JavaScript is required to for searching.
Omitir Vínculos de navegación
Salir de la Vista de impresión
Protección de la red en Oracle Solaris 11.1     Oracle Solaris 11.1 Information Library (Español)
Red de tecnología de Oracle
Biblioteca
PDF
Vista de impresión
Comentarios
search filter icon
search icon

Información del documento

Prefacio

1.  Uso de protección de enlaces en entornos virtualizados

2.  Ajuste de red (tareas)

Configuración de red (mapa de tareas)

Cómo desactivar el daemon de enrutamiento de red

Cómo desactivar el reenvío de paquetes de difusión

Cómo desactivar las respuestas a las solicitudes de eco

Cómo establecer la función estricta de hosts múltiples

Cómo definir el número máximo de conexiones TCP incompletas

Cómo definir el número máximo de conexiones TCP pendientes

Cómo especificar un número aleatorio fuerte para la conexión TCP inicial

Cómo evitar redirecciones de ICMP

Cómo restablecer los parámetros de red para proteger valores

3.  Servidores web y el protocolo de capa de sockets seguros

4.  Filtro IP en Oracle Solaris (descripción general)

5.  Filtro IP (tareas)

6.  Arquitectura de seguridad IP (descripción general)

7.  Configuración de IPsec (tareas)

8.  Arquitectura de seguridad IP (referencia)

9.  Intercambio de claves de Internet (descripción general)

10.  Configuración de IKE (tareas)

11.  Intercambio de claves de Internet (referencia)

Glosario

Índice

Configuración de red (mapa de tareas)

Tarea
Descripción
Para obtener instrucciones
Desactivar el daemon de enrutamiento de red.
Limita el acceso a sistemas por parte de intrusos de una red.
Cómo desactivar el daemon de enrutamiento de red
Impedir la difusión de información sobre la topología de la red.
Impedir la difusión de paquetes.
Cómo desactivar el reenvío de paquetes de difusión
Impedir que se envíen respuestas ante la difusión y la multidifusión de solicitudes de eco.
Cómo desactivar las respuestas a las solicitudes de eco
Para los sistemas que son puertas de enlace con otros dominios, como un cortafuegos o un nodo de VPN, activar los hosts múltiples de origen y destino estricto.
Impedir que los paquetes que no tienen la dirección de la puerta de enlace en su encabezado se muevan más allá de la puerta de enlace.
Cómo establecer la función estricta de hosts múltiples
Impedir ataques de DOS mediante el control del número de conexiones del sistema incompletas.
Limitar el número permitido de conexiones TCP incompletas para una escucha TCP.
Cómo definir el número máximo de conexiones TCP incompletas
Impedir ataques de DOS mediante el control del número de conexiones entrantes permitidas.
Especificar el número máximo predeterminado de conexiones TCP pendientes para una escucha TCP.
Cómo definir el número máximo de conexiones TCP pendientes
Generar números aleatorios fuertes para las conexiones TCP iniciales.
Cumple con el valor de generación de número de secuencia especificado por RFC 6528.
Cómo especificar un número aleatorio fuerte para la conexión TCP inicial
Impedir la redirección de ICMP.
Elimina los indicadores de la topología de red.
Cómo evitar redirecciones de ICMP
Restablecer los valores seguros predeterminados de los parámetros de red.
Aumentar la seguridad que se redujo por acciones administrativas.
Cómo restablecer los parámetros de red para proteger valores

Cómo desactivar el daemon de enrutamiento de red

Utilice este procedimiento para impedir el enrutamiento de red después de la instalación mediante la especificación de un enrutador predeterminado. De lo contrario, lleve a cabo este procedimiento después de configurar manualmente la ruta.

Nota - Muchos de los procedimientos de configuración de red requieren que el daemon de enrutamiento se desactive. Por lo tanto, puede que haya desactivado este daemon durante la ejecución de un procedimiento de configuración mayor.

Antes de empezar

Debe convertirse en un administrador que tiene asignado el perfil de derechos de gestión de red. Para obtener más información, consulte Cómo usar los derechos administrativos que tiene asignados de Administración de Oracle Solaris 11.1: servicios de seguridad.

  1. Verifique que el daemon de enrutamiento se esté ejecutando.
    # svcs -x svc:/network/routing/route:default
svc:/network/routing/route:default (in.routed network routing daemon)
 State: online since April 10, 2011 05:15:35 AM PDT
   See: in.routed(1M)
   See: /var/svc/log/network-routing-route:default.log
Impact: None.

    Si el servicio no se está ejecutando, puede detenerse aquí.

  2. Desactive el daemon de enrutamiento.
    # routeadm -d ipv4-forwarding -d ipv6-forwarding
# routeadm -d ipv4-routing -d ipv6-routing
# routeadm -u
  3. Verifique que el daemon de enrutamiento esté desactivado.
    # svcs -x routing/route:default
svc:/network/routing/route:default (in.routed network routing daemon)
 State: disabled since April 11, 2011 10:10:10 AM PDT
Reason: Disabled by an administrator.
   See: http://support.oracle.com/msg/SMF-8000-05
   See: in.routed(1M)
Impact: This service is not running.

Véase también

Página del comando man routeadm(1M)

Cómo desactivar el reenvío de paquetes de difusión

De manera predeterminada, Oracle Solaris reenvía los paquetes de difusión. Si la política de seguridad de su sitio requiere que se reduzca la posibilidad de desborde de difusión, cambie el valor predeterminado mediante este procedimiento.

Nota - Cuando desactiva la propiedad de red _forward_directed_broadcasts, se desactivan los pings de difusión.

Antes de empezar

Debe convertirse en un administrador que tiene asignado el perfil de derechos de gestión de red. Para obtener más información, consulte Cómo usar los derechos administrativos que tiene asignados de Administración de Oracle Solaris 11.1: servicios de seguridad.

  1. Establezca la propiedad de reenvío de paquetes de difusión en 0 para los paquetes IP.
    # ipadm set-prop -p _forward_directed_broadcasts=0 ip
  2. Verifique el valor actual.
    # ipadm show-prop -p _forward_directed_broadcasts ip
PROTO  PROPERTY                     PERM CURRENT   PERSISTENT   DEFAULT   POSSIBLE
ip    _forward_directed_broadcasts  rw   0         --           0         0,1

Véase también

Página del comando man ipadm(1M)

Cómo desactivar las respuestas a las solicitudes de eco

Utilice este procedimiento para impedir la difusión de información sobre la topología de la red.

Antes de empezar

Debe convertirse en un administrador que tiene asignado el perfil de derechos de gestión de red. Para obtener más información, consulte Cómo usar los derechos administrativos que tiene asignados de Administración de Oracle Solaris 11.1: servicios de seguridad.

  1. Establezca en 0 la propiedad de respuesta de difusión de solicitudes de eco para los paquetes IP y, a continuación, verifique el valor actual.
    # ipadm set-prop -p _respond_to_echo_broadcast=0 ip

# ipadm show-prop -p _respond_to_echo_broadcast ip
PROTO  PROPERTY                  PERM CURRENT   PERSISTENT   DEFAULT   POSSIBLE
ip    _respond_to_echo_broadcast rw   0         --           1         0,1
  2. Establezca en 0 la propiedad de respuesta de multidifusión de solicitudes de eco para los paquetes IP y, a continuación, verifique el valor actual.
    # ipadm set-prop -p _respond_to_echo_multicast=0 ipv4
# ipadm set-prop -p _respond_to_echo_multicast=0 ipv6

# ipadm show-prop -p _respond_to_echo_multicast ipv4
PROTO  PROPERTY                  PERM CURRENT   PERSISTENT   DEFAULT   POSSIBLE
ipv4  _respond_to_echo_multicast rw   0         --           1         0,1
# ipadm show-prop -p _respond_to_echo_multicast ipv6
PROTO  PROPERTY                  PERM CURRENT   PERSISTENT   DEFAULT   POSSIBLE
ipv6  _respond_to_echo_multicast rw   0         --           1         0,1

Véase también

Para obtener más información, consulte _respond_to_echo_broadcast y _respond_to_echo_multicast (ipv4 o ipv6) de Manual de referencia de parámetros ajustables de Oracle Solaris 11.1 y la página del comando man ipadm(1M).

Cómo establecer la función estricta de hosts múltiples

Para los sistemas que son puertas de enlace con otros dominios, como un cortafuegos o un nodo de VPN, utilice este procedimiento para activar la función de hosts múltiples estrictos. La propiedad hostmodel controla el comportamiento de envío y recepción de paquetes IP en un sistema de hosts múltiples.

Antes de empezar

Debe convertirse en un administrador que tiene asignado el perfil de derechos de gestión de red. Para obtener más información, consulte Cómo usar los derechos administrativos que tiene asignados de Administración de Oracle Solaris 11.1: servicios de seguridad.

  1. Establezca la propiedad hostmodel en strong para paquetes IP.
    # ipadm set-prop -p hostmodel=strong ipv4
# ipadm set-prop -p hostmodel=strong ipv6
  2. Verifique el valor actual y observe los valores posibles.
    # ipadm show-prop -p hostmodel ip
PROTO  PROPERTY    PERM CURRENT   PERSISTENT   DEFAULT   POSSIBLE
ipv6   hostmodel   rw   strong    strong       weak      strong,src-priority,weak
ipv4   hostmodel   rw   strong    strong       weak      strong,src-priority,weak

Véase también

Para obtener más información, consulte hostmodel (ipv4 or ipv6) de Manual de referencia de parámetros ajustables de Oracle Solaris 11.1 y la página del comando man ipadm(1M).

Para obtener más información acerca del uso de la función estricta de hosts múltiples, consulte Cómo proteger una VPN con IPsec en modo de túnel.

Cómo definir el número máximo de conexiones TCP incompletas

Utilice este procedimiento para impedir ataques de denegación de servicio (DOS) mediante el control del número de conexiones pendientes que están incompletas.

Antes de empezar

Debe convertirse en un administrador que tiene asignado el perfil de derechos de gestión de red. Para obtener más información, consulte Cómo usar los derechos administrativos que tiene asignados de Administración de Oracle Solaris 11.1: servicios de seguridad.

  1. Defina el número máximo de conexiones entrantes.
    # ipadm set-prop -p _conn_req_max_q0=4096 tcp
  2. Verifique el valor actual.
    # ipadm show-prop -p _conn_req_max_q0 tcp
PROTO  PROPERTY         PERM CURRENT   PERSISTENT   DEFAULT   POSSIBLE
tcp   _conn_req_max_q0  rw   4096      --           128       1-4294967295

Véase también

Para obtener más información, consulte _conn_req_max_q0 de Manual de referencia de parámetros ajustables de Oracle Solaris 11.1 y la página del comando man ipadm(1M).

Cómo definir el número máximo de conexiones TCP pendientes

Utilice este procedimiento para impedir ataques de DOS mediante el control del número de conexiones entrantes permitidas.

Antes de empezar

Debe convertirse en un administrador que tiene asignado el perfil de derechos de gestión de red. Para obtener más información, consulte Cómo usar los derechos administrativos que tiene asignados de Administración de Oracle Solaris 11.1: servicios de seguridad.

  1. Defina el número máximo de conexiones entrantes.
    # ipadm set-prop -p _conn_req_max_q=1024 tcp
  2. Verifique el valor actual.
    # ipadm show-prop -p _conn_req_max_q tcp
PROTO  PROPERTY         PERM CURRENT   PERSISTENT   DEFAULT   POSSIBLE
tcp   _conn_req_max_q   rw   1024      --           128       1-4294967295

Véase también

Para obtener más información, consulte _conn_req_max_q de Manual de referencia de parámetros ajustables de Oracle Solaris 11.1 y la página del comando man ipadm(1M).

Cómo especificar un número aleatorio fuerte para la conexión TCP inicial

Este procedimiento define el parámetro de generación de número de secuencia inicial TCP para cumplir con RFC 6528.

Antes de empezar

Debe convertirse en un administrador que tiene asignada la autorización solaris.admin.edit/etc.default/inetinit. De manera predeterminada, el rol root tiene esta autorización. Para obtener más información, consulte Cómo usar los derechos administrativos que tiene asignados de Administración de Oracle Solaris 11.1: servicios de seguridad.

  1. Cambie el valor predeterminado para la variable TCP_STRONG_ISS.
    # pfedit /etc/default/inetinit
# TCP_STRONG_ISS=1
TCP_STRONG_ISS=2
  2. Reinicie el sistema.
    # /usr/sbin/reboot

Cómo evitar redirecciones de ICMP

Los enrutadores utilizan los mensajes de redirección de ICMP para informar a los hosts sobre rutas más directas hacia un destino. Un mensaje de redirección de ICMP ilícito puede originar un ataque de tipo "man-in-the-middle".

Antes de empezar

Debe convertirse en un administrador que tiene asignado el perfil de derechos de gestión de red. Para obtener más información, consulte Cómo usar los derechos administrativos que tiene asignados de Administración de Oracle Solaris 11.1: servicios de seguridad.

  1. Establezca en 1 la propiedad de ignorar redireccionamiento para paquetes IP y, a continuación, verifique el valor actual.

    Los mensajes de redirección de ICMP modifican la tabla de rutas del host y no están autenticados. Además, el procesamiento de paquetes redirigidos aumenta las demandas de CPU en los sistemas.

    # ipadm set-prop -p _ignore_redirect=1 ipv4
# ipadm set-prop -p _ignore_redirect=1 ipv6
# ipadm show-prop -p _ignore_redirect ipv4
PROTO  PROPERTY         PERM CURRENT   PERSISTENT   DEFAULT   POSSIBLE
ipv4  _ignore_redirect  rw   1         1            0         0,1
# ipadm show-prop -p _ignore_redirect ipv6
PROTO  PROPERTY         PERM CURRENT   PERSISTENT   DEFAULT   POSSIBLE
ipv6  _ignore_redirect  rw   1         1            0         0,1
  2. Evite enviar mensajes de redirección de ICMP.

    Estos mensajes incluyen información de la tabla de rutas que podría revelar parte de la topología de red.

    # ipadm set-prop -p _send_redirects=0 ipv4
# ipadm set-prop -p _send_redirects=0 ipv6
# ipadm show-prop -p _send_redirects ipv4
PROTO PROPERTY          PERM CURRENT  PERSISTENT   DEFAULT  POSSIBLE
ipv4  _send_redirects   rw   0        0            1        0,1

# ipadm show-prop -p _send_redirects ipv6
PROTO  PROPERTY        PERM CURRENT   PERSISTENT   DEFAULT  POSSIBLE
ipv6  _send_redirects  rw   0         0            1        0,1

    Para obtener más información, consulte _send_redirects (ipv4 or ipv6) de Manual de referencia de parámetros ajustables de Oracle Solaris 11.1 y la página del comando man ipadm(1M).

Cómo restablecer los parámetros de red para proteger valores

Muchos parámetros de red que están protegidos de manera predeterminada se pueden ajustar y es posible que se hayan modificado los valores predeterminados. Si las condiciones del sitio lo permiten, reestablezca los valores predeterminados de los siguientes parámetros ajustables.

Antes de empezar

Debe convertirse en un administrador que tiene asignado el perfil de derechos de gestión de red. Para obtener más información, consulte Cómo usar los derechos administrativos que tiene asignados de Administración de Oracle Solaris 11.1: servicios de seguridad.

  1. Establezca en 0 la propiedad de reenvío de paquetes de origen para paquetes IP y, a continuación, verifique el valor actual.

    El valor predeterminado impide los ataques de DOS de paquetes suplantados.

    # ipadm set-prop -p _forward_src_routed=0 ipv4
# ipadm set-prop -p _forward_src_routed=0 ipv6
# ipadm show-prop -p _forward_src_routed ipv4
PROTO  PROPERTY             PERM CURRENT   PERSISTENT   DEFAULT   POSSIBLE
ipv4  _forward_src_routed   rw   0         --           0         0,1
# ipadm show-prop -p _forward_src_routed ipv6
PROTO  PROPERTY             PERM CURRENT   PERSISTENT   DEFAULT   POSSIBLE
ipv6  _forward_src_routed   rw   0         --           0         0,1

    Para obtener más información, consulte forwarding (ipv4 or ipv6) de Manual de referencia de parámetros ajustables de Oracle Solaris 11.1.

  2. Establezca en 0 la propiedad de respuesta de máscara de red para paquetes IP y, a continuación, verifique el valor actual.

    El valor predeterminado impide la difusión de información sobre la topología de red.

    # ipadm set-prop -p _respond_to_address_mask_broadcast=0 ip
# ipadm show-prop -p _respond_to_address_mask_broadcast ip
PROTO PROPERTY                           PERM CURRENT   PERSISTENT   DEFAULT   POSSIBLE
ip    _respond_to_address_mask_broadcast rw   0         --           0         0,1
  3. Establezca en 0 la propiedad de respuesta de indicación de hora para paquetes IP y, a continuación, verifique el valor actual.

    El valor predeterminado elimina las demandas adicionales de CPU en los sistemas e impide la difusión de información sobre la red.

    # ipadm set-prop -p _respond_to_timestamp=0 ip
# ipadm show-prop -p _respond_to_timestamp ip
PROTO  PROPERTY                        PERM CURRENT   PERSISTENT   DEFAULT   POSSIBLE
ip    _respond_to_timestamp            rw   0         --           0         0,1
  4. Establezca en 0 la propiedad de respuesta de indicación de hora de difusión para paquetes IP y, a continuación, verifique el valor actual.

    El valor predeterminado elimina las demandas adicionales de CPU en los sistemas e impide la difusión de información sobre la red.

    # ipadm set-prop -p _respond_to_timestamp_broadcast=0 ip
# ipadm show-prop -p _respond_to_timestamp_broadcast ip
PROTO  PROPERTY                        PERM CURRENT   PERSISTENT   DEFAULT   POSSIBLE
ip    _respond_to_timestamp_broadcast  rw   0         --           0         0,1
  5. Impida el enrutamiento de origen de IP.

    El valor predeterminado impide que los paquetes omitan las medidas de seguridad de red. Los paquetes con enrutamiento de origen permiten que el origen del paquete sugiera una ruta diferente a la ruta configurada en el enrutador.

    Nota - Este parámetro se puede establecer en 1 para realizar diagnósticos. Después de completar el diagnóstico, vuelva a establecer el valor en 0.

    # ipadm set-prop -p _rev_src_routes=0 tcp
# ipadm show-prop -p _rev_src_routes tcp
PROTO PROPERTY          PERM CURRENT  PERSISTENT  DEFAULT  POSSIBLE
tcp   _rev_src_routes   rw   0        --          0        0,1

    Para obtener más información, consulte _rev_src_routes de Manual de referencia de parámetros ajustables de Oracle Solaris 11.1.

Véase también

Página del comando man ipadm(1M)

Copyright © 1999, 2013, Oracle y/o sus filiales. Todos los derechos reservados. Advertencia legal
Anterior Siguiente