Capítulo 11 Arranque WAN (información general)

En este capítulo se ofrece una información general del método de instalación mediante arranque WAN. En él se tratan los siguientes temas.

• ¿Qué es el arranque WAN?

• Cuándo se debe utilizar el arranque WAN

• Funcionamiento del Arranque WAN (información general)

• Configuraciones de seguridad admitidas por el Arranque WAN (información general)

¿Qué es el arranque WAN?

El método de instalación mediante arranque WAN permite arrancar e instalar a través de una Red de área extensa (WAN) mediante HTTP. arranque WAN le permite instalar Solaris OS en sistemas basados en SPARC mediante una red pública amplia donde la infraestructura de red puede que sea poco fiable. Se puede utilizar el arranque WAN con funciones de seguridad para proteger la confidencialidad de los datos y la integridad de la imagen de instalación.

El método de instalación mediante arranque WAN permite la transmisión de un archivo flash de Solaris encriptado a través de una red pública hacia un cliente remoto basado en SPARC. Los programas de arranque WAN se encargan de instalar el sistema del cliente realizando una instalación de JumpStart personalizada. Para proteger la integridad de la instalación puede utilizar claves privadas para autenticar y cifrar los datos. También puede transmitir sus datos y archivos de instalación a través de una conexión HTTP protegida por el procedimiento de configurar sus sistemas para el uso de certificados digitales.

Para efectuar una instalación mediante el arranque WAN, deberá instalar un sistema SPARC descargando la información siguiente de un servidor web a través de una conexión HTTP o HTTP segura.

• Programa wanboot: programa de arranque de segundo nivel que carga la miniroot de arranque WAN, los archivos de configuración del cliente y los archivos de instalación. El programa wanboot efectúa tareas similares a las realizadas por los programas de arranque de segundo nivel ufsboot o inetboot.

• Sistema de archivos de arranque WAN: el arranque WAN utiliza diferentes archivos para configurar el cliente y recuperar datos para instalar el sistema cliente. Estos archivos se encuentran en el directorio /etc/netboot del servidor web. El programa wanboot-cgi transmite estos archivos al cliente en forma de sistema de archivos, denominado sistema de archivos de arranque WAN.

• Miniroot de arranque WAN: la miniroot de arranque WAN es una versión de la miniroot de Solaris modificada para efectuar una instalación mediante arranque WAN. La miniroot de arranque WAN, como la miniroot de Solaris, contiene un núcleo y el software suficiente para instalar el sistema operativo Solaris, Estas miniroot contienen un subconjuto del software de la miniroot de Solaris.

• Archivos de configuración de JumpStart personalizados: para instalar el sistema, el arranque WAN transmite los archivos sysidcfg y rules.ok, y el archivo de perfil al cliente; a continuación, los utiliza para efectuar una instalación JumpStart personalizada en el sistema cliente.

• Contenedor Solaris Flash: un contenedor Solaris Flash es un conjunto de archivos copiados de un sistema maestro que se pueden utilizar para instalar un sistema cliente. El arranque WAN utiliza el método de instalación JumpStart personalizada para instalar un contenedor Solaris Flash en el sistema cliente, de tal manera que, tras la instalación, éste contiene la configuración exacta del sistema principal.

A continuación se instala el contenedor en el cliente mediante el método de instalación JumpStart personalizada.

Se puede proteger la transferencia de la información indicada mediante claves y certificados digitales.

Para obtener una descripción más detallada acerca de la secuencia de eventos de una instalación de arranque WAN, consulte Funcionamiento del Arranque WAN (información general) .

Cuándo se debe utilizar el arranque WAN

El método de instalación mediante arranque WAN permite instalar sistemas basados en SPARC ubicados en áreas geográficamente muy alejadas. Es conveniente utilizar el arranque en WAN para instalar servidores y clientes remotos a los que únicamente se puede acceder a través de una red pública.

Si desea instalar sistemas ubicados en su red de área local (LAN), el método de instalación mediante arranque WAN puede requerir más trabajo de configuración y administración del necesario. Para obtener información acerca de cómo instalar sistemas mediante una LAN, consulte el Capítulo 7, Preparación para la instalación desde la red (información general).

Funcionamiento del Arranque WAN (información general)

El arranque WAN utiliza una combinación de servidores, archivos de configuración, programas de Common Gateway Interface (CGI) y archivos de instalación para instalar un cliente remoto basado en SPARC. En esta sección se describe la secuencia general de eventos que tienen lugar en una instalación mediante un arranque WAN.

Secuencia de eventos en una instalación mediante el Arranque WAN

La Figura 11–1 muestra la secuencia básica de eventos de una instalación de arranque WAN. En esta figura, un cliente SPARC recupera los datos de configuración y los archivos de instalación de un servidor web y de un servidor de instalación a través de una WAN.

Figura 11–1 Secuencia de eventos en una instalación mediante un arranque WAN

1. El cliente se arranca mediante uno de estos métodos.

   • Arranque desde la red configurando las variables de interfaz de red en la PROM de Open Boot (OBP).

   • Arranque desde la red con la opción DHCP.

   • Arranque desde un CD-ROM local.

2. La OBP del cliente obtiene la información de configuración de una de estas fuentes:

   • Valores de argumentos de arranque escritos por el usuario en la línea de órdenes

   • El servidor DHCP, si la red utiliza DHCP

3. La OBP del cliente solicita el programa de arranque en WAN de segundo nivel (wanboot).

   La OBP del cliente descarga el programa wanboot desde los orígenes siguientes.

   • De un servidor web especial, denominado servidor de arranque WAN, mediante el Protocolo de transferencia de hipertexto (HTTP)

   • De un CD-ROM local (no se muestra en la figura)

4. El programa wanboot solicita al servidor de arranque WAN la información de configuración del cliente.

5. El programa wanboot descarga los archivos de configuración transmitidos por el programa wanboot-cgi del servidor de arranque WAN. Los archivos de configuración se transmiten al cliente como sistema de archivos de arranque WAN.

6. El programa wanboot solicita al servidor de arranque WAN la descarga de la miniroot de arranque en WAN.

7. El programa wanboot descarga la miniroot de arranque WAN del servidor de arranque WAN mediante HTTP o HTTP seguro.

8. El programa wanboot carga y ejecuta el núcleo de UNIX de la miniroot de arranque WAN.

9. El núcleo de UNIX localiza y monta el sistema de archivos de arranque WAN para que lo utilice el programa de instalación de Solaris.

10. El programa de instalación solicita a un servidor de instalación la descarga de un contenedor Solaris Flash y de archivos de JumpStart personalizado.

    El programa de instalación descarga el contenedor y los archivos de JumpStart personalizado mediante conexión HTTP o HTTPS.

11. El programa de instalación efectúa una instalación JumpStart personalizada para instalar el contenedor Solaris Flash en el cliente.

Protección de datos durante una instalación mediante el Arranque WAN

El método de instalación mediante arranque WAN permite utilizar claves de cifrado y de hashing y certificados digitales para proteger los datos del sistema durante la instalación. En esta sección se describen brevemente los distintos métodos de protección de datos admitidos por el método de instalación mediante arranque WAN.

Comprobación de la integridad de los datos con una clave de hashing

Para proteger los datos que se transmiten desde el servidor de arranque WAN hasta el cliente, puede generar una clave HMAC (Hashed Message Authentication Code). que se instala tanto en el servidor de arranque WAN como en el cliente. Aquél utiliza esta clave para firmar los datos que se deben transmitir al cliente, a continuación, éste la utiliza para verificar la integridad de los datos transmitidos por el servidor de arranque WAN. Una vez instalada una clave de hashing en un cliente, éste la utilizará en las futuras instalaciones mediante arranque WAN.

Para obtener instrucciones acerca de cómo usar una clave de hashing, consulte (Opcional) Para crear claves de hashing y de cifrado.

Encriptación de datos con claves de encriptación

El método de instalación mediante arranque WAN le permite encriptar los datos que se transmiten desde el servidor de arranque WAN hasta el cliente. Se pueden utilizar las utilidades de arranque WAN para crear una clave de cifrado Triple Data Encryption Standard (3DES) o Advanced Encryption Standard (AES) que, a continuación, se puede proporcionar tanto al servidor de arranque WAN como al cliente. Aquél utiliza esta clave de encriptación para encriptar los datos enviados del servidor de arranque WAN al cliente. Éste puede, entonces, utilizarla para desencriptar los archivos de configuración encriptaciones y los archivos de seguridad transmitidos durante la instalación.

Después de instalar una clave de cifrado en un cliente, éste la utilizará en las futuras instalaciones del arranque WAN.

Es posible que su sede no permita el uso de claves de encriptación. Para averiguarlo, consúltelo con el administrador de seguridad de la sede. Si ésta permite encriptación, pregunte al administrador de seguridad qué tipo de clave de encriptación (3DES o AES) debe utilizar.

Para obtener instrucciones acerca de cómo usar una clave de cifrado, consulte (Opcional) Para crear claves de hashing y de cifrado.

Protección de datos mediante el uso de HTTPS

El arranque WAN admite el uso de HTTP sobre Capa de zócalos seguros (HTTPS) para transferir datos entre el servidor del arranque WAN y el cliente. HTTPS permite obligar al servidor, o al cliente y al servidor, a que se autentiquen durante la instalación; también encripta los datos transferidos del servidor al cliente durante la instalación.

HTTPS utiliza certificados digitales para autenticar sistemas que intercambian datos a través de la red. Un certificado digital es un archivo que identifica un sistema, ya sea servidor ya sea cliente, como sistema fiable durante la comunicación en línea. Puede solicitar un certificado digital de una entidad certificadora externa o crear su propio certificado y entidad certificadora.

Para habilitar al cliente para que confíe en el servidor y acepte datos procedentes de éste deberá instalar un certificado digital en el servidor. A continuación puede indicar al cliente que confíe en este certificado. También puede requerir al cliente que se autentique ante los servidores proporcionándole un certificado digital. A continuación puede indicar a aquéllos que acepten al firmante del certificado cuando el cliente presente éste durante la instalación.

Para utilizar certificados digitales durante la instalación deberá configurar el servidor web para que utilice HTTPS. Consulte la documentación de su servidor web para obtener información acerca del uso de HTTPS.

Para obtener instrucciones acerca de los requisitos para usar certificados digitales durante su instalación de arranque WAN, consulte Requisitos de certificados digitales. Para obtener instrucciones acerca de cómo usar los certificados digitales en una instalación de arranque WAN, consulte (Opcional) Para usar certificados digitales para la autenticación del servidor y del cliente.

Configuraciones de seguridad admitidas por el Arranque WAN (información general)

El arranque WAN admite diversos niveles de seguridad. Puede usar una combinación de funciones de seguridad compatibles con el arranque WAN para cumplir las necesidades de la red. Una configuración más segura requiere más administración, pero también protege los datos del sistema en mayor medida. En el caso de sistemas más importantes o de sistemas que desee instalar mediante una red pública, puede optar por la configuración que aparece en Configuración de una instalación segura mediante arranque WAN. En el caso de sistemas menos importantes (o de sistemas en redes semiprivadas), puede usar las configuraciones que se describen en Configuración de una instalación no segura mediante el arranque WAN.

En esta sección se describen brevemente las distintas configuraciones que pueden utilizarse para establecer el nivel de seguridad de una instalación mediante arranque WAN., así como los mecanismos de seguridad que requieren.

Configuración de una instalación segura mediante arranque WAN

Esta configuración protege la integridad de los datos intercambiados entre el servidor y el cliente y ayuda a mantener la confidencialidad del contenido del intercambio. En esta configuración se utiliza una conexión HTTPS y un algoritmo 3DES o AES para encriptar los archivos de configuración del cliente. Esta configuración también exige al servidor que se autentique al cliente durante la instalación. Una instalación segura mediante arranque WAN precisa de las siguientes características de seguridad.

• HTTPS habilitado en el servidor del arranque WAN y en el servidor de instalación

• Clave de hashing HMAC SHA1 en el servidor del arranque WAN y en el cliente

• Clave de encriptación 3DES o AES para el servidor del arranque WAN y el cliente

• Certificado digital o una entidad certificadora para el servidor del arranque WAN

Si exige también autenticación de cliente durante la instalación, deberá utilizar asimismo las siguientes características de seguridad.

• Clave privada para el servidor del arranque WAN

• Certificado digital para el cliente

Para obtener una lista de las tareas que debe llevar a cabo para instalar con esta configuración, consulte la Tabla 13–1.

Configuración de una instalación no segura mediante el arranque WAN

Esta configuración de seguridad requiere un esfuerzo mínimo, pero proporciona una transferencia de datos menos segura del servidor web al cliente. No es necesario crear claves de hashing o de cifrado ni certificados digitales; tampoco se ha de configurar el servidor web para que utilice HTTPS. No obstante, esta configuración transfiere los datos y archivos de instalación a través de una conexión HTTP, dejando la instalación vulnerable para ser interceptada por la red.

Si desea que el cliente compruebe la integridad de los datos transmitidos puede utilizar una clave de hashing HMAC SHA1 con esta configuración. Sin embargo, dicha clave de hashing no protege el contenedor Solaris Flash. Éste se transfiere de forma no segura entre el servidor y el cliente durante la instalación.

Para obtener una lista de las tareas que debe llevar a cabo para instalar con esta configuración, consulte Tabla 13–2.