Guía de administración del sistema: servicios IP

Capítulo 19 Arquitectura de seguridad IP (descripción general)

La arquitectura de seguridad IP (IPsec) ofrece protección criptográfica para los datagramas IP en paquetes de redes IPv4 e IPv6.

Este capítulo contiene la información siguiente:

Para implementar IPsec en la red, consulte el Capítulo 20Configuración de IPsec (tareas). Para obtener información de referencia, consulte el Capítulo 21Arquitectura de seguridad IP (referencia).

Novedades de IPsec

Solaris 10 4/09: a partir de esta versión, la utilidad de gestión de servicios (SMF) administra IPsec como conjunto de servicios.

Por defecto, hay dos servicios de IPsec habilitados en el inicio del sistema:

svc:/network/ipsec/policy:default
svc:/network/ipsec/ipsecalgs:default

Por defecto, los servicios de gestión de claves se deshabilitan en el inicio del sistema:

svc:/network/ipsec/manual-key:default
svc:/network/ipsec/ike:default

Para activar directivas IPsec en SMF, siga estos pasos:

Agregue entradas de directivas IPsec al archivo ipsecinit.conf.
Configure la Internet Key Exchange (IKE) o configure manualmente las claves.
Actualice el servicio de directivas IPsec.
Habilite el servicio de administración de teclas.

Para obtener más información sobre SMF, consulte el Capítulo 18, Managing Services (Overview) de System Administration Guide: Basic Administration. Consulte también las páginas de comando man smf(5) y svcadm(1M).

A partir de esta versión, los comandos ipsecconf e ipseckey presentan la opción -c para comprobar la sintaxis de sus respectivos archivos de configuración. Asimismo, el perfil de derechos Network IPsec Management se proporciona para administrar IPsec e IKE.

Solaris 10 7/07&: a partir de esta versión, IPsec implementa por completo los túneles en modo túnel y se modifican las utilidades que admiten túneles.

IPsec implementa los túneles en modo túnel para las redes privadas virtuales (VPN). En modo túnel, IPsec admite múltiples clientes detrás de una sola NAT. En modo túnel, IPsec es interoperable con las implementaciones de túneles de IP en IP de otros proveedores. IPsec sigue admitiendo túneles en modo transporte, de modo que es compatible con las versiones anteriores de Solaris.
La sintaxis para crear un túnel se simplifica. Para administrar la directiva IPsec, se ha ampliado el comando ipsecconf. El comando ifconfig no se admite para la administración de la directiva IPsec.
A partir de esta versión, se elimina el archivo /etc/ipnodes. Utilice el archivo /etc/hosts para configurar las direcciones IPv6 de red.

Solaris 10 1/06: a partir de esta versión, IKE es totalmente compatible con NAT-Traversal, como se describe en RFC 3947 y RFC 3948. Las operaciones IKE usan la biblioteca PKCS #11 de la estructura criptográfica, lo cual mejora el rendimiento.

La estructura criptográfica proporciona un almacén de claves softtoken para las aplicaciones que utilizan la metarranura. Cuando IKE utilice la metarranura, podrá guardar las claves en el disco, en una placa conectada o en el almacén de claves softtoken.

Para utilizar el almacén de claves softtoken, consulte la página del comando man cryptoadm(1M).
Para ver una lista completa de las nuevas funciones de Solaris y una descripción de las versiones de Solaris, consulte Novedades de Oracle Solaris 10 9/10.

Introducción a IPsec

IPsec protege los paquetes IP autenticándolos, cifrándolos o llevando a cabo ambas acciones. IPsec se lleva a cabo dentro del módulo IP, debajo de la capa de aplicación. Por tanto, una aplicación de Internet puede aprovechar IPsec aunque no esté configurada para el uso de IPsec. Cuando se utiliza correctamente, la directiva IPsec es una herramienta eficaz para proteger el tráfico de la red.

La protección IPsec implica cinco componentes principales:

Protocolos de seguridad: Mecanismo de protección de datagramas IP. El encabezado de autenticación (AH) firma los paquetes IP y garantiza la integridad. El contenido del datagrama no está cifrado, pero el receptor tiene la seguridad de que el contenido del paquete no se ha modificado. El receptor también tiene la garantía de que los paquetes los ha enviado el remitente. La Encapsulating Security Payload (ESP) cifra los datos IP, con lo cual codifica el contenido durante la transmisión de paquetes. ESP también puede garantizar la integridad de los datos mediante una opción de algoritmo de autenticación.
Base de datos de asociaciones de seguridad (SADB): La base de datos que asocia un protocolo de seguridad con una dirección de destino IP y un número de índice. El número de índice se denomina índice de parámetros de seguridad. Estos tres elementos (el protocolo de seguridad, la dirección de destino y el SPI) identifican de forma exclusiva a un paquete IPsec legítimo. La base de datos garantiza que el receptor reconozca un paquete protegido que llega a su destino. El receptor también utiliza información de la base de datos para descifrar la comunicación, verificar que los paquetes no se hayan modificado, volver a ensamblar los paquetes y entregarlos en su destino final.
Administración de claves: La generación y distribución de claves para los algoritmos criptográficos y SPI.
Mecanismos de seguridad: Los algoritmos de autenticación y cifrado que protegen los datos de los datagramas IP.
Base de datos de directivas de seguridad (SPD): La base de datos que especifica el nivel de protección que se aplica a un paquete. SPD filtra el tráfico IP para determinar el modo en que se deben procesar los paquetes. Un paquete puede descartarse, transferirse sin codificar o protegerse con IPsec. Para los paquetes salientes, SPD y SADB determinan el nivel de protección que se aplicará. Para los paquetes entrantes, SPD permite determinar si el nivel de protección del paquete es aceptable. Si el paquete se protege con IPsec, SPD se consulta una vez descifrado y verificado el paquete.

IPsec aplica los mecanismos de seguridad a los datagramas IP que se transfieren a la dirección de destino IP. El receptor utiliza la información de SADB para comprobar que los paquetes que llegan sean legítimos y descifrarlos. Las aplicaciones pueden invocar IPsec para aplicar mecanismos de seguridad a los datagramas IP por socket también.

Los sockets tienen un comportamiento distinto según el puerto:

Los SA por socket modifican su entrada de puerto correspondiente en SPD.
Además, si el socket de un puerto está conectado y posteriormente se aplica la directiva IPsec a ese puerto, el tráfico que utiliza ese socket no está protegido mediante IPsec.

Naturalmente, un socket abierto en un puerto después de la aplicación de la directiva IPsec en el puerto está protegido con IPsec.

RFC IPsec

Internet Engineering Task Force (IETF) ha publicado una serie de solicitudes de comentarios (RFC) que describen la arquitectura de seguridad para la capa IP. Todas las RFC tienen copyright de la Sociedad de Internet. Encontrará un vínculo a las RFC en la página http://www.ietf.org/. La siguiente lista de RFC incluye referencias de seguridad IP generales:

RFC 2411, "IP Security Document Roadmap", noviembre de 1998.
RFC 2401, "Security Architecture for the Internet Protocol", noviembre de 1998.
RFC 2402, "IP Authentication Header", noviembre de 1998.
RFC 2406, "IP Encapsulating Security Payload (ESP)", noviembre de 1998.
RFC 2408, "Internet Security Association and Key Management Protocol (ISAKMP)", noviembre de 1998.
RFC 2407, "The Internet IP Security Domain of Interpretation for ISAKMP", noviembre de 1998
RFC 2409, "The Internet Key Exchange (IKE)", noviembre de 1998.
RFC 3554, "On the Use of Stream Control Transmission Protocol (SCTP) with IPsec", julio de 2003 [sin implementar en la versión Solaris 10]

Terminología de IPsec

Las RFC IPsec definen una serie de términos útiles para determinar cuándo debe implementar IPsec en los sistemas. La tabla siguiente enumera los términos de IPsec, proporciona sus acrónimos habituales y aporta una definición. Para ver una lista de la terminología que se utiliza en la negociación de claves, consulte la Tabla 22–1.

Tabla 19–1 Términos, acrónimos y usos de IPsec


Término de IPsec	Acrónimo	Definición
Asociación de seguridad	SA	Conexión exclusiva entre dos nodos de una red. La conexión se define mediante tres elementos: un protocolo de seguridad, un índice de parámetros de seguridad y un destino IP. El destino IP puede ser una dirección IP o un socket.
Base de datos de asociaciones de seguridad	SADB	Base de datos que contiene todas las asociaciones de seguridad activas.
Índice de parámetros de seguridad	SPI	El valor de índice para una asociación de seguridad. Un SPI es un valor de 32 bits que distingue entre las SA que tienen el mismo destino IP y protocolo de seguridad.
base de datos de directivas de seguridad	SPD	Base de datos que determina si los paquetes salientes y entrantes tienen el nivel de protección especificado.
Intercambio de claves		El proceso de generación de claves para los algoritmos criptográficos asimétricos. Los dos métodos principales son los protocolos RSA y el protocolo Diffie-Hellman.
Protocolo Diffie-Hellman	DH	Protocolo de intercambio de claves que implica la generación y la autenticación de claves. A menudo se denomina intercambio de claves autenticadas.
Protocolo RSA	RSA	Protocolo de intercambio de claves que implica la generación y la distribución de claves. El protocolo recibe el nombre de sus tres creadores, Rivest, Shamir y Adleman.
Protocolo de administración de claves y asociaciones de seguridad de Internet	ISAKMP	Estructura habitual para establecer el formato de los atributos SA, así como para negociar, modificar y eliminar SA. ISAKMP es el estándar IETF para administrar SA IPsec.

Flujo de paquetes IPsec

La Figura 19–1 muestra cómo se comporta un paquete de direcciones IP, como parte de un datagrama IP, cuando se invoca IPsec en un paquete saliente. El diagrama de flujo muestra dónde se pueden aplicar en el paquete las entidades encabezado de autenticación (AH) y Carga de seguridad encapsuladora (ESP). En las secciones siguientes se describe cómo aplicar estas entidades, así como el modo de seleccionar los algoritmos.

La Figura 19–2 muestra el proceso entrante de IPsec.

Figura 19–1 IPsec aplicado al proceso de paquetes salientes

El diagrama de flujo muestra que el paquete saliente primero se protege mediante ESP y luego con AH. A continuación, el paquete atraviesa un túnel o una interfaz física.

Figura 19–2 IPsec aplicado al proceso de paquetes entrantes

El diagrama de flujo muestra que IPsec primero procesa el encabezado AH y luego el encabezado ESP en los paquetes entrantes. Los paquetes que no están suficientemente protegidos se dejan.

Asociaciones de seguridad IPsec

Una asociación de seguridad (SA) IPsec especifica las propiedades de seguridad que se reconocen mediante hosts comunicados. Una única SA protege los datos en una dirección. La protección es para un solo host o para una dirección de grupo (multidifusión). Dado que la mayoría de la comunicación es de igual a igual o de cliente-servidor, debe haber dos SA para proteger el tráfico en ambas direcciones.

Los tres elementos siguientes identifican una SA IPsec de modo exclusivo:

El protocolo de seguridad (AH o ESP)
La dirección IP de destino
El índice de parámetros de seguridad

El SPI, un valor arbitrario de 32 bits, se transmite con un paquete AH o ESP. Las páginas del comando man ipsecah(7P) y ipsecesp(7P) explican la protección que ofrecen AH y ESP. Se utiliza un valor de suma de comprobación de integridad para autenticar un paquete. Si la autenticación falla, se deja el paquete.

Las asociaciones de seguridad se almacenan en una base de datos de asociaciones de seguridad (SADB). Un motor de administración basado en sockets, la interfaz PF_KEY, permite a las aplicaciones privilegiadas administrar la base de datos. Por ejemplo, la aplicación IKE y el comando ipseckeys usan la interfaz de socket PF_KEY.

Para obtener una descripción completa de SADB IPsec, consulte Base de datos de asociaciones de seguridad para IPsec.
Para obtener más información sobre cómo administrar SADB, consulte la página del comando man pf_key(7P).

Administración de claves en IPsec

Las asociaciones de seguridad (SA) requieren materiales para la autenticación y para el cifrado. La administración de este material de claves se denomina administración de claves. El protocolo de intercambio de claves de Internet (IKE) gestiona automáticamente la administración de claves. También puede administrar las claves manualmente con el comando ipseckey.

Las SA de los paquetes IPv4 e IPv6 pueden utilizar cualquier método para administrar las claves. A menos que tenga una razón de peso para utilizar la administración de claves manual, se recomienda la administración automática. Por ejemplo, para interoperar con sistemas que no sean Solaris es posible que precise la administración de claves manual.

En la versión actual, SMF proporciona el siguiente servicio de administración de claves para IPsec:

svc:/network/ipsec/ike:default service – es el servicio SMF para la administración automática de claves. El servicio ike ejecuta el daemon in.iked para proporcionar administración automática de claves. Para ver una descripción de IKE, consulte el Capítulo 22Intercambio de claves de Internet (descripción general). Para obtener más información sobre el daemon in.iked, consulte la página de comando man in.iked(1M) Para obtener información sobre el servicio ike, consulte Utilidad de gestión de servicios de IKE.
svc:/network/ipsec/manual-key:default service – es el servicio SMF para la administración manual de claves. El servicio de manual-key ejecuta el comando ipseckey con varias opciones para administrar claves manualmente. Para ver una descripción del comando ipseckey, consulte Utilidades para la generación de claves en IPsec. Para obtener más información sobre las opciones del comando ipseckey, consulte la página de comando man ipseckey(1M).

En las versiones anteriores a Solaris 10 4/09 los comandos en.iked e ipseckey administran material de claves.

El daemon in.iked proporciona administración de claves automática. Para ver una descripción de IKE, consulte el Capítulo 22Intercambio de claves de Internet (descripción general). Para obtener más información sobre el daemon in.iked, consulte la página de comando man in.iked(1M).
El comando ipseckey proporciona administración de claves manual. Para ver una descripción del comando, consulte Utilidades para la generación de claves en IPsec. Para obtener más información sobre las opciones del comando ipseckey, consulte la página de comando man ipseckey(1M).

Mecanismos de protección de IPsec

IPsec proporciona dos protocolos de seguridad para proteger los datos:

Encabezado de autenticación (AH)
Carga de seguridad encapsuladora (ESP)

Un AH protege los datos con un algoritmo de autenticación. Una ESP protege los datos con un algoritmo de cifrado. De modo opcional, una ESP protege los datos con un algoritmo de autenticación. Cada implementación de un algoritmo se denomina mecanismo.

Encabezado de autenticación

El encabezado de autenticación proporciona autenticación de datos, una integridad sólida y protección de repetición para los datagramas IP. AH protege la mayor parte del datagrama IP. Como muestra la ilustración siguiente, AH se inserta entre el encabezado IP y el encabezado de transporte.

El diagrama muestra el encabezado AH entre el encabezado IP y el encabezado TCP.

El encabezado de transporte puede ser TCP, UDP, SCTP o ICMP. Si se utiliza un túnel, el encabezado de transporte puede ser otro encabezado de IP.

Carga de seguridad encapsuladora

El módulo Encapsulating Security Payload (ESP) ofrece confidencialidad para los elementos que encapsula ESP. ESP también proporciona los servicios que proporciona AH. Sin embargo, ESP sólo proporciona sus protecciones de la parte del datagrama que encapsula ESP. ESP proporciona servicios de autenticación opcional para asegurar la integridad de los paquetes protegidos. Debido a que ESP utiliza tecnología de habilitación de cifrado, un sistema que proporcione ESP puede estar sujeto a leyes de control de importación y exportación.

ESP encapsula sus datos, de modo que ESP sólo protege los datos que siguen a su inicio en el datagrama, como se muestra en la ilustración siguiente.

El diagrama muestra el encabezado ESP entre el encabezado IP y el encabezado TCP. El encabezado TCP se cifra mediante el encabezado ESP.

En un paquete TCP, ESP encapsula únicamente el encabezado TCP y sus datos. Si el paquete se encuentra en un datagrama de IP en IP, ESP protege el datagrama IP interior. La directiva por socket permite la autoencapsulación, de modo que ESP puede encapsular las opciones de IP cuando lo necesita.

Si está activada la autoencapsulación, se realiza una copia del encabezado IP para construir un datagrama de IP en IP. Por ejemplo, cuando la autoencapsulación no está activada en un socket TCP, el datagrama se envía con el siguiente formato:

[ IP(a -> b) options + TCP + data ]

Cuando la autoencapsulación está activa en ese socket TCP, el datagrama se envía con el siguiente formato:

[ IP(a -> b) + ESP [ IP(a -> b) options + TCP + data ] ]

Para más información, consulte Modos de transporte y túnel en IPsec.

Consideraciones de seguridad para el uso de AH y ESP

La tabla siguiente compara las protecciones que proporcionan AH y ESP.

Tabla 19–2 Protecciones que proporcionan AH y ESP en IPsec


Protocolo	Protección de paquetes	Protección	Contra ataques
AH	Protege el paquete del encabezado IP al encabezado de transporte.	Proporciona integridad sólida, autenticación de datos: Garantiza que el receptor recibe exactamente lo que ha enviado el remitente. Es susceptible a los ataques de repetición cuando AH no activa la protección contra repeticiones.	Repetición, cortar y pegar
ESP.	Protege el paquete que sigue a ESP en el datagrama.	Con la opción de cifrado, cifra el datagrama IP. Garantiza la confidencialidad.	Intercepción de comunicaciones
		Con la opción de autenticación, proporciona la misma protección que AH.	Repetición, cortar y pegar
		Con ambas opciones, proporciona integridad sólida, autenticación de datos y confidencialidad.	Repetición, cortar y pegar e intercepción de comunicaciones.

Algoritmos de autenticación y cifrado en IPsec

Los protocolos de seguridad IPsec utilizan dos tipos de algoritmos: de autenticación y de cifrado. El módulo AH utiliza algoritmos de autenticación. El módulo ESP puede utilizar tanto algoritmos de cifrado como de autenticación. Puede obtener una lista de los algoritmos de su sistema y sus propiedades con el comando ipsecalgs. Para mas información, consulte la página del comando man ipsecalgs(1M) También puede utilizar las funciones que se describen en la página del comando man getipsecalgbyname(3NSL) para recuperar las propiedades de los algoritmos.

IPsec en un sistema Solaris utiliza la estructura criptográfica de Solaris para acceder a los algoritmos. La estructura proporciona un depósito central para los algoritmos, además de otros servicios. La estructura permite a IPsec aprovechar los aceleradores de hardware criptográficos de alto rendimiento. La estructura también proporciona funciones de control de recursos. Por ejemplo, la estructura permite limitar la cantidad de tiempo de CPU que se dedica a las operaciones criptográficas en el núcleo.

Para obtener más información, consulte las siguientes direcciones:

Algoritmos de autenticación en IPsec

Los algoritmos de autenticación producen un valor de suma de comprobación de integridad o síntesis que se basa en los datos y una clave. El módulo AH utiliza algoritmos de autenticación. El módulo ESP también puede utilizar algoritmos de autenticación.

Algoritmos de cifrado en IPsec

Los algoritmos de cifrado cifran los datos con una clave. El módulo ESP de IPsec utiliza algoritmos de cifrado. Los algoritmos operan en los datos en unidades del tamaño de un bloque.

Diferentes versiones del sistema operativo Solaris 10 proporcionan algoritmos de cifrado predeterminados distintos.

Precaución –

A partir de la versión Solaris 10 7/07, no añada Solaris Encryption Kit al sistema. El kit reduce el nivel de revisión para cifrado del sistema. El kit es incompatible con el cifrado del sistema.

A partir de la versión Solaris 10 7/07, el contenido de Solaris Encryption Kit se instala mediante el disco de instalación de Solaris. En esta versión se añaden los algoritmos de autenticación SHA2: sha256, sha384 y sha512. Las implementaciones SHA2 cumplen la especificación RFC 4868. Esta versión también agrega grupos Diffie-Hellman más grandes: 2048 bits (grupo 14), 3072 bits (grupo 15) y 4096 bits (grupo 16). Tenga en cuenta que los sistemas de Sun con tecnología CoolThreads sólo aceleran los grupos de 2048 bits.
Antes de la versión Solaris 10 7/07, el disco de instalación de Solaris proporciona algoritmos básicos, además puede añadir algoritmos más complejos desde Solaris Encryption Kit.

De modo predeterminado, están instalados los algoritmos DES-CBC, 3DES-CBC, AES-CBC, y Blowfish-CBC. Los tamaños de claves que admiten los algoritmos AES-CBC y Blowfish-CBC están limitados a 128 bits.

Los algoritmos AES-CBC y Blowfish-CBC que admiten tamaños de claves de más de 128 bits están disponibles para IPsec cuando se instala el Solaris Encryption Kit. Sin embargo, no todos los algoritmos de cifrado están disponibles fuera de Estados Unidos. El kit está disponible en un CD independiente que no forma parte del paquete de instalación de Solaris 10. En la Solaris 10 Encryption Kit Installation Guide se describe cómo instalar el kit. Para obtener más información, visite el sitio web de descargas de Sun. Para descargar el kit, haga clic en la ficha Downloads A-Z y, a continuación, haga clic en la letra S. Encontrará Solaris 10 Encryption Kit entre las 20 primeras entradas.

Directivas de protección IPsec

Las directivas de protección IPsec pueden utilizar cualquiera de los mecanismos de seguridad. Las directivas IPsec se pueden aplicar en los niveles siguientes:

En el sistema
Por socket

IPsec aplica la directiva en todo el sistema a los datagramas entrantes y salientes. Los datagramas salientes se envían con o sin protección. Si se aplica protección, los algoritmos son específicos o no específicos. Puede aplicar algunas reglas adicionales a los datagramas salientes, dados los datos adicionales que conoce el sistema. Los datagramas entrantes pueden aceptarse o dejarse. La decisión de dejar o aceptar un datagrama entrante se basa en varios criterios, que en ocasiones se pueden superponer o entrar en conflicto. Los conflictos se resuelven determinando qué regla que analiza primero. El tráfico se acepta automáticamente, excepto cuando una entrada de directiva indica que el tráfico debe omitir las demás directivas.

La directiva que normalmente protege un datagrama se puede omitir. Puede especificar una excepción en la directiva del sistema, o solicitar una omisión en la directiva por socket. Para el tráfico de un sistema, se aplican las directivas, pero no se aplican los mecanismos de seguridad reales. En lugar de ello, la directiva saliente de un paquete dentro del sistema se convierte en un paquete entrante al que se han aplicado esos mecanismos.

El archivo ipsecinit.conf y el comando ipsecconf permiten configurar directivas IPsec. Para ver detalles y ejemplos, consulte la página del comando man ipsecconf(1M).

Modos de transporte y túnel en IPsec

Los estándares IPsec definen dos modos distintos de funcionamiento de IPsec, el modo transporte y el modo túnel. Dichos modos no afectan a la codificación de paquetes. Los paquetes están protegidos por AH, ESP, o ambos en cada modo. Los modos aplican la directiva de un modo distinto cuando el paquete interior es un paquete IP, como en el caso siguiente:

En modo transporte, el encabezado exterior determina la directiva IPsec que protege el paquete IP interior.
En modo túnel, el paquete IP interior determina la directiva IPsec que protege su contenido.

En modo transporte, pueden utilizarse el encabezado exterior, el encabezado siguiente y los puertos que admita el siguiente encabezado para determinar la directiva IPsec. En efecto, IPsec puede aplicar diferentes directivas de modo de transporte entre dos direcciones IP hasta la granularidad de un único puerto. Por ejemplo, si el siguiente encabezado es TCP, que admite puertos, la directiva IPsec se puede configurar para un puerto TCP de la dirección IP exterior. De modo similar, si el siguiente encabezado es un encabezado IP, se pueden utilizar el encabezado exterior y el encabezado IP interior para determinar la directiva IPsec.

El modo túnel sólo funciona para los datagramas de IP en IP. El uso de túneles en modo túnel puede ser útil cuando los usuarios se conecten desde casa a un equipo central. En modo túnel, la directiva IPsec se aplica en el contenido del datagrama IP interior. Se pueden aplicar diferentes directivas IPsec para distintas direcciones IP interiores. Es decir, el encabezado IP interior, su encabezado siguiente y los puertos que admite el siguiente encabezado pueden aplicar una directiva. A diferencia del modo transporte, en el modo túnel el encabezado IP exterior no dicta la directiva de su datagrama IP interior.

Por tanto, en modo túnel, la directiva IPsec se puede especificar para las subredes de una LAN detrás de un enrutador y para puertos de dichas subredes. La directiva IPsec también se puede especificar para una dirección IP concreta, es decir, hosts de esas subredes. Los puertos de dichos hosts también pueden tener una directiva IPsec específica. Sin embargo, si se ejecuta un protocolo de enrutamiento dinámico por un túnel, no utilice la selección de subredes o la sección de direcciones, porque la vista de la topología de red en la red equivalente podría cambiar. Los cambios invalidarían la directiva IPsec estática. Para ver algunos ejemplos de procedimientos de túnel que incluyen la configuración de rutas estáticas, consulte Protección de una VPN con IPsec.

En SO Solaris, el modo túnel puede aplicarse sólo en una interfaz de red de túneles IP. El comando ipsecconf proporciona una palabra clave tunnel para seleccionar una interfaz de red de túneles IP. Cuando la palabra clave tunnel está presente en una regla, todos los selectores específicos de dicha regla se aplican al paquete interior.

En modo transporte, ESP, AH, o ambos, pueden proteger el datagrama.

La figura siguiente muestra un encabezado IP con un paquete TCP sin proteger.

Figura 19–3 Paquete IP sin proteger con información TCP

El diagrama muestra el encabezado IP seguido del encabezado TCP. El encabezado TCP no está protegido.

En modo transporte, ESP protege los datos tal como se muestra en la figura siguiente. El área sombreada muestra la parte cifrada del paquete.

Figura 19–4 Paquete IP protegido con información TCP

En modo transporte, AH protege los datos como se muestra en la figura siguiente.

Figura 19–5 Paquete protegido por encabezado de autenticación

AH cifra los datos antes de que aparezcan en el datagrama. En consecuencia, la protección que proporciona AH, incluso en el modo transporte, cifra parte del encabezado IP.

En modo túnel, todo el datagrama está dentro de la protección de un encabezado IPsec. El datagrama de la Figura 19–3 está protegido en modo túnel por otro encabezado IPsec exterior, en este caso ESP, tal como se muestra en la figura siguiente.

Figura 19–6 Paquete IPsec protegido en modo túnel

El diagrama muestra el encabezado ESP después del encabezado IP y antes de un encabezado y un encabezado TCP. Los dos últimos encabezados están protegidos mediante cifrado.

El comando ipsecconf incluye palabras clave para configurar túneles en modo túnel o en modo transporte.

Para obtener detalles sobre la directiva por socket, consulte la página del comando man ipsec(7P).
Si desea ver un ejemplo de la directiva por socket, consulte Cómo utilizar IPsec para proteger un servidor web del tráfico que no procede de Internet.
Para más información acerca de los túneles, consulte la página del comando man ipsecconf(1M).
Para ver un ejemplo de configuración de túnel, consulte Cómo proteger una VPN con un túnel IPsec en modo túnel mediante IPv4.

Redes privadas virtuales e IPsec

Un túnel configurado es una interfaz de punto a punto. El túnel permite la encapsulación de un paquete IP dentro de otro paquete IP. Un túnel configurado correctamente requiere tanto un origen como un destino. Para obtener más información, consulte la página de comando man tun(7M) y Configuración de túneles para compatibilidad con IPv6.

Un túnel crea una interfaz física aparente para IP. La integridad del vínculo físico depende de los protocolos de seguridad subyacentes. Si configura las asociaciones de seguridad (SA) de un modo seguro, puede confiar en el túnel. Los paquetes que salen del túnel deben haberse originado en su equivalente especificado en el destino del túnel. Si existe esa confianza, puede utilizar el reenvío de IP por interfaz para crear una red privada virtual (VPN).

Puede utilizar IPsec para construir una VPN. IPsec protege la conexión. Por ejemplo, una organización que utiliza tecnología VPN para conectar oficinas con redes separadas puede implementar IPsec para proteger el tráfico entre las dos oficinas.

La figura siguiente ilustra cómo las dos oficinas utilizan Internet para formar su VPN con IPsec implementado en sus sistemas de red.

Figura 19–7 Red privada virtual

El diagrama muestra que las oficinas 1 y 2 utilizan la interfaz hme0 para comunicarse entre sí. Cada oficina utiliza hme1 para la comunicación interna.

Para ver un ejemplo detallado del procedimiento de configuración, consulte Cómo proteger una VPN con un túnel IPsec en modo túnel mediante IPv4.

Para ver un ejemplo similar con direcciones IPv6, consulte Cómo proteger una VPN con un túnel IPsec en modo túnel mediante IPv6.

Paso a través de IPsec y NAT

IKE puede negociar las SA IPsec a través de un cuadro NAT Esta función permite a los sistemas conectarse de forma segura desde una red remota, incluso cuando los sistemas están detrás de un dispositivo NAT. Por ejemplo, los empleados que trabajan desde casa, o que se registran desde un sitio de conferencia pueden proteger su tráfico con IPsec.

NAT significa traducción de direcciones de red. Un cuadro NAT se utiliza para traducir una dirección interna privada en una dirección de Internet exclusiva. Las NAT son muy comunes en los puntos de acceso públicos a Internet, como los hoteles. Para obtener más información, consulte Uso de la función NAT del filtro IP de Oracle Solaris.

La posibilidad de utilizar IKE cuando un cuadro NAT se encuentra entre sistemas que se comunican, se denomina NAT traversal, o NAT-T. En la versión the Solaris 10, tiene las limitaciones siguientes:

NAT-T funciona sólo en redes IPv4.
NAT-T no puede aprovechar la aceleración ESP IPsec que proporciona la placa de Sun Crypto Accelerator 4000. Sin embargo, la aceleración IKE con la placa Sun Crypto Accelerator 4000 funciona.
El protocolo AH depende de un encabezado de IP inalterable; por lo tanto, AH no funciona con NAT-T. El protocolo ESP se utiliza con NAT-T.
El cuadro NAT no utiliza reglas de procesamiento especiales. Un cuadro NAT con reglas de procesamiento IPsec especiales podría interferir con la implementación de NAT-T.
NAT-T sólo funciona cuando el iniciador IKE es el sistema que hay detrás del cuadro NAT. Un contestador IKE no puede estar detrás de un cuadro NAT a menos que el cuadro se haya programado para reenviar paquetes IKE al sistema individual adecuado detrás del cuadro.

En losa siguientes documentos RFC se describen las funciones de NAT y los límites de NAT-T. Puede obtener copias de los RFC en http://www.rfc-editor.org.

RFC 3022, "Traditional IP Network Address Translator (Traditional NAT)", enero de 2001.
RFC 3715, "IPsec-Network Address Translation (NAT) Compatibility Requirements", marzo de 2004.
RFC 3947, "Negotiation of NAT-Traversal in the IKE", enero de 2005.
RFC 3948, "UDP Encapsulation of IPsec Packets", enero de 2005.

Para utilizar IPsec en una NAT, consulte Configuración de IKE para sistemas portátiles (mapa de tareas).

IPsec y SCTP

El SO Solaris admite el protocolo SCTP (Streams Control Transmission Protocol). Se admite el uso del protocolo SCTP y el número de puerto SCTP para especificar la directiva IPsec, pero no es fiable. Las extensiones IPsec para SCTP tal como se especifican en la RFC 3554 todavía no están implementadas. Estas limitaciones pueden generar complicaciones a la hora de crear la directiva IPsec para SCTP.

SCTP puede utilizar varias direcciones de origen y destino en el contexto de una sola asociación SCTP. Cuando la directiva IPsec se aplica a una única dirección de origen o una única dirección de destino, la comunicación puede fallar cuando SCTP cambie la dirección de origen o de destino de dicha asociación. La directiva IPsec sólo reconoce la dirección original. Para obtener información sobre SCTP, consulte las RFC y el Protocolo SCTP.

IPsec y Zonas de Solaris

IPsec se configura desde la zona global para las zonas IP compartidas. El archivo de configuración de la directiva IPsec, ipsecinit.conf, se encuentra únicamente en la zona global. El archivo puede tener entradas que se apliquen a zonas no globales, así como entradas que se apliquen a la zona global.

Para zonas de IP exclusiva, IPsec está configurado en la zona no global.

Para obtener información sobre cómo utilizar IPsec con zonas, consulte Protección del tráfico con IPsec. Para obtener información sobre zonas, consulte el Capítulo 16, Introducción a Solaris Zones de Guía de administración de sistemas: administración de recursos y contenedores de Oracle Solaris y zonas de Oracle Solaris.

IPsec y dominios lógicos

IPsec funciona con dominios lógicos. El dominio lógico debe ejecutar una versión del SO Solaris que incluya IPsec, como, por ejemplo, Solaris 10.

Para crear dominios lógicos, debe utilizar Oracle VM Server para SPARC, anteriormente denominado Logical Domains. Para obtener más información sobre cómo configurar dominios lógicos, consulte Logical Domains 1.2 Administration Guide o Oracle VM Server for SPARC 2.0 Administration Guide.

Archivos y utilidades IPsec

La Tabla 19–3 describe los archivos, comandos e identificadores de servicios que se utilizan para configurar y administrar IPsec. Para mayor información, la tabla incluye comandos y archivos de administración de claves.

A partir de Solaris 10 4/09, SMF administra IPsec. Para obtener más información sobre identificadores de servicios, consulte el Capítulo 18, Managing Services (Overview) de System Administration Guide: Basic Administration.

Si desea obtener instrucciones sobre la implementación de IPsec en la red, consulte Protección del tráfico con IPsec (mapa de tareas).
Para mas información sobre los archivos y las utilidades IPsec, consulte el Capítulo 21Arquitectura de seguridad IP (referencia).

Tabla 19–3 Lista de archivos y utilidades IPsec seleccionados


Utilidad IPsec, archivo o servicio	Descripción	Página de comando man
`svc:/network/ipsec/ipsecalgs`	En la versión actual, el servicio SMF que administra los algoritmos IPsec.	smf(5), ipsecalgs(1M)
`svc:/network/ipsec/manual-key`	En la versión actual, el servicio SMF que gestiona asociaciones de seguridad manuales (SA).	smf(5), ipseckey(1M)
`svc:/network/ipsec/policy`	En la versión actual, el servicio SMF que gestiona la directiva IPsec.	smf(5), ipsecconf(1M)
`svc: /network/ipsec/ike`	En la versión actual, el servicio SMF para la gestión automática de IPsec SA.	smf(5), in.iked(1M)
Archivo `/etc/inet/ipsecinit.conf`	archivo de directiva IPsec En las versiones anteriores a Solaris 10 4/09, si el archivo existe, IPsec se activará en el momento del inicio. En la versión actual, el servicio SMF `policy` utiliza este archivo para configurar la directiva de IPsec durante el inicio del sistema.	ipsecconf(1M)
Comando `ipsecconf`	Comando de directiva IPsec. Es útil para visualizar y modificar la directiva IPsec actual, así como para realizar pruebas. En las versiones anteriores a Solaris 10 4/09 las secuencias de comandos de inicio utilizan `ipsecconf` para leer el archivo `/etc/inet/ipsecinit.conf` y activar IPsec. En la versión actual, `ipsecconf` lo utiliza el servicio SMF `policy` para configurar la directiva IPsec en el inicio del sistema.	ipsecconf(1M)
Interfaz de socket `PF_KEY`	Interfaz para la base de datos de asociaciones de seguridad (SADB). Controla la administración de claves manual y automática.	pf_key(7P)
Comando `ipseckey`	Comando de material de claves de asociaciones de seguridad (SA) de IPsec. `ipseckey` es un componente frontal de línea de comandos para la interfaz `PF_KEY.` `ipseckey` puede crear, destruir o modificar SA.	ipseckey(1M)
Archivo `/etc/inet/secret/ipseckeys`	Claves para SA de IPsec. En las versiones anteriores a Solaris 10 4/09 si existe el archivo `ipsecinit.conf`, el archivo `ipseckeys` se lee automáticamente en el momento del inicio. En la versión actual, el servicio SMF `manual-key` utiliza `ipseckeys` para configurar manualmente las asociaciones de seguridad (SA) durante el inicio del sistema.
Comando `ipsecalgs`	Comando de algoritmos IPsec. Es útil para visualizar y modificar la lista de algoritmos IPsec y sus propiedades. En la versión actual, se utiliza por parte del servicio SMF `ipsecalgs` para sincronizar algoritmos IPsec conocidos con el núcleo en el inicio del sistema.	ipsecalgs(1M)
Archivo `/etc/inet/ipsecalgs`	Contiene los protocolos IPsec configurados y las definiciones de algoritmos. Este archivo lo administra el comando `ipsecalgs` y nunca se debe editar manualmente.
Archivo `/etc/inet/ike/config`	archivo de configuración y directiva de IKE Por defecto, este archivo no existe. En las versiones anteriores a Solaris 10 4/09, si el archivo existe, el daemon IKE (`in.iked`) proporciona gestión automática de claves. La administración se basa en reglas y parámetros globales del archivo `/etc/inet/ike/config`. Consulte Archivos y utilidades IKE. En la versión actual, si el archivo existe, el servicio `svc:/network/ipsec/ike` inicia el daemon IKE, `in.iked`, para proporcionar gestión automática de claves.	ike.config(4)

Cambios en IPsec para la versión Solaris 10

Para ver una lista completa de las nuevas funciones de Solaris y una descripción de las versiones de Solaris, consulte Novedades de Oracle Solaris 10 9/10. A partir de la versión Solaris 9, IPsec incluye las siguientes funciones:

Cuando se conecta una placa Sun Crypto Accelerator 4000, ésta coloca en caché automáticamente las SA IPsec para los paquetes que utilizan la interfaz Ethernet de la placa. La placa también acelera el procesamiento de las SA IPsec.
IPsec puede aprovechar la administración de claves automática con IKE a través de redes IPv6. Para más información, consulte el Capítulo 22Intercambio de claves de Internet (descripción general).

Para conocer las novedades IKE, consulte Cambios de IKE en Solaris 10.
Encontrará más ayuda en el analizador del comando ipseckey. El comando ipseckey monitor incluye indicaciones de fecha y hora en cada evento. Para obtener más información, consulte la página del comando man ipseckey(1M).
Los algoritmos IPsec ahora provienen de una ubicación de almacenamiento central, la estructura criptográfica de Solaris. La página del comando man ipsecalgs(1M) describe las características de los algoritmos que hay disponibles. Los algoritmos están optimizados para la arquitectura en la que se ejecutan. Para obtener una descripción de la estructura, consulte el Capítulo 13, Oracle Solaris Cryptographic Framework (Overview) de System Administration Guide: Security Services.
IPsec funciona en la zona global. La directiva IPsec se administra en la zona global para una zona no global. El material de claves se crea y administra manualmente en la zona global para una zona no global. IKE no se puede utilizar para generar claves para una zona no global. Para obtener más información sobre zonas, consulte el Capítulo 16, Introducción a Solaris Zones de Guía de administración de sistemas: administración de recursos y contenedores de Oracle Solaris y zonas de Oracle Solaris.
La directiva IPsec puede funcionar con el protocolo SCTP (Streams Control Transmission Protocol) y el número de puerto SCTP. Sin embargo, la implementación no está completa. Las extensiones IPsec para SCTP que se especifican en la RFC 3554 todavía no están implementadas. Estas limitaciones pueden ocasionar complicaciones a la hora de crear la directiva IPsec para SCTP. Para obtener más información, consulte las RFC. Asimismo, lea IPsec y SCTP y Protocolo SCTP.
IPsec e IKE pueden proteger el tráfico que se origina detrás de un cuadro NAT. Para obtener más detalles e información sobre las limitaciones, consulte Paso a través de IPsec y NAT. Para ver los procedimientos, consulte Configuración de IKE para sistemas portátiles (mapa de tareas).