| Omitir V�nculos de navegaci�n | |
| Salir de la Vista de impresi�n | |
|
Guía de administración del sistema: servicios IP |
| Omitir V�nculos de navegaci�n | |
| Salir de la Vista de impresi�n | |
|
|
Guía de administración del sistema: servicios IP |
Parte I Introducción a la administración del sistema: servicios IP
1. Conjunto de protocolos TCP/IP de Oracle Solaris (descripción general)
Parte II Administración de TCP/IP
2. Planificación de la red TCP/IP (tareas)
3. Introducción a IPv6 (descripción general)
4. Planificación de una red IPv6 (tareas)
5. Configuración de servicios de red TCP/IP y direcciones IPv4 (tareas)
6. Administración de interfaces de red (tareas)
7. Configuración de una red IPv6 (tareas).
8. Administración de redes TCP/IP (tareas)
9. Resolución de problemas de red (Tareas)
10. Descripción detallada de TCP/IP e IPv4 (referencia)
11. IPv6 en profundidad (referencia)
12. Acerca de DHCP (descripción general)
13. Planificación del servicio DHCP (tareas)
14. Configuración del servicio DHCP (tareas)
15. Administración de DHCP (tareas)
16. Configuración y administración del cliente DHCP
17. Solución de problemas de DHCP (referencia)
18. Comandos y archivos DHCP (referencia)
19. Arquitectura de seguridad IP (descripción general)
Asociaciones de seguridad IPsec
Administración de claves en IPsec
Mecanismos de protección de IPsec
Carga de seguridad encapsuladora
Consideraciones de seguridad para el uso de AH y ESP
Algoritmos de autenticación y cifrado en IPsec
Algoritmos de autenticación en IPsec
Algoritmos de cifrado en IPsec
Directivas de protección IPsec
Modos de transporte y túnel en IPsec
Redes privadas virtuales e IPsec
Cambios en IPsec para la versión Solaris 10
20. Configuración de IPsec (tareas)
21. Arquitectura de seguridad IP (referencia)
22. Intercambio de claves de Internet (descripción general)
23. Configuración de IKE (tareas)
24. Intercambio de claves de Internet (referencia)
25. Filtro IP en Oracle Solaris (descripción general)
27. IP para móviles (Descripción general)
28. Administración de IP móvil (tareas)
29. Archivos y comandos de IP para móviles (referencia)
30. Introducción a IPMP (descripción general)
31. Administración de IPMP (tareas)
Parte VII Calidad de servicio IP (IPQoS)
32. Introducción a IPQoS (Descripción general)
33. Planificación para una red con IPQoS (Tareas)
34. Creación del archivo de configuración IPQoS (Tareas)
35. Inicio y mantenimiento de IPQoS (Tareas)
36. Uso de control de flujo y recopilación de estadísticas (Tareas)
IPsec protege los paquetes IP autenticándolos, cifrándolos o llevando a cabo ambas acciones. IPsec se lleva a cabo dentro del módulo IP, debajo de la capa de aplicación. Por tanto, una aplicación de Internet puede aprovechar IPsec aunque no esté configurada para el uso de IPsec. Cuando se utiliza correctamente, la directiva IPsec es una herramienta eficaz para proteger el tráfico de la red.
La protección IPsec implica cinco componentes principales:
Protocolos de seguridad: Mecanismo de protección de datagramas IP. El encabezado de autenticación (AH) firma los paquetes IP y garantiza la integridad. El contenido del datagrama no está cifrado, pero el receptor tiene la seguridad de que el contenido del paquete no se ha modificado. El receptor también tiene la garantía de que los paquetes los ha enviado el remitente. La Encapsulating Security Payload (ESP) cifra los datos IP, con lo cual codifica el contenido durante la transmisión de paquetes. ESP también puede garantizar la integridad de los datos mediante una opción de algoritmo de autenticación.
Base de datos de asociaciones de seguridad (SADB): La base de datos que asocia un protocolo de seguridad con una dirección de destino IP y un número de índice. El número de índice se denomina índice de parámetros de seguridad. Estos tres elementos (el protocolo de seguridad, la dirección de destino y el SPI) identifican de forma exclusiva a un paquete IPsec legítimo. La base de datos garantiza que el receptor reconozca un paquete protegido que llega a su destino. El receptor también utiliza información de la base de datos para descifrar la comunicación, verificar que los paquetes no se hayan modificado, volver a ensamblar los paquetes y entregarlos en su destino final.
Administración de claves: La generación y distribución de claves para los algoritmos criptográficos y SPI.
Mecanismos de seguridad: Los algoritmos de autenticación y cifrado que protegen los datos de los datagramas IP.
Base de datos de directivas de seguridad (SPD): La base de datos que especifica el nivel de protección que se aplica a un paquete. SPD filtra el tráfico IP para determinar el modo en que se deben procesar los paquetes. Un paquete puede descartarse, transferirse sin codificar o protegerse con IPsec. Para los paquetes salientes, SPD y SADB determinan el nivel de protección que se aplicará. Para los paquetes entrantes, SPD permite determinar si el nivel de protección del paquete es aceptable. Si el paquete se protege con IPsec, SPD se consulta una vez descifrado y verificado el paquete.
IPsec aplica los mecanismos de seguridad a los datagramas IP que se transfieren a la dirección de destino IP. El receptor utiliza la información de SADB para comprobar que los paquetes que llegan sean legítimos y descifrarlos. Las aplicaciones pueden invocar IPsec para aplicar mecanismos de seguridad a los datagramas IP por socket también.
Los sockets tienen un comportamiento distinto según el puerto:
Los SA por socket modifican su entrada de puerto correspondiente en SPD.
Además, si el socket de un puerto está conectado y posteriormente se aplica la directiva IPsec a ese puerto, el tráfico que utiliza ese socket no está protegido mediante IPsec.
Naturalmente, un socket abierto en un puerto después de la aplicación de la directiva IPsec en el puerto está protegido con IPsec.
Internet Engineering Task Force (IETF) ha publicado una serie de solicitudes de comentarios (RFC) que describen la arquitectura de seguridad para la capa IP. Todas las RFC tienen copyright de la Sociedad de Internet. Encontrará un vínculo a las RFC en la página http://www.ietf.org/. La siguiente lista de RFC incluye referencias de seguridad IP generales:
RFC 2411, "IP Security Document Roadmap", noviembre de 1998.
RFC 2401, "Security Architecture for the Internet Protocol", noviembre de 1998.
RFC 2402, "IP Authentication Header", noviembre de 1998.
RFC 2406, "IP Encapsulating Security Payload (ESP)", noviembre de 1998.
RFC 2408, "Internet Security Association and Key Management Protocol (ISAKMP)", noviembre de 1998.
RFC 2407, "The Internet IP Security Domain of Interpretation for ISAKMP", noviembre de 1998
RFC 2409, "The Internet Key Exchange (IKE)", noviembre de 1998.
RFC 3554, "On the Use of Stream Control Transmission Protocol (SCTP) with IPsec", julio de 2003 [sin implementar en la versión Solaris 10]
Las RFC IPsec definen una serie de términos útiles para determinar cuándo debe implementar IPsec en los sistemas. La tabla siguiente enumera los términos de IPsec, proporciona sus acrónimos habituales y aporta una definición. Para ver una lista de la terminología que se utiliza en la negociación de claves, consulte la Tabla 22-1.
Tabla 19-1 Términos, acrónimos y usos de IPsec
|
|