Mejoras en la seguridad

La versión 9 de Solaris incluye ahora las siguientes mejoras en la seguridad.

Protocolo de intercambio de claves de Internet (IKE)

El Protocolo de intercambio de claves de Internet (Internet Key Exchange, IKE) automatiza la gestión de claves de IPsec. IKE sustituye la asignación y renovación manual de claves en una red IPv4. IKE permite al administrador gestionar un mayor número de redes seguras.

Los administradores del sistema usan IPsec para configurar redes IPv4 seguras. El daemon in.iked proporciona derivación de claves, autenticación y protección de autenticación durante el arranque. El daemon se puede configurar. El administrador configura los parámetros en un archivo de configuración. Después de configurar los parámetros, no se requiere ninguna renovación de claves manual.

Si desea más información, consulte el Capítulo 21, Internet Key Exchange de System Administration Guide: IP Services.

Shell seguro de Solaris

El Shell seguro permite a los usuarios acceder de forma segura a un sistema principal por una red insegura. Las transferencias de datos y las sesiones de red interactivas de usuarios están protegidas frente a espionaje, rapto de sesiones y ataques de intermediarios. El Shell seguro de Solaris 9 admite las versiones de protocolo SSHv1 y SSHv2. Se incluye autenticación fuerte con criptografía de clave pública. El sistema X Window y otros servicios de red se pueden introducir en túneles de forma segura a través de conexiones de shell seguro para obtener protección adicional.

El servidor de Shell seguro, sshd, admite la supervisión y filtrado de las solicitudes de servicios de red entrantes. Se puede configurar el servidor para que registre el nombre del sistema cliente de las solicitudes entrantes, mejorando con ello la seguridad de la red. sshd usa el mismo mecanismo que la utilidad Tcp-wrappers 7.6 que se describe en Mejoras en el software gratuito.

Para más información, consulte las páginas de comando man sshd(1M), hosts_access(4) y hosts_options(4). Consulte también el Capítulo 11, Using Solaris Secure Shell (Tasks) de System Administration Guide: Security Services.

Centro de distribución de claves Kerberos (KDC) y herramientas de administración

Los administradores del sistema pueden mejorar la seguridad del sistema con la autenticación, privacidad e integridad Kerberos V5. NFS es un ejemplo de aplicación protegida con Kerberos V5.

En la lista siguiente se destacan las nuevas funciones de Kerberos V5.

• Servidor Kerberos V5: el servidor incluye los componentes que se enumeran a continuación.

  • Sistema de administración principal (de usuario): incluye un servidor centralizado para la administración local y remota de políticas de seguridad y principales. El sistema incluye una herramienta de administración con CLI y GUI.

  • Centro de distribución de claves (KDC): usa la información de la base de datos principal creada por el servidor de administración. Emite cupones para los clientes.

  • Sistema de replicación de base de datos principal: duplica la base de datos KDC en un servidor de copia de seguridad.

• Interoperatividad de cambio de contraseña MIT y Microsoft Windows 2000: las contraseñas Kerberos V5 se pueden cambiar de un cliente Solaris a un servidor Kerberos MIT y Microsoft Windows 2000.

• DES ajustada: las operaciones DES del núcleo de Kerberos V5 se han optimizado para la arquitectura Sun4u.

• Núcleo central de Solaris ahora admite comunicaciones con cifrado Kerberos: el sistema operativo Solaris 9 dispone ahora de un módulo de cifrado compatible con comunicaciones con cifrado Kerberos. Anteriormente, el módulo de cifrado sólo estaba disponible en el CD-ROM Solaris Encryption Kit o descargándolo de la Web.

• Cupones sin dirección: los administradores del sistema y los usuarios pueden especificar cupones sin dirección. Esta capacidad puede ser necesaria en entornos de red NAT o con varios directorios iniciales.

• El módulo Kerberos V5 PAM admite la caducidad de contraseñas: el módulo pam_krb5 admite la caducidad de contraseñas que se fija en el KDC para cada principal de usuario.

Si desea más informacion, consulte Administering the Kerberos Database de System Administration Guide: Security Services.

Cliente LDAP seguro

La versión de Solaris 9 incluye nuevas funciones de seguridad basada en clientes LDAP. Una nueva biblioteca LDAP permite el uso de mecanismos de cifrado SSL (TLS) y CRAM-MD5. Estos mecanismos de cifrado permiten a los clientes usar métodos de cifrado en las conexiones entre clientes LDAP y el servidor LDAP.

Sun ONE Directory Server 5.1 (anteriormente llamado iPlanet Directory Server 5.1) es el servidor de directorios LDAP. Si desea más información sobre este servidor, consulte Mejoras en el trabajo en red.

Módulos de cifrado para IPsec y Kerberos

En esta versión de Solaris 9 se incluye encriptación sólida para IPsec y Kerberos. Antes de esta versión, los módulos de cifrado sólo estaban disponibles en el CD-ROM Solaris Encryption Kit o descargándolos de la Web. El sistema operativo Solaris 9 incorpora ahora algunos de estos algoritmos. Entre ellos se encuentra la compatibilidad con privacidad DES de 56 bits para Kerberos, así como la compatibilidad con DES de 56 y 128 bits y Triple-DES de 3 claves para IPsec.

Se puede disponer de la admisión para una encriptación incluso más sólida en el CD-ROM Solaris Encryptation Kit o descargándola de la Web. IPsec admite el Estándar de cifrado avanzado de 128, 192 o 256 bits, así como Blowfish de 32 a 448 bits en incrementos de 8 bits.

Si desea información sobre la compatibilidad con IPsec, consulte el Capítulo 19, IPsec (Overview) de System Administration Guide: IP Services. Si desea información sobre la compatibilidad con Kerberos, consulte el Capítulo 13, Introduction to SEAM de System Administration Guide: Security Services.

Arquitectura de seguridad IP para IPv6

En Solaris 9 se ha mejorado la estructura de seguridad de IPsec para permitir el uso de datagramas IPv6 seguros entre máquinas. En la versión de Solaris 9, cuando se usa IPsec para IPv6 sólo se admite el uso de claves manuales.

La estructura de seguridad de IPsec para IPv4 se introdujo en la versión de Solaris 8. El protocolo Internet Key Exchange (IKE) está disponible para IPv4.

Si desea más información, consulte el Capítulo 19, IPsec (Overview) de System Administration Guide: IP Services.

Mejoras del Control de acceso basado en la función (RBAC)

Las bases de datos de control de acceso basado en la función (RBAC) se pueden gestionar con la interfaz gráfica de Solaris Management Console. Los derechos se pueden asignar ahora de manera predeterminada en el archivo policy.conf. Además, ahora los derechos pueden contener otros derechos.

Para obtener más información sobre RBAC, consulte el Capítulo 5, Role-Based Access Control (Overview) de System Administration Guide: Security Services. Si desea información sobre Solaris Management Console, consulte Herramientas de administración del sistema.

Opciones de seguridad de Xserver

Las nuevas opciones permiten a los administradores del sistema admitir sólo conexiones cifradas al servidor X de Solaris. Si desea más informacion, consulte Características de Solaris 9 para usuarios de escritorio.

Interfaz de programación de aplicaciones de servicios de seguridad genérica (GSS-API)

La Interfaz de programación de aplicaciones de servicios de seguridad genérica (GSS-API) es una estructura de seguridad que permite proteger los datos que transmiten las aplicaciones. GSS-API proporciona autenticación, integridad y servicios de confidencialidad a las aplicaciones. La interfaz permite que estas aplicaciones sean completamente genéricas con respecto a la seguridad. Las aplicaciones no necesitan comprobar cuál es la plataforma subyacente, como Solaris, ni el mecanismo de seguridad, como Kerberos. Esto significa que las aplicaciones que utilizan GSS-API pueden tener una gran portabilidad.

Para obtener más información, consulte el documento GSS-API Programming Guide.

Software de seguridad adicional

Si desea información sobre SunScreen^TM 3.2, un cortafuegos, consulte Software adicional.

Consulte también Mejoras en el software gratuito si desea información sobre el software gratuito Tcp-wrappers 7.6 en la versión de Solaris 9. Tcp-wrappers 7.6 son pequeños programas daemon que supervisan y filtran las solicitudes de entrada de los servicios de red.