Protección del tráfico con IPsec

En esta sección se describen los procedimientos que permiten proteger un servidor web y el tráfico entre dos sistemas. Para proteger una VPN, consulte Protección de una VPN con IPsec. Para conocer los procedimientos adicionales para gestionar IPsec y utilizar comandos SMF con IPsec e IKE, consulte Gestión de IPsec e IKE.

La información siguiente se aplica a todas las tareas de configuración de IPsec:

• IPsec y zones: para administrar la política IPsec y las claves para una zona no global IP compartida, cree el archivo de política IPsec en la zona global y ejecute los comandos de configuración de IPsec desde la zona global. Utilice la dirección de origen que corresponda a la zona no global que se esté configurando. Para una zona de IP exclusiva, configure la política IPsec en la zona no global.

• IPsec y RBAC: para utilizar roles para administrar IPsec, consulte Capítulo 9, Uso del control de acceso basado en roles (tareas) de Administración de Oracle Solaris: servicios de seguridad. Si desea ver un ejemplo, consulte Cómo configurar una función para la seguridad de la red.

• IPsec y SCTP:IPsec se puede utilizar para proteger las asociaciones SCTP (Streams Control Transmission Protocol), pero debe hacerse con precaución. Para obtener más información, consulte IPsec y SCTP.

• IPsec y etiquetas Trusted Extensions: en sistemas configurados con la función Trusted Extensions de Oracle Solaris, se pueden agregar etiquetas a los paquetes IPsec. Para obtener más información, consulte Administración de IPsec con etiquetas de Configuración y administración de Trusted Extensions.

• Direcciones IPv4 e IPv6: en el ejemplo de IPsec de esta guía, se utilizan direcciones IPv4. Oracle Solaris también admite direcciones IPv6. Para configurar IPsec para una red IPv6, sustituya las direcciones IPv6 en los ejemplos. Al proteger túneles con IPsec, puede combinar direcciones IPv4 e IPv6 para las direcciones internas y externas. Esta configuración permite establecer un túnel para IPv6 en una red IPv4, por ejemplo.

El siguiente mapa de tareas hace referencia a los procedimientos que configuran IPsec entre uno o más sistemas. En las secciones de ejemplo correspondientes de las páginas del comando man ipsecconf(1M), ipseckey(1M) y ipadm(1M), también se describen procedimientos útiles.

Cómo proteger el tráfico entre dos sistemas con IPsec

Este procedimiento presupone la siguiente configuración:

• Los dos sistemas se denominan enigma y partym.

• Cada sistema tiene una dirección IP. Ésta puede ser una dirección IPv4, una dirección IPv6 o ambas.

• Cada sistema requiere cifrado ESP con el algoritmo AES, el cual requiere una clave de 128 bits, y autenticación ESP con un resumen de mensajes SHA-2, el cual requiere una clave de 512 bits.

• Cada sistema utiliza asociaciones de seguridad compartidas.

  Con las asociaciones de seguridad (SA) compartidas, sólo se necesita un par de SA para proteger los dos sistemas.

Antes de empezar

La política IPsec se puede configurar en la zona global o en una zona de pila IP exclusiva. La política para una zona de pila IP compartida se debe configurar en la zona global. Para una zona de IP exclusiva, configure la política IPsec en la zona no global.

1. Conviértase en administrador.

   Para obtener más información, consulte Cómo obtener derechos administrativos de Administración de Oracle Solaris: servicios de seguridad. Si inicia sesión de manera remota, utilice el comando ssh para un inicio de sesión remoto seguro. Esto se ilustra en el Ejemplo 15-1.

2. En cada sistema, agregue entradas de host al archivo /etc/inet/hosts.

   Este paso permite que la utilidad de gestión de servicios (SMF) utilice los nombres del sistema sin depender de servicios de nombres no existentes. Para obtener más información, consulte la página del comando man smf(5).

   1. En un sistema denominado partym, escriba lo siguiente en el archivo hosts:

      # Secure communication with enigma
      192.168.116.16 enigma

   2. En un sistema denominado enigma, escriba lo siguiente en el archivo hosts:

      # Secure communication with partym
      192.168.13.213 partym

3. En cada sistema, cree el archivo de política IPsec.

   El nombre de archivo es /etc/inet/ipsecinit.conf. Para ver un ejemplo, consulte el archivo /etc/inet/ipsecinit.sample.

4. Agregue una entrada de política IPsec al archivo ipsecinit.conf.
   1. En el sistema enigma, agregue la política siguiente:

      {laddr enigma raddr partym} ipsec {encr_algs aes encr_auth_algs sha512 sa shared}

   2. En el sistema partym, agregue una política idéntica:

      {laddr partym raddr enigma} ipsec {encr_algs aes encr_auth_algs sha512 sa shared}

      Para ver la sintaxis de las entradas de la política IPsec, consulte la página del comando man ipsecconf(1M).

5. En cada sistema, configure IKE para agregar un par de asociaciones de seguridad de IPsec entre los dos sistemas.

   Configure IKE siguiendo uno de los métodos de configuración de Configuración de IKE (mapa de tareas). Para ver la sintaxis del archivo de configuración de IKE, consulte la página del comando man ike.config(4).

   ---

   Nota - Si debe generar y mantener las claves de forma manual, consulte Cómo crear manualmente claves IPsec.

   ---

6. Compruebe la sintaxis del archivo de política IPsec.

   # ipsecconf -c -f /etc/inet/ipsecinit.conf

   Subsane los posibles errores, compruebe la sintaxis del archivo y continúe.

7. Refresque la política IPsec.

   # svcadm refresh svc:/network/ipsec/policy:default

   La política IPsec está habilitada de forma predeterminada, por lo que puede actualizarla. Si ha inhabilitado la política IPsec, habilítela.

   # svcadm enable svc:/network/ipsec/policy:default

8. Active las claves para IPsec.
   • Si el servicio ike no está habilitado, habilítelo.

     # svcadm enable svc:/network/ipsec/ike:default

   • Si el servicio ike está habilitado, reinícielo.

     # svcadm restart svc:/network/ipsec/ike:default

   Si configuró manualmente las claves en el Paso 5, complete Cómo crear manualmente claves IPsec para activar las claves.

9. Compruebe que los paquetes se estén protegiendo.

   Para ver el procedimiento, consulte Cómo verificar que los paquetes estén protegidos con IPsec.

Ejemplo 15-1 Adición de políticas IPsec al utilizar una conexión ssh

En este ejemplo, el administrador con el rol root configura las claves y la política IPsec en dos sistemas con el comando ssh para llegar al segundo sistema. Para obtener más información, consulte la página del comando man ssh(1).

• En primer lugar, el administrador realiza del Paso 2 al Paso 6 del procedimiento anterior para configurar el primer sistema.

• A continuación, en una ventana de terminal distinta, el administrador utiliza el comando ssh para iniciar la sesión en el segundo sistema.

  local-system # ssh other-system
  other-system # 

• En la ventana de terminal de la sesión ssh, el administrador configura la política IPsec y las claves del segundo sistema; para ello, realiza del Paso 2 al Paso 8.

• A continuación, el administrador termina la sesión ssh.

  other-system # exit
  local-system #

• Por último, el administrador completa el Paso 7 y el Paso 8 para habilitar la política IPsec en el primer sistema.

La próxima ocasión que los dos sistemas se comunican, incluida la conexión ssh, la comunicación queda protegida por IPsec.

Cómo utilizar IPsec para proteger un servidor web del tráfico que no procede de Internet

Un servidor web seguro permite a los clientes web comunicarse con el servicio web. En un servidor web seguro, el tráfico que no sea de la red debe someterse a comprobaciones de seguridad. El siguiente procedimiento incluye las omisiones del tráfico de red. Además, este servidor web puede realizar solicitudes de clientes DNS no seguras. El resto del tráfico requiere ESP con los algoritmos AES y SHA-2.

Antes de empezar

Debe encontrarse en la zona global para poder configurar la política IPsec. Para una zona de IP exclusiva, configure la política IPsec en la zona no global. Ha completado Cómo proteger el tráfico entre dos sistemas con IPsec para que se apliquen las condiciones siguientes:

• Que la comunicación entre los dos sistemas esté protegida por IPsec.

• Que se esté generando material de claves mediante IKE.

• Que haya comprobado que los paquetes se estén protegiendo.

1. Conviértase en administrador.

   Para obtener más información, consulte Cómo obtener derechos administrativos de Administración de Oracle Solaris: servicios de seguridad. Si inicia sesión de manera remota, utilice el comando ssh para un inicio de sesión remoto seguro. Esto se ilustra en el Ejemplo 15-1.

2. Determine qué servicios deben omitir las comprobaciones de política de seguridad.

   En el caso de un servidor web, estos servicios incluyen los puertos TCP 80 (HTTP) y 443 (HTTP seguro). Si el servidor web proporciona consultas de nombres DNS, el servidor también podría incluir el puerto 53 tanto para TCP como para UDP.

3. Agregue la política de servidor web al archivo de política IPsec.

   Agregue las líneas siguientes al archivo /etc/inet/ipsecinit.conf:

   # Web traffic that web server should bypass.
   {lport  80 ulp tcp dir both} bypass {}
   {lport 443 ulp tcp dir both} bypass {}
   
   # Outbound DNS lookups should also be bypassed.
   {rport 53 dir both} bypass {}
   
   # Require all other traffic to use ESP with AES and SHA-2.
   # Use a unique SA for outbound traffic from the port
   {} ipsec {encr_algs aes encr_auth_algs sha512 sa shared}

   Esta configuración sólo permite que el tráfico seguro acceda al sistema, con las excepciones de omisión que se describen en el Paso 2.

4. Compruebe la sintaxis del archivo de política IPsec.

   # ipsecconf -c -f /etc/inet/ipsecinit.conf

5. Actualice la política IPsec.

   # svcadm refresh svc:/network/ipsec/policy:default

6. Actualice las claves para IPsec.

   Reinicie el servicio ike.

   # svcadm restart svc:/network/ipsec/ike

   Si debe generar y mantener las claves de forma manual, siga las instrucciones de Cómo crear manualmente claves IPsec.

   La configuración se ha completado. Si lo desea, puede llevar a cabo el Paso 7.

7. (Opcional) Habilite un sistema remoto para comunicarse con el servidor web para tráfico que no sea de red.

   Agregue las siguientes líneas al archivo /etc/inet/ipsecinit.conf de un sistema remoto:

   # Communicate with web server about nonweb stuff
   #
   {laddr webserver} ipsec {encr_algs aes encr_auth_algs sha512 sa shared}

   Verifique la sintaxis y, luego, refresque la política IPsec para activarla.

   remote-system # ipsecconf -c -f /etc/inet/ipsecinit.conf
   remote-system # svcadm refresh svc:/network/ipsec/policy:default

   Un sistema remoto puede comunicarse de forma segura con el servidor web para tráfico que no sea de web sólo cuando las políticas IPsec del sistema coinciden.

Cómo visualizar las políticas de IPsec

Puede ver las políticas configuradas en el sistema ejecutando el comando ipsecconf sin argumentos.

Antes de empezar

Debe ejecutar el comando ipsecconf en la zona global. Para una zona de IP exclusiva, ejecute el comando ipsecconf en la zona no global.

1. Asuma un rol que incluya el perfil de gestión IPsec de red.

   Para crear un rol discreto de seguridad de red y asignar ese rol a un usuario, consulte Cómo configurar una función para la seguridad de la red.

2. Visualice las políticas IPsec.
   • Visualice las entradas de la política IPsec global en el orden en que se agregaron las entradas.

     $ ipsecconf

     El comando muestra cada entrada con un índice, seguida de un número.

   • Visualice las entradas de la política IPsec en el orden en que se produzca una coincidencia.

     $ ipsecconf -l -n

   • Visualice las entradas de la política IPsec, incluidas las entradas por túnel, en el orden en que se produzca una coincidencia.

     $ ipsecconf -L -n