Omitir Vínculos de navegación | |
Salir de la Vista de impresión | |
Protección de la red en Oracle Solaris 11.1 Oracle Solaris 11.1 Information Library (Español) |
1. Uso de protección de enlaces en entornos virtualizados
3. Servidores web y el protocolo de capa de sockets seguros
4. Filtro IP en Oracle Solaris (descripción general)
6. Arquitectura de seguridad IP (descripción general)
7. Configuración de IPsec (tareas)
Protección del tráfico con IPsec
Cómo proteger el tráfico entre dos sistemas con IPsec
Cómo utilizar IPsec para proteger un servidor web del tráfico que no procede de Internet
Cómo visualizar las políticas de IPsec
Protección de una VPN con IPsec
Ejemplos de protección de una VPN con IPsec mediante el uso del modo de túnel
Descripción de la topología de red para la protección de una VPN por parte de las tareas de IPsec
Cómo proteger una VPN con IPsec en modo de túnel
Cómo crear manualmente claves IPsec
Cómo configurar una función para la seguridad de la red
8. Arquitectura de seguridad IP (referencia)
9. Intercambio de claves de Internet (descripción general)
10. Configuración de IKE (tareas)
El mapa de tareas siguiente hace referencia a las tareas que se pueden utilizar al gestionar IPsec.
|
El procedimiento siguiente proporciona el material de claves para el Paso 4 de Cómo proteger el tráfico entre dos sistemas con IPsec. Está generando claves para dos sistemas: partym y enigma. Se generan las claves en un sistema, y después se utilizan las teclas del primer sistema en ambos sistemas.
Antes de empezar
Debe estar en la zona global para gestionar manualmente el material de claves para una zona no global.
Debe asumir el rol root. Para obtener más información, consulte Cómo usar los derechos administrativos que tiene asignados de Administración de Oracle Solaris 11.1: servicios de seguridad.
Necesita tres números aleatorios hexadecimales para el tráfico saliente y tres para el tráfico entrante. Por tanto, un sistema necesita generar los siguientes números:
Dos números aleatorios hexadecimales como valor para la palabra clave spi. Un número es para el tráfico saliente. Otro es para el tráfico entrante. Cada número puede tener hasta ocho caracteres de longitud.
Dos números aleatorios hexadecimales para el algoritmo SHA-2 para AH. Cada número debe tener 512 caracteres de longitud. Un número es para dst enigma. Un número es para dst partym.
Dos números aleatorios hexadecimales para el algoritmo 3DES para ESP. Cada número debe tener 168 caracteres de longitud. Un número es para dst enigma. Un número es para dst partym.
Si dispone de un generador de números aleatorios en su sitio, utilícelo.
Utilice el comando pktool, como se muestra en Cómo generar una clave simétrica con el comando pktool de Administración de Oracle Solaris 11.1: servicios de seguridad y el ejemplo de IPsec en esa sección.
# ipseckeys - This file takes the file format documented in # ipseckey(1m). # Note that naming services might not be available when this file # loads, just like ipsecinit.conf. # # Backslashes indicate command continuation. # # for outbound packets on enigma add esp spi 0x8bcd1407 \ src 192.168.116.16 dst 192.168.13.213 \ encr_alg 3des \ auth_alg sha512 \ encrkey d41fb74470271826a8e7a80d343cc5aa... \ authkey e896f8df7f78d6cab36c94ccf293f031... # # for inbound packets add esp spi 0x122a43e4 \ src 192.168.13.213 dst 192.168.116.16 \ encr_alg 3des \ auth_alg sha512 \ encrkey dd325c5c137fb4739a55c9b3a1747baa... \ authkey ad9ced7ad5f255c9a8605fba5eb4d2fd...
# chmod 400 /etc/inet/secret/ipseckeys
# ipseckey -c -f /etc/inet/secret/ipseckeys
Nota - El material de claves de los dos sistemas debe ser idéntico.
# svcadm enable svc:/network/ipsec/manual-key:default
# svcadm refresh ipsec/manual-key
Pasos siguientes
Si no terminó de establecer la política IPsec, regrese al procedimiento IPsec para activar o refrescar la política IPsec.
Si está utilizando la función de acceso basado en roles (RBAC) de Oracle Solaris para administrar los sistemas, siga este procedimiento para proporcionar un rol de gestión de red o de seguridad de red.
Antes de empezar
Debe asumir el rol root para crear y asignar un rol. Los usuarios normales pueden enumerar y ver el contenido de los perfiles de derechos disponibles.
% getent prof_attr | grep Network | more Console User:RO::Manage System as the Console User... Network Management:RO::Manage the host and network configuration... Network Autoconf Admin:RO::Manage Network Auto-Magic configuration via nwamd... Network Autoconf User:RO::Network Auto-Magic User... Network ILB:RO::Manage ILB configuration via ilbadm... Network LLDP:RO::Manage LLDP agents via lldpadm... Network VRRP:RO::Manage VRRP instances... Network Observability:RO::Allow access to observability devices... Network Security:RO::Manage network and host security...:profiles=Network Wifi Security,Network Link Security,Network IPsec Management... Network Wifi Management:RO::Manage wifi network configuration... Network Wifi Security:RO::Manage wifi network security... Network Link Security:RO::Manage network link security... Network IPsec Management:RO::Manage IPsec and IKE... System Administrator:RO::Can perform most non-security administrative tasks: profiles=...Network Management... Information Security:RO::Maintains MAC and DAC security policies: profiles=...Network Security...
El perfil de administración de red es un perfil complementario del perfil de administrador de sistemas. Si ha incluido el perfil de derechos de administrador de sistemas en un rol, dicho rol podrá ejecutar los comandos del perfil de administración de red.
% getent exec_attr | grep "Network Management" ... Network Management:solaris:cmd:::/sbin/dlstat:euid=dladm;egid=sys ... Network Management:solaris:cmd:::/usr/sbin/snoop:privs=net_observability Network Management:solaris:cmd:::/usr/sbin/spray:euid=0 ...
Utilice las definiciones de los perfiles de derechos en el Paso 1 para guiar la decisión.
Para crear una función que administre toda la seguridad de la red, utilice el perfil de derechos de la seguridad de la red.
Para crear un rol que gestione sólo IPsec e IKE, utilice el perfil de derechos de gestión de IPsec de red.
Un rol con el perfil derechos de seguridad de la red o el perfil de derechos de gestión de IPsec de red, además del perfil de gestión de red, puede ejecutar los comandos ipadm, ipseckey y snoop, entre otros, con privilegios adecuados.
Para crear el rol, asigne el rol a un usuario y registre los cambios con el servicio de nombres, consulte Configuración inicial de RBAC (mapa de tareas) de Administración de Oracle Solaris 11.1: servicios de seguridad.
Ejemplo 7-4 División de responsabilidades de seguridad de la red entre las funciones
En este ejemplo, el administrador divide las responsabilidades de seguridad de la red entre dos funciones. Un rol administra la seguridad de enlaces y WI-FI, y otro rol administra IPsec e IKE. Cada función está asignada a tres personas, una por turno.
El administrador crea las funciones como se indica a continuación:
El administrador asigna el nombre de LinkWifi a la primera función.
El administrador asigna los perfiles de derechos wifi de red, seguridad de vínculos de red y gestión de red a la función.
A continuación, el administrador asigna la función LinkWifi a los usuarios pertinentes.
El administrador asigna el nombre de IPsec Administrator a la segunda función.
El administrador asigna los perfiles de derechos de gestión de red IPsec y de gestión de red a la función.
A continuación, el administrador asigna la función de administrador de IPsec a los usuarios pertinentes.
Los siguientes pasos ofrecen los usos más probables de los servicios SMF para IPsec, IKE y la gestión manual de claves. De manera predeterminada, los servicios policy e ipsecalgs están activados. También por defecto, los servicios ike y manual-key están desactivados.
Antes de empezar
Debe asumir el rol root. Para obtener más información, consulte Cómo usar los derechos administrativos que tiene asignados de Administración de Oracle Solaris 11.1: servicios de seguridad.
# svcadm refresh svc:/network/ipsec/policy
# svccfg -s policy setprop config/config_file=/etc/inet/MyIpsecinit.conf # svccfg -s policy listprop config/config_file config/config_file astring /etc/inet/MyIpsecinit.conf # svcadm refresh svc:/network/ipsec/policy # svcadm restart svc:/network/ipsec/policy
# svcadm enable svc:/network/ipsec/ike
# svcadm restart svc:/network/ipsec/ike:default
# svccfg -s ike setprop config/admin_privilege = astring: "modkeys" # svccfg -s ike listprop config/admin_privilege config/admin_privilege astring modkeys # svcadm refresh svc:/network/ipsec/ike # svcadm restart svc:/network/ipsec/ike
# svcadm disable svc:/network/ipsec/ike
# svcadm enable svc:/network/ipsec/manual-key:default
# svcadm refresh manual-key
# svccfg -s manual-key setprop config/config_file=/etc/inet/secret/MyIpseckeyfile # svccfg -s manual-key listprop config/config_file config/config_file astring /etc/inet/secret/MyIpseckeyfile # svcadm refresh svc:/network/ipsec/manual-key # svcadm restart svc:/network/ipsec/manual-key
# svcadm disable svc:/network/ipsec/manual-key
# svcadm refresh svc:/network/ipsec/ipsecalgs
Errores más frecuentes
Utilice el comando svcs service para buscar el estado de un servicio. Si el servicio está en el modo maintenance, siga las sugerencias de depuración en la salida del comando svcs -x servicio.
Para verificar que los paquetes estén protegidos, pruebe la conexión con el comando snoop. Los prefijos siguientes pueden aparecer en el resultado de snoop:
AH: prefijo que indica que AH está protegiendo los encabezados. El prefijo AH: aparece si se utiliza auth_alg para proteger el tráfico.
ESP: prefijo que indica que se están enviando los datos cifrados. ESP: aparece si se utiliza encr_auth_alg o encr_alg para proteger el tráfico.
Antes de empezar
Para poder probar la conexión, es preciso tener acceso a ambos sistemas.
Debe asumir el rol root para crear la salida snoop. Para obtener más información, consulte Cómo usar los derechos administrativos que tiene asignados de Administración de Oracle Solaris 11.1: servicios de seguridad.
% su - Password: Type root password #
En una ventana de terminal en partym, busque los paquetes desde el sistema enigma.
# snoop -d net0 -v enigma Using device /dev/bge (promiscuous mode)
En otra ventana de terminal, inicie sesión remotamente en el sistema enigma. Facilite su contraseña. A continuación, asuma el rol root y envíe un paquete del sistema enigma al sistema partym. El paquete debe capturarse mediante el comando snoop -v enigma.
% ssh enigma Password: Type your password % su - Password: Type root password # ping partym
En el sistema partym, debería ver el resultado que incluye la información de AH y ESP tras la información de encabezado IP inicial. Aparecerá información de AH y ESP que muestra que se están protegiendo los paquetes:
IP: Time to live = 64 seconds/hops IP: Protocol = 51 (AH) IP: Header checksum = 4e0e IP: Source address = 192.168.116.16, enigma IP: Destination address = 192.168.13.213, partym IP: No options IP: AH: ----- Authentication Header ----- AH: AH: Next header = 50 (ESP) AH: AH length = 4 (24 bytes) AH: <Reserved field = 0x0> AH: SPI = 0xb3a8d714 AH: Replay = 52 AH: ICV = c653901433ef5a7d77c76eaa AH: ESP: ----- Encapsulating Security Payload ----- ESP: ESP: SPI = 0xd4f40a61 ESP: Replay = 52 ESP: ....ENCRYPTED DATA.... ETHER: ----- Ether Header ----- ...