Mejoras en la seguridad (Solaris 9 9/02: Novedades del sistema operativo)

Solaris 9 9/02: Novedades del sistema operativo

Mejoras en la seguridad

Descripción de características
Protocolo de intercambio de claves de Internet (IKE) El Protocolo de intercambio de claves de Internet (Internet Key Exchange, IKE) automatiza la gestión de claves de IPsec. IKE sustituye la asignación y renovación manual de claves en una red IPv4. IKE permite al administrador gestionar un mayor número de redes seguras. Los administradores del sistema usan IPsec para configurar redes IPv4 seguras. El daemon `in.iked` proporciona derivación, autenticación y protección de autenticación de claves en el momento del arranque. El daemon se puede configurar. El administrador configura los parámetros en un archivo de configuración. Después de configurar los parámetros, no se requiere ninguna renovación de claves manual. Para obtener más información, consulte "Internet Key Exchange" in System Administration Guide: IP Services.
Shell seguro de Solaris El Shell seguro permite a los usuarios acceder de forma segura a un sistema principal por una red insegura. Las transferencias de datos y las sesiones de red interactivas de usuarios están protegidas frente a espionaje, rapto de sesiones y ataques de intermediarios. El shell seguro de Solaris 9 admite las versiones de protocolo SSHv1 y SSHv2. Se incluye autenticación fuerte con criptografía de clave pública. El sistema X Window y otros servicios de red se pueden introducir en túneles de forma segura a través de conexiones de shell seguro para obtener protección adicional. El servidor de Shell segura, `sshd`, admite la supervisión y filtrado de las solicitudes de servicios de red entrantes. Se puede configurar el servidor para que registre el nombre del sistema cliente de las solicitudes entrantes, mejorando con ello la seguridad de la red. `sshd` usa el mismo mecanismo que la utilidad `Tcp-wrappers 7.6` descrita en "Software gratuito". Para obtener más información, consulte las páginas de comando man sshd(1M), `hosts_access`(4) y `hosts_options`(4). Consulte también "Using Secure Shell" in System Administration Guide: Security Services.
Centro de distribución de claves Kerberos (KDC) y herramientas de administración Los administradores del sistema pueden mejorar la seguridad del sistema con la autenticación, privacidad e integridad Kerberos V5. NFS es un ejemplo de aplicación protegida con Kerberos V5. En la lista siguiente se destacan las nuevas funciones de Kerberos V5. Servidor Kerberos V5: el servidor incluye los componentes que se enumeran a continuación. Sistema de administración principal (de usuario): incluye un servidor centralizado para la administración local y remota de políticas de seguridad y principales. El sistema incluye una herramienta de administración con CLI y GUI. Centro de distribución de claves (KDC): usa la información de la base de datos principal creada por el servidor de administración. Emite cupones para los clientes. Sistema de replicación de base de datos principal: duplica la base de datos KDC en un servidor de copia de seguridad. Interoperatividad de cambio de contraseña MIT y Microsoft Windows 2000: las contraseñas Kerberos V5 se pueden cambiar de un cliente Solaris a un servidor Kerberos MIT y Microsoft Windows 2000. DES ajustada: las operaciones DES del núcleo de Kerberos V5 se han optimizado para la arquitectura Sun4u. Núcleo central de Solaris ahora admite comunicaciones con cifrado Kerberos: el sistema operativo Solaris 9 dispone ahora de un módulo de cifrado compatible con comunicaciones con cifrado Kerberos. Anteriormente, el módulo de cifrado sólo estaba disponible en el CD-ROM Solaris Encryption Kit o descargándolo de la Web. Cupones sin dirección: los administradores del sistema y los usuarios pueden especificar cupones sin dirección. Esta capacidad puede ser necesaria en entornos de red NAT o con varios directorios iniciales. El módulo Kerberos V5 PAM admite la caducidad de contraseñas: el módulo `pam_krb5` admite la caducidad de contraseñas que se fija en el KDC para cada principal de usuario. Para obtener más información, consulte "Administering the Kerberos Database" in System Administration Guide: Security Services.
Cliente LDAP seguro La versión Solaris 9 incluye nuevas funciones de seguridad basada en clientes LDAP. Una nueva biblioteca LDAP permite el uso de mecanismos de cifrado SSL (TLS) y CRAM-MD5. Estos mecanismos de cifrado permiten a los clientes usar métodos de cifrado en las conexiones entre clientes LDAP y el servidor LDAP. Sun ONE Directory Server 5.1 (anteriormente llamado iPlanet Directory Server 5.1) es el servidor de directorios LDAP. Si desea obtener más información sobre este servidor, consulte "Conexión en red".
Módulos de cifrado para IPsec y Kerberos La versión Solaris 9 incluye cifrado con una longitud de clave máxima de 128 bits. Antes de la versión Solaris 9, los módulos de cifrado sólo estaban disponibles en el CD-ROM Solaris Encryption Kit o descargándolos de la Web. El sistema operativo Solaris 9 incorpora ahora algunos de estos algoritmos. Entre ellos se encuentra la compatibilidad con privacidad DES de 56 bits para Kerberos, así como la compatibilidad con DES de 56 bits y Triple-DES de 3 claves para IPsec. Nota - La compatibilidad para cifrados de más de 128 bits con IPsec está disponible en el CD-ROM Solaris Encryption Kit o mediante descarga de Web. IPsec admite el Estándar de cifrado avanzado de 128, 192 o 256 bits, así como Blowfish de 32 a 448 bits en incrementos de 8 bits. Para obtener información acerca de la compatibilidad con IPsec, consulte "IPsec (Overview)" in System Administration Guide: IP Services. Para obtener información acerca de la compatibilidad con Kerberos, consulte "Introduction to SEAM" in System Administration Guide: Security Services.
Arquitectura de seguridad IP para IPv6 En Solaris 9 se ha mejorado la estructura de seguridad de IPsec para permitir el uso de datagramas IPv6 seguros entre máquinas. En la versión Solaris 9, cuando se usa IPsec para IPv6 sólo se admite el uso de claves manuales. Nota - La estructura de seguridad de IPsec para IPv4 se introdujo en la versión Solaris 8. El protocolo Internet Key Exchange (IKE) está disponible para IPv4. Para obtener más información, consulte "IPsec (Overview)" in System Administration Guide: IP Services.
Mejoras del Control de acceso basado en la posición (RBAC) Las bases de datos de control de acceso basado en la posición (RBAC) se pueden gestionar con la interfaz gráfica de Solaris Management Console. Los derechos se pueden asignar de forma predeterminada en el archivo `policy.conf`. Además, ahora los derechos pueden contener otros derechos. Para obtener más información acerca de RBAC, consulte "Role-Based Access Control (Overview)" in System Administration Guide: Security Services. Para obtener información acerca de Solaris Management Console, consulte "Herramientas de administración del sistema".
Opciones de seguridad de Xserver Las nuevas opciones permiten a los administradores del sistema admitir sólo conexiones cifradas al servidor X de Solaris. Para obtener más información, consulte "Características de Solaris 9 para usuarios de escritorio".
Interfaz de programación de aplicaciones de servicios de seguridad (GSS-API) La Interfaz de programación de aplicaciones de servicios de seguridad genérica (GSS-API) es una estructura de seguridad que permite proteger los datos que transmiten las aplicaciones. El GSS-API proporciona autenticación, integridad y servicios de confidencialidad a las aplicaciones. La interfaz permite que estas aplicaciones sean completamente genéricas con respecto a la seguridad. Las aplicaciones no necesitan comprobar cuál es la plataforma subyacente, como Solaris, ni el mecanismo de seguridad, como Kerberos. Esto significa que las aplicaciones que utilizan el GSS-API pueden tener una gran portabilidad. Para obtener más información, consulte GSS-API Programming Guide.
Software de seguridad adicional Para obtener información sobre SunScreen^TM 3.2, un producto cortafuegos, consulte "Software adicional". Consulte también "Software gratuito" para obtener información sobre el software gratuito `Tcp-wrappers 7.6` en la versión Solaris 9. `Tcp-wrappers 7.6` son pequeños programas daemon que supervisan y filtran las solicitudes de entrada de los servicios de red.

Descripción de características

Protocolo de intercambio de claves de Internet (IKE)

El Protocolo de intercambio de claves de Internet (Internet Key Exchange, IKE) automatiza la gestión de claves de IPsec. IKE sustituye la asignación y renovación manual de claves en una red IPv4. IKE permite al administrador gestionar un mayor número de redes seguras.

Los administradores del sistema usan IPsec para configurar redes IPv4 seguras. El daemon in.iked proporciona derivación, autenticación y protección de autenticación de claves en el momento del arranque. El daemon se puede configurar. El administrador configura los parámetros en un archivo de configuración. Después de configurar los parámetros, no se requiere ninguna renovación de claves manual.

Para obtener más información, consulte "Internet Key Exchange" in System Administration Guide: IP Services.

Shell seguro de Solaris

El Shell seguro permite a los usuarios acceder de forma segura a un sistema principal por una red insegura. Las transferencias de datos y las sesiones de red interactivas de usuarios están protegidas frente a espionaje, rapto de sesiones y ataques de intermediarios. El shell seguro de Solaris 9 admite las versiones de protocolo SSHv1 y SSHv2. Se incluye autenticación fuerte con criptografía de clave pública. El sistema X Window y otros servicios de red se pueden introducir en túneles de forma segura a través de conexiones de shell seguro para obtener protección adicional.

El servidor de Shell segura, sshd, admite la supervisión y filtrado de las solicitudes de servicios de red entrantes. Se puede configurar el servidor para que registre el nombre del sistema cliente de las solicitudes entrantes, mejorando con ello la seguridad de la red. sshd usa el mismo mecanismo que la utilidad Tcp-wrappers 7.6 descrita en "Software gratuito".

Para obtener más información, consulte las páginas de comando man sshd(1M), hosts_access(4) y hosts_options(4). Consulte también "Using Secure Shell" in System Administration Guide: Security Services.

Centro de distribución de claves Kerberos (KDC) y herramientas de administración

Los administradores del sistema pueden mejorar la seguridad del sistema con la autenticación, privacidad e integridad Kerberos V5. NFS es un ejemplo de aplicación protegida con Kerberos V5.

En la lista siguiente se destacan las nuevas funciones de Kerberos V5.

Servidor Kerberos V5: el servidor incluye los componentes que se enumeran a continuación.
- Sistema de administración principal (de usuario): incluye un servidor centralizado para la administración local y remota de políticas de seguridad y principales. El sistema incluye una herramienta de administración con CLI y GUI.
- Centro de distribución de claves (KDC): usa la información de la base de datos principal creada por el servidor de administración. Emite cupones para los clientes.
- Sistema de replicación de base de datos principal: duplica la base de datos KDC en un servidor de copia de seguridad.
Interoperatividad de cambio de contraseña MIT y Microsoft Windows 2000: las contraseñas Kerberos V5 se pueden cambiar de un cliente Solaris a un servidor Kerberos MIT y Microsoft Windows 2000.
DES ajustada: las operaciones DES del núcleo de Kerberos V5 se han optimizado para la arquitectura Sun4u.
Núcleo central de Solaris ahora admite comunicaciones con cifrado Kerberos: el sistema operativo Solaris 9 dispone ahora de un módulo de cifrado compatible con comunicaciones con cifrado Kerberos. Anteriormente, el módulo de cifrado sólo estaba disponible en el CD-ROM Solaris Encryption Kit o descargándolo de la Web.
Cupones sin dirección: los administradores del sistema y los usuarios pueden especificar cupones sin dirección. Esta capacidad puede ser necesaria en entornos de red NAT o con varios directorios iniciales.
El módulo Kerberos V5 PAM admite la caducidad de contraseñas: el módulo pam_krb5 admite la caducidad de contraseñas que se fija en el KDC para cada principal de usuario.

Para obtener más información, consulte "Administering the Kerberos Database" in System Administration Guide: Security Services.

Cliente LDAP seguro

La versión Solaris 9 incluye nuevas funciones de seguridad basada en clientes LDAP. Una nueva biblioteca LDAP permite el uso de mecanismos de cifrado SSL (TLS) y CRAM-MD5. Estos mecanismos de cifrado permiten a los clientes usar métodos de cifrado en las conexiones entre clientes LDAP y el servidor LDAP.

Sun ONE Directory Server 5.1 (anteriormente llamado iPlanet Directory Server 5.1) es el servidor de directorios LDAP. Si desea obtener más información sobre este servidor, consulte "Conexión en red".

Módulos de cifrado para IPsec y Kerberos

La versión Solaris 9 incluye cifrado con una longitud de clave máxima de 128 bits. Antes de la versión Solaris 9, los módulos de cifrado sólo estaban disponibles en el CD-ROM Solaris Encryption Kit o descargándolos de la Web. El sistema operativo Solaris 9 incorpora ahora algunos de estos algoritmos. Entre ellos se encuentra la compatibilidad con privacidad DES de 56 bits para Kerberos, así como la compatibilidad con DES de 56 bits y Triple-DES de 3 claves para IPsec.

Nota -

La compatibilidad para cifrados de más de 128 bits con IPsec está disponible en el CD-ROM Solaris Encryption Kit o mediante descarga de Web. IPsec admite el Estándar de cifrado avanzado de 128, 192 o 256 bits, así como Blowfish de 32 a 448 bits en incrementos de 8 bits.

Para obtener información acerca de la compatibilidad con IPsec, consulte "IPsec (Overview)" in System Administration Guide: IP Services. Para obtener información acerca de la compatibilidad con Kerberos, consulte "Introduction to SEAM" in System Administration Guide: Security Services.

Arquitectura de seguridad IP para IPv6

En Solaris 9 se ha mejorado la estructura de seguridad de IPsec para permitir el uso de datagramas IPv6 seguros entre máquinas. En la versión Solaris 9, cuando se usa IPsec para IPv6 sólo se admite el uso de claves manuales.

Nota -

La estructura de seguridad de IPsec para IPv4 se introdujo en la versión Solaris 8. El protocolo Internet Key Exchange (IKE) está disponible para IPv4.

Para obtener más información, consulte "IPsec (Overview)" in System Administration Guide: IP Services.

Mejoras del Control de acceso basado en la posición (RBAC)

Las bases de datos de control de acceso basado en la posición (RBAC) se pueden gestionar con la interfaz gráfica de Solaris Management Console. Los derechos se pueden asignar de forma predeterminada en el archivo policy.conf. Además, ahora los derechos pueden contener otros derechos.

Para obtener más información acerca de RBAC, consulte "Role-Based Access Control (Overview)" in System Administration Guide: Security Services. Para obtener información acerca de Solaris Management Console, consulte "Herramientas de administración del sistema".

Opciones de seguridad de Xserver

Las nuevas opciones permiten a los administradores del sistema admitir sólo conexiones cifradas al servidor X de Solaris. Para obtener más información, consulte "Características de Solaris 9 para usuarios de escritorio".

Interfaz de programación de aplicaciones de servicios de seguridad (GSS-API)

La Interfaz de programación de aplicaciones de servicios de seguridad genérica (GSS-API) es una estructura de seguridad que permite proteger los datos que transmiten las aplicaciones. El GSS-API proporciona autenticación, integridad y servicios de confidencialidad a las aplicaciones. La interfaz permite que estas aplicaciones sean completamente genéricas con respecto a la seguridad. Las aplicaciones no necesitan comprobar cuál es la plataforma subyacente, como Solaris, ni el mecanismo de seguridad, como Kerberos. Esto significa que las aplicaciones que utilizan el GSS-API pueden tener una gran portabilidad.

Para obtener más información, consulte GSS-API Programming Guide.

Software de seguridad adicional

Para obtener información sobre SunScreen^TM 3.2, un producto cortafuegos, consulte "Software adicional".

Consulte también "Software gratuito" para obtener información sobre el software gratuito Tcp-wrappers 7.6 en la versión Solaris 9. Tcp-wrappers 7.6 son pequeños programas daemon que supervisan y filtran las solicitudes de entrada de los servicios de red.