Mejoras en la seguridad

Las siguientes funciones y mejoras de seguridad se han agregado a la versión Solaris 10 5/09.

Travesía NAT para desarrolladores de administración de claves IPsec

La versión Solaris 10 5/09 contiene una API pública para los sockets de protocolo de datagrama de usuario (User Datagram Protocol o UDP) que actúan como puntos finales de traducción de direcciones de red (Network Address Translator o NAT) de IPsec.

Cuando la opción de socket UDP_NAT_T_ENDPOINT está habilitada, el tráfico UDP tiene como prefijo un valor de índice de parámetros de seguridad (SPI) de cero de cuatro bytes en el tráfico saliente y aplica SPI de cero al tráfico entrante. El tráfico entrante vinculado a dicho socket cuyo SPI no sea cero se transfiere automáticamente a Encapsulating Security Payload (ESP) de IPsec para la decapsulación ESP-en-UDP. La encapsulación ESP-en-UDP se determina mediante una propiedad de la asociación de seguridad (SA) de IPsec.

Esta función permite a los desarrolladores de software de administración de claves de IPsec crear protocolos de administración de claves que puedan viajar por dispositivos NAT. El daemon IKE de Solaris de iked(1M) utiliza esta función y se muestran los sockets utilizando el comando pfiles(1M).

Algoritmos más sólidos para IPsec

La versión Solaris 10 5/09 introduce los siguientes algoritmos para IPsec e IKE:

• Tres grupos de módulos de enteros Diffie-Hellman mayores, que incluyen 2048 bits, 3072 bits y 4096 bits. Los grupos Diffie-Hellman mayores están disponibles en las fases 1 y 2 de IKE. Los grupos se especifican por el número de grupo 14 para 2048 bits, 15 para 3072 bits y 16 para 4096 bits, según RFC 3526.

• La serie de hashes SHA-2, que incluye sha256, sha384 y sha512. SHA-2 con HMAC está disponible para los encabezados de autenticación (Authentication Header o AH) de IPsec y ESP, así como para IKE durante sus interacciones. SHA-2 se utiliza en IPsec según RFC 4868, con longitudes ICV truncadas de 16 bytes para SHA256, 24 bytes para SHA384 y 32 bytes para SHA512.

  ---

  Nota –

  SHA-2 no está disponible para los certificados generados con ikecert (1M).

  ---

SunSSH con compatibilidad de motor OpenSSL PKCS#11

Esta función permite al servidor y el cliente SunSSH utilizar la estructura criptográfica de Solaris a través del motor OpenSSL PKCS#11. SunSSH utiliza la estructura criptográfica para la aceleración criptográfica de hardware de los algoritmos criptográficos simétricos, lo cual es importante para la velocidad de transferencia de datos. Esta función se ha concebido para las plataformas de procesadores UltraSPARC® T2 con controladores criptográficos n2cp (7D).

Esta función no afecta a las plataformas de procesadores UltraSPARC T1, ya que el controlador ncp(7D) no admite algoritmos criptográficos simétricos. Tampoco afecta a las plataformas que no tienen plugins criptográficos de hardware, independientemente del valor que se configure para la opción UseOpenSSLEngine. La opción UseOpenSSLEngine está activada de forma predeterminada y no es preciso actualizar los archivos de configuración SSH del cliente ni el servidor.

SunSSH debería utilizarse con la versión 1.1 del software de placa Sun Crypto Accelerator 6000 con los siguientes parches instalados:

• 128365-02 para sistemas basados en SPARC

• 128366-02 para sistemas basados en x86

No hay ningún parche disponible para la versión 1.0 del software de placa Sun Crypto Accelerator 6000. Para solucionar este problema, quite los modos de contador de AES del teclado de opción Ciphers tanto en el servidor como en el cliente.

Para más información, consulte ssh_config(4) y sshd_config(4)