Omitir Vínculos de navegación | |
Salir de la Vista de impresión | |
Protección de la red en Oracle Solaris 11.1 Oracle Solaris 11.1 Information Library (Español) |
1. Uso de protección de enlaces en entornos virtualizados
Configuración de red (mapa de tareas)
Cómo desactivar el daemon de enrutamiento de red
Cómo desactivar el reenvío de paquetes de difusión
Cómo desactivar las respuestas a las solicitudes de eco
Cómo establecer la función estricta de hosts múltiples
Cómo definir el número máximo de conexiones TCP incompletas
Cómo definir el número máximo de conexiones TCP pendientes
Cómo especificar un número aleatorio fuerte para la conexión TCP inicial
Cómo evitar redirecciones de ICMP
Cómo restablecer los parámetros de red para proteger valores
3. Servidores web y el protocolo de capa de sockets seguros
4. Filtro IP en Oracle Solaris (descripción general)
6. Arquitectura de seguridad IP (descripción general)
7. Configuración de IPsec (tareas)
8. Arquitectura de seguridad IP (referencia)
9. Intercambio de claves de Internet (descripción general)
10. Configuración de IKE (tareas)
|
Utilice este procedimiento para impedir el enrutamiento de red después de la instalación mediante la especificación de un enrutador predeterminado. De lo contrario, lleve a cabo este procedimiento después de configurar manualmente la ruta.
Nota - Muchos de los procedimientos de configuración de red requieren que el daemon de enrutamiento se desactive. Por lo tanto, puede que haya desactivado este daemon durante la ejecución de un procedimiento de configuración mayor.
Antes de empezar
Debe convertirse en un administrador que tiene asignado el perfil de derechos de gestión de red. Para obtener más información, consulte Cómo usar los derechos administrativos que tiene asignados de Administración de Oracle Solaris 11.1: servicios de seguridad.
# svcs -x svc:/network/routing/route:default svc:/network/routing/route:default (in.routed network routing daemon) State: online since April 10, 2011 05:15:35 AM PDT See: in.routed(1M) See: /var/svc/log/network-routing-route:default.log Impact: None.
Si el servicio no se está ejecutando, puede detenerse aquí.
# routeadm -d ipv4-forwarding -d ipv6-forwarding # routeadm -d ipv4-routing -d ipv6-routing # routeadm -u
# svcs -x routing/route:default svc:/network/routing/route:default (in.routed network routing daemon) State: disabled since April 11, 2011 10:10:10 AM PDT Reason: Disabled by an administrator. See: http://support.oracle.com/msg/SMF-8000-05 See: in.routed(1M) Impact: This service is not running.
Véase también
Página del comando man routeadm(1M)
De manera predeterminada, Oracle Solaris reenvía los paquetes de difusión. Si la política de seguridad de su sitio requiere que se reduzca la posibilidad de desborde de difusión, cambie el valor predeterminado mediante este procedimiento.
Nota - Cuando desactiva la propiedad de red _forward_directed_broadcasts, se desactivan los pings de difusión.
Antes de empezar
Debe convertirse en un administrador que tiene asignado el perfil de derechos de gestión de red. Para obtener más información, consulte Cómo usar los derechos administrativos que tiene asignados de Administración de Oracle Solaris 11.1: servicios de seguridad.
# ipadm set-prop -p _forward_directed_broadcasts=0 ip
# ipadm show-prop -p _forward_directed_broadcasts ip PROTO PROPERTY PERM CURRENT PERSISTENT DEFAULT POSSIBLE ip _forward_directed_broadcasts rw 0 -- 0 0,1
Véase también
Página del comando man ipadm(1M)
Utilice este procedimiento para impedir la difusión de información sobre la topología de la red.
Antes de empezar
Debe convertirse en un administrador que tiene asignado el perfil de derechos de gestión de red. Para obtener más información, consulte Cómo usar los derechos administrativos que tiene asignados de Administración de Oracle Solaris 11.1: servicios de seguridad.
# ipadm set-prop -p _respond_to_echo_broadcast=0 ip # ipadm show-prop -p _respond_to_echo_broadcast ip PROTO PROPERTY PERM CURRENT PERSISTENT DEFAULT POSSIBLE ip _respond_to_echo_broadcast rw 0 -- 1 0,1
# ipadm set-prop -p _respond_to_echo_multicast=0 ipv4 # ipadm set-prop -p _respond_to_echo_multicast=0 ipv6 # ipadm show-prop -p _respond_to_echo_multicast ipv4 PROTO PROPERTY PERM CURRENT PERSISTENT DEFAULT POSSIBLE ipv4 _respond_to_echo_multicast rw 0 -- 1 0,1 # ipadm show-prop -p _respond_to_echo_multicast ipv6 PROTO PROPERTY PERM CURRENT PERSISTENT DEFAULT POSSIBLE ipv6 _respond_to_echo_multicast rw 0 -- 1 0,1
Véase también
Para obtener más información, consulte _respond_to_echo_broadcast y _respond_to_echo_multicast (ipv4 o ipv6) de Manual de referencia de parámetros ajustables de Oracle Solaris 11.1 y la página del comando man ipadm(1M).
Para los sistemas que son puertas de enlace con otros dominios, como un cortafuegos o un nodo de VPN, utilice este procedimiento para activar la función de hosts múltiples estrictos. La propiedad hostmodel controla el comportamiento de envío y recepción de paquetes IP en un sistema de hosts múltiples.
Antes de empezar
Debe convertirse en un administrador que tiene asignado el perfil de derechos de gestión de red. Para obtener más información, consulte Cómo usar los derechos administrativos que tiene asignados de Administración de Oracle Solaris 11.1: servicios de seguridad.
# ipadm set-prop -p hostmodel=strong ipv4 # ipadm set-prop -p hostmodel=strong ipv6
# ipadm show-prop -p hostmodel ip PROTO PROPERTY PERM CURRENT PERSISTENT DEFAULT POSSIBLE ipv6 hostmodel rw strong strong weak strong,src-priority,weak ipv4 hostmodel rw strong strong weak strong,src-priority,weak
Véase también
Para obtener más información, consulte hostmodel (ipv4 or ipv6) de Manual de referencia de parámetros ajustables de Oracle Solaris 11.1 y la página del comando man ipadm(1M).
Para obtener más información acerca del uso de la función estricta de hosts múltiples, consulte Cómo proteger una VPN con IPsec en modo de túnel.
Utilice este procedimiento para impedir ataques de denegación de servicio (DOS) mediante el control del número de conexiones pendientes que están incompletas.
Antes de empezar
Debe convertirse en un administrador que tiene asignado el perfil de derechos de gestión de red. Para obtener más información, consulte Cómo usar los derechos administrativos que tiene asignados de Administración de Oracle Solaris 11.1: servicios de seguridad.
# ipadm set-prop -p _conn_req_max_q0=4096 tcp
# ipadm show-prop -p _conn_req_max_q0 tcp PROTO PROPERTY PERM CURRENT PERSISTENT DEFAULT POSSIBLE tcp _conn_req_max_q0 rw 4096 -- 128 1-4294967295
Véase también
Para obtener más información, consulte _conn_req_max_q0 de Manual de referencia de parámetros ajustables de Oracle Solaris 11.1 y la página del comando man ipadm(1M).
Utilice este procedimiento para impedir ataques de DOS mediante el control del número de conexiones entrantes permitidas.
Antes de empezar
Debe convertirse en un administrador que tiene asignado el perfil de derechos de gestión de red. Para obtener más información, consulte Cómo usar los derechos administrativos que tiene asignados de Administración de Oracle Solaris 11.1: servicios de seguridad.
# ipadm set-prop -p _conn_req_max_q=1024 tcp
# ipadm show-prop -p _conn_req_max_q tcp PROTO PROPERTY PERM CURRENT PERSISTENT DEFAULT POSSIBLE tcp _conn_req_max_q rw 1024 -- 128 1-4294967295
Véase también
Para obtener más información, consulte _conn_req_max_q de Manual de referencia de parámetros ajustables de Oracle Solaris 11.1 y la página del comando man ipadm(1M).
Este procedimiento define el parámetro de generación de número de secuencia inicial TCP para cumplir con RFC 6528.
Antes de empezar
Debe convertirse en un administrador que tiene asignada la autorización solaris.admin.edit/etc.default/inetinit. De manera predeterminada, el rol root tiene esta autorización. Para obtener más información, consulte Cómo usar los derechos administrativos que tiene asignados de Administración de Oracle Solaris 11.1: servicios de seguridad.
# pfedit /etc/default/inetinit # TCP_STRONG_ISS=1 TCP_STRONG_ISS=2
# /usr/sbin/reboot
Los enrutadores utilizan los mensajes de redirección de ICMP para informar a los hosts sobre rutas más directas hacia un destino. Un mensaje de redirección de ICMP ilícito puede originar un ataque de tipo "man-in-the-middle".
Antes de empezar
Debe convertirse en un administrador que tiene asignado el perfil de derechos de gestión de red. Para obtener más información, consulte Cómo usar los derechos administrativos que tiene asignados de Administración de Oracle Solaris 11.1: servicios de seguridad.
Los mensajes de redirección de ICMP modifican la tabla de rutas del host y no están autenticados. Además, el procesamiento de paquetes redirigidos aumenta las demandas de CPU en los sistemas.
# ipadm set-prop -p _ignore_redirect=1 ipv4 # ipadm set-prop -p _ignore_redirect=1 ipv6 # ipadm show-prop -p _ignore_redirect ipv4 PROTO PROPERTY PERM CURRENT PERSISTENT DEFAULT POSSIBLE ipv4 _ignore_redirect rw 1 1 0 0,1 # ipadm show-prop -p _ignore_redirect ipv6 PROTO PROPERTY PERM CURRENT PERSISTENT DEFAULT POSSIBLE ipv6 _ignore_redirect rw 1 1 0 0,1
Estos mensajes incluyen información de la tabla de rutas que podría revelar parte de la topología de red.
# ipadm set-prop -p _send_redirects=0 ipv4 # ipadm set-prop -p _send_redirects=0 ipv6 # ipadm show-prop -p _send_redirects ipv4 PROTO PROPERTY PERM CURRENT PERSISTENT DEFAULT POSSIBLE ipv4 _send_redirects rw 0 0 1 0,1 # ipadm show-prop -p _send_redirects ipv6 PROTO PROPERTY PERM CURRENT PERSISTENT DEFAULT POSSIBLE ipv6 _send_redirects rw 0 0 1 0,1
Para obtener más información, consulte _send_redirects (ipv4 or ipv6) de Manual de referencia de parámetros ajustables de Oracle Solaris 11.1 y la página del comando man ipadm(1M).
Muchos parámetros de red que están protegidos de manera predeterminada se pueden ajustar y es posible que se hayan modificado los valores predeterminados. Si las condiciones del sitio lo permiten, reestablezca los valores predeterminados de los siguientes parámetros ajustables.
Antes de empezar
Debe convertirse en un administrador que tiene asignado el perfil de derechos de gestión de red. Para obtener más información, consulte Cómo usar los derechos administrativos que tiene asignados de Administración de Oracle Solaris 11.1: servicios de seguridad.
El valor predeterminado impide los ataques de DOS de paquetes suplantados.
# ipadm set-prop -p _forward_src_routed=0 ipv4 # ipadm set-prop -p _forward_src_routed=0 ipv6 # ipadm show-prop -p _forward_src_routed ipv4 PROTO PROPERTY PERM CURRENT PERSISTENT DEFAULT POSSIBLE ipv4 _forward_src_routed rw 0 -- 0 0,1 # ipadm show-prop -p _forward_src_routed ipv6 PROTO PROPERTY PERM CURRENT PERSISTENT DEFAULT POSSIBLE ipv6 _forward_src_routed rw 0 -- 0 0,1
Para obtener más información, consulte forwarding (ipv4 or ipv6) de Manual de referencia de parámetros ajustables de Oracle Solaris 11.1.
El valor predeterminado impide la difusión de información sobre la topología de red.
# ipadm set-prop -p _respond_to_address_mask_broadcast=0 ip # ipadm show-prop -p _respond_to_address_mask_broadcast ip PROTO PROPERTY PERM CURRENT PERSISTENT DEFAULT POSSIBLE ip _respond_to_address_mask_broadcast rw 0 -- 0 0,1
El valor predeterminado elimina las demandas adicionales de CPU en los sistemas e impide la difusión de información sobre la red.
# ipadm set-prop -p _respond_to_timestamp=0 ip # ipadm show-prop -p _respond_to_timestamp ip PROTO PROPERTY PERM CURRENT PERSISTENT DEFAULT POSSIBLE ip _respond_to_timestamp rw 0 -- 0 0,1
El valor predeterminado elimina las demandas adicionales de CPU en los sistemas e impide la difusión de información sobre la red.
# ipadm set-prop -p _respond_to_timestamp_broadcast=0 ip # ipadm show-prop -p _respond_to_timestamp_broadcast ip PROTO PROPERTY PERM CURRENT PERSISTENT DEFAULT POSSIBLE ip _respond_to_timestamp_broadcast rw 0 -- 0 0,1
El valor predeterminado impide que los paquetes omitan las medidas de seguridad de red. Los paquetes con enrutamiento de origen permiten que el origen del paquete sugiera una ruta diferente a la ruta configurada en el enrutador.
Nota - Este parámetro se puede establecer en 1 para realizar diagnósticos. Después de completar el diagnóstico, vuelva a establecer el valor en 0.
# ipadm set-prop -p _rev_src_routes=0 tcp # ipadm show-prop -p _rev_src_routes tcp PROTO PROPERTY PERM CURRENT PERSISTENT DEFAULT POSSIBLE tcp _rev_src_routes rw 0 -- 0 0,1
Para obtener más información, consulte _rev_src_routes de Manual de referencia de parámetros ajustables de Oracle Solaris 11.1.
Véase también
Página del comando man ipadm(1M)