Travesía NAT para desarrolladores de administración de claves IPsec

La versión Solaris 10 5/09 contiene una API pública para los sockets de protocolo de datagrama de usuario (User Datagram Protocol o UDP) que actúan como puntos finales de traducción de direcciones de red (Network Address Translator o NAT) de IPsec.

Cuando la opción de socket UDP_NAT_T_ENDPOINT está habilitada, el tráfico UDP tiene como prefijo un valor de índice de parámetros de seguridad (SPI) de cero de cuatro bytes en el tráfico saliente y aplica SPI de cero al tráfico entrante. El tráfico entrante vinculado a dicho socket cuyo SPI no sea cero se transfiere automáticamente a Encapsulating Security Payload (ESP) de IPsec para la decapsulación ESP-en-UDP. La encapsulación ESP-en-UDP se determina mediante una propiedad de la asociación de seguridad (SA) de IPsec.

Esta función permite a los desarrolladores de software de administración de claves de IPsec crear protocolos de administración de claves que puedan viajar por dispositivos NAT. El daemon IKE de Solaris de iked(1M) utiliza esta función y se muestran los sockets utilizando el comando pfiles(1M).