Omitir V�nculos de navegaci�n | |
Salir de la Vista de impresi�n | |
Administración de Oracle Solaris: servicios IP Oracle Solaris 11 Information Library (Español) |
Parte I Administración de TCP/IP
1. Planificación de la implementación de red
2. Consideraciones para el uso de direcciones IPv6
3. Configuración de una red IPv4
4. Habilitación de IPv6 en una red
5. Administración de una red TCP/IP
6. Configuración de túneles IP
7. Resolución de problemas de red
10. Acerca de DHCP (descripción general)
11. Administración del servicio DHCP de ISC
12. Configuración y administración del cliente DHCP
13. Comandos y archivos DHCP (referencia)
14. Arquitectura de seguridad IP (descripción general)
15. Configuración de IPsec (tareas)
16. Arquitectura de seguridad IP (referencia)
17. Intercambio de claves de Internet (descripción general)
Opciones de configuración de IKE
IKE con autenticación de claves previamente compartidas
IKE con certificados de claves públicas
18. Configuración de IKE (tareas)
19. Intercambio de claves de Internet (referencia)
20. Filtro IP en Oracle Solaris (descripción general)
22. Descripción general del equilibrador de carga integrado
23. Configuración del equilibrador de carga integrado (tareas)
24. Protocolo de redundancia de enrutador virtual (descripción general)
25. Configuración VRRP (tareas)
26. Implementación del control de congestión
Parte V Calidad de servicio IP (IPQoS)
27. Introducción a IPQoS (descripción general)
28. Planificación para una red con IPQoS (tareas)
29. Creación del archivo de configuración IPQoS (tareas)
30. Inicio y mantenimiento de IPQoS (tareas)
31. Uso de control de flujo y recopilación de estadísticas (tareas)
El daemon IKE, in.iked, negocia y autentica el material de claves para las asociaciones de seguridad de IPsec en forma segura. El daemon utiliza valores de inicialización aleatorios para claves de funciones internas proporcionadas por el sistema operativo. IKE proporciona confidencialidad directa perfecta (PFS). En PFS, las claves que protegen la transmisión de datos no se utilizan para derivar claves adicionales. Asimismo, los números generadores que se utilizan para crear claves de transmisión de datos no se vuelven a utilizar. Consulte la página del comando man in.iked(1M).
La tabla siguiente enumera los términos que se utilizan en el ámbito de la negociación de claves, incluye sus acrónimos habituales y aporta una definición e información del uso de cada término.
Tabla 17-1 Términos de negociación de claves, acrónimos y usos
|
El intercambio de fase 1 se conoce como modo principal. En el intercambio de fase 1, IKE utiliza métodos de cifrado de claves públicas para autenticarse con entidades IKE equivalentes. El resultado es una asociación de seguridad de Internet y una asociación de seguridad del protocolo de gestión de claves (ISAKMP). Una asociación de seguridad ISAKMP es un canal seguro para que IKE negocie el material de claves para los datagramas IP. A diferencia de las asociaciones de seguridad de IPsec, las asociaciones de seguridad de ISAKMP son bidireccionales, de modo que sólo se necesita una asociación de seguridad.
El modo en que IKE negocia el material de claves en el intercambio de la fase 1 es configurable. IKE lee la información de configuración del archivo /etc/inet/ike/config. La información de configuración incluye:
Parámetros globales, como los nombres de los certificados de claves públicas
Si se utiliza confidencialidad directa perfecta (PFS)
Las interfaces implicadas
Los protocolos de seguridad y sus algoritmos
El método de autenticación
Los dos métodos de autenticación son las claves previamente compartidas y los certificados de claves públicas. Los certificados de claves públicas pueden ser autofirmados. Los certificados también los puede emitir una autoridad de certificación desde una organización de infraestructuras de clave pública (PKI).
El intercambio de fase 2 se conoce como modo rápido (Quick). En el intercambio de fase 2, IKE crea y administra las asociaciones de seguridad de IPsec entre los sistemas que ejecutan el daemon de IKE. IKE utiliza el canal seguro creado en el intercambio de fase 1 para proteger la transmisión del material de claves. El daemon IKE crea las claves a partir de un generador de números aleatorio utilizando el dispositivo /dev/random. La velocidad a la que el daemon actualiza las claves se puede configurar. El material de claves está disponible para los algoritmos especificados en el archivo de configuración para la política IPsec, ipsecinit.conf.