Mejoras en la seguridad

Protocolo de intercambio de claves de Internet (IKE)

El Protocolo de intercambio de claves de Internet (Internet Key Exchange, IKE) automatiza la gestión de claves de IPsec. IKE sustituye la asignación y la renovación manual de claves en una red IPv4, lo que permite al administrador gestionar un gran número de redes seguras. 

Los administradores del sistema usan IPsec para configurar redes IPv4 seguras. El daemon in.iked proporciona derivación, autenticación y protección de autenticación de claves en el momento del arranque. El daemon se puede configurar. El administrador configura los parámetros en un archivo de configuración. Después de configurar los parámetros, no se requiere ninguna renovación de claves manual.

Para obtener más información, consulte "Internet Key Exchange" in System Administration Guide: IP Services.

Solaris 9  

Shell seguro de Solaris

El shell seguro permite a los usuarios acceder de forma segura a un sistema principal por una red insegura. Las transferencias de datos y las sesiones de red interactivas de usuarios están protegidas frente a espionaje, rapto de sesiones y ataques de intermediarios. El shell seguro de Solaris 9 admite las versiones de protocolo SSHv1 y SSHv2. Se ofrece una autenticación sólida, que usa una criptografía de clave pública. El sistema X Window y otros servicios de red se pueden introducir en túneles de forma segura a través de conexiones de shell seguro para obtener protección adicional. 

El servidor de shell seguro, sshd, admite la supervisión y filtrado de solicitudes entrantes de servicios de red. El servidor puede configurarse para registrar el nombre del sistema de las solicitudes entrantes y por tanto mejorar la seguridad de la red. sshd usa el mismo mecanismo que la utilidad Tcp-wrappers 7.6 que se describe en "Software gratuito".

Para obtener más información, consulte las páginas de comando man sshd(1M), hosts_access(4) y hosts_options(4).

Solaris 9 

Centro de distribución de claves Kerberos (KDC) y herramientas de administración

Los administradores del sistema pueden mejorar la seguridad del sistema con la autenticación, privacidad e integridad Kerberos V5. NFS es un ejemplo de aplicación protegida con Kerberos V5. 

En la lista siguiente se destacan las nuevas funciones de Kerberos V5.

• Servidor Kerberos V5: el servidor incluye los componentes que se enumeran a continuación.

  • Sistema de administración principal (de usuario): incluye un servidor centralizado para la administración local y remota de políticas de seguridad y principales

    El sistema incluye una herramienta de administración con CLI y GUI.

  • Centro de distribución de claves (KDC): usa la información de la base de datos principal que ha sido creada por el servidor de administración y emite cupones para los clientes

  • Sistema de replicación de base de datos principal: duplica la base de datos KDC en un servidor de copia de seguridad

• Interoperatividad de cambio de contraseña MIT y Microsoft Windows 2000: las contraseñas Kerberos V5 se pueden cambiar de un cliente Solaris a un servidor Kerberos MIT y Windows 2000.

• DES ajustado: las operaciones DES de núcleo Kerberos V5 se han optimizado para los sistemas Sun4u.

• Ahora el núcleo de Solaris admite comunicaciones cifradas Kerberos: en Solaris hay disponible un módulo de cifrado que admite comunicaciones cifradas Kerberos en el sistema operativo. Antes el módulo de cifrado sólo estaba disponible en el CD-ROM Solaris Encryption Kit o mediante una descarga en la web.

• Cupones sin dirección: los administradores del sistema y los usuarios pueden especificar cupones sin dirección. Esta capacidad puede ser necesaria en entornos de red NAT o con varios directorios iniciales.

• El módulo Kerberos V5 PAM admite la caducidad de contraseñas: el módulo pam_krb5 admite la caducidad de contraseñas que se fija en el KDC para cada principal de usuario.

Para obtener más información, consulte "Administering the Kerberos Database" in System Administration Guide: Security Services.

Solaris 9 

Cliente LDAP seguro

La versión Solaris 9 incluye nuevas funciones de seguridad basada en clientes LDAP. Una nueva biblioteca LDAP permite el uso de mecanismos de cifrado SSL (TLS) y CRAM-MD5. Estos mecanismos de cifrado permiten a los clientes usar métodos de cifrado en las conexiones entre clientes LDAP y el servidor LDAP.  

Para obtener más información sobre iPlanet Directory Server 5.1, el servidor de directorios LDAP, consulte "Conexión en red".

Solaris 9 

Módulos de cifrado para IPsec y Kerberos

En Solaris 9 se incluye cifrado con una clave de longitud máxima de 128 bits. Antes de Solaris 9 el módulo de cifrado sólo estaba disponible en el CD-ROM Solaris Encryption Kit o mediante una descarga en la web. Algunos de estos algoritmos están ahora en el sistema operativo Solaris 9. Estos algoritmos incluyen soporte de privacidad DES de 56 bits para Kerberos así como soporte DES de 56 bits y Triple DES de 3 claves para IPsec.  

Además, con Solaris 9 se incluye soporte para cifrado superior a 128 bits con IPsec en el CD-ROM Solaris Encryption Kit o mediante una descarga en la web. IPsec admite AES (Advanced Encryption Standard) de 128, 192 o 256 bits y Blowfish de 32 a 448 bits (en incrementos de 8 bits).

Para obtener información sobre soporte IPsec, consulte "IPsec (Overview)" in System Administration Guide: IP Services. Para obtener información sobre soporte Kerberos, consulte "Introduction to SEAM" in System Administration Guide: Security Services.

Solaris 9 

Arquitectura de seguridad de IP para IPv6

El marco de seguridad de IPsec se ha mejorado en Solaris 9 para permitir los datagramas IPv6 seguros entre sistemas. Al utilizar IPsec para IPv6 en Solaris 9 sólo se permite el uso de claves manuales. 

El marco de seguridad de IPsec para IPv4 se presentó en Solaris 8. El protocolo Internet Key Exchange (IKE) está disponible para IPv4.

Para obtener más información, consulte "IPsec (Overview)" in System Administration Guide: IP Services.

Solaris 9 

Mejoras del Control de acceso basado en la posición (RBAC)

Las bases de datos de control de acceso basado en la posición (RBAC) se pueden gestionar con la interfaz gráfica de Solaris Management Console. Los derechos se pueden asignar de forma predeterminada en el archivo policy.conf . Además, ahora los derechos pueden contener otros derechos. Para obtener más información sobre RBAC, consulte "Control de acceso basado en el rol".

Para obtener más información, consulte "Role-Based Access Control (Overview)" in System Administration Guide: Security Services.

Solaris 8 1/01 

Opciones de seguridad de conexión Xserver

Las nuevas opciones permiten a los administradores del sistema admitir sólo conexiones cifradas al servidor X de Solaris. Para obtener más información, consulte "Funciones de Xserver".

Solaris 9 

Interfaz de programación de aplicaciones de servicios de seguridad (GSS-API)

La Interfaz de programación de aplicaciones de servicios de seguridad genérica (GSS-API) es una estructura de seguridad que permite proteger los datos que transmiten las aplicaciones. El GSS-API proporciona autenticación, integridad y servicios de confidencialidad a las aplicaciones. La interfaz permite que estas aplicaciones sean completamente genéricas con respecto a la seguridad. Es decir, no tienen que comprobar la plataforma subyacente (como la plataforma Solaris) ni el mecanismo de seguridad (por ejemplo, Kerberos) que se usa. Esto significa que las aplicaciones que utilizan el GSS-API pueden tener una gran portabilidad. 

Para obtener más información, consulte GSS-API Programming Guide.

Solaris 8 6/00 

Software de seguridad adicional

Para obtener información sobre SunScreen^TM 3.2, un producto cortafuegos, consulte "Software adicional".

Consulte también "Software gratuito" para obtener información sobre el software gratuito Tcp-wrappers 7.6 en la versión Solaris 9. Tcp-wrappers 7.6 son pequeños programas daemon que supervisan y filtran las solicitudes de entrada de los servicios de red.

Solaris 9