comando ipsecconf. Si utiliza el archivo ipsecinit.conf como argumento, el comando ipsecconf genera errores cuando las directivas del archivo ya están implementadas en el sistema.

      # ipseckey -c -f /etc/inet/secret/ipseckeys # ipsecconf -a /etc/inet/IPsecWebInitFile

    ---

    Precaución –

    Lea la advertencia cuando ejecute el comando ipsecconf. Un socket que ya está bloqueado, es decir, un socket que ya está en uso, constituye una puerta trasera no segura al sistema. Si desea más información al respecto, consulte Consideraciones de seguridad para ipsecinit.conf e ipsecconf. La misma advertencia aparece al reiniciar el daemon in.iked.

    ---

    También puede reiniciar. Al reiniciar se asegura de que la directiva IPsec esté aplicada en todas las conexiones TCP. Al reiniciar, las conexiones TCP utilizan la directiva del archivo de directiva IPsec.

12. (Opcional) Active un sistema remoto para comunicarse con el servidor web para tráfico que no sea de red.

    Escriba la siguiente directiva en el archivo ipsecinit.conf de un sistema remoto:

    # Communicate with web server about nonweb stuff # {laddr webserver} ipsec {encr_algs aes encr_auth_algs sha1 sa shared}

    Un sistema remoto puede comunicarse de forma segura con el servidor web para tráfico que no sea de web sólo cuando las directivas IPsec del sistema coinciden.

Cómo visualizar las directivas de IPsec

Puede ver las directivas configuradas en el sistema ejecutando el comando ipsecconf sin argumentos.

Antes de empezar

Debe ejecutar el comando ipsecconf en la zona global. Para una zona de IP exclusiva, ejecute el comando ipsecconf en la zona no global.

1. Asuma un rol que incluya el perfil de administración IPsec de la red o conviértase en superusuario.

   Si está ejecutando una versión anterior a Solaris 10 4/09, el perfil de Network IPsec Management no está disponible. Utilice el perfil de la seguridad de la red.

   Para crear un rol que incluya un perfil de seguridad de red y asignarlo a un usuario, consulte Cómo configurar una función para la seguridad de la red.

2. Visualizar las directivas de IPsec.

   1. Visualice las entradas de la directiva IPsec global en el orden en que se agregaron las entradas.

      $ ipsecconf

      El comando muestra cada entrada con un índice, seguida de un número.

   2. Visualice las entradas de la directiva IPsec en el orden en que se produzca una coincidencia.

      $ ipsecconf -l

   3. Visualice las entradas de la directiva IPsec, incluidas las entradas por túnel, en el orden en que se produzca una coincidencia.

      $ ipsecconf -L

Cómo generar números aleatorios en un sistema Solaris

Si está especificando claves manualmente, el material de claves debe ser aleatorio. El formato del material de claves de un sistema Solaris es hexadecimal. Otros sistemas operativos pueden requerir material de claves ASCII. Para generar material de claves para un sistema Solaris que se comunica con otro sistema operativo que requiera ASCII, consulte el Ejemplo 23–1.

Si su sitio cuenta con un generador de números aleatorios, utilícelo. De lo contrario, puede utilizar el comando od con el dispositivo Solaris /dev/random como entrada. Para más información, consulte la página del comando man od(1).

En la versión Solaris 10 4/09, también puede utilizar el comando pktool. La sintaxis de este comando es más sencilla que la del comando od. Para obtener más detalles, consulte How to Generate a Symmetric Key by Using the pktool Command de System Administration Guide: Security Services.

1. Genere números aleatorios en formato hexadecimal.

   % od -x|-X -A n file | head -n

   -x

   Muestra el vaciado octal en formato hexadecimal. El formato hexadecimal resulta útil para el material de claves. Dicho formato se imprime en bloques de 4 caracteres.

   -X

   Muestra el vaciado octal en formato hexadecimal. Dicho formato se imprime en bloques de 8 caracteres.

   -A n

   Elimina la base de desfase de entrada de la pantalla.

   archivo

   Actúa como origen para los números aleatorios.

   head -n

   Limita el resultado de la pantalla a las primeras n líneas.

2. Combine el resultado para crear una clave con la longitud adecuada.

   Elimine los espacios entre los números de una línea para crear una clave de 32 caracteres. Una clave de 32 caracteres tiene 128 bits. En el caso de un índice de parámetros de seguridad (SPI), debe utilizar una clave de 8 caracteres. La clave debe utilizar el prefijo 0x.

Ejemplo 20–3 Generación de material de claves para IPsec

El ejemplo siguiente muestra dos líneas de claves en grupos de ocho caracteres hexadecimales cada uno.

% od -X -A n /dev/random | head -2
         d54d1536 4a3e0352 0faf93bd 24fd6cad
         8ecc2670 f3447465 20db0b0c c83f5a4b

Al combinar los cuatro números de la primera línea, puede crear una clave de 32 caracteres. Un número de 8 caracteres precedido de 0x proporciona un valor de SPI adecuado, por ejemplo, 0xf3447465.

El ejemplo siguiente muestra dos líneas de claves en grupos de cuatro caracteres hexadecimales cada uno.

% od -x -A n /dev/random | head -2
         34ce 56b2 8b1b 3677 9231 42e9 80b0 c673
         2f74 2817 8026 df68 12f4 905a db3d ef27

Al combinar los ocho números en la primera línea, puede crear una clave de 32 caracteres.

Cómo crear manualmente asociaciones de seguridad IPsec

El procedimiento siguiente proporciona el material de claves para el procedimiento, Cómo proteger el tráfico entre dos sistemas con IPsec. Está generando teclas para dos sistemas, partym y enigma. Se generan las claves en un sistema, y después se utilizan las teclas del primer sistema en ambos sistemas.

Antes de empezar

Debe estar en la zona global para administrar material de claves para una zona IP compartida.

1. Genere el material de claves para la SA.

   Necesita tres números aleatorios hexadecimales para el tráfico saliente y tres para el tráfico entrante.

   Por tanto, un sistema necesita generar los siguientes números:

   • Dos números aleatorios hexadecimales como valor para la palabra clave spi. Un número es para el tráfico saliente. Otro es para el tráfico entrante. Cada número puede tener hasta ocho caracteres de longitud.

   • Dos números aleatorios hexadecimales para el algoritmo SHA-1 para la autenticación. Para una clave de 160 bits, cada numero debe tener 40 caracteres de longitud. Un número es para dst enigma. Un número es para dst partym.

   • Dos números aleatorios hexadecimales para el algoritmo DES para el cifrado de ESP. Para una clave de 256 bits, cada numero debe tener 64 caracteres de longitud. Un número es para dst enigma. Un número es para dst partym.

   Si dispone de un generador de números aleatorios en su sitio, utilícelo. También puede utilizar el comando od. Consulte Cómo generar números aleatorios en un sistema Solaris para ver el procedimiento.

2. En la consola del sistema de uno de los sistemas, asuma el rol de administrador principal o conviértase en superusuario.

   La función de administrador principal incluye el perfil de administrador principal. Para crear el rol y asignarlo a un usuario, consulte el Capítulo 2, Working With the Solaris Management Console (Tasks) de System Administration Guide: Basic Administration.

   ---

   Nota –

   El inicio de sesión remoto expone el tráfico cuya seguridad es crítica a intrusos. Aunque proteja de algún modo el inicio de sesión remoto, la seguridad del sistema se reducirá a la seguridad de la sesión remota. Utilice el comando ssh para iniciar una sesión remota de forma segura.

   ---

3. Cree las SA.

   • A partir de la versión Solaris 10 4/09, siga del Paso 8 al Paso 10.

   • Si está ejecutando una versión anterior a Solaris 10 4/09, siga del Paso 4 al Paso 9.

4. Active el modo de comando ipseckey.

   # ipseckey >

   El símbolo del sistema > indica que se encuentra en modo de comando ipseckey.

5. Si está sustituyendo las SA existentes, vacíelas.

   > flush >

   Para evitar que un intruso interrumpa las SA, debe sustituir el material de claves.

   ---

   Nota –

   Es necesario coordinar la sustitución de claves en los sistemas que se comunican. Al sustituir las SA en un sistema, también deben sustituirse las del sistema remoto.

   ---

6. Para crear SA, escriba el comando siguiente.

   > add protocol spi random-hex-string \ src addr dst addr2 \ protocol-prefix_alg protocol-algorithm \ protocol-prefixkey random-hex-string-of-algorithm-specified-length

   Esta sintaxis también se utiliza para sustituir las SA que acaba de vaciar.

   protocolo

   Especifica esp o ah.

   cadena_hex_aleatoria

   Especifica un número aleatorio de hasta ocho caracteres en formato hexadecimal. Preceda los caracteres con 0x. Si especifica más números de los que acepta el índice de parámetros de seguridad (SPI), el sistema omitirá los números adicionales. Si especifica menos números de los que acepta el SPI, el sistema rellena la entrada.

   dir

   Especifica la dirección IP de un sistema.

   dir2

   Especifica la dirección IP del sistema equivalente a dir.

   prefijo_protocolo

   Especifica un prefijo encr o auth. El prefijo encr se utiliza con el protocolo esp. El prefijo auth se utiliza con el protocolo ah, y para autenticar el protocolo esp.

   algoritmo_protocolo

   Especifica un algoritmo para ESP o AH. Cada algoritmo requiere una clave de una longitud específica.

   Los algoritmos de autenticación incluyen MD5 y SHA-1. A partir de la versión Solaris 10 4/09, SHA256 y SHA512 son compatibles. Los algoritmos de cifrado incluyen DES, 3DES, AES y Blowfish.

   cadena_hex_aleatoria_de_longitud_algoritmo_especificada

   Especifica un número hexadecimal aleatorio de la longitud que requiere el algoritmo. Por ejemplo, el algoritmo MD5 requiere una cadena de 32 caracteres para su clave de 128 bits. El algoritmo 3DES requiere una cadena de 48 caracteres para su clave de 192 bits.

   1. Por ejemplo, en el sistema enigma, proteja los paquetes salientes.

      Utilice los números aleatorios que haya generado en el paso Paso 1.

      Para Solaris 10 1/06:

      > add esp spi 0x8bcd1407 \ src 192.168.116.16 dst 192.168.13.213 \ encr_alg aes \ auth_alg sha1 \ encrkey c0c65b888c2ee301c84245c3da63127e92b2676105d5330e85327c1442f37d49 \ authkey 6fab07fec4f2895445500ed992ab48835b9286ff >

      ---

      Nota –

      El sistema equivalente debe utilizar el mismo material de claves y el mismo SPI.

      ---

   2. Continúe en modo de comando ipseckey en el sistema enigma y proteja los paquetes entrantes.

      Escriba los siguientes comandos para proteger los paquetes:

      > add esp spi 0x122a43e4 \ src 192.168.13.213 dst 192.168.116.16 \ encr_alg aes \ auth_alg sha1 \ encrkey a2ea934cd62ca7fa14907cb2ad189b68e4d18c976c14f22b30829e4b1ea4d2ae \ authkey c80984bc4733cc0b7c228b9b74b988d2b7467745 >

      ---

      Nota –

      Las claves y el SPI pueden ser diferentes para cada SA. Debe asignar claves y SPI distintos para cada SA.

      ---

7. Para salir del modo de comando ipseckey, pulse Control-D o escriba quit.

8. Agregue, el material de claves al archivo /etc/inet/secret/.

   En las versiones anteriores a Solaris 10 4/09 este paso garantiza que el material de claves está disponible para IPsec al reiniciar.

   Las líneas del archivo /etc/inet/secret/ipseckeys son idénticas al lenguaje de la línea de comandos ipseckey.

   1. Por ejemplo, el archivo /etc/inet/secret/ipseckeys del sistema enigma tendría un aspecto similar al siguiente:

      # ipseckeys - This file takes the file format documented in # ipseckey(1m). # Note that naming services might not be available when this file # loads, just like ipsecinit.conf. # # for outbound packets on enigma add esp spi 0x8bcd1407 \ src 192.168.116.16 dst 192.168.13.213 \ encr_alg aes \ auth_alg sha1 \ encrkey c0c65b888c2ee301c84245c3da63127e92b2676105d5330e85327c1442f37d49 \ authkey 6fab07fec4f2895445500ed992ab48835b9286ff # # for inbound packets add esp spi 0x122a43e4 \ src 192.168.13.213 dst 192.168.116.16 \ encr_alg aes \ auth_alg sha1 \ encrkey a2ea934cd62ca7fa14907cb2ad189b68e4d18c976c14f22b30829e4b1ea4d2ae \ authkey c80984bc4733cc0b7c228b9b74b988d2b7467745

   2. Proteja el archivo con permisos de sólo lectura.

      # chmod 400 /etc/inet/secret/ipseckeys

9. Repita el procedimiento en el sistema partym.

   Utilice el mismo material de claves que utilizó en enigma.

   El material de claves de los dos sistemas debe ser idéntico. Tal como se muestra en el ejemplo siguiente, sólo los comentarios de ipseckeys son distintos. Los comentarios difieren porque dst enigma entra en el sistema enigma y sale del sistema partym.

   # partym ipseckeys file # # for inbound packets add esp spi 0x8bcd1407 \ src 192.168.116.16 dst 192.168.13.213 \ encr_alg aes \ auth_alg sha1 \ encrkey c0c65b888c2ee301c84245c3da63127e92b2676105d5330e85327c1442f37d49 \ authkey 6fab07fec4f2895445500ed992ab48835b9286ff # # for outbound packets add esp spi 0x122a43e4 \ src 192.168.13.213 dst 192.168.116.16 \ encr_alg aes \ auth_alg sha1 \ encrkey a2ea934cd62ca7fa14907cb2ad189b68e4d18c976c14f22b30829e4b1ea4d2ae \ authkey c80984bc4733cc0b7c228b9b74b988d2b7467745

10. Habilite el servicio manual-key.

    # svcadm enable svc:/network/ipsec/manual-key

    Para sustituir las claves de la versión actual, consulte el Ejemplo 20–4.

Ejemplo 20–4 Sustitución de SA de IPsec

En este ejemplo, el administrador está configurando un sistema que ejecuta la versión Solaris 10 actual. El administrador genera nuevas claves, cambia la información sobre claves en el archivo ipseckeys y reinicia el servicio.

• En primer lugar, el administrador completa Cómo generar números aleatorios en un sistema Solaris para generar las claves.

• A continuación, el administrador utiliza las claves generadas en el archivo /etc/inet/secreto/.

  El administrador ha utilizado los mismos algoritmos. Por tanto, el administrador cambia los valores de SPI, encrkey y authkey sólo:

  add esp spi 0x8xzy1492 \ src 192.168.116.16 dst 192.168.13.213 \ encr_alg aes \ auth_alg sha1 \ encrkey 0a1f3886b06ebd7d39f6f89e4c29c93f2741c6fa598a38af969907a29ab1b42a \ authkey a7230aabf513f35785da73e33b064608be41f69a # # add esp spi 0x177xce34\ src 192.168.13.213 dst 192.168.116.16 \ encr_alg aes \ auth_alg sha1 \ encrkey 4ef5be40bf93498017b2151d788bb37e372f091add9b11149fba42435fefe328 \ authkey 0e1875d9ff8e42ab652766a5cad49f38c9152821

• Por último, el administrador reinicia el servicio manual-key. El comando de reinicio borra las claves anteriores antes de agregar las nuevas.

  # svcadm restart manual-key

Cómo verificar que los paquetes estén protegidos con IPsec

Para verificar que los paquetes estén protegidos, pruebe la conexión con el comando snoop. Los prefijos siguientes pueden aparecer en el resultado de snoop:

• AH: Prefijo que indica que AH esta protegiendo los encabezados. El prefijo AH: aparece si se utiliza auth_alg para proteger el tráfico.

• ESP: Prefijo que indica que se están enviando los datos cifrados. ESP: aparece si se utiliza encr_auth_alg o encr_alg para proteger el tráfico.

Antes de empezar

Debe ser superusuario o asumir un rol equivalente para crear el resultado snoop. Para poder probar la conexión, es preciso tener acceso a ambos sistemas.

1. Conviértase en superusuario en un sistema, por ejemplo partym.

   % su - Password: Type root password #

2. En el sistema partym, prepárese para buscar paquetes desde un sistema remoto.

   En una ventana de terminal en partym, busque los paquetes desde el sistema enigma.

   # snoop -v enigma Using device /dev/hme (promiscuous mode)

3. Envíe un paquete desde el sistema remoto.

   En otra ventana de terminal, inicie sesión remotamente en el sistema enigma. Facilite su contraseña. A continuación, conviértase en superusuario y envíe un paquete del sistema enigma al sistema partym. El paquete debe capturarse mediante el comando snoop -v enigma.

   % ssh enigma Password: Type your password % su - Password: Type root password # ping partym

4. Examine el resultado de snoop.

   En el sistema partym, debería ver el resultado que incluye la información de AH y ESP tras la información de encabezado IP inicial. Aparecerá información de AH y ESP que muestra que se están protegiendo los paquetes:

   IP: Time to live = 64 seconds/hops IP: Protocol = 51 (AH) IP: Header checksum = 4e0e IP: Source address = 192.168.116.16, enigma IP: Destination address = 192.168.13.213, partym IP: No options IP: AH: ----- Authentication Header ----- AH: AH: Next header = 50 (ESP) AH: AH length = 4 (24 bytes) AH: <Reserved field = 0x0> AH: SPI = 0xb3a8d714 AH: Replay = 52 AH: ICV = c653901433ef5a7d77c76eaa AH: ESP: ----- Encapsulating Security Payload ----- ESP: ESP: SPI = 0xd4f40a61 ESP: Replay = 52 ESP: ....ENCRYPTED DATA.... ETHER: ----- Ether Header ----- ...

Cómo configurar una función para la seguridad de la red

Si está utilizando RBAC (Role-Based Access Control) para administrar los sistemas, siga este procedimiento para proporcionar una función de administración de red o de seguridad de red.

1. Busque los perfiles de derechos de red en la base de datos prof_attr local.

   En la versión actual, aparece una salida similar a la siguiente:

   % cd /etc/security % grep Network prof_attr Network IPsec Management:::Manage IPsec and IKE... Network Link Security:::Manage network link security... Network Management:::Manage the host and network configuration... Network Security:::Manage network and host security... Network Wifi Management:::Manage wifi network configuration... Network Wifi Security:::Manage wifi network security...

   Si está ejecutando una versión anterior a Solaris 10 4/09, la salida presenta un aspecto parecido al siguiente:

   % cd /etc/security % grep Network prof_attr Network Management:::Manage the host and network configuration   Network Security:::Manage network and host security   System Administrator::: Network Management

   El perfil de administración de red es un perfil complementario del perfil de administrador de sistemas. Si ha incluido el perfil de derechos de administrador de sistemas en un rol, dicho rol podrá ejecutar los comandos del perfil de administración de red.

2. Determine qué comandos hay disponibles en el perfil de derechos de administración de red.

   % grep "Network Management" /etc/security/exec_attr Network Management:solaris:cmd:::/usr/sbin/ifconfig:privs=sys_net_config … Network Management:suser:cmd:::/usr/sbin/snoop:uid=0

   Los comandos de directiva solaris se ejecutan con privilegio ( privs=sys_net_config). Los comandos de directiva suser se ejecutan como superusuario (uid=0).

3. Decida el ámbito de las funciones de seguridad de la red en su sitio.

   Utilice las definiciones de los perfiles de derechos en el Paso 1 para guiar la decisión.

   • Para crear una función que administre toda la seguridad de la red, utilice el perfil de derechos de la seguridad de la red.

   • En la versión actual, para crear una función que administre sólo IPsec e IKE, utilice el perfil de derechos de gestión de red IPsec.

4. Cree un rol de seguridad de red que incluya el perfil de derechos de gestión de la red.

   Una función con el perfil de derechos de gestión de red IPsec o de seguridad de la red, además del perfil de gestión de la red, puede ejecutar los comandos ifconfig, snoop, ipsecconf e ipseckey, entre otros, con privilegios adecuados.

   Para crear el rol, asignarlo a un usuario y registrar los cambios con el servicio de nombres, consulte Configuring RBAC (Task Map) de System Administration Guide: Security Services.

Ejemplo 20–5 División de responsabilidades de seguridad de la red entre las funciones

En este ejemplo, el administrador divide las responsabilidades de seguridad de la red entre dos funciones. Una función administra wifi y seguridad de los vínculos; otra administra IPsec e IKE. Cada función está asignada a tres personas, una por turno.

El administrador crea las funciones como se indica a continuación:

• El administrador asigna el nombre de LinkWifi a la primera función.

  • El administrador asigna los perfiles de derechos wifi de red, seguridad de vínculos de red y gestión de red a la función.

  • A continuación, el administrador asigna la función LinkWifi a los usuarios pertinentes.

• El administrador asigna el nombre de IPsec Administrator a la segunda función.

  • El administrador asigna los perfiles de derechos de gestión de red IPsec y de gestión de red a la función.

  • A continuación, el administrador asigna la función de administrador de IPsec a los usuarios pertinentes.

Cómo administrar servicios de IPsec e IKE

Los siguientes pasos ofrecen los usos más probables de los servicios SMF para IPsec, IKE y la gestión manual de claves. Por defecto, los servicios policy e ipsecalgs están habilitados. También por defecto, los servicios ike y manual-key están inhabilitados.

1. Para administrar la directiva IPsec, lleve a cabo una de las siguientes acciones:

   • Después de agregar nuevas directivas al archivo ipsecinit.conf, actualice el servicio policy.

     # svcadm refresh svc:/network/ipsec/policy

   • Tras cambiar el valor de una propiedad de servicio, consulte el valor de la propiedad y, a continuación, actualice y reinicie el servicio policy.

     # svccfg -s policy setprop config/config_file=/etc/inet/MyIpsecinit.conf # svcprop -p config/config_file policy /etc/inet/MyIpsecinit.conf # svcadm refresh svc:/network/ipsec/policy # svcadm restart svc:/network/ipsec/policy

2. Para administrar claves automáticamente, realice una de las siguientes acciones:

   • Después de agregar entradas al archivo /etc/inet/ike/config, habilite el servicio ike.

     # svcadm enable svc:/network/ipsec/ike

   • Después de cambiar las entradas en el archivo /etc/inet/ike/config, actualice el servicio ike.

     # svcadm refresh svc:/network/ipsec/ike

   • Tras cambiar el valor de una propiedad de servicio, consulte el valor de la propiedad y, a continuación, actualice el servicio y reinícielo.

     # svccfg -s ike setprop config/admin_privilege=modkeys # svcprop -p config/admin_privilege ike modkeys # svcadm refresh svc:/network/ipsec/ike # svcadm restart svc:/network/ipsec/ike

   • Para detener el servicio ike, inhabilítelo.

     # svcadm disable svc:/network/ipsec/ike

3. Para administrar claves manualmente, lleve a cabo una de las siguientes acciones:

   • Después de agregar entradas al archivo /etc/inet/secret/ipseckeys, habilite el servicio manual-key.

     # svcadm enable svc:/network/ipsec/manual-key

   • Después de cambiar el archivo ipseckeys, actualice el servicio.

     # svcadm refresh manual-key

   • Tras cambiar el valor de una propiedad de servicio, consulte el valor de la propiedad; a continuación, actualice y reinicie el servicio.

     # svccfg -s manual-key setprop config/config_file=/etc/inet/secret/MyIpseckeyfile # svcprop -p config/config_file manual-key /etc/inet/secret/MyIpseckeyfile # svcadm refresh svc:/network/ipsec/manual-key # svcadm restart svc:/network/ipsec/manual-key

   • Para impedir la gestión manual de claves, inhabilite el servicio manual-key.

     # svcadm disable svc:/network/ipsec/manual-key

4. Si modifica la tabla de algoritmos y los protocolos IPsec, actualice el servicio ipsecalgs.

   # svcadm refresh svc:/network/ipsec/ipsecalgs

Errores más frecuentes

Utilice el comando svcs servicio para buscar el estado de un servicio. Si el servicio está en el modo maintenance, siga las sugerencias de depuración en la salida del comando svcs -x servicio.

Protección de una VPN con IPsec

Los túneles de IPsec pueden proteger una VPN. En la versión Solaris 10 7/07, un túnel puede estar en modo de túnel o de transporte. El modo de túnel es interoperable con la implementación de IPsec por parte de otros proveedores. El modo de transporte es interoperable con las versiones anteriores de SO Solaris. Para ver una descripción de los modos de túnel, consulte Modos de transporte y túnel en IPsec.

Los túneles en modo túnel ofrecen un control más preciso del tráfico. En modo túnel, para ver una dirección IP interna, puede especificar la protección concreta que desee, hasta alcanzar un único puerto.

• Para ver ejemplos de las directivas de IPsec para los túneles en modo túnel, consulte Ejemplos de protección de una VPN con IPsec mediante el uso de túneles en modo túnel.

• Para ver los procedimientos que protegen las VPN, consulte Protección de una VPN con IPsec (mapa de tareas) .

Ejemplos de protección de una VPN con IPsec mediante el uso de túneles en modo túnel

Figura 20–1 Diagrama de túnel de IPsec

Los ejemplos siguientes presuponen que el túnel se ha configurado para todas las subredes de la LAN:

## Tunnel configuration ##
# Tunnel name is ip.tun0
# Intranet point for the source is 10.1.2.1
# Intranet point for the destination is 10.2.3.1
# Tunnel source is 192.168.1.10
# Tunnel destination is 192.168.2.10

Ejemplo 20–6 Creación de un túnel que puedan utilizar todas las subredes

En este ejemplo, se puede crear un túnel de todo el tráfico de las redes LAN locales de la red LAN central de la Figura 20–1 del enrutador 1 al 2 y, a continuación, transferirlo a todas las redes LAN locales de la red LAN internacional. El tráfico se cifra con AES.

## IPsec policy ##
{tunnel ip.tun0 negotiate tunnel} 
 ipsec {encr_algs aes encr_auth_algs sha1 sa shared}

Ejemplo 20–7 Creación de un túnel que sólo conecta dos subredes

En este ejemplo, sólo se crea un túnel y se cifra el tráfico entre la subred 10.1.2.0/24 de la LAN central y la subred 10.2.3.0/24 de la LAN internacional. En caso de no haber otras directivas IPsec para Central, si la LAN central intenta enrutar el tráfico para otras LAN por este túnel, el tráfico se transferirá al enrutador 1.

## IPsec policy ##
{tunnel ip.tun0 negotiate tunnel laddr 10.1.2.0/24 raddr 10.2.3.0/24} 
 ipsec {encr_algs aes encr_auth_algs md5 sha1 shared}

Ejemplo 20–8 Creación de un túnel sólo para el tráfico de correo electrónico entre dos subredes

En este ejemplo, se crea un túnel sólo para el tráfico de correo electrónico. El tráfico se transfiere de la subred 10.1.2.0/24 de la LAN central al servidor de correo electrónico de la subred 10.2.3.0/24 de la LAN internacional. El correo electrónico se cifra con Blowfish. Las directivas se aplican a los puertos de correo electrónico remoto y local. La directiva rport protege el correo electrónico que Central envía al puerto de correo electrónico remoto de Internacional. La directiva lport protege el correo electrónico que Central recibe de Internacional en el puerto local 25.

## IPsec policy for email from Central to Overseas ##
{tunnel ip.tun0 negotiate tunnel ulp tcp rport 25 
 laddr 10.1.2.0/24 raddr 10.2.3.0/24} 
 ipsec {encr_algs blowfish encr_auth_algs sha1 sa shared}

## IPsec policy for email from Overseas to Central ##
{tunnel ip.tun0 negotiate tunnel ulp tcp lport 25 
 laddr 10.1.2.0/24 raddr 10.2.3.0/24} 
 ipsec {encr_algs blowfish encr_auth_algs sha1 sa shared}

Ejemplo 20–9 Creación de un túnel para el tráfico FTP para todas las subredes

En este ejemplo, la directiva IPsec protege los puertos FTP de la Figura 20–1 con DES para todas las subredes de la red LAN central a todas las subredes de la red LAN internacional. Esta configuración funciona para el modo activo de FTP.

## IPsec policy for outbound FTP from Central to Overseas ##
{tunnel ip.tun0 negotiate tunnel ulp tcp rport 21} 
  ipsec {encr_algs aes encr_auth_algs sha1 sa shared}
{tunnel ip.tun0 negotiate tunnel ulp tcp lport 20} 
  ipsec {encr_algs aes encr_auth_algs sha1 sa shared}

## IPsec policy for inbound FTP from Central to Overseas ##
{tunnel ip.tun0 negotiate tunnel ulp tcp lport 21} 
  ipsec {encr_algs aes encr_auth_algs sha1 sa shared}
{tunnel ip.tun0 negotiate tunnel ulp tcp rport 20} 
  ipsec {encr_algs aes encr_auth_algs sha1 sa shared}

Protección de una VPN con IPsec (mapa de tareas)

El mapa de tareas siguiente indica procedimientos que configuran IPsec para la protección del tráfico por Internet. Estos procedimientos configuran una red privada virtual (VPN) entre dos sistemas separados por Internet. Un uso común de esta tecnología es proteger el tráfico entre los trabajadores remotos y su oficina corporativa.

Descripción de la topología de red para la protección de una VPN por parte de las tareas de IPsec

Los procedimientos que se describen a continuación presuponen la siguiente configuración. Para ver una representación de la red, consulte la Figura 20–2.

• Cada sistema utiliza un espacio de dirección IPv4.

  Para ver un ejemplo similar con direcciones IPv6, consulte Cómo proteger una VPN con un túnel IPsec en modo túnel mediante IPv6.

• Cada sistema cuenta con dos interfaces. La interfaz hme0 se conecta a Internet. En este ejemplo, las direcciones IP de Internet empiezan por 192.168. La interfaz hme1 se conecta a la LAN de la compañía, es decir, a su intranet. En este ejemplo, las direcciones IP de la intranet empiezan por el número 10.

• Cada sistema requiere autenticación ESP con el algoritmo SHA-1. El algoritmo SHA–1 requiere una clave de 160 bits.

• Cada sistema requiere cifrado ESP con el algoritmo AES. El algoritmo AES utiliza una clave de 128 o 256 bits.

• Cada sistema puede conectarse a un enrutador que tenga acceso directo a Internet.

• Cada sistema utiliza asociaciones de seguridad compartidas.

Figura 20–2 VPN de ejemplo entre oficinas separadas por Internet

Como muestra la ilustración anterior, los procedimientos para la red IPv4 utilizan los siguientes parámetros de configuración.

enigma

partym

hme1

hme1

10.16.16.6

10.1.3.3

hme0

hme0

192.168.116.16

192.168.13.213

router-E

router-C

192.168.116.4

192.168.13.5

ip.tun0

ip.tun0

Las siguientes direcciones IPv6 se utilizan en los procedimientos. Los nombres de túnel son los mismos.

6000:6666::aaaa:1116

6000:3333::eeee:1113

2001::aaaa:6666:6666

2001::eeee:3333:3333

2001::aaaa:0:4

2001::eeee:0:1

Cómo proteger una VPN con un túnel IPsec en modo túnel mediante IPv4

En modo túnel, el paquete IP interior determina la directiva IPsec que protege su contenido.

Este procedimiento amplía el procedimiento de Cómo proteger el tráfico entre dos sistemas con IPsec. El procedimiento de configuración se describe en Descripción de la topología de red para la protección de una VPN por parte de las tareas de IPsec.

Lleve a cabo los pasos de este procedimiento en ambos sistemas.

Además de conectar dos sistemas, está conectando dos intranets que se conectan a estos dos sistemas. Los sistemas de este procedimiento actúan como portales.

Antes de empezar

Debe estar en la zona global para configurar la directiva IPsec para el sistema o para una zona de IP compartida. Para una zona de IP exclusiva, configure la directiva IPsec en la zona no global.

1. En la consola del sistema, asuma el rol de administrador principal o conviértase en superusuario.

   La función de administrador principal incluye el perfil de administrador principal. Para crear el rol y asignarlo a un usuario, consulte el Capítulo 2, Working With the Solaris Management Console (Tasks) de System Administration Guide: Basic Administration.

   ---

   Nota –

   El inicio de sesión remoto expone el tráfico cuya seguridad es crítica a intrusos. Aunque proteja de algún modo el inicio de sesión remoto, la seguridad del sistema se reducirá a la seguridad de la sesión remota. Utilice el comando ssh para un inicio de sesión remota seguro.

   ---

2. Controle el flujo de paquetes antes de configurar IPsec.

   1. Asegúrese de que el reenvío de IP y el enrutamiento dinámico de IP estén desactivados.

      # routeadm Configuration Current Current Option Configuration System State -------------------------------------------------- IPv4 forwarding disabled disabled IPv4 routing default (enabled) enabled …

      Si el reenvío de IP y el enrutamiento dinámico de IP están habilitados, puede inhabilitarlos escribiendo:

      # routeadm -d ipv4-routing -d ipv4-forwarding # routeadm -u

      La desactivación del reenvío de IP impide que los paquetes se envíen de una red a otra a través de este sistema. Para ver una descripción del comando routeadm, consulte la página del comando man routeadm(1M).

   2. Active los hosts múltiples de destino estricto de IP.

      # ndd -set /dev/ip ip_strict_dst_multihoming 1

      La activación de los hosts múltiples de destino estricto de IP garantiza que los paquetes de una de las direcciones de destino del sistema llegan a la dirección de destino correcta.

      Cuando está activa la función de hosts múltiples de destino estricto, los paquetes que alcanzan una determinada interfaz deben dirigirse a una de las direcciones IP locales de dicha interfaz. Todos los demás paquetes, incluidos los que se dirigen a otras direcciones locales del sistema, se eliminan.

      ---

      Precaución –

      El valor de host múltiple vuelve al predeterminado cuando se inicia el sistema. Para hacer que el valor cambiado sea persistente, consulte Cómo evitar la falsificación de la IP .

      ---

   3. Desactive la mayoría de los servicios de red, y posiblemente todos.

      ---

      Nota –

      Si su sistema se instaló con el perfil SMF "limitado", puede omitir este paso. Los servicios de red se desactivan, a excepción de Solaris Secure Shell.

      ---

      La desactivación de los servicios de red evita que los paquetes IP dañen el sistema. Por ejemplo, podrían aprovecharse un daemon SNMP, una conexión telnet o una conexión rlogin.

      Elija una de las siguientes opciones:

      • Si ejecuta Solaris 10 11/06 o una versión posterior, ejecute el perfil SMF "limitado".

        # netservices limited

      • De lo contrario, desactive los servicios de red de forma individual.

        # svcadm disable network/ftp:default # svcadm disable network/finger:default # svcadm disable network/login:rlogin # svcadm disable network/nfs/server:default # svcadm disable network/rpc/rstat:default # svcadm disable network/smtp:sendmail # svcadm disable network/telnet:default

   4. Compruebe que la mayoría de los servicios de red estén inhabilitados.

      Compruebe que los montajes de realimentación y el servicio ssh se estén ejecutando.

      # svcs | grep network online Aug_02 svc:/network/loopback:default … online Aug_09 svc:/network/ssh:default

3. Agregue un par de SA entre los dos sistemas.

   Elija una de las siguientes opciones:

   • Configure IKE para administrar las claves para las SA. Utilice uno de los procedimientos de Configuración de IKE (mapa de tareas) para configurar IKE para la VPN.

   • Si tiene motivos para administrar las claves manualmente, consulte Cómo crear manualmente asociaciones de seguridad IPsec.

4. Agregue la directiva IPsec.

   Edite el archivo /etc/inet/ipsecinit.conf para agregar la directiva IPsec para la VPN. Para reforzar la directiva, consulte el Ejemplo 20–12. Para ver ejemplos adicionales, consulte Ejemplos de protección de una VPN con IPsec mediante el uso de túneles en modo túnel.

   En esta directiva, la protección IPsec no se necesita entre sistemas de la LAN local y la dirección IP del servidor de seguridad, de modo que se agrega una instrucción bypass.

   1. En el sistema enigma, escriba la entrada siguiente en el archivo ipsecinit.conf:

      # LAN traffic to and from this host can bypass IPsec. {laddr 10.16.16.6 dir both} bypass {} # WAN traffic uses ESP with AES and SHA-1. {tunnel ip.tun0 negotiate tunnel} ipsec {encr_algs aes encr_auth_algs sha1 sa shared}

   2. En el sistema partym, escriba la entrada siguiente en el archivo ipsecinit.conf:

      # LAN traffic to and from this host can bypass IPsec. {laddr 10.1.3.3 dir both} bypass {} # WAN traffic uses ESP with AES and SHA-1. {tunnel ip.tun0 negotiate tunnel} ipsec {encr_algs aes encr_auth_algs sha1 sa shared}

5. (Opcional) Compruebe la sintaxis del archivo de directiva IPsec.

   # ipsecconf -c -f /etc/inet/ipsecinit.conf

6. Para configurar el túnel y protegerlo con IPsec, siga los pasos descritos en función de la versión de Solaris:

   • A partir de la versión Solaris 10 4/09, siga los pasos del Paso 7 al Paso 13 y, a continuación, ejecute el protocolo de enrutamiento en Paso 22.

   • Si está ejecutando una versión anterior a Solaris 10 4/09, siga las indicaciones del Paso 14 al Paso 22.

7. Configure el túnel, ip.tun0, en el archivo /etc/hostname.ip.tun0.

   La sintaxis del archivo es la siguiente:

   system1-point system2-point tsrc system1-taddr tdst system2-taddr router up

   1. En el sistema enigma, agregue la entrada siguiente al archivo hostname.ip.tun0:

      10.16.16.6 10.1.3.3 tsrc 192.168.116.16 tdst 192.168.13.213 router up

   2. En el sistema partym, agregue la entrada siguiente al archivo hostname.ip.tun0:

      10.1.3.3 10.16.16.6 tsrc 192.168.13.213 tdst 192.168.116.16 router up

8. Proteja el túnel con la directiva IPsec que ha creado.

   # svcadm refresh svc:/network/ipsec/policy:default

9. Para leer el contenido del archivo de configuración de túnel en el núcleo, reinicie los servicios de red.

   # svcadm restart svc:/network/initial:default

10. Active el reenvío de IP para la interfaz hme1.

    1. En el sistema enigma, agregue la entrada del enrutador al archivo /etc/hostname.hme1.

       192.168.116.16 router

    2. En el sistema partym, agregue la entrada del enrutador al archivo /etc/hostname.hme1.

       192.168.13.213 router

    El reenvío de IP significa que los paquetes que llegan desde cualquier parte se pueden reenviar. El reenvío de IP también significa que los paquetes que abandonan esta interfaz podrían haberse originado en cualquier otra parte. Para reenviar un paquete correctamente, tanto la interfaz receptora como la de transmisión deben tener activa la opción de reenvío de IP.

    Dado que la interfaz hme1 está dentro de la intranet, el reenvío de IP debe estar activo para hme1. Dado que ip.tun0 conecta los dos sistemas a través de Internet, el reenvío de IP debe estar activo para ip.tun0.

    La interfaz hme0 tiene su propio reenvío de IP desactivado para evitar que un adversario externo inserte paquetes en la intranet protegida. El término externo hace referencia a Internet.

11. Asegúrese de que los protocolos de enrutamiento no publiquen la ruta predeterminada en la intranet.

    1. En el sistema enigma, agregue el indicador private al archivo /etc/hostname.hme0.

       10.16.16.6 private

    2. En el sistema partym, agregue el indicador private al archivo /etc/hostname.hme0.

       10.1.3.3 private

    Aunque hme0 tenga el reenvío de IP desactivado, la implementación de un protocolo de enrutamiento podría seguir publicando la interfaz. Por ejemplo, el protocolo in.routed podría seguir anunciando que hme0 está disponible para reenviar paquetes a sus equivalentes dentro de la intranet. Al configurar el indicador private de la interfaz, se evita la publicación de estos datos.

12. Agregue manualmente una ruta predeterminada a través de la interfaz hme0.

    La ruta predeterminada debe ser un enrutador con acceso directo a Internet.

    1. En el sistema enigma, agregue la ruta siguiente:

       # route add default 192.168.116.4

    2. En el sistema partym, agregue la ruta siguiente:

       # route add default 192.168.13.5

       Aunque la interfaz hme0 no forme parte de la intranet, hme0 necesita alcanzar su sistema equivalente a través de Internet. Para encontrar su equivalente, hme0 necesita información sobre el enrutamiento de Internet. El sistema VPN aparece como host, en lugar de aparecer como enrutador, para el resto de Internet. Por tanto, puede utilizar un enrutador predeterminado o ejecutar el protocolo de descubrimiento de enrutador para encontrar un sistema equivalente. Para más información, consulte las páginas del comando man route(1M) e in.routed(1M).

13. Para completar el procedimiento, vaya al Paso 22 para ejecutar un protocolo de enrutamiento.

14. Configure el túnel, ip.tun0.

    ---

    Nota –

    Los siguientes pasos configuran un túnel en un sistema que ejecuta una versión anterior a Solaris 10 4/09.

    ---

    Utilice los comandos ifconfig para crear la interfaz de punto a punto:

    # ifconfig ip.tun0 plumb # ifconfig ip.tun0 system1-point system2-point \ tsrc system1-taddr tdst system2-taddr

    1. En el sistema enigma, escriba los comandos siguientes:

       # ifconfig ip.tun0 plumb # ifconfig ip.tun0 10.16.16.6 10.1.3.3 \ tsrc 192.168.116.16 tdst 192.168.13.213

    2. En el sistema partym, escriba los comandos siguientes:

       # ifconfig ip.tun0 plumb # ifconfig ip.tun0 10.1.3.3 10.16.16.6 \ tsrc 192.168.13.213 tdst 192.168.116.16

15. Proteja el túnel con la directiva IPsec que ha creado.

    # ipsecconf

16. Muestre el enrutador para el túnel.

    # ifconfig ip.tun0 router up

17. Active el reenvío de IP para la interfaz hme1.

    # ifconfig hme1 router

    El reenvío de IP significa que los paquetes que llegan desde cualquier parte se pueden reenviar. El reenvío de IP también significa que los paquetes que abandonan esta interfaz podrían haberse originado en cualquier otra parte. Para reenviar un paquete correctamente, tanto la interfaz receptora como la de transmisión deben tener activa la opción de reenvío de IP.

    Puesto que la interfaz hme1 está dentro de la intranet, el reenvío de IP debe estar activo para hme1. Dado que ip.tun0 conecta los dos sistemas a través de Internet, el reenvío de IP debe estar activo para ip.tun0.

    La interfaz hme0 tiene su propio reenvío de IP desactivado para evitar que un adversario externo inserte paquetes en la intranet protegida. El término externo hace referencia a Internet.

18. Asegúrese de que los protocolos de enrutamiento no publiquen la ruta predeterminada en la intranet.

    # ifconfig hme0 private

    Aunque hme0 tenga el reenvío de IP desactivado, la implementación de un protocolo de enrutamiento podría seguir publicando la interfaz. Por ejemplo, el protocolo in.routed podría seguir publicando que hme0 está disponible para reenviar paquetes a sus equivalentes dentro de la intranet. Al configurar el indicador private de la interfaz, se evita la publicación de estos datos.

19. Agregue manualmente una ruta predeterminada a través de hme0.

    La ruta predeterminada debe ser un enrutador con acceso directo a Internet.

    1. En el sistema enigma, agregue la ruta siguiente:

       # route add default 192.168.116.4

    2. En el sistema partym, agregue la ruta siguiente:

       # route add default 192.168.13.5

       Aunque la interfaz hme0 no forme parte de la intranet, hme0 necesita alcanzar su sistema equivalente a través de Internet. Para encontrar su equivalente, hme0 necesita información sobre el enrutamiento de Internet. El sistema VPN aparece como host, en lugar de aparecer como enrutador, para el resto de Internet. Por tanto, puede utilizar un enrutador predeterminado o ejecutar el protocolo de descubrimiento de enrutador para encontrar un sistema equivalente. Para más información, consulte las páginas del comando man route(1M) e in.routed(1M).

20. Asegúrese de que la VPN se inicie tras un reinicio mediante la adición de una entrada al archivo /etc/hostname.ip.tun0 .

    system1-point system2-point tsrc system1-taddr tdst system2-taddr router up

    1. En el sistema enigma, agregue la entrada siguiente al archivo hostname.ip.tun0:

       10.16.16.6 10.1.3.3 tsrc 192.168.116.16 tdst 192.168.13.213 router up

    2. En el sistema partym, agregue la entrada siguiente al archivo hostname.ip.tun0:

       10.1.3.3 10.16.16.6 tsrc 192.168.13.213 tdst 192.168.116.16 router up

21. Configure los archivos de interfaz para transferir los parámetros correctos al daemon de enrutamiento.

    1. En el sistema enigma, modifique los archivos /etc/hostname. interfaz.

       # cat /etc/hostname.hme0 ## enigma 10.16.16.6 private

       # cat /etc/hostname.hme1 ## enigma 192.168.116.16 router

    2. En el sistema partym, modifique los archivos /etc/hostname. interfaz.

       # cat /etc/hostname.hme0 ## partym 10.1.3.3 private

       # cat /etc/hostname.hme1 ## partym 192.168.13.213 router

22. Ejecute un protocolo de enrutamiento.

    # routeadm -e ipv4-routing # routeadm -u

    Podría ser que antes de ejecutar el protocolo de enrutamiento fuese necesario configurarlo. Para obtener más información, consulte Protocolos de enrutamiento en Oracle Solaris. Para conocer el procedimiento, consulte Configuración de un enrutador IPv4.

Ejemplo 20–10 Creación de túneles temporales durante la prueba

En este ejemplo, el administrador prueba la creación del túnel en un sistema Solaris 10 4/09. Más tarde, el administrador utilizará el procedimiento Cómo proteger una VPN con un túnel IPsec en modo túnel mediante IPv4 para que los túneles sean permanentes. Durante la prueba, el administrador realiza las siguientes series de pasos en los sistemas system1 y system2:

• En ambos sistemas, el administrador completa los cinco primeros pasos de Cómo proteger una VPN con un túnel IPsec en modo túnel mediante IPv4.

• El administrador utiliza el comando ifconfig para conectar y configurar un túnel temporal.

  system1 # ifconfig ip.tun0 plumb system1 # ifconfig ip.tun0 10.16.16.6 10.1.3.3 \ tsrc 192.168.116.16 tdst 192.168.13.213 # ssh system2 Password: admin-password-on-system2 system2 # ifconfig ip.tun0 plumb system2 # ifconfig ip.tun0 10.1.3.3 10.16.16.6 \ tsrc 192.168.13.213 tdst 192.168.116.16

• El administrador habilita la directiva IPsec en el túnel. La directiva se creó en el Paso 4 de Cómo proteger una VPN con un túnel IPsec en modo túnel mediante IPv4.

  system1 # svcadm refresh svc:/network/ipsec/policy:default system2 # svcadm refresh svc:/network/ipsec/policy:default

• El administrador realiza la interfaz de Internet y evita que los protocolos de enrutamiento pasen a través de la interfaz de la intranet.

  system1 # ifconfig hme1 router ; ifconfig hme0 private system2 # ifconfig hme1 router ; ifconfig hme0 private

• El administrador agrega manualmente enrutamiento y ejecuta el protocolo de enrutamiento mediante el Paso 12 y el Paso 22 de Cómo proteger una VPN con un túnel IPsec en modo túnel mediante IPv4 en ambos sistemas.

Ejemplo 20–11 Creación de un túnel en una versión anterior de un sistema Solaris mediante la línea de comandos

En la versión Solaris 10 7/07, la sintaxis del comando ifconfig se ha simplificado. En este ejemplo, el administrador prueba la creación del túnel en un sistema que está ejecutando una versión de Solaris anterior a Solaris 10 7/07. Mediante la sintaxis original del comando ifconfig, el administrador puede utilizar comandos idénticos en los dos sistemas comunicantes. Más tarde, el administrador utilizará Cómo proteger una VPN con un túnel IPsec en modo túnel mediante IPv4 para hacer que los túneles sean permanentes.

Durante la prueba, el administrador realiza los pasos siguientes en los sistemas system1 y system2:

• En ambos sistemas, el administrador completa los cinco primeros pasos de Cómo proteger una VPN con un túnel IPsec en modo túnel mediante IPv4.

• El administrador conecta y configura el túnel.

  system1 # ifconfig ip.tun0 plumb system1 # ifconfig ip.tun0 10.16.16.6 10.1.3.3 \ tsrc 192.168.116.16 tdst 192.168.13.213 \ encr_algs aes encr_auth_algs sha1 system1 # ifconfig ip.tun0 router up

  # ssh system2 Password: admin-password-on-system2 system2 # ifconfig ip.tun0 plumb system2 # ifconfig ip.tun0 10.1.3.3 10.16.16.6 \ tsrc 192.168.13.213 tdst 192.168.116.16 \ encr_algs aes encr_auth_algs sha1 system2 # ifconfig ip.tun0 router up

• El administrador habilita la directiva IPsec en el túnel. La directiva se creó en el Paso 4 de Cómo proteger una VPN con un túnel IPsec en modo túnel mediante IPv4.

  system1 # svcadm refresh svc:/network/ipsec/policy:default system2 # svcadm refresh svc:/network/ipsec/policy:default

• El administrador convierte la interfaz de Internet en un enrutador y evita que los protocolos de enrutamiento pasen a través de la interfaz de la intranet.

  system1 # ifconfig hme1 router ; ifconfig hme0 private system2 # ifconfig hme1 router ; ifconfig hme0 private

• El administrador agrega enrutamiento mediante la realización del Paso 12 y el Paso 22 de Cómo proteger una VPN con un túnel IPsec en modo túnel mediante IPv4 en ambos sistemas.

Ejemplo 20–12 Requisito de directiva IPsec en todos los sistemas de una LAN

En este ejemplo, el administrador comenta la directiva bypass que se ha configurado en el Paso 4, con lo cual se refuerza la seguridad. Con esta configuración de directiva, cada sistema de la LAN debe activar IPsec para comunicarse con el enrutador.

# LAN traffic must implement IPsec.
# {laddr 10.1.3.3 dir both} bypass {}

# WAN traffic uses ESP with AES and SHA-1.
{tunnel ip.tun0 negotiate tunnel} ipsec {encr_algs aes encr_auth_algs sha1}

Ejemplo 20–13 Uso de IPsec para proteger el tráfico Telnet de un modo distinto del tráfico SMTP

En este ejemplo, la primera regla protege al tráfico telnet del puerto 23 con Blowfish y SHA–1. La segunda regla protege al tráfico SMTP del puerto 25 con AES y MD5.

{laddr 10.1.3.3 ulp tcp dport 23 dir both} 
  ipsec {encr_algs blowfish encr_auth_algs sha1 sa unique}
{laddr 10.1.3.3 ulp tcp dport 25 dir both} 
 ipsec {encr_algs aes encr_auth_algs md5 sa unique}

Ejemplo 20–14 Uso de un túnel IPsec en modo túnel para proteger una subred de un modo distinto del resto del tráfico de red

La siguiente configuración de túnel protege todo el tráfico de la subred 10.1.3.0/24 a través del túnel:

{tunnel ip.tun0 negotiate tunnel laddr 10.1.3.0/24} 
  ipsec {encr_algs aes encr_auth_algs sha1 sa shared}

Las siguientes configuraciones de túnel protegen el tráfico de la subred 10.1.3.0/24 a distintas subredes a través del túnel. Las subredes que empiezan por 10.2.x.x atraviesan el túnel.

{tunnel ip.tun0 negotiate tunnel laddr 10.1.3.0/24 raddr 10.2.1.0/24} 
  ipsec {encr_algs blowfish encr_auth_algs sha1 sa shared}

{tunnel ip.tun0 negotiate tunnel laddr 10.1.3.0/24 raddr 10.2.2.0/24} 
  ipsec {encr_algs blowfish encr_auth_algs sha1 sa shared}

{tunnel ip.tun0 negotiate tunnel laddr 10.1.3.0/24 raddr 10.2.3.0/24} 
  ipsec {encr_algs aes encr_auth_algs sha1 sa shared}

Cómo proteger una VPN con un túnel IPsec en modo túnel mediante IPv6

Para configurar una VPN en una red IPv6, debe seguir los mismos pasos que para configurar una red IPv4. No obstante, la sintaxis de los comandos es ligeramente distinta. Para ver una descripción completa de los motivos para ejecutar comandos específicos, consulte los pasos correspondientes en Cómo proteger una VPN con un túnel IPsec en modo túnel mediante IPv4.

Lleve a cabo los pasos de este procedimiento en ambos sistemas.

Este procedimiento utiliza los siguientes parámetros.

enigma

partym

hme1

hme1

hme0

hme0

6000:6666::aaaa:1116

6000:3333::eeee:1113

2001::aaaa:6666:6666

2001::eeee:3333:3333

router-E

router-C

2001::aaaa:0:4

2001::eeee:0:1

ip6.tun0

ip6.tun0

1. En la consola del sistema, asuma el rol de administrador principal o conviértase en superusuario.

   La función de administrador principal incluye el perfil de administrador principal. Para crear el rol y asignarlo a un usuario, consulte el Capítulo 2, Working With the Solaris Management Console (Tasks) de System Administration Guide: Basic Administration.

   ---

   Nota –

   El inicio de sesión remoto expone el tráfico cuya seguridad es crítica a intrusos. Aunque proteja de algún modo el inicio de sesión remoto, la seguridad del sistema se reducirá a la seguridad de la sesión remota. Utilice el comando ssh para un inicio de sesión remota seguro.

   ---

2. Controle el flujo de paquetes antes de configurar IPsec.

   Para ver los efectos de estos comandos, consulte el Paso 2 de Cómo proteger una VPN con un túnel IPsec en modo túnel mediante IPv4.

   1. Asegúrese de que el reenvío de IP y el enrutamiento dinámico de IP estén desactivados.

      # routeadm Configuration Current Current Option Configuration System State -------------------------------------------------- … IPv6 forwarding disabled disabled IPv6 routing disabled disabled

      Si el reenvío de IP y el enrutamiento dinámico de IP están habilitados, puede inhabilitarlos escribiendo:

      # routeadm -d ipv6-forwarding -d ipv6-routing # routeadm -u

   2. Active los hosts múltiples de destino estricto de IP.

      # ndd -set /dev/ip ip6_strict_dst_multihoming 1

      ---

      Precaución –

      El valor de ip6_strict_dst_multihoming vuelve al predeterminado cuando se inicia el sistema. Para hacer que el valor cambiado sea persistente, consulte Cómo evitar la falsificación de la IP .

      ---

   3. Desactive la mayoría de los servicios de red, y posiblemente todos.

      ---

      Nota –

      Si su sistema se instaló con el perfil SMF "limitado", puede omitir este paso. Los servicios de red se desactivan, a excepción de Solaris Secure Shell.

      ---

      La desactivación de los servicios de red evita que los paquetes IP dañen el sistema. Por ejemplo, podrían aprovecharse un daemon SNMP, una conexión telnet o una conexión rlogin.

      Elija una de las siguientes opciones:

      • Si ejecuta Solaris 10 11/06 o una versión posterior, ejecute el perfil SMF "limitado".

        # netservices limited

      • De lo contrario, desactive los servicios de red de forma individual.

        # svcadm disable network/ftp:default # svcadm disable network/finger:default # svcadm disable network/login:rlogin # svcadm disable network/nfs/server:default # svcadm disable network/rpc/rstat:default # svcadm disable network/smtp:sendmail # svcadm disable network/telnet:default

   4. Compruebe que la mayoría de los servicios de red estén inhabilitados.

      Compruebe que los montajes de realimentación y el servicio ssh se estén ejecutando.

      # svcs | grep network online Aug_02 svc:/network/loopback:default ... online Aug_09 svc:/network/ssh:default

3. Agregue un par de SA entre los dos sistemas.

   Elija una de las siguientes opciones:

   • Configure IKE para administrar las claves para las SA. Utilice uno de los procedimientos de Configuración de IKE (mapa de tareas) para configurar IKE para la VPN.

   • Si tiene motivos para administrar las claves manualmente, consulte Cómo crear manualmente asociaciones de seguridad IPsec.

4. Agregue una directiva IPsec para la VPN.

   Edite el archivo /etc/inet/ipsecinit.conf para agregar la directiva IPsec para la VPN.

   1. En el sistema enigma, escriba la entrada siguiente en el archivo ipsecinit.conf:

      # IPv6 Neighbor Discovery messages bypass IPsec. {ulp ipv6-icmp type 133-137 dir both} pass {} # LAN traffic to and from this host can bypass IPsec. {laddr 6000:6666::aaaa:1116 dir both} bypass {} # WAN traffic uses ESP with AES and SHA-1. {tunnel ip6.tun0 negotiate tunnel} ipsec {encr_algs aes encr_auth_algs sha1 sa shared}

   2. En el sistema partym, escriba la entrada siguiente en el archivo ipsecinit.conf:

      # IPv6 Neighbor Discovery messages bypass IPsec. {ulp ipv6-icmp type 133-137 dir both} pass {} # LAN traffic to and from this host can bypass IPsec. {laddr 6000:3333::eeee:1113 dir both} bypass {} # WAN traffic uses ESP with AES and SHA-1. {tunnel ip6.tun0 negotiate tunnel} ipsec {encr_algs aes encr_auth_algs sha1 sa shared}

5. (Opcional) Compruebe la sintaxis del archivo de directiva IPsec.

   # ipsecconf -c -f /etc/inet/ipsecinit.conf

6. Para configurar el túnel y protegerlo con IPsec, siga los pasos en función de la versión de Solaris:

   • A partir de la versión Solaris 10 4/09, siga los pasos del Paso 7 al Paso 13 y, a continuación, ejecute el protocolo de enrutamiento en Paso 22.

   • Si está ejecutando una versión anterior a Solaris 10 4/09, siga las indicaciones del Paso 14 al Paso 22.

7. Configure el túnel, ip6.tun0, en el archivo /etc/hostname.ip6.tun0.

   1. En el sistema enigma, agregue la entrada siguiente al archivo hostname.ip6.tun0:

      6000:6666::aaaa:1116 6000:3333::eeee:1113 tsrc 2001::aaaa:6666:6666 tdst 2001::eeee:3333:3333 router up

   2. En el sistema partym, agregue la entrada siguiente al archivo hostname.ip6.tun0:

      6000:3333::eeee:1113 6000:6666::aaaa:1116 tsrc 2001::eeee:3333:3333 tdst 2001::aaaa:6666:6666 router up

8. Proteja el túnel con la directiva IPsec que ha creado.

   # svcadm refresh svc:/network/ipsec/policy:default

9. Para leer el contenido del archivo de configuración de túnel en el núcleo, reinicie los servicios de red.

   # svcadm restart svc:/network/initial:default

10. Active el reenvío de IP para la interfaz hme1.

    1. En el sistema enigma, agregue la entrada del enrutador al archivo /etc/hostname6.hme1.

       2001::aaaa:6666:6666 inet6 router

    2. En el sistema partym, agregue la entrada del enrutador al archivo /etc/hostname6.hme1.

       2001::eeee:3333:3333 inet6 router

11. Asegúrese de que los protocolos de enrutamiento no publiquen la ruta predeterminada en la intranet.

    1. En el sistema enigma, agregue el indicador private al archivo /etc/hostname6.hme0.

       6000:6666::aaaa:1116 inet6 private

    2. En el sistema partym, agregue el indicador private al archivo /etc/hostname6.hme0.

       6000:3333::eeee:1113 inet6 private

12. Agregue manualmente una ruta predeterminada a través de hme0.

    1. En el sistema enigma, agregue la ruta siguiente:

       # route add -inet6 default 2001::aaaa:0:4

    2. En el sistema partym, agregue la ruta siguiente:

       # route add -inet6 default 2001::eeee:0:1

13. Para completar el procedimiento, vaya al Paso 22 para ejecutar un protocolo de enrutamiento.

14. Configure un túnel seguro, ip6.tun0.

    ---

    Nota –

    Los siguientes pasos configuran un túnel en un sistema que esté ejecutando una versión anterior a Solaris 10 4/09.

    ---

    1. En el sistema enigma, escriba los comandos siguientes:

       # ifconfig ip6.tun0 inet6 plumb # ifconfig ip6.tun0 inet6 6000:6666::aaaa:1116 6000:3333::eeee:1113 \ tsrc 2001::aaaa:6666:6666 tdst 2001::eeee:3333:3333

    2. En el sistema partym, escriba los comandos siguientes:

       # ifconfig ip6.tun0 inet6 plumb # ifconfig ip6.tun0 inet6 6000:3333::eeee:1113 6000:6666::aaaa:1116 \ tsrc 2001::eeee:3333:3333 tdst 2001::aaaa:6666:6666

15. Proteja el túnel con la directiva IPsec que ha creado.

    # ipsecconf

16. Muestre el enrutador para el túnel.

    # ifconfig ip6.tun0 router up

17. En cada sistema, active el reenvío de IP para la interfaz hme1.

    # ifconfig hme1 router

18. Asegúrese de que los protocolos de enrutamiento no publiquen la ruta predeterminada en la intranet.

    # ifconfig hme0 private

19. Agregue manualmente una ruta predeterminada a través de hme0.

    La ruta predeterminada debe ser un enrutador con acceso directo a Internet.

    1. En el sistema enigma, agregue la ruta siguiente:

       # route add -inet6 default 2001::aaaa:0:4

    2. En el sistema partym, agregue la ruta siguiente:

       # route add -inet6 default 2001::eeee:0:1

20. Asegúrese de que la VPN se inicie tras un reinicio, mediante la adición de una entrada al archivo /etc/hostname6.ip6.tun0.

    La entrada replica los parámetros que se hayan transferido al comando ifconfig en el Paso 14.

    1. En el sistema enigma, agregue la entrada siguiente al archivo hostname6.ip6.tun0:

       6000:6666::aaaa:1116 6000:3333::eeee:1113 \ tsrc 2001::aaaa:6666:6666 tdst 2001::eeee:3333:3333 router up

    2. En el sistema partym, agregue la entrada siguiente al archivo hostname6.ip6.tun0:

       6000:3333::eeee:1113 6000:6666::aaaa:1116 \ tsrc 2001::eeee:3333:3333 tdst 2001::aaaa:6666:6666 router up

21. En cada sistema, configure los archivos de interfaz para transferir los parámetros correctos al daemon de enrutamiento.

    1. En el sistema enigma, modifique los archivos /etc/hostname. interfaz.

       # cat /etc/hostname6.hme0 ## enigma 6000:6666::aaaa:1116 inet6 private

       # cat /etc/hostname6.hme1 ## enigma 2001::aaaa:6666:6666 inet6 router

    2. En el sistema partym, modifique los archivos /etc/hostname. interfaz.

       # cat /etc/hostname6.hme0 ## partym 6000:3333::eeee:1113 inet6 private

       # cat /etc/hostname6.hme1 ## partym 2001::eeee:3333:3333 inet6 router

22. Ejecute un protocolo de enrutamiento.

    # routeadm -e ipv6-routing # routeadm -u

    Podría ser que antes de ejecutar el protocolo de enrutamiento fuese necesario configurarlo. Para obtener más información, consulte Protocolos de enrutamiento en Oracle Solaris. Para obtener un procedimiento, consulte Configuración de un enrutador IPv6.

Cómo proteger una VPN con un túnel IPsec en modo transporte mediante IPv4

En modo transporte, el encabezado exterior determina la directiva IPsec que protege el paquete IP interior.

Este procedimiento amplía el procedimiento de Cómo proteger el tráfico entre dos sistemas con IPsec. Además de conectar dos sistemas, está conectando dos intranets que se conectan a estos dos sistemas. Los sistemas de este procedimiento actúan como portales.

En este procedimiento se utiliza la configuración descrita en Descripción de la topología de red para la protección de una VPN por parte de las tareas de IPsec. Para ver una descripción completa de los motivos para ejecutar comandos específicos, consulte los pasos correspondientes en Cómo proteger una VPN con un túnel IPsec en modo túnel mediante IPv4.

Lleve a cabo los pasos de este procedimiento en ambos sistemas.

1. En la consola del sistema, asuma el rol de administrador principal o conviértase en superusuario.

   La función de administrador principal incluye el perfil de administrador principal. Para crear el rol y asignarlo a un usuario, consulte el Capítulo 2, Working With the Solaris Management Console (Tasks) de System Administration Guide: Basic Administration.

   ---

   Nota –

   El inicio de sesión remoto expone el tráfico cuya seguridad es crítica a intrusos. Aunque proteja de algún modo el inicio de sesión remoto, la seguridad del sistema se reducirá a la seguridad de la sesión remota. Utilice el comando ssh para un inicio de sesión remota seguro.

   ---

2. Controle el flujo de paquetes antes de configurar IPsec.

   1. Asegúrese de que el reenvío de IP y el enrutamiento dinámico de IP estén desactivados.

      # routeadm Configuration Current Current Option Configuration System State -------------------------------------------------- IPv4 forwarding disabled disabled IPv4 routing default (enabled) enabled …

      Si el reenvío de IP y el enrutamiento dinámico de IP están habilitados, puede inhabilitarlos escribiendo:

      # routeadm -d ipv4-routing -d ipv4-forwarding # routeadm -u

   2. Active los hosts múltiples de destino estricto de IP.

      # ndd -set /dev/ip ip_strict_dst_multihoming 1

      ---

      Precaución –

      El valor de ip_strict_dst_multihoming vuelve al predeterminado cuando se inicia el sistema. Para hacer que el valor cambiado sea persistente, consulte Cómo evitar la falsificación de la IP .

      ---

   3. Desactive la mayoría de los servicios de red, y posiblemente todos.

      ---

      Nota –

      Si su sistema se instaló con el perfil SMF "limitado", puede omitir este paso. Los servicios de red se desactivan, a excepción de Solaris Secure Shell.

      ---

      La desactivación de los servicios de red evita que los paquetes IP dañen el sistema. Por ejemplo, podrían aprovecharse un daemon SNMP, una conexión telnet o una conexión rlogin.

      Elija una de las siguientes opciones:

      • Si ejecuta Solaris 10 11/06 o una versión posterior, ejecute el perfil SMF "limitado".

        # netservices limited

      • De lo contrario, desactive los servicios de red de forma individual.

        # svcadm disable network/ftp:default # svcadm disable network/finger:default # svcadm disable network/login:rlogin # svcadm disable network/nfs/server:default # svcadm disable network/rpc/rstat:default # svcadm disable network/smtp:sendmail # svcadm disable network/telnet:default

   4. Compruebe que la mayoría de los servicios de red estén inhabilitados.

      Compruebe que los montajes de realimentación y el servicio ssh se estén ejecutando.

      # svcs | grep network online Aug_02 svc:/network/loopback:default … online Aug_09 svc:/network/ssh:default

3. Agregue un par de SA entre los dos sistemas.

   Elija una de las siguientes opciones:

   • Configure IKE para administrar las claves para las SA. Utilice uno de los procedimientos de Configuración de IKE (mapa de tareas) para configurar IKE para la VPN.

   • Si tiene motivos para administrar las claves manualmente, consulte Cómo crear manualmente asociaciones de seguridad IPsec.

4. Agregue la directiva IPsec.

   Edite el archivo /etc/inet/ipsecinit.conf para agregar la directiva IPsec para la VPN. Para reforzar la directiva, consulte el Ejemplo 20–15.

   1. Por ejemplo, en el sistema enigma, escriba la entrada siguiente en el archivo ipsecinit.conf:

      # LAN traffic to and from this host can bypass IPsec. {laddr 10.16.16.6 dir both} bypass {} # WAN traffic uses ESP with AES and SHA-1. {tunnel ip.tun0 negotiate transport} ipsec {encr_algs aes encr_auth_algs sha1 sa shared}

   2. En el sistema partym, escriba la entrada siguiente en el archivo ipsecinit.conf:

      # LAN traffic to and from this host can bypass IPsec. {laddr 10.1.3.3 dir both} bypass {} # WAN traffic uses ESP with AES and SHA-1. {tunnel ip.tun0 negotiate transport} ipsec {encr_algs aes encr_auth_algs sha1 sa shared}

5. (Opcional) Compruebe la sintaxis del archivo de directiva IPsec.

   # ipsecconf -c -f /etc/inet/ipsecinit.conf

6. Para configurar el túnel y protegerlo con IPsec, siga los pasos en función de la versión de Solaris:

   • A partir de la versión Solaris 10 4/09, siga los pasos del Paso 7 al Paso 13 y, a continuación, ejecute el protocolo de enrutamiento en Paso 22.

   • Si está ejecutando una versión anterior a Solaris 10 4/09, siga las indicaciones del Paso 14 al Paso 22.

7. Configure el túnel, ip.tun0, en el archivo /etc/hostname.ip.tun0.

   1. En el sistema enigma, agregue la entrada siguiente al archivo hostname.ip.tun0:

      10.16.16.6 10.1.3.3 tsrc 192.168.116.16 tdst 192.168.13.213 router up

   2. En el sistema partym, agregue la entrada siguiente al archivo hostname.ip.tun0:

      10.1.3.3 10.16.16.6 tsrc 192.168.13.213 tdst 192.168.116.16 router up

8. Proteja el túnel con la directiva IPsec que ha creado.

   # svcadm refresh svc:/network/ipsec/policy:default

9. Para leer el contenido del archivo hostname.ip.tun0 en el núcleo, reinicie los servicios de red.

   # svcadm restart svc:/network/initial:default

10. Active el reenvío de IP para la interfaz hme1.

    1. En el sistema enigma, agregue la entrada del enrutador al archivo /etc/hostname.hme1.

       192.168.116.16 router

    2. En el sistema partym, agregue la entrada del enrutador al archivo /etc/hostname.hme1.

       192.168.13.213 router

11. Asegúrese de que los protocolos de enrutamiento no publiquen la ruta predeterminada en la intranet.

    1. En el sistema enigma, agregue el indicador private al archivo /etc/hostname.hme1.

       10.16.16.6 private

    2. En el sistema partym, agregue el indicador private al archivo /etc/hostname.hme1.

       10.1.3.3 private

12. Agregue manualmente una ruta predeterminada a través de hme0.

    1. En el sistema enigma, agregue la ruta siguiente:

       # route add default 192.168.116.4

    2. En el sistema partym, agregue la ruta siguiente:

       # route add default 192.168.13.5

13. Para completar el procedimiento, vaya al Paso 22 para ejecutar un protocolo de enrutamiento.

14. Configure el túnel, ip.tun0.

    ---

    Nota –

    Los siguientes pasos configuran un túnel en un sistema que ejecuta una versión anterior a Solaris 10 4/09.

    ---

    Utilice los comandos ifconfig para crear la interfaz de punto a punto:

    # ifconfig ip.tun0 plumb # ifconfig ip.tun0 system1-point system2-point \ tsrc system1-taddr tdst system2-taddr

    1. En el sistema enigma, escriba los comandos siguientes:

       # ifconfig ip.tun0 plumb # ifconfig ip.tun0 10.16.16.6 10.1.3.3 \ tsrc 192.168.116.16 tdst 192.168.13.213

    2. En el sistema partym, escriba los comandos siguientes:

       # ifconfig ip.tun0 plumb # ifconfig ip.tun0 10.1.3.3 10.16.16.6 \ tsrc 192.168.13.213 tdst 192.168.116.16

15. Proteja el túnel con la directiva IPsec que ha creado.

    # ipsecconf

16. Muestre el enrutador para el túnel.

    # ifconfig ip.tun0 router up

17. Active el reenvío de IP para la interfaz hme1.

    # ifconfig hme1 router

18. Asegúrese de que los protocolos de enrutamiento no publiquen la ruta predeterminada en la intranet.

    # ifconfig hme0 private

19. Agregue manualmente una ruta predeterminada a través de hme0.

    La ruta predeterminada debe ser un enrutador con acceso directo a Internet.

    # route add default router-on-hme0-subnet

    1. En el sistema enigma, agregue la ruta siguiente:

       # route add default 192.168.116.4

    2. En el sistema partym, agregue la ruta siguiente:

       # route add default 192.168.13.5

20. Asegúrese de que la VPN se inicie tras un reinicio mediante la adición de una entrada al archivo /etc/hostname.ip.tun0 .

    system1-point system2-point tsrc system1-taddr \ tdst system2-taddr encr_algs aes encr_auth_algs sha1 router up

    1. En el sistema enigma, agregue la entrada siguiente al archivo hostname.ip.tun0:

       10.16.16.6 10.1.3.3 tsrc 192.168.116.16 \ tdst 192.168.13.213 router up

    2. En el sistema partym, agregue la entrada siguiente al archivo hostname.ip.tun0:

       10.1.3.3 10.16.16.6 tsrc 192.168.13.213 \ tdst 192.168.116.16 router up

21. Configure los archivos de interfaz para transferir los parámetros correctos al daemon de enrutamiento.

    1. En el sistema enigma, modifique los archivos /etc/hostname. interfaz.

       # cat /etc/hostname.hme0 ## enigma 10.16.16.6 private

       # cat /etc/hostname.hme1 ## enigma 192.168.116.16 router

    2. En el sistema partym, modifique los archivos /etc/hostname. interfaz.

       # cat /etc/hostname.hme0 ## partym 10.1.3.3 private

       # cat /etc/hostname.hme1 ## partym 192.168.13.213 router

22. Ejecute un protocolo de enrutamiento.

    # routeadm -e ipv4-routing # routeadm -u

Ejemplo 20–15 Requisito de directiva IPsec en todos los sistemas en modo transporte

En este ejemplo, el administrador comenta la directiva bypass configurada en el Paso 4, con lo cual se refuerza la seguridad. Con esta configuración de directiva, cada sistema de la LAN debe activar IPsec para comunicarse con el enrutador.

# LAN traffic must implement IPsec.
# {laddr 10.1.3.3 dir both} bypass {}

# WAN traffic uses ESP with AES and SHA-1.
{tunnel ip.tun0 negotiate transport} ipsec {encr_algs aes encr_auth_algs sha1}

Ejemplo 20–16 Uso de sintaxis no admitida para configurar un túnel IPsec en modo transporte

En este ejemplo, el administrador conecta un sistema Solaris 10 7/07 con un sistema con la versión Solaris 10. Por tanto, el administrador utiliza la sintaxis de Solaris 10 en el archivo de configuración e incluye los algoritmos IPsec en el comando ifconfig.

El administrador sigue el procedimiento Cómo proteger una VPN con un túnel IPsec en modo transporte mediante IPv4 con los siguientes cambios en la sintaxis.

• Para el Paso 4, la sintaxis del archivo ipsecinit.conf es la siguiente:

  # LAN traffic to and from this address can bypass IPsec. {laddr 10.1.3.3 dir both} bypass {} # WAN traffic uses ESP with AES and SHA-1. {} ipsec {encr_algs aes encr_auth_algs sha1}

• Para el proceso del Paso 14 al Paso 16, la sintaxis para configurar un túnel seguro es la siguiente:

  # ifconfig ip.tun0 plumb # ifconfig ip.tun0 10.16.16.6 10.1.3.3 \ tsrc 192.168.116.16 tdst 192.168.13.213 \ encr_algs aes encr_auth_algs sha1 # ifconfig ip.tun0 router up

  # ifconfig ip.tun0 plumb # ifconfig ip.tun0 10.16.16.6 10.1.3.3 \ tsrc 192.168.116.16 tdst 192.168.13.213 \ encr_algs aes encr_auth_algs sha1

  La directiva IPsec que se transfiere a los comandos ifconfig debe ser la misma que la directiva IPsec del archivo ipsecinit.conf. Al reiniciar, cada sistema lee el archivo ipsecinit.conf para su directiva.

• Para el Paso 20, la sintaxis del archivo hostname.ip.tun0 es la siguiente:

  10.16.16.6 10.1.3.3 tsrc 192.168.116.16 \ tdst 192.168.13.213 encr_algs aes encr_auth_algs sha1 router up

Cómo proteger una VPN con un túnel IPsec en modo transporte mediante IPv6

Para configurar una VPN en una red IPv6, debe seguir los mismos pasos que para configurar una red IPv4. No obstante, la sintaxis de los comandos es ligeramente distinta. Para ver una descripción completa de los motivos para ejecutar comandos específicos, consulte los pasos correspondientes en Cómo proteger una VPN con un túnel IPsec en modo túnel mediante IPv4.

Lleve a cabo los pasos de este procedimiento en ambos sistemas.

Este procedimiento utiliza los siguientes parámetros.

enigma

partym

hme1

hme1

hme0

hme0

6000:6666::aaaa:1116

6000:3333::eeee:1113

2001::aaaa:6666:6666

2001::eeee:3333:3333

router-E

router-C

2001::aaaa:0:4

2001::eeee:0:1

ip6.tun0

ip6.tun0

1. En la consola del sistema, asuma el rol de administrador principal o conviértase en superusuario.

   La función de administrador principal incluye el perfil de administrador principal. Para crear el rol y asignarlo a un usuario, consulte el Capítulo 2, Working With the Solaris Management Console (Tasks) de System Administration Guide: Basic Administration.

   ---

   Nota –

   El inicio de sesión remoto expone el tráfico cuya seguridad es crítica a intrusos. Aunque proteja de algún modo el inicio de sesión remoto, la seguridad del sistema se reducirá a la seguridad de la sesión remota. Utilice el comando ssh para un inicio de sesión remota seguro.

   ---

2. Controle el flujo de paquetes antes de configurar IPsec.

   1. Asegúrese de que el reenvío de IP y el enrutamiento dinámico de IP estén desactivados.

      # routeadm Configuration Current Current Option Configuration System State -------------------------------------------------- … IPv6 forwarding disabled disabled IPv6 routing disabled disabled

      Si el reenvío de IP y el enrutamiento dinámico de IP están habilitados, puede inhabilitarlos escribiendo:

      # routeadm -d ipv6-forwarding -d ipv6-routing # routeadm -u

   2. Active los hosts múltiples de destino estricto de IP.

      # ndd -set /dev/ip ip6_strict_dst_multihoming 1

      ---

      Precaución –

      El valor de ip6_strict_dst_multihoming vuelve al predeterminado cuando se inicia el sistema. Para hacer que el valor cambiado sea persistente, consulte Cómo evitar la falsificación de la IP .

      ---

   3. Compruebe que la mayoría de los servicios de red estén inhabilitados.

      Compruebe que los montajes de realimentación y el servicio ssh se estén ejecutando.

      # svcs | grep network online Aug_02 svc:/network/loopback:default … online Aug_09 svc:/network/ssh:default

3. Agregue un par de SA entre los dos sistemas.

   Elija una de las siguientes opciones:

   • Configure IKE para administrar las claves para las SA. Utilice uno de los procedimientos de Configuración de IKE (mapa de tareas) para configurar IKE para la VPN.

   • Si tiene motivos para administrar las claves manualmente, consulte Cómo crear manualmente asociaciones de seguridad IPsec.

4. Agregue la directiva IPsec.

   Edite el archivo /etc/inet/ipsecinit.conf para agregar la directiva IPsec para la VPN.

   1. En el sistema enigma, escriba la entrada siguiente en el archivo ipsecinit.conf:

      # IPv6 Neighbor Discovery messages bypass IPsec. {ulp ipv6-icmp type 133-137 dir both} pass {} # LAN traffic can bypass IPsec. {laddr 6000:6666::aaaa:1116 dir both} bypass {} # WAN traffic uses ESP with AES and SHA-1. {tunnel ip6.tun0 negotiate transport} ipsec {encr_algs aes encr_auth_algs sha1}

   2. En el sistema partym, escriba la entrada siguiente en el archivo ipsecinit.conf:

      # IPv6 Neighbor Discovery messages bypass IPsec. {ulp ipv6-icmp type 133-137 dir both} pass {} # LAN traffic can bypass IPsec. {laddr 6000:3333::eeee:1113 dir both} bypass {} # WAN traffic uses ESP with AES and SHA-1. {tunnel ip6.tun0 negotiate transport} ipsec {encr_algs aes encr_auth_algs sha1}

5. (Opcional) Compruebe la sintaxis del archivo de directiva IPsec.

   # ipsecconf -c -f /etc/inet/ipsecinit.conf

6. Para configurar el túnel y protegerlo con IPsec, siga los pasos en función de la versión de Solaris:

   • A partir de la versión Solaris 10 4/09, siga los pasos del Paso 7 al Paso 13 y, a continuación, ejecute el protocolo de enrutamiento en Paso 22.

   • Si está ejecutando una versión anterior a Solaris 10 4/09, siga los pasos del Paso 14 al Paso 22.

7. Configure el túnel, ip6.tun0, en el archivo /etc/hostname.ip6.tun0.

   1. En el sistema enigma, agregue la entrada siguiente al archivo hostname.ip6.tun0:

      6000:6666::aaaa:1116 6000:3333::eeee:1113 tsrc 2001::aaaa:6666:6666 tdst 2001::eeee:3333:3333 router up

   2. En el sistema partym, agregue la entrada siguiente al archivo hostname.ip6.tun0:

      6000:3333::eeee:1113 6000:6666::aaaa:1116 tsrc 2001::eeee:3333:3333 tdst 2001::aaaa:6666:6666 router up

8. Proteja el túnel con la directiva IPsec que ha creado.

   # svcadm refresh svc:/network/ipsec/policy:default

9. Para leer el contenido del archivo hostname.ip6.tun0 en el núcleo, reinicie los servicios de red.

   # svcadm restart svc:/network/initial:default

10. Active el reenvío de IP para la interfaz hme1.

    1. En el sistema enigma, agregue la entrada del enrutador al archivo /etc/hostname6.hme1.

       2001::aaaa:6666:6666 inet6 router

    2. En el sistema partym, agregue la entrada del enrutador al archivo /etc/hostname6.hme1.

       2001::eeee:3333:3333 inet6 router

11. Asegúrese de que los protocolos de enrutamiento no publiquen la ruta predeterminada en la intranet.

    1. En el sistema enigma, agregue el indicador private al archivo /etc/hostname6.hme0.

       6000:6666::aaaa:1116 inet6 private

    2. En el sistema partym, agregue el indicador private al archivo /etc/hostname6.hme0.

       6000:3333::eeee:1113 inet6 private

12. Agregue manualmente una ruta predeterminada a través de hme0.

    1. En el sistema enigma, agregue la ruta siguiente:

       # route add -inet6 default 2001::aaaa:0:4

    2. En el sistema partym, agregue la ruta siguiente:

       # route add -inet6 default 2001::eeee:0:1

13. Para completar el procedimiento, vaya al Paso 22 para ejecutar un protocolo de enrutamiento.

14. Configure un túnel seguro, ip6.tun0.

    ---

    Nota –

    Los siguientes pasos configuran un túnel en un sistema que esté ejecutando una versión anterior a Solaris 10 4/09.

    ---

    1. En el sistema enigma, escriba los comandos siguientes:

       # ifconfig ip6.tun0 inet6 plumb # ifconfig ip6.tun0 inet6 6000:6666::aaaa:1116 6000:3333::eeee:1113 \ tsrc 2001::aaaa:6666:6666 tdst 2001::eeee:3333:3333

    2. En el sistema partym, escriba los comandos siguientes:

       # ifconfig ip6.tun0 inet6 plumb # ifconfig ip6.tun0 inet6 6000:3333::eeee:1113 6000:6666::aaaa:1116 \ tsrc 2001::eeee:3333:3333 tdst 2001::aaaa:6666:6666

15. Proteja el túnel con la directiva IPsec que ha creado.

    # ipsecconf

16. Muestre el enrutador para el túnel.

    # ifconfig ip6.tun0 router up

17. Active el reenvío de IP para la interfaz hme1.

    # ifconfig hme1 router

18. Asegúrese de que los protocolos de enrutamiento no publiquen la ruta predeterminada en la intranet.

    # ifconfig hme0 private

19. En cada sistema, agregue manualmente una ruta predeterminada mediante hme0.

    La ruta predeterminada debe ser un enrutador con acceso directo a Internet.

    1. En el sistema enigma, agregue la ruta siguiente:

       # route add -inet6 default 2001::aaaa:0:4

    2. En el sistema partym, agregue la ruta siguiente:

       # route add -inet6 default 2001::eeee:0:1

20. En cada sistema, asegúrese de que la VPN se inicie tras un reinicio agregando una entrada al archivo /etc/hostname6.ip6.tun0 .

    La entrada replica los parámetros que se hayan transferido al comando ifconfig en el Paso 14.

    1. En el sistema enigma, agregue la entrada siguiente al archivo hostname6.ip6.tun0:

       6000:6666::aaaa:1116 6000:3333::eeee:1113 \ tsrc 2001::aaaa:6666:6666 tdst 2001::eeee:3333:3333 router up

    2. En el sistema partym, agregue la entrada siguiente al archivo hostname6.ip6.tun0:

       6000:3333::eeee:1113 6000:6666::aaaa:1116 \ tsrc 2001::eeee:3333:3333 tdst 2001::aaaa:6666:6666 router up

21. Configure los archivos de interfaz para transferir los parámetros correctos al daemon de enrutamiento.

    1. En el sistema enigma, modifique los archivos /etc/hostname. interfaz.

       # cat /etc/hostname6.hme0 ## enigma 6000:6666::aaaa:1116 inet6 private

       # cat /etc/hostname6.hme1 ## enigma 2001::aaaa:6666:6666 inet6 router

    2. En el sistema partym, modifique los archivos /etc/hostname. interfaz.

       # cat /etc/hostname6.hme0 ## partym 6000:3333::eeee:1113 inet6 private

       # cat /etc/hostname6.hme1 ## partym2001::eeee:3333:3333 inet6 router

22. Ejecute un protocolo de enrutamiento.

    # routeadm -e ipv6-routing # routeadm -u

Ejemplo 20–17 Uso de sintaxis descartada para configurar IPsec en modo de transporte mediante IPv6

En este ejemplo, el administrador conecta un sistema Solaris 10 7/07 con un sistema con la versión Solaris 10. Por tanto, el administrador utiliza la sintaxis de Solaris 10 en el archivo de configuración e incluye los algoritmos IPsec en el comando ifconfig.

El administrador sigue el procedimiento Cómo proteger una VPN con un túnel IPsec en modo transporte mediante IPv6 con los siguientes cambios en la sintaxis.

• Para el Paso 4, la sintaxis del archivo ipsecinit.conf es la siguiente:

  # IPv6 Neighbor Discovery messages bypass IPsec. {ulp ipv6-icmp type 133-137 dir both} pass {} # LAN traffic can bypass IPsec. {laddr 6000:3333::eeee:1113 dir both} bypass {} # WAN traffic uses ESP with AES and SHA-1. {} ipsec {encr_algs aes encr_auth_algs sha1}

• Para el proceso del Paso 14 al Paso 17, la sintaxis para configurar un túnel seguro es la siguiente:

  # ifconfig ip6.tun0 inet6 plumb # ifconfig ip6.tun0 inet6 6000:6666::aaaa:1116 6000:3333::eeee:1113 \ tsrc 2001::aaaa:6666:6666 tdst 2001::eeee:3333:3333 \ encr_algs aes encr_auth_algs sha1 # ifconfig ip6.tun0 inet6 router up

  La directiva IPsec que se transfiere a los comandos ifconfig debe ser la misma que la directiva IPsec del archivo ipsecinit.conf. Al reiniciar, cada sistema lee el archivo ipsecinit.conf para su directiva.

• Para el Paso 20, la sintaxis del archivo hostname6.ip6.tun0 es la siguiente:

  6000:6666::aaaa:1116 6000:3333::eeee:1113 \ tsrc 2001::aaaa:6666:6666 tdst 2001::eeee:3333:3333 \ encr_algs aes encr_auth_algs sha1 router up

Cómo evitar la falsificación de la IP

Para evitar que el sistema reenvíe paquetes a otra interfaz sin intentar descifrarlos, el sistema debe comprobar que no haya falsificación de IP. Un método de prevención es definir el parámetro de inicio múltiple de destino estricto de IP mediante el uso del comando ndd. Cuando este parámetro se define en un manifiesto SMF, el parámetro se establece cuando el sistema se reinicia.

Lleve a cabo los pasos de este procedimiento en ambos sistemas.

1. En la consola del sistema, asuma el rol de administrador principal o conviértase en superusuario.

   La función de administrador principal incluye el perfil de administrador principal. Para crear el rol y asignarlo a un usuario, consulte el Capítulo 2, Working With the Solaris Management Console (Tasks) de System Administration Guide: Basic Administration.

2. Cree el manifiesto SMF específico para el sitio con el fin de comprobar que no haya falsificación de IP.

   Use el siguiente ejemplo de secuencia de comandos, /var/svc/manifest/site/spoof_check.xml .

   <?xml version="1.0"?>
   <!DOCTYPE service_bundle SYSTEM "/usr/share/lib/xml/dtd/service_bundle.dtd.1">
   
   <service_bundle type='manifest' name='Custom:ip_spoof_checking'>
   
   <!--    This is a custom smf(5) manifest for this system. Place this
           file in /var/svc/manifest/site, the directory for local
           system customizations. The exec method uses an unstable
           interface to provide a degree of protection against IP
           spoofing attacks when this system is acting as a router.
   
           IP spoof protection can also be achieved by using ipfilter(5).
           If ipfilter is configured, this service can be disabled.
   
           Note: Unstable interfaces might be removed in later
           releases.  See attributes(5).
   -->
   
   <service
           name='site/ip_spoofcheck'
           type='service'
           version='1'>
   
           <create_default_instance enabled='false' />
           <single_instance />
   
           <!--    Don't enable spoof protection until the
                   network is up.
           -->
           <dependency
                   name='basic_network'
                   grouping='require_all'
                   restart_on='none'
                   type='service'>
           <service_fmri value='svc:/milestone/network' />
           </dependency>
   
           <exec_method
                   type='method'
                   name='start'
                   exec='/usr/sbin/ndd -set /dev/ip ip_strict_dst_multihoming 1'
   <!--    
        For an IPv6 network, use the IPv6 version of this command, as in:
                   exec='/usr/sbin/ndd -set /dev/ip ip6_strict_dst_multihoming 1
   -->
                   timeout_seconds='60'
           />
   
           <exec_method
                   type='method'
                   name='stop'
                   exec=':true'
                   timeout_seconds='3'
           />
   
           <property_group name='startd' type='framework'>
                   <propval
                           name='duration'
                           type='astring'
                           value='transient'
                   />
           </property_group>
   
           <stability value='Unstable' />
   
   </service>
   </service_bundle>

3. Importe este manifiesto al depósito SMF.

   # svccfg import /var/svc/manifest/site/spoof_check.xml

4. Habilite el servicio ip_spoofcheck.

   Utilice el nombre que se ha definido en el manifiesto, /site/ip_spoofcheck.

   # svcadm enable /site/ip_spoofcheck

5. Compruebe que el servicio ip_spoofcheck esté en línea.

   # svcs /site/ip_spoofcheck