Cómo proteger el tráfico entre dos sistemas con IPsec (Guía de administración del sistema: servicios IP)

Guía de administración del sistema: servicios IP

Cómo proteger el tráfico entre dos sistemas con IPsec

Este procedimiento presupone la siguiente configuración:

Los dos sistemas se denominan enigma y partym.
Cada sistema tiene dos direcciones, una dirección IPv4 y otra IPv6.
Cada sistema requiere ESP cifrado con el algoritmo AES, que, a su vez, requiere una clave de 128 bits y autenticación ESP con el resumen de mensajes de SHA1, que, a su vez, requiere una clave de 160 bits.
Cada sistema utiliza asociaciones de seguridad compartidas.

Con las asociaciones de seguridad (SA) compartidas, sólo se necesita un par de SA para proteger los dos sistemas.

Antes de empezar

Debe estar en la zona global para configurar la directiva IPsec para el sistema o para una zona de IP compartida. Para una zona de IP exclusiva, configure la directiva IPsec en la zona no global.

En la consola del sistema, asuma el rol de administrador principal o conviértase en superusuario.

La función de administrador principal incluye el perfil de administrador principal. Para crear el rol y asignarlo a un usuario, consulte el Capítulo 2, Working With the Solaris Management Console (Tasks) de System Administration Guide: Basic Administration.

Nota –
El registro remoto expone el tráfico cuya seguridad es crítica a intrusos. Aunque proteja de algún modo el inicio de sesión remoto, la seguridad del sistema se reducirá a la seguridad de la sesión remota. Utilice el comando ssh para iniciar una sesión remota de forma segura. Esto se ilustra en el Ejemplo 20–1.

En cada sistema, agregue entradas de host.

En la versión actual, agregue las entradas de host al archivo /etc/inet/hosts.

En un sistema que se ejecute en una versión anterior a Solaris 10 7/07, agregue entradas IPv4 e IPv6 en el archivo /etc/inet/ipnodes. Las entradas de un sistema deben ser contiguas en el archivo. Para obtener información sobre los archivos de configuración del sistema, consulte Archivos de configuración TCP/IP y el Capítulo 11IPv6 en profundidad (referencia).

Si está conectando sistemas sólo con direcciones IPv4, debe modificar el archivo /etc/inet/hosts. En este ejemplo, los sistemas que se conectan ejecutan una versión anterior de Solaris y utilizan direcciones IPv6.
1. En un sistema denominado enigma, escriba lo siguiente en el archivo hosts o ipnodes:
  # Secure communication with partym 192.168.13.213 partym 2001::eeee:3333:3333 partym
2. En un sistema denominado partym, escriba lo siguiente en el archivo hosts o ipnodes:
  # Secure communication with enigma 192.168.116.16 enigma 2001::aaaa:6666:6666 enigma
El uso de los servicios de asignación de nombres simbólicos no es seguro.

En cada sistema, cree el archivo de directiva IPsec.

El nombre de archivo es /etc/inet/ipsecinit.conf. Para ver un ejemplo, consulte el archivo /etc/inet/ipsecinit.sample.

Agregue una entrada de directiva IPsec al archivo ipsecinit.conf.
1. En el sistema enigma, agregue la directiva siguiente:
  {laddr enigma raddr partym} ipsec {encr_algs aes encr_auth_algs sha1 sa shared}
2. En el sistema partym, agregue una directiva idéntica:
  {laddr partym raddr enigma} ipsec {encr_algs aes encr_auth_algs sha1 sa shared}
  Para ver la sintaxis de las entradas de la directiva IPsec, consulte la página del comando man ipsecconf(1M).

En cada sistema, agregue un par de SA IPsec entre los dos sistemas.

Puede configurar el intercambio de claves de Internet (IKE) para crear las SA automáticamente. También puede agregar las SA de forma manual.

Nota –
Debe utilizar IKE a menos que tenga una razón de peso para generar y mantener las claves manualmente. La administración de claves IKE es más segura que la administración manual.
- Configure IKE siguiendo uno de los métodos de configuración de Configuración de IKE (mapa de tareas). Para ver la sintaxis del archivo de configuración de IKE, consulte la página del comando man ike.config(4).
- Para agregar las SA manualmente, consulte Cómo crear manualmente asociaciones de seguridad IPsec.

Habilite la directiva IPsec.
- Si está ejecutando una versión anterior a Solaris 10 4/09, reinicie el sistema.
  # init 6
  A continuación, vaya a Cómo verificar que los paquetes estén protegidos con IPsec.
- A partir de la versión Solaris 10 4/09, actualice el servicio IPsec y habilite el servicio de administración de claves.
  
  Complete del Paso 7 al Paso 10.

Compruebe la sintaxis del archivo de directiva IPsec.
# ipsecconf -c -f /etc/inet/ipsecinit.conf
Subsane los posibles errores, compruebe la sintaxis del archivo y continúe.

Actualice la directiva IPsec.
# svcadm refresh svc:/network/ipsec/policy:default
La directiva IPsec está habilitada de forma predeterminada, por lo que puede actualizarla. Si ha inhabilitado la directiva IPsec, habilítela.
# svcadm enable svc:/network/ipsec/policy:default

Active las claves para IPsec.
- Si ha configurado IKE en el Paso 5, realice una de las acciones siguientes:
  - Si el servicio ike no está habilitado, habilítelo.
    # svcadm enable svc:/network/ipsec/ike:default
  - Si el servicio ike está habilitado, reinícielo.
    # svcadm restart svc:/network/ipsec/ike:default
- Si ha configurado manualmente las claves en el Paso 5, realice una de las acciones siguientes:
  - Si el servicio manual-key no está habilitado, habilítelo.
    # svcadm enable svc:/network/ipsec/manual-key:default
  - Si el servicio manual-key está habilitado, actualícelo.
    # svcadm refresh svc:/network/ipsec/manual-key:default

Compruebe que los paquetes se estén protegiendo.

Para ver el procedimiento, consulte Cómo verificar que los paquetes estén protegidos con IPsec.

Ejemplo 20–1 Adición de directivas IPsec al utilizar una conexión `ssh`

En este ejemplo, el administrador configura como superusuario las claves y la directiva IPsec en dos sistemas mediante el comando ssh para llegar al segundo sistema. Para obtener más información, consulte la página de comando man ssh(1).

En primer lugar, el administrador realiza del Paso 2 al Paso 5 del procedimiento anterior para configurar el primer sistema.
A continuación, en una ventana de terminal distinta, el administrador utiliza el comando ssh para iniciar la sesión en el segundo sistema.
local-system # ssh other-system other-system #
En la ventana de terminal de la sesión ssh, el administrador configura la directiva IPsec y las claves del segundo sistema; para ello, realiza del Paso 2 al Paso 6.
A continuación, el administrador termina la sesión ssh.
other-system # exit local-system #
Por último, el administrador realiza el Paso 6 para habilitar la directiva IPsec en el primer sistema.

La próxima ocasión que los dos sistemas se comunican, incluida la conexión ssh, la comunicación queda protegida por IPsec.

Ejemplo 20–2 Cómo proteger el tráfico con IPsec sin reiniciar

El siguiente ejemplo es útil cuando se está ejecutando una versión anterior a Solaris 10 4/09. Es decir, en su versión, IPsec no se gestiona como un servicio. El ejemplo describe cómo implementar IPsec en un entorno de prueba. En un entorno de producción, es más seguro reiniciar que ejecutar el comando ipsecconf. Consulte las consideraciones de seguridad al final de este ejemplo.

En lugar de reiniciar en el Paso 6, elija una de estas opciones:

Si ha utilizado IKE para crear material de claves, detenga y reinicie el daemon in.iked.
# pkill in.iked # /usr/lib/inet/in.iked
Si ha agregado claves manualmente, utilice el comando ipseckey para agregar las SA a la base de datos.
# ipseckey -c -f /etc/inet/secret/ipseckeys
A continuación, active la directiva IPsec con el comando ipsecconf.
# ipsecconf -a /etc/inet/ipsecinit.conf

Consideraciones de seguridad: Lea la advertencia que aparece al ejecutar el comando ipsecconf. Un socket que ya está bloqueado, es decir, un socket que ya está en uso, constituye una puerta trasera no segura al sistema. Si desea más información al respecto, consulte Consideraciones de seguridad para ipsecinit.conf e ipsecconf.