Omitir Vínculos de navegación | |
Salir de la Vista de impresión | |
Protección de la red en Oracle Solaris 11.1 Oracle Solaris 11.1 Information Library (Español) |
1. Uso de protección de enlaces en entornos virtualizados
3. Servidores web y el protocolo de capa de sockets seguros
4. Filtro IP en Oracle Solaris (descripción general)
6. Arquitectura de seguridad IP (descripción general)
7. Configuración de IPsec (tareas)
Protección del tráfico con IPsec
Cómo proteger el tráfico entre dos sistemas con IPsec
Cómo utilizar IPsec para proteger un servidor web del tráfico que no procede de Internet
Protección de una VPN con IPsec
Ejemplos de protección de una VPN con IPsec mediante el uso del modo de túnel
Descripción de la topología de red para la protección de una VPN por parte de las tareas de IPsec
Cómo proteger una VPN con IPsec en modo de túnel
Cómo crear manualmente claves IPsec
Cómo configurar una función para la seguridad de la red
Cómo gestionar servicios IPsec e IKE
Cómo verificar que los paquetes estén protegidos con IPsec
8. Arquitectura de seguridad IP (referencia)
9. Intercambio de claves de Internet (descripción general)
10. Configuración de IKE (tareas)
En esta sección se describen los procedimientos que permiten proteger un servidor web y el tráfico entre dos sistemas. Para proteger una VPN, consulte Protección de una VPN con IPsec. Para conocer los procedimientos adicionales para gestionar IPsec y utilizar comandos SMF con IPsec e IKE, consulte Gestión de IPsec e IKE.
La información siguiente se aplica a todas las tareas de configuración de IPsec:
IPsec y zones: para administrar la política IPsec y las claves para una zona no global IP compartida, cree el archivo de política IPsec en la zona global y ejecute los comandos de configuración de IPsec desde la zona global. Utilice la dirección de origen que corresponda a la zona no global que se esté configurando. Para una zona de IP exclusiva, configure la política IPsec en la zona no global.
IPsec y RBAC: para usar roles para administrar IPsec, consulte el Capítulo 9, Uso del control de acceso basado en roles (tareas) de Administración de Oracle Solaris 11.1: servicios de seguridad. Si desea ver un ejemplo, consulte Cómo configurar una función para la seguridad de la red.
IPsec y SCTP:IPsec se puede utilizar para proteger las asociaciones SCTP (Streams Control Transmission Protocol), pero debe hacerse con precaución. Para obtener más información, consulte IPsec y SCTP.
IPsec y etiquetas Trusted Extensions: En sistemas configurados con la función Trusted Extensions de Oracle Solaris, se pueden agregar etiquetas a paquetes IPsec. Para obtener más información, consulte Administración de IPsec con etiquetas de Configuración y administración de Trusted Extensions.
Direcciones IPv4 e IPv6: en los ejemplos de IPsec de esta guía, se utilizan direcciones IPv4. Oracle Solaris también admite direcciones IPv6. Para configurar IPsec para una red IPv6, sustituya las direcciones IPv6 en los ejemplos. Al proteger túneles con IPsec, puede combinar direcciones IPv4 e IPv6 para las direcciones internas y externas. Esta configuración permite establecer un túnel para IPv6 en una red IPv4, por ejemplo.
El siguiente mapa de tareas hace referencia a los procedimientos que configuran IPsec entre uno o más sistemas. En las secciones de ejemplo correspondientes de las páginas del comando man ipsecconf(1M), ipseckey(1M) y ipadm(1M), también se describen procedimientos útiles.
|
Este procedimiento presupone la siguiente configuración:
Los dos sistemas se denominan enigma y partym.
Cada sistema tiene una dirección IP. Ésta puede ser una dirección IPv4, una dirección IPv6 o ambas.
Cada sistema requiere cifrado ESP con el algoritmo AES, el cual requiere una clave de 128 bits, y autenticación ESP con un resumen de mensajes SHA-2, el cual requiere una clave de 512 bits.
Cada sistema utiliza asociaciones de seguridad compartidas.
Con las asociaciones de seguridad (SA) compartidas, sólo se necesita un par de SA para proteger los dos sistemas.
Nota - Para utilizar IPsec con etiquetas en un sistema Trusted Extensions, consulte la extensión de este procedimiento en Cómo aplicar las protecciones IPsec en una red de Trusted Extensions de varios niveles de Configuración y administración de Trusted Extensions.
Antes de empezar
La política IPsec se puede configurar en la zona global o en una zona de pila IP exclusiva. La política para una zona de pila IP compartida se debe configurar en la zona global. Para una zona de IP exclusiva, configure la política IPsec en la zona no global.
Para ejecutar los comandos de configuración, debe convertirse en un administrador que tiene asignado el perfil de derechos de gestión de IPsec de red. Para editar archivos de sistema y crear claves, debe asumir el rol root. Para obtener más información, consulte Cómo usar los derechos administrativos que tiene asignados de Administración de Oracle Solaris 11.1: servicios de seguridad.
Si inicia sesión de manera remota, utilice el comando ssh para un inicio de sesión remoto seguro. Si desea ver un ejemplo, consulte el Ejemplo 7-1.
Este paso permite que la utilidad de gestión de servicios (SMF) utilice los nombres del sistema sin depender de servicios de nombres no existentes. Para obtener más información, consulte la página del comando man smf(5).
# Secure communication with enigma 192.168.116.16 enigma
# Secure communication with partym 192.168.13.213 partym
El nombre de archivo es /etc/inet/ipsecinit.conf. Para ver un ejemplo, consulte el archivo /etc/inet/ipsecinit.sample.
{laddr enigma raddr partym} ipsec {encr_algs aes encr_auth_algs sha512 sa shared}
{laddr partym raddr enigma} ipsec {encr_algs aes encr_auth_algs sha512 sa shared}
Para ver la sintaxis de las entradas de la política IPsec, consulte la página del comando man ipsecconf(1M).
Configure IKE siguiendo uno de los métodos de configuración de Configuración de IKE (mapa de tareas). Para ver la sintaxis del archivo de configuración de IKE, consulte la página del comando man ike.config(4).
Nota - Si debe generar y mantener las claves de forma manual, consulte Cómo crear manualmente claves IPsec.
# ipsecconf -f -c /etc/inet/ipsecinit.conf
Subsane los posibles errores, compruebe la sintaxis del archivo y continúe.
# svcadm refresh svc:/network/ipsec/policy:default
La política IPsec está activada de forma predeterminada, por lo que puede actualizarla. Si ha desactivado la política IPsec, actívela.
# svcadm enable svc:/network/ipsec/policy:default
# svcadm enable svc:/network/ipsec/ike:default
# svcadm restart svc:/network/ipsec/ike:default
Si configuró manualmente las claves en el Paso 4, complete Cómo crear manualmente claves IPsec para activar las claves.
Para ver el procedimiento, consulte Cómo verificar que los paquetes estén protegidos con IPsec.
Ejemplo 7-1 Agregación de políticas IPsec al utilizar una conexión ssh
En este ejemplo, el administrador con el rol root configura las claves y la política IPsec en dos sistemas con el comando ssh para llegar al segundo sistema. El administrador se define de manera idéntica en ambos sistemas. Para obtener más información, consulte la página del comando man ssh(1).
En primer lugar, el administrador realiza del Paso 1 al Paso 5 del procedimiento anterior para configurar el primer sistema.
Luego, en una ventana de terminal diferente, el administrador utiliza el nombre de usuario y el identificador definidos idénticamente para iniciar sesión de manera remota con el comando ssh.
local-system $ ssh -l jdoe other-system other-system $ su - root Enter password: other-system #
En la ventana de terminal de la sesión ssh, el administrador configura la política IPsec y las claves del segundo sistema; para ello, completa del Paso 1 al Paso 7.
A continuación, el administrador termina la sesión ssh.
other-system # exit local-system $ exit
Por último, el administrador completa el Paso 6 y el Paso 7 para activar la política IPsec en el primer sistema.
La próxima ocasión que los dos sistemas se comunican, incluida la conexión ssh, la comunicación queda protegida por IPsec.
Un servidor web seguro permite a los clientes web comunicarse con el servicio web. En un servidor web seguro, el tráfico que no sea de la red debe someterse a comprobaciones de seguridad. El siguiente procedimiento incluye las omisiones del tráfico de red. Además, este servidor web puede realizar solicitudes de clientes DNS no seguras. El resto del tráfico requiere ESP con los algoritmos AES y SHA-2.
Antes de empezar
Debe encontrarse en la zona global para poder configurar la política IPsec. Para una zona de IP exclusiva, configure la política IPsec en la zona no global.
Ha completado Cómo proteger el tráfico entre dos sistemas con IPsec para que se apliquen las condiciones siguientes:
Que la comunicación entre los dos sistemas esté protegida por IPsec.
Que se esté generando material de claves mediante IKE.
Que haya comprobado que los paquetes se estén protegiendo.
Para ejecutar los comandos de configuración, debe convertirse en un administrador que tiene asignado el perfil de derechos de gestión de IPsec de red. Para editar archivos del sistema, debe asumir el rol root. Para obtener más información, consulte Cómo usar los derechos administrativos que tiene asignados de Administración de Oracle Solaris 11.1: servicios de seguridad.
Si inicia sesión de manera remota, utilice el comando ssh para un inicio de sesión remoto seguro. Si desea ver un ejemplo, consulte el Ejemplo 7-1.
En el caso de un servidor web, estos servicios incluyen los puertos TCP 80 (HTTP) y 443 (HTTP seguro). Si el servidor web proporciona consultas de nombres DNS, el servidor también podría incluir el puerto 53 tanto para TCP como para UDP.
Agregue las líneas siguientes al archivo /etc/inet/ipsecinit.conf:
# Web traffic that web server should bypass. {lport 80 ulp tcp dir both} bypass {} {lport 443 ulp tcp dir both} bypass {} # Outbound DNS lookups should also be bypassed. {rport 53 dir both} bypass {} # Require all other traffic to use ESP with AES and SHA-2. # Use a unique SA for outbound traffic from the port {} ipsec {encr_algs aes encr_auth_algs sha512 sa shared}
Esta configuración sólo permite que el tráfico seguro acceda al sistema, con las excepciones de omisión que se describen en el Paso 1.
# ipsecconf -f -c /etc/inet/ipsecinit.conf
# svcadm refresh svc:/network/ipsec/policy:default
Reinicie el servicio ike.
# svcadm restart svc:/network/ipsec/ike
Si debe generar y mantener las claves de forma manual, siga las instrucciones de Cómo crear manualmente claves IPsec.
La configuración se ha completado. Si lo desea, puede llevar a cabo el Paso 6.
Agregue las siguientes líneas al archivo /etc/inet/ipsecinit.conf de un sistema remoto:
# Communicate with web server about nonweb stuff # {laddr webserver} ipsec {encr_algs aes encr_auth_algs sha512 sa shared}
Verifique la sintaxis y, luego, refresque la política IPsec para activarla.
remote-system # ipsecconf -f -c /etc/inet/ipsecinit.conf remote-system # svcadm refresh svc:/network/ipsec/policy:default
Un sistema remoto puede comunicarse de forma segura con el servidor web para tráfico que no sea de web sólo cuando las políticas IPsec del sistema coinciden.
Puede ver las políticas configuradas en el sistema ejecutando el comando ipsecconf sin argumentos.
Antes de empezar
Debe ejecutar el comando ipsecconf en la zona global. Para una zona de IP exclusiva, ejecute el comando ipsecconf en la zona no global.
Debe convertirse en un administrador que tiene asignado el perfil de derechos de gestión de IPsec de red. Para obtener más información, consulte Cómo usar los derechos administrativos que tiene asignados de Administración de Oracle Solaris 11.1: servicios de seguridad.
$ ipsecconf
El comando muestra cada entrada con un índice, seguida de un número.
$ ipsecconf -l -n
$ ipsecconf -L -n