Omitir V�nculos de navegaci�n | |
Salir de la Vista de impresi�n | |
Administración de Oracle Solaris: servicios IP Oracle Solaris 11 Information Library (Español) |
Parte I Administración de TCP/IP
1. Planificación de la implementación de red
2. Consideraciones para el uso de direcciones IPv6
3. Configuración de una red IPv4
4. Habilitación de IPv6 en una red
5. Administración de una red TCP/IP
6. Configuración de túneles IP
7. Resolución de problemas de red
10. Acerca de DHCP (descripción general)
11. Administración del servicio DHCP de ISC
12. Configuración y administración del cliente DHCP
13. Comandos y archivos DHCP (referencia)
14. Arquitectura de seguridad IP (descripción general)
Asociaciones de seguridad IPsec
Mecanismos de protección de IPsec
Carga de seguridad encapsuladora
Consideraciones de seguridad para el uso de AH y ESP
Algoritmos de autenticación y cifrado en IPsec
Algoritmos de autenticación en IPsec
Algoritmos de cifrado en IPsec
Modos de transporte y túnel en IPsec
Redes privadas virtuales e IPsec
IPsec y zonas de Oracle Solaris
15. Configuración de IPsec (tareas)
16. Arquitectura de seguridad IP (referencia)
17. Intercambio de claves de Internet (descripción general)
18. Configuración de IKE (tareas)
19. Intercambio de claves de Internet (referencia)
20. Filtro IP en Oracle Solaris (descripción general)
22. Descripción general del equilibrador de carga integrado
23. Configuración del equilibrador de carga integrado (tareas)
24. Protocolo de redundancia de enrutador virtual (descripción general)
25. Configuración VRRP (tareas)
26. Implementación del control de congestión
Parte V Calidad de servicio IP (IPQoS)
27. Introducción a IPQoS (descripción general)
28. Planificación para una red con IPQoS (tareas)
29. Creación del archivo de configuración IPQoS (tareas)
30. Inicio y mantenimiento de IPQoS (tareas)
31. Uso de control de flujo y recopilación de estadísticas (tareas)
IPsec protege los paquetes IP autenticándolos, cifrándolos o llevando a cabo ambas acciones. IPsec se realiza dentro del módulo IP. Por tanto, una aplicación de Internet puede aprovechar IPsec aunque no esté configurada para el uso de IPsec. Cuando se utiliza correctamente, la política IPsec es una herramienta eficaz para proteger el tráfico de la red.
La protección IPsec incluye los siguientes componentes principales:
Protocolos de seguridad: mecanismo de protección de datagramas IP. El encabezado de autenticación (AH) incluye un hash del paquete IP y garantiza la integridad. El contenido del datagrama no está cifrado, pero el receptor tiene la seguridad de que el contenido del paquete no se ha modificado. El receptor también tiene la garantía de que los paquetes los ha enviado el remitente. La carga de seguridad encapsuladora (ESP) cifra los datos IP, con lo cual codifica el contenido durante la transmisión de paquetes. ESP también puede garantizar la integridad de los datos mediante una opción de algoritmo de autenticación.
Asociaciones de seguridad (SA): los parámetros criptográficos y el protocolo de seguridad IP, aplicados a un flujo de tráfico de red específico. Cada SA tiene una referencia exclusiva denominada índice de parámetros de seguridad (SPI).
Base de datos de asociaciones de seguridad (SADB): la base de datos que asocia un protocolo de seguridad con una dirección de destino IP y un número de índice. El número de índice se denomina índice de parámetros de seguridad. Estos tres elementos (el protocolo de seguridad, la dirección de destino y el SPI) identifican de forma exclusiva a un paquete IPsec legítimo. La base de datos garantiza que el receptor reconozca un paquete protegido que llega a su destino. El receptor también utiliza información de la base de datos para descifrar la comunicación, verificar que los paquetes no se hayan modificado, volver a ensamblar los paquetes y entregarlos en su destino final.
Gestión de claves: la generación y distribución de claves para los algoritmos criptográficos y SPI.
Mecanismos de seguridad: los algoritmos de autenticación y cifrado que protegen los datos de los datagramas IP.
Base de datos de políticas de seguridad (SPD): la base de datos que especifica el nivel de protección que se aplica a un paquete. SPD filtra el tráfico IP para determinar el modo en que se deben procesar los paquetes. Un paquete puede descartarse, transferirse sin codificar o protegerse con IPsec. Para los paquetes salientes, SPD y SADB determinan el nivel de protección que se aplicará. Para los paquetes entrantes, SPD permite determinar si el nivel de protección del paquete es aceptable. Si el paquete se protege con IPsec, SPD se consulta una vez descifrado y verificado el paquete.
IPsec aplica los mecanismos de seguridad a los datagramas IP que se transfieren a la dirección de destino IP. El receptor utiliza la información de SADB para comprobar que los paquetes que llegan sean legítimos y descifrarlos. Las aplicaciones pueden invocar IPsec para aplicar mecanismos de seguridad a los datagramas IP por socket también.
Si el socket de un puerto está conectado y, posteriormente, se aplica la política IPsec a ese puerto, el tráfico que utiliza ese socket no está protegido mediante IPsec. Naturalmente, un socket abierto en un puerto después de la aplicación de la política IPsec en el puerto está protegido con IPsec.
Internet Engineering Task Force (IETF) ha publicado una serie de solicitudes de comentarios (RFC) que describen la arquitectura de seguridad para la capa IP. Todas las RFC tienen copyright de la Sociedad de Internet. Encontrará un vínculo a las RFC en la página http://www.ietf.org/. La siguiente lista de RFC incluye referencias de seguridad IP generales:
RFC 2411, “IP Security Document Roadmap” (Documentos de seguridad IP), noviembre de 1998
RFC 2401, “Security Architecture for the Internet Protocol” (Arquitectura de seguridad para el protocolo de Internet), noviembre de 1998
RFC 2402, “IP Authentication Header” (Encabezado de autenticación IP), noviembre de 1998
RFC 2406, “IP Encapsulating Security Payload (ESP)” (Carga de seguridad encapsuladora de IP [ESP]), noviembre de 1998
RFC 2408, “Internet Security Association and Key Management Protocol (ISAKMP)” (protocolo de gestión de claves y asociaciones de seguridad de Internet [ISAKMP]), noviembre de 1998
RFC 2407, "The Internet IP Security Domain of Interpretation for ISAKMP" (El dominio de interpretación de seguridad de IP de Internet para ISAKMP), noviembre de 1998
RFC 2409, “The Internet Key Exchange (IKE)” (Intercambio de claves de Internet [KIE]), noviembre de 1998
RFC 3554, “On the Use of Stream Control Transmission Protocol (SCTP) with IPsec” (Sobre el uso del protocolo de transmisión para el control de flujo con IPsec), julio de 2003
Las RFC IPsec definen una serie de términos útiles para determinar cuándo debe implementar IPsec en los sistemas. La tabla siguiente enumera los términos de IPsec, proporciona sus acrónimos habituales y aporta una definición. Para ver una lista de la terminología que se utiliza en la negociación de claves, consulte la Tabla 17-1.
Tabla 14-1 Términos, acrónimos y usos de IPsec
|