Cómo proteger una VPN con un túnel IPsec en modo transporte mediante IPv4

En modo transporte, el encabezado exterior determina la directiva IPsec que protege el paquete IP interior.

Este procedimiento amplía el procedimiento de Cómo proteger el tráfico entre dos sistemas con IPsec. Además de conectar dos sistemas, está conectando dos intranets que se conectan a estos dos sistemas. Los sistemas de este procedimiento actúan como portales.

En este procedimiento se utiliza la configuración descrita en Descripción de la topología de red para la protección de una VPN por parte de las tareas de IPsec. Para ver una descripción completa de los motivos para ejecutar comandos específicos, consulte los pasos correspondientes en Cómo proteger una VPN con un túnel IPsec en modo túnel mediante IPv4.

Lleve a cabo los pasos de este procedimiento en ambos sistemas.

1. En la consola del sistema, asuma el rol de administrador principal o conviértase en superusuario.

   La función de administrador principal incluye el perfil de administrador principal. Para crear el rol y asignarlo a un usuario, consulte el Capítulo 2, Working With the Solaris Management Console (Tasks) de System Administration Guide: Basic Administration.

   ---

   Nota –

   El inicio de sesión remoto expone el tráfico cuya seguridad es crítica a intrusos. Aunque proteja de algún modo el inicio de sesión remoto, la seguridad del sistema se reducirá a la seguridad de la sesión remota. Utilice el comando ssh para un inicio de sesión remota seguro.

   ---

2. Controle el flujo de paquetes antes de configurar IPsec.

   1. Asegúrese de que el reenvío de IP y el enrutamiento dinámico de IP estén desactivados.

      # routeadm Configuration Current Current Option Configuration System State -------------------------------------------------- IPv4 forwarding disabled disabled IPv4 routing default (enabled) enabled …

      Si el reenvío de IP y el enrutamiento dinámico de IP están habilitados, puede inhabilitarlos escribiendo:

      # routeadm -d ipv4-routing -d ipv4-forwarding # routeadm -u

   2. Active los hosts múltiples de destino estricto de IP.

      # ndd -set /dev/ip ip_strict_dst_multihoming 1

      ---

      Precaución –

      El valor de ip_strict_dst_multihoming vuelve al predeterminado cuando se inicia el sistema. Para hacer que el valor cambiado sea persistente, consulte Cómo evitar la falsificación de la IP .

      ---

   3. Desactive la mayoría de los servicios de red, y posiblemente todos.

      ---

      Nota –

      Si su sistema se instaló con el perfil SMF "limitado", puede omitir este paso. Los servicios de red se desactivan, a excepción de Solaris Secure Shell.

      ---

      La desactivación de los servicios de red evita que los paquetes IP dañen el sistema. Por ejemplo, podrían aprovecharse un daemon SNMP, una conexión telnet o una conexión rlogin.

      Elija una de las siguientes opciones:

      • Si ejecuta Solaris 10 11/06 o una versión posterior, ejecute el perfil SMF "limitado".

        # netservices limited

      • De lo contrario, desactive los servicios de red de forma individual.

        # svcadm disable network/ftp:default # svcadm disable network/finger:default # svcadm disable network/login:rlogin # svcadm disable network/nfs/server:default # svcadm disable network/rpc/rstat:default # svcadm disable network/smtp:sendmail # svcadm disable network/telnet:default

   4. Compruebe que la mayoría de los servicios de red estén inhabilitados.

      Compruebe que los montajes de realimentación y el servicio ssh se estén ejecutando.

      # svcs | grep network online Aug_02 svc:/network/loopback:default … online Aug_09 svc:/network/ssh:default

3. Agregue un par de SA entre los dos sistemas.

   Elija una de las siguientes opciones:

   • Configure IKE para administrar las claves para las SA. Utilice uno de los procedimientos de Configuración de IKE (mapa de tareas) para configurar IKE para la VPN.

   • Si tiene motivos para administrar las claves manualmente, consulte Cómo crear manualmente asociaciones de seguridad IPsec.

4. Agregue la directiva IPsec.

   Edite el archivo /etc/inet/ipsecinit.conf para agregar la directiva IPsec para la VPN. Para reforzar la directiva, consulte el Ejemplo 20–15.

   1. Por ejemplo, en el sistema enigma, escriba la entrada siguiente en el archivo ipsecinit.conf:

      # LAN traffic to and from this host can bypass IPsec. {laddr 10.16.16.6 dir both} bypass {} # WAN traffic uses ESP with AES and SHA-1. {tunnel ip.tun0 negotiate transport} ipsec {encr_algs aes encr_auth_algs sha1 sa shared}

   2. En el sistema partym, escriba la entrada siguiente en el archivo ipsecinit.conf:

      # LAN traffic to and from this host can bypass IPsec. {laddr 10.1.3.3 dir both} bypass {} # WAN traffic uses ESP with AES and SHA-1. {tunnel ip.tun0 negotiate transport} ipsec {encr_algs aes encr_auth_algs sha1 sa shared}

5. (Opcional) Compruebe la sintaxis del archivo de directiva IPsec.

   # ipsecconf -c -f /etc/inet/ipsecinit.conf

6. Para configurar el túnel y protegerlo con IPsec, siga los pasos en función de la versión de Solaris:

   • A partir de la versión Solaris 10 4/09, siga los pasos del Paso 7 al Paso 13 y, a continuación, ejecute el protocolo de enrutamiento en Paso 22.

   • Si está ejecutando una versión anterior a Solaris 10 4/09, siga las indicaciones del Paso 14 al Paso 22.

7. Configure el túnel, ip.tun0, en el archivo /etc/hostname.ip.tun0.

   1. En el sistema enigma, agregue la entrada siguiente al archivo hostname.ip.tun0:

      10.16.16.6 10.1.3.3 tsrc 192.168.116.16 tdst 192.168.13.213 router up

   2. En el sistema partym, agregue la entrada siguiente al archivo hostname.ip.tun0:

      10.1.3.3 10.16.16.6 tsrc 192.168.13.213 tdst 192.168.116.16 router up

8. Proteja el túnel con la directiva IPsec que ha creado.

   # svcadm refresh svc:/network/ipsec/policy:default

9. Para leer el contenido del archivo hostname.ip.tun0 en el núcleo, reinicie los servicios de red.

   # svcadm restart svc:/network/initial:default

10. Active el reenvío de IP para la interfaz hme1.

    1. En el sistema enigma, agregue la entrada del enrutador al archivo /etc/hostname.hme1.

       192.168.116.16 router

    2. En el sistema partym, agregue la entrada del enrutador al archivo /etc/hostname.hme1.

       192.168.13.213 router

11. Asegúrese de que los protocolos de enrutamiento no publiquen la ruta predeterminada en la intranet.

    1. En el sistema enigma, agregue el indicador private al archivo /etc/hostname.hme1.

       10.16.16.6 private

    2. En el sistema partym, agregue el indicador private al archivo /etc/hostname.hme1.

       10.1.3.3 private

12. Agregue manualmente una ruta predeterminada a través de hme0.

    1. En el sistema enigma, agregue la ruta siguiente:

       # route add default 192.168.116.4

    2. En el sistema partym, agregue la ruta siguiente:

       # route add default 192.168.13.5

13. Para completar el procedimiento, vaya al Paso 22 para ejecutar un protocolo de enrutamiento.

14. Configure el túnel, ip.tun0.

    ---

    Nota –

    Los siguientes pasos configuran un túnel en un sistema que ejecuta una versión anterior a Solaris 10 4/09.

    ---

    Utilice los comandos ifconfig para crear la interfaz de punto a punto:

    # ifconfig ip.tun0 plumb # ifconfig ip.tun0 system1-point system2-point \ tsrc system1-taddr tdst system2-taddr

    1. En el sistema enigma, escriba los comandos siguientes:

       # ifconfig ip.tun0 plumb # ifconfig ip.tun0 10.16.16.6 10.1.3.3 \ tsrc 192.168.116.16 tdst 192.168.13.213

    2. En el sistema partym, escriba los comandos siguientes:

       # ifconfig ip.tun0 plumb # ifconfig ip.tun0 10.1.3.3 10.16.16.6 \ tsrc 192.168.13.213 tdst 192.168.116.16

15. Proteja el túnel con la directiva IPsec que ha creado.

    # ipsecconf

16. Muestre el enrutador para el túnel.

    # ifconfig ip.tun0 router up

17. Active el reenvío de IP para la interfaz hme1.

    # ifconfig hme1 router

18. Asegúrese de que los protocolos de enrutamiento no publiquen la ruta predeterminada en la intranet.

    # ifconfig hme0 private

19. Agregue manualmente una ruta predeterminada a través de hme0.

    La ruta predeterminada debe ser un enrutador con acceso directo a Internet.

    # route add default router-on-hme0-subnet

    1. En el sistema enigma, agregue la ruta siguiente:

       # route add default 192.168.116.4

    2. En el sistema partym, agregue la ruta siguiente:

       # route add default 192.168.13.5

20. Asegúrese de que la VPN se inicie tras un reinicio mediante la adición de una entrada al archivo /etc/hostname.ip.tun0 .

    system1-point system2-point tsrc system1-taddr \ tdst system2-taddr encr_algs aes encr_auth_algs sha1 router up

    1. En el sistema enigma, agregue la entrada siguiente al archivo hostname.ip.tun0:

       10.16.16.6 10.1.3.3 tsrc 192.168.116.16 \ tdst 192.168.13.213 router up

    2. En el sistema partym, agregue la entrada siguiente al archivo hostname.ip.tun0:

       10.1.3.3 10.16.16.6 tsrc 192.168.13.213 \ tdst 192.168.116.16 router up

21. Configure los archivos de interfaz para transferir los parámetros correctos al daemon de enrutamiento.

    1. En el sistema enigma, modifique los archivos /etc/hostname. interfaz.

       # cat /etc/hostname.hme0 ## enigma 10.16.16.6 private

       # cat /etc/hostname.hme1 ## enigma 192.168.116.16 router

    2. En el sistema partym, modifique los archivos /etc/hostname. interfaz.

       # cat /etc/hostname.hme0 ## partym 10.1.3.3 private

       # cat /etc/hostname.hme1 ## partym 192.168.13.213 router

22. Ejecute un protocolo de enrutamiento.

    # routeadm -e ipv4-routing # routeadm -u

Ejemplo 20–15 Requisito de directiva IPsec en todos los sistemas en modo transporte

En este ejemplo, el administrador comenta la directiva bypass configurada en el Paso 4, con lo cual se refuerza la seguridad. Con esta configuración de directiva, cada sistema de la LAN debe activar IPsec para comunicarse con el enrutador.

# LAN traffic must implement IPsec.
# {laddr 10.1.3.3 dir both} bypass {}

# WAN traffic uses ESP with AES and SHA-1.
{tunnel ip.tun0 negotiate transport} ipsec {encr_algs aes encr_auth_algs sha1}

Ejemplo 20–16 Uso de sintaxis no admitida para configurar un túnel IPsec en modo transporte

En este ejemplo, el administrador conecta un sistema Solaris 10 7/07 con un sistema con la versión Solaris 10. Por tanto, el administrador utiliza la sintaxis de Solaris 10 en el archivo de configuración e incluye los algoritmos IPsec en el comando ifconfig.

El administrador sigue el procedimiento Cómo proteger una VPN con un túnel IPsec en modo transporte mediante IPv4 con los siguientes cambios en la sintaxis.

• Para el Paso 4, la sintaxis del archivo ipsecinit.conf es la siguiente:

  # LAN traffic to and from this address can bypass IPsec. {laddr 10.1.3.3 dir both} bypass {} # WAN traffic uses ESP with AES and SHA-1. {} ipsec {encr_algs aes encr_auth_algs sha1}

• Para el proceso del Paso 14 al Paso 16, la sintaxis para configurar un túnel seguro es la siguiente:

  # ifconfig ip.tun0 plumb # ifconfig ip.tun0 10.16.16.6 10.1.3.3 \ tsrc 192.168.116.16 tdst 192.168.13.213 \ encr_algs aes encr_auth_algs sha1 # ifconfig ip.tun0 router up

  # ifconfig ip.tun0 plumb # ifconfig ip.tun0 10.16.16.6 10.1.3.3 \ tsrc 192.168.116.16 tdst 192.168.13.213 \ encr_algs aes encr_auth_algs sha1

  La directiva IPsec que se transfiere a los comandos ifconfig debe ser la misma que la directiva IPsec del archivo ipsecinit.conf. Al reiniciar, cada sistema lee el archivo ipsecinit.conf para su directiva.

• Para el Paso 20, la sintaxis del archivo hostname.ip.tun0 es la siguiente:

  10.16.16.6 10.1.3.3 tsrc 192.168.116.16 \ tdst 192.168.13.213 encr_algs aes encr_auth_algs sha1 router up