JavaScript is required to for searching.
Omitir Vínculos de navegación
Salir de la Vista de impresión
Protección de la red en Oracle Solaris 11.1     Oracle Solaris 11.1 Information Library (Español)
search filter icon
search icon

Información del documento

Prefacio

1.  Uso de protección de enlaces en entornos virtualizados

2.  Ajuste de red (tareas)

3.  Servidores web y el protocolo de capa de sockets seguros

4.  Filtro IP en Oracle Solaris (descripción general)

5.  Filtro IP (tareas)

6.  Arquitectura de seguridad IP (descripción general)

7.  Configuración de IPsec (tareas)

8.  Arquitectura de seguridad IP (referencia)

9.  Intercambio de claves de Internet (descripción general)

Gestión de claves con IKE

Negociación de claves IKE

Terminología de claves IKE

Intercambio de IKE de fase 1

Intercambio de IKE de fase 2

Opciones de configuración de IKE

IKE con autenticación de claves previamente compartidas

IKE con certificados de claves públicas

Archivos y utilidades IKE

10.  Configuración de IKE (tareas)

11.  Intercambio de claves de Internet (referencia)

Glosario

Índice

Opciones de configuración de IKE

El archivo de configuración /etc/inet/ike/config contiene entradas de política IKE. Para que dos daemons IKE se autentiquen entre sí, las entradas deben ser válidas. Además, el material de claves debe estar disponible. Las entradas del archivo de configuración determinan el método para utilizar el material de claves para autenticar el intercambio de fase 1. Las opciones son las claves previamente compartidas o los certificados de claves públicas.

La entrada auth_method preshared indica que se utilizan claves previamente compartidas. Los valores de auth_method que no sean preshared indican que se deben utilizar certificados de claves públicas. Los certificados de claves públicas pueden ser autofirmados o instalarse desde una organización de PKI. Para más información, consulte la página del comando man ike.config(4).

IKE con autenticación de claves previamente compartidas

Las claves previamente compartidas se utilizan para autenticar dos o más sistemas equivalentes. La clave previamente compartida es un número hexadecimal o una cadena ASCII creada por un administrador en un sistema. La clave se comparte fuera de banda y de manera segura con administradores de sistemas equivalentes. Si la clave previamente compartida es interceptada por un adversario, es posible que dicho adversario pueda suplantar uno de los sistemas equivalentes.

La clave previamente compartida en los sistemas equivalentes que usan este método de autenticación debe ser idéntica. Las claves están vinculadas a una dirección IP específica o a un rango de direcciones. Las claves se colocan en el archivo /etc/inet/secret/ike.preshared de cada sistema.

Para obtener más información, consulte la página del comando man ike.preshared(4).

IKE con certificados de claves públicas

Los certificados de claves públicas acaban con la necesidad de que los sistemas que se comunican compartan el material de claves secreto fuera de banda. Las claves públicas utilizan el Algoritmo Diffie-Hellman (DH) para autenticar y negociar claves. Existen dos tipos de certificados de claves públicas. Los certificados pueden ser autofirmados o certificados por una autoridad de certificación.

Los certificados de claves públicas autofirmadas los crea el administrador. El comando ikecert certlocal -ks crea la parte privada del par de claves pública-privada para el sistema. A continuación se obtiene el resultado del certificado autofirmado en formato X.509 del sistema remoto. El certificado del sistema remoto se incluye en el comando ikecert certdb para la parte pública del par de claves. Los certificados autofirmados se encuentran en el directorio /etc/inet/ike/publickeys de los sistemas que se comunican. Cuando se utiliza la opción -T, los certificados residen en el hardware conectado.

Los certificados autofirmados son un punto intermedio entre las claves previamente compartidas y las autoridades de certificación. A diferencia de las claves previamente compartidas, un certificado autofirmado se puede utilizar en un equipo portátil o en un sistema cuya numeración podría cambiar. Para autofirmar un certificado para un sistema sin un número fijo, utilice un nombre alternativo DNS (www.example.org ) o email (root@domain.org).

Las claves públicas se pueden entregar mediante PKI o una organización de autoridad de certificación. Las claves públicas y sus autoridades de certificación pertinentes se instalan en el directorio /etc/inet/ike/publickeys. Cuando se utiliza la opción -T, los certificados residen en el hardware conectado. Los proveedores también emiten listas de revocación de certificados (CRL). Junto con la instalación de las claves y las autoridades de certificación, debe instalar la CRL en el directorio /etc/inet/ike/crls.

Las autoridades de certificación tienen la ventaja de estar certificadas por una organización exterior, en lugar del administrador del sitio. En cierto modo, las autoridades de certificación son certificados autorizados. Al igual que ocurre con los certificados autofirmados, las autoridades de certificación se pueden utilizar en un equipo portátil o en un sistema cuya numeración podría cambiar. A diferencia de los certificados autofirmados, las autoridades de certificación se pueden escalar muy fácilmente para proteger una gran cantidad de sistemas que se comunican.