Nuove funzioni di Solaris 10 5/09

Miglioramenti alla sicurezza

In Solaris 10 5/09 sono state aggiunte le seguenti funzioni di sicurezza e i seguenti miglioramenti.

NAT-Traversal per sviluppatori Key Management di IPsec

Solaris 10 5/09 contiene un'API pubblica per socket UDP che agiscono come punti finali del NAT Traversal IPsec.

L'opzione socket UDP_NAT_T_ENDPOINT, se abilitata, aggiunge al traffico UDP un prefisso SPI di valore zero di quattro byte sul traffico in uscita ed elimina gli SPI con valore zero sul traffico in entrata. Il traffico in entrata per tale socket con un SPI diverso da zero viene automaticamente trasferito in ESP (Encapsulating Security Payload) di IPsec per la decapsulazione di ESP in UDP. L'incapsulamento di ESP in UDP è determinato da una proprietà nella Security Association (SA) di IPsec.

Questa funzione consente agli sviluppatori di software per la gestione delle chiavi Ipsec di creare protocolli che possono attraversare dispositivi NAT. Questa funzione viene utilizzata dal daemon IKE di Solaris in iked(1M) e i socket vengono visualizzati utilizzando il comando pfiles(1M).

Algoritmi più efficaci per IPsec

Solaris 10 5/09 presenta i seguenti algoritmi per IPsec e IKE:

SunSSH con supporto per il motore OpenSSL PKCS#11

Questa funzionalità consente al server e al client SunSSH di utilizzare il Solaris Cryptographic Framework attraverso il motore OpenSSL PKCS#11. SunSSH utilizza una struttura crittografica per l'accelerazione hardware di algoritmi di crittografia simmetrici che è rilevante per la velocità di trasferimento dei dati. Questa funzionalità è destinata alle piattaforme del processore UltraSPARC® T2 con driver crittografici n2cp (7D).

Questa funzionalità non riguarda le piattaforme del processore UltraSPARC T1 in quanto il driver ncp(7D) non supporta gli algoritmi di crittografia simmetrici. Questa funzionalità non riguarda le piattaforme senza alcun plug-in crittografico hardware indipendentemente dal valore impostato per l'opzione UseOpenSSLEngine. Per impostazione predefinita, l'opzione UseOpenSSLEngine è attivata e i file di configurazione SSH del server e del client non devono essere aggiornati.

SunSSH deve essere utilizzato con la versione 1.1 del software per la scheda Sun Crypto Accelerator 6000 con le seguenti patch installate:


Nota –

Per il software versione 1.0 della scheda Sun Crypto Accelerator 6000 non è disponibile nessuna patch. Per risolvere il problema, rimuovere le modalità del contatore AES dalle opzioni della parola chiave Ciphers sia sul server che sul client.


Per maggiori informazioni, vedere ssh_config(4) e sshd_config(4)