Cómo proteger una VPN con un túnel IPsec en modo túnel mediante IPv6

Para configurar una VPN en una red IPv6, debe seguir los mismos pasos que para configurar una red IPv4. No obstante, la sintaxis de los comandos es ligeramente distinta. Para ver una descripción completa de los motivos para ejecutar comandos específicos, consulte los pasos correspondientes en Cómo proteger una VPN con un túnel IPsec en modo túnel mediante IPv4.

Lleve a cabo los pasos de este procedimiento en ambos sistemas.

Este procedimiento utiliza los siguientes parámetros.

enigma

partym

hme1

hme1

hme0

hme0

6000:6666::aaaa:1116

6000:3333::eeee:1113

2001::aaaa:6666:6666

2001::eeee:3333:3333

router-E

router-C

2001::aaaa:0:4

2001::eeee:0:1

ip6.tun0

ip6.tun0

1. En la consola del sistema, asuma el rol de administrador principal o conviértase en superusuario.

   La función de administrador principal incluye el perfil de administrador principal. Para crear el rol y asignarlo a un usuario, consulte el Capítulo 2, Working With the Solaris Management Console (Tasks) de System Administration Guide: Basic Administration.

   ---

   Nota –

   El inicio de sesión remoto expone el tráfico cuya seguridad es crítica a intrusos. Aunque proteja de algún modo el inicio de sesión remoto, la seguridad del sistema se reducirá a la seguridad de la sesión remota. Utilice el comando ssh para un inicio de sesión remota seguro.

   ---

2. Controle el flujo de paquetes antes de configurar IPsec.

   Para ver los efectos de estos comandos, consulte el Paso 2 de Cómo proteger una VPN con un túnel IPsec en modo túnel mediante IPv4.

   1. Asegúrese de que el reenvío de IP y el enrutamiento dinámico de IP estén desactivados.

      # routeadm Configuration Current Current Option Configuration System State -------------------------------------------------- … IPv6 forwarding disabled disabled IPv6 routing disabled disabled

      Si el reenvío de IP y el enrutamiento dinámico de IP están habilitados, puede inhabilitarlos escribiendo:

      # routeadm -d ipv6-forwarding -d ipv6-routing # routeadm -u

   2. Active los hosts múltiples de destino estricto de IP.

      # ndd -set /dev/ip ip6_strict_dst_multihoming 1

      ---

      Precaución –

      El valor de ip6_strict_dst_multihoming vuelve al predeterminado cuando se inicia el sistema. Para hacer que el valor cambiado sea persistente, consulte Cómo evitar la falsificación de la IP .

      ---

   3. Desactive la mayoría de los servicios de red, y posiblemente todos.

      ---

      Nota –

      Si su sistema se instaló con el perfil SMF "limitado", puede omitir este paso. Los servicios de red se desactivan, a excepción de Solaris Secure Shell.

      ---

      La desactivación de los servicios de red evita que los paquetes IP dañen el sistema. Por ejemplo, podrían aprovecharse un daemon SNMP, una conexión telnet o una conexión rlogin.

      Elija una de las siguientes opciones:

      • Si ejecuta Solaris 10 11/06 o una versión posterior, ejecute el perfil SMF "limitado".

        # netservices limited

      • De lo contrario, desactive los servicios de red de forma individual.

        # svcadm disable network/ftp:default # svcadm disable network/finger:default # svcadm disable network/login:rlogin # svcadm disable network/nfs/server:default # svcadm disable network/rpc/rstat:default # svcadm disable network/smtp:sendmail # svcadm disable network/telnet:default

   4. Compruebe que la mayoría de los servicios de red estén inhabilitados.

      Compruebe que los montajes de realimentación y el servicio ssh se estén ejecutando.

      # svcs | grep network online Aug_02 svc:/network/loopback:default ... online Aug_09 svc:/network/ssh:default

3. Agregue un par de SA entre los dos sistemas.

   Elija una de las siguientes opciones:

   • Configure IKE para administrar las claves para las SA. Utilice uno de los procedimientos de Configuración de IKE (mapa de tareas) para configurar IKE para la VPN.

   • Si tiene motivos para administrar las claves manualmente, consulte Cómo crear manualmente asociaciones de seguridad IPsec.

4. Agregue una directiva IPsec para la VPN.

   Edite el archivo /etc/inet/ipsecinit.conf para agregar la directiva IPsec para la VPN.

   1. En el sistema enigma, escriba la entrada siguiente en el archivo ipsecinit.conf:

      # IPv6 Neighbor Discovery messages bypass IPsec. {ulp ipv6-icmp type 133-137 dir both} pass {} # LAN traffic to and from this host can bypass IPsec. {laddr 6000:6666::aaaa:1116 dir both} bypass {} # WAN traffic uses ESP with AES and SHA-1. {tunnel ip6.tun0 negotiate tunnel} ipsec {encr_algs aes encr_auth_algs sha1 sa shared}

   2. En el sistema partym, escriba la entrada siguiente en el archivo ipsecinit.conf:

      # IPv6 Neighbor Discovery messages bypass IPsec. {ulp ipv6-icmp type 133-137 dir both} pass {} # LAN traffic to and from this host can bypass IPsec. {laddr 6000:3333::eeee:1113 dir both} bypass {} # WAN traffic uses ESP with AES and SHA-1. {tunnel ip6.tun0 negotiate tunnel} ipsec {encr_algs aes encr_auth_algs sha1 sa shared}

5. (Opcional) Compruebe la sintaxis del archivo de directiva IPsec.

   # ipsecconf -c -f /etc/inet/ipsecinit.conf

6. Para configurar el túnel y protegerlo con IPsec, siga los pasos en función de la versión de Solaris:

   • A partir de la versión Solaris 10 4/09, siga los pasos del Paso 7 al Paso 13 y, a continuación, ejecute el protocolo de enrutamiento en Paso 22.

   • Si está ejecutando una versión anterior a Solaris 10 4/09, siga las indicaciones del Paso 14 al Paso 22.

7. Configure el túnel, ip6.tun0, en el archivo /etc/hostname.ip6.tun0.

   1. En el sistema enigma, agregue la entrada siguiente al archivo hostname.ip6.tun0:

      6000:6666::aaaa:1116 6000:3333::eeee:1113 tsrc 2001::aaaa:6666:6666 tdst 2001::eeee:3333:3333 router up

   2. En el sistema partym, agregue la entrada siguiente al archivo hostname.ip6.tun0:

      6000:3333::eeee:1113 6000:6666::aaaa:1116 tsrc 2001::eeee:3333:3333 tdst 2001::aaaa:6666:6666 router up

8. Proteja el túnel con la directiva IPsec que ha creado.

   # svcadm refresh svc:/network/ipsec/policy:default

9. Para leer el contenido del archivo de configuración de túnel en el núcleo, reinicie los servicios de red.

   # svcadm restart svc:/network/initial:default

10. Active el reenvío de IP para la interfaz hme1.

    1. En el sistema enigma, agregue la entrada del enrutador al archivo /etc/hostname6.hme1.

       2001::aaaa:6666:6666 inet6 router

    2. En el sistema partym, agregue la entrada del enrutador al archivo /etc/hostname6.hme1.

       2001::eeee:3333:3333 inet6 router

11. Asegúrese de que los protocolos de enrutamiento no publiquen la ruta predeterminada en la intranet.

    1. En el sistema enigma, agregue el indicador private al archivo /etc/hostname6.hme0.

       6000:6666::aaaa:1116 inet6 private

    2. En el sistema partym, agregue el indicador private al archivo /etc/hostname6.hme0.

       6000:3333::eeee:1113 inet6 private

12. Agregue manualmente una ruta predeterminada a través de hme0.

    1. En el sistema enigma, agregue la ruta siguiente:

       # route add -inet6 default 2001::aaaa:0:4

    2. En el sistema partym, agregue la ruta siguiente:

       # route add -inet6 default 2001::eeee:0:1

13. Para completar el procedimiento, vaya al Paso 22 para ejecutar un protocolo de enrutamiento.

14. Configure un túnel seguro, ip6.tun0.

    ---

    Nota –

    Los siguientes pasos configuran un túnel en un sistema que esté ejecutando una versión anterior a Solaris 10 4/09.

    ---

    1. En el sistema enigma, escriba los comandos siguientes:

       # ifconfig ip6.tun0 inet6 plumb # ifconfig ip6.tun0 inet6 6000:6666::aaaa:1116 6000:3333::eeee:1113 \ tsrc 2001::aaaa:6666:6666 tdst 2001::eeee:3333:3333

    2. En el sistema partym, escriba los comandos siguientes:

       # ifconfig ip6.tun0 inet6 plumb # ifconfig ip6.tun0 inet6 6000:3333::eeee:1113 6000:6666::aaaa:1116 \ tsrc 2001::eeee:3333:3333 tdst 2001::aaaa:6666:6666

15. Proteja el túnel con la directiva IPsec que ha creado.

    # ipsecconf

16. Muestre el enrutador para el túnel.

    # ifconfig ip6.tun0 router up

17. En cada sistema, active el reenvío de IP para la interfaz hme1.

    # ifconfig hme1 router

18. Asegúrese de que los protocolos de enrutamiento no publiquen la ruta predeterminada en la intranet.

    # ifconfig hme0 private

19. Agregue manualmente una ruta predeterminada a través de hme0.

    La ruta predeterminada debe ser un enrutador con acceso directo a Internet.

    1. En el sistema enigma, agregue la ruta siguiente:

       # route add -inet6 default 2001::aaaa:0:4

    2. En el sistema partym, agregue la ruta siguiente:

       # route add -inet6 default 2001::eeee:0:1

20. Asegúrese de que la VPN se inicie tras un reinicio, mediante la adición de una entrada al archivo /etc/hostname6.ip6.tun0.

    La entrada replica los parámetros que se hayan transferido al comando ifconfig en el Paso 14.

    1. En el sistema enigma, agregue la entrada siguiente al archivo hostname6.ip6.tun0:

       6000:6666::aaaa:1116 6000:3333::eeee:1113 \ tsrc 2001::aaaa:6666:6666 tdst 2001::eeee:3333:3333 router up

    2. En el sistema partym, agregue la entrada siguiente al archivo hostname6.ip6.tun0:

       6000:3333::eeee:1113 6000:6666::aaaa:1116 \ tsrc 2001::eeee:3333:3333 tdst 2001::aaaa:6666:6666 router up

21. En cada sistema, configure los archivos de interfaz para transferir los parámetros correctos al daemon de enrutamiento.

    1. En el sistema enigma, modifique los archivos /etc/hostname. interfaz.

       # cat /etc/hostname6.hme0 ## enigma 6000:6666::aaaa:1116 inet6 private

       # cat /etc/hostname6.hme1 ## enigma 2001::aaaa:6666:6666 inet6 router

    2. En el sistema partym, modifique los archivos /etc/hostname. interfaz.

       # cat /etc/hostname6.hme0 ## partym 6000:3333::eeee:1113 inet6 private

       # cat /etc/hostname6.hme1 ## partym 2001::eeee:3333:3333 inet6 router

22. Ejecute un protocolo de enrutamiento.

    # routeadm -e ipv6-routing # routeadm -u

    Podría ser que antes de ejecutar el protocolo de enrutamiento fuese necesario configurarlo. Para obtener más información, consulte Protocolos de enrutamiento en Oracle Solaris. Para obtener un procedimiento, consulte Configuración de un enrutador IPv6.