Omitir Vínculos de navegación | |
Salir de la Vista de impresión | |
Protección de la red en Oracle Solaris 11.1 Oracle Solaris 11.1 Information Library (Español) |
1. Uso de protección de enlaces en entornos virtualizados
Descripción general de la protección de enlaces
Tipos de protección de enlaces
Configuración de la protección de enlaces (mapa de tareas)
Cómo activar la protección de enlaces
Cómo desactivar la protección de enlaces
Cómo especificar direcciones IP para ofrecer protección contra la falsificación de IP
Cómo especificar clientes DHCP para ofrecer protección contra la falsificación de DHCP
Como ver la configuración y las estadísticas de la protección de enlaces
3. Servidores web y el protocolo de capa de sockets seguros
4. Filtro IP en Oracle Solaris (descripción general)
6. Arquitectura de seguridad IP (descripción general)
7. Configuración de IPsec (tareas)
8. Arquitectura de seguridad IP (referencia)
9. Intercambio de claves de Internet (descripción general)
10. Configuración de IKE (tareas)
Para utilizar la protección de enlaces, debe establecer la propiedad protection del enlace. Si el tipo de protección funciona con otros archivos de configuración, como ip-nospoof con allowed-ips o dhcp-nospoof con allowed-dhcp-cids, debe realizar dos acciones generales. En primer lugar, debe activar la protección de enlaces. A continuación, debe personalizar el archivo de configuración para identificar otros paquetes que se pueden transferir.
Nota - Debe configurar la protección de enlaces en la zona global.
El siguiente mapa de tareas hace referencia a los procedimientos para configurar la protección de enlaces en un sistema Oracle Solaris.
|
Este procedimiento limita los tipos de paquetes salientes y evita la falsificación de enlaces.
Antes de empezar
Debe convertirse en un administrador que tiene asignado el perfil de derechos de seguridad de enlaces de red. Para obtener más información, consulte Cómo usar los derechos administrativos que tiene asignados de Administración de Oracle Solaris 11.1: servicios de seguridad.
# dladm show-linkprop -p protection LINK PROPERTY PERM VALUE DEFAULT POSSIBLE vnic0 protection rw -- -- mac-nospoof, restricted, ip-nospoof, dhcp-nospoof
Para obtener una descripción de los tipos posibles, consulte la página del comando man Tipos de protección de enlaces and the dladm(1M).
# dladm set-linkprop -p protection=value[,value,...] link
En el siguiente ejemplo, se activan los cuatro tipos de protección de enlaces en el enlace vnic0:
# dladm set-linkprop \ -p protection=mac-nospoof,restricted,ip-nospoof,dhcp-nospoof vnic0
# dladm show-linkprop -p protection vnic0 LINK PROPERTY PERM VALUE DEFAULT POSSIBLE vnic0 protection rw mac-nospoof -- mac-nospoof, restricted restricted, ip-nospoof ip-nospoof, dhcp-nospoof dhcp-nospoof
El tipo de protección de enlaces VALUE indica que la protección está activada.
Este procedimiento restablece la protección de enlaces al valor predeterminado: sin protección de enlaces.
Antes de empezar
Debe convertirse en un administrador que tiene asignado el perfil de derechos de seguridad de enlaces de red. Para obtener más información, consulte Cómo usar los derechos administrativos que tiene asignados de Administración de Oracle Solaris 11.1: servicios de seguridad.
# dladm reset-linkprop -p protection link
# dladm show-linkprop -p protection vnic0 LINK PROPERTY PERM VALUE DEFAULT POSSIBLE vnic0 protection rw -- -- mac-nospoof, restricted, ip-nospoof, dhcp-nospoof
Si no aparece ningún tipo de protección de enlaces debajo de VALUE, esto indica que la protección de enlaces está desactivada.
Antes de empezar
El tipo de protección ip-nospoof está activado, como se muestra en Cómo activar la protección de enlaces.
Debe convertirse en un administrador que tiene asignado el perfil de derechos de seguridad de enlaces de red. Para obtener más información, consulte Cómo usar los derechos administrativos que tiene asignados de Administración de Oracle Solaris 11.1: servicios de seguridad.
# dladm show-linkprop -p protection link LINK PROPERTY PERM VALUE DEFAULT POSSIBLE link protection rw ... ip-nospoof ip-nospoof
Si ip-nospoof aparece debajo de VALUE, esto indica que este tipo de protección está activado.
# dladm set-linkprop -p allowed-ips=IP-addr[,IP-addr,...] link
En el siguiente ejemplo, se muestra cómo agregar las direcciones IP 10.0.0.1 y 10.0.0.2 a la propiedad allowed-ips para el enlace vnic0:
# dladm set-linkprop -p allowed-ips=10.0.0.1,10.0.0.2 vnic0
Para obtener más información, consulte la página del comando man dladm(1M).
Antes de empezar
El tipo de protección dhcp-nospoof está activado, como se muestra en Cómo activar la protección de enlaces.
Debe convertirse en un administrador que tiene asignado el perfil de derechos de seguridad de enlaces de red. Para obtener más información, consulte Cómo usar los derechos administrativos que tiene asignados de Administración de Oracle Solaris 11.1: servicios de seguridad.
# dladm show-linkprop -p protection link LINK PROPERTY PERM VALUE DEFAULT POSSIBLE link protection rw ... dhcp-nospoof dhcp-nospoof
Si dhcp-nospoof aparece debajo de VALUE, esto indica que este tipo de protección está activado.
# dladm set-linkprop -p allowed-dhcp-cids=CID-or-DUID[,CID-or-DUID,...] link
En el siguiente ejemplo, se muestra cómo especificar la cadena hello como el valor de la propiedad allowed-dhcp-cids para el enlace vnic0:
# dladm set-linkprop -p allowed-dhcp-cids=hello vnic0
Para obtener más información, consulte la página del comando man dladm(1M).
Antes de empezar
Debe convertirse en un administrador que tiene asignado el perfil de derechos de seguridad de enlaces de red. Para obtener más información, consulte Cómo usar los derechos administrativos que tiene asignados de Administración de Oracle Solaris 11.1: servicios de seguridad.
# dladm show-linkprop -p protection,allowed-ips,allowed-dhcp-cids link
En el siguiente ejemplo, se muestran los valores de las propiedades protection, allowed-ips y allowed-dhcp-cids para el enlace vnic0:
# dladm show-linkprop -p protection,allowed-ips,allowed-dhcp-cids vnic0 LINK PROPERTY PERM VALUE DEFAULT POSSIBLE vnic0 protection rw mac-nospoof -- mac-nospoof, restricted restricted, ip-nospoof ip-nospoof, dhcp-nospoof dhcp-nospoof vnic0 allowed-ips rw 10.0.0.1, -- -- 10.0.0.2 vnic0 allowed-dhcp-cids rw hello -- --
Nota - La propiedad allowed-ips se utiliza únicamente si ip-nospoof está activado y enumerado debajo de VALUE. La propiedad allowed-dhcp-cids se utiliza únicamente si dhcp-nospoof está activado.
La salida del comando dlstat está confirmada, por lo tanto, este comando es adecuado para las secuencias de comandos.
# dlstat -A ... vnic0 mac_misc_stat multircv 0 brdcstrcv 0 multixmt 0 brdcstxmt 0 multircvbytes 0 bcstrcvbytes 0 multixmtbytes 0 bcstxmtbytes 0 txerrors 0 macspoofed 0 <---------- ipspoofed 0 <---------- dhcpspoofed 0 <---------- restricted 0 <---------- ipackets 3 rbytes 182 ...
La salida indica que ningún paquete falsificado ni restringido intentó pasar.
Puede utilizar el comando kstat, pero su salida no está confirmada. Por ejemplo, el comando siguiente busca las estadísticas dhcpspoofed:
# kstat vnic0:0:link:dhcpspoofed module: vnic0 instance: 0 name: link class: vnic dhcpspoofed 0
Para obtener más información, consulte las páginas del comando man dlstat(1M) y kstat(1M).