Omitir V�nculos de navegaci�n | |
Salir de la Vista de impresi�n | |
Administración de Oracle Solaris: servicios IP Oracle Solaris 11 Information Library (Español) |
Parte I Administración de TCP/IP
1. Planificación de la implementación de red
2. Consideraciones para el uso de direcciones IPv6
3. Configuración de una red IPv4
4. Habilitación de IPv6 en una red
5. Administración de una red TCP/IP
6. Configuración de túneles IP
7. Resolución de problemas de red
10. Acerca de DHCP (descripción general)
11. Administración del servicio DHCP de ISC
12. Configuración y administración del cliente DHCP
13. Comandos y archivos DHCP (referencia)
14. Arquitectura de seguridad IP (descripción general)
15. Configuración de IPsec (tareas)
Protección del tráfico con IPsec
Cómo proteger el tráfico entre dos sistemas con IPsec
Cómo utilizar IPsec para proteger un servidor web del tráfico que no procede de Internet
Protección de una VPN con IPsec
Ejemplos de protección de una VPN con IPsec mediante el uso del modo de túnel
Descripción de la topología de red para la protección de una VPN por parte de las tareas de IPsec
Cómo proteger una VPN con IPsec en modo de túnel
Cómo crear manualmente claves IPsec
Cómo configurar una función para la seguridad de la red
Cómo gestionar servicios IPsec e IKE
Cómo verificar que los paquetes estén protegidos con IPsec
16. Arquitectura de seguridad IP (referencia)
17. Intercambio de claves de Internet (descripción general)
18. Configuración de IKE (tareas)
19. Intercambio de claves de Internet (referencia)
20. Filtro IP en Oracle Solaris (descripción general)
22. Descripción general del equilibrador de carga integrado
23. Configuración del equilibrador de carga integrado (tareas)
24. Protocolo de redundancia de enrutador virtual (descripción general)
25. Configuración VRRP (tareas)
26. Implementación del control de congestión
Parte V Calidad de servicio IP (IPQoS)
27. Introducción a IPQoS (descripción general)
28. Planificación para una red con IPQoS (tareas)
29. Creación del archivo de configuración IPQoS (tareas)
30. Inicio y mantenimiento de IPQoS (tareas)
31. Uso de control de flujo y recopilación de estadísticas (tareas)
En esta sección se describen los procedimientos que permiten proteger un servidor web y el tráfico entre dos sistemas. Para proteger una VPN, consulte Protección de una VPN con IPsec. Para conocer los procedimientos adicionales para gestionar IPsec y utilizar comandos SMF con IPsec e IKE, consulte Gestión de IPsec e IKE.
La información siguiente se aplica a todas las tareas de configuración de IPsec:
IPsec y zones: para administrar la política IPsec y las claves para una zona no global IP compartida, cree el archivo de política IPsec en la zona global y ejecute los comandos de configuración de IPsec desde la zona global. Utilice la dirección de origen que corresponda a la zona no global que se esté configurando. Para una zona de IP exclusiva, configure la política IPsec en la zona no global.
IPsec y RBAC: para utilizar roles para administrar IPsec, consulte Capítulo 9, Uso del control de acceso basado en roles (tareas) de Administración de Oracle Solaris: servicios de seguridad. Si desea ver un ejemplo, consulte Cómo configurar una función para la seguridad de la red.
IPsec y SCTP:IPsec se puede utilizar para proteger las asociaciones SCTP (Streams Control Transmission Protocol), pero debe hacerse con precaución. Para obtener más información, consulte IPsec y SCTP.
IPsec y etiquetas Trusted Extensions: en sistemas configurados con la función Trusted Extensions de Oracle Solaris, se pueden agregar etiquetas a los paquetes IPsec. Para obtener más información, consulte Administración de IPsec con etiquetas de Configuración y administración de Trusted Extensions.
Direcciones IPv4 e IPv6: en el ejemplo de IPsec de esta guía, se utilizan direcciones IPv4. Oracle Solaris también admite direcciones IPv6. Para configurar IPsec para una red IPv6, sustituya las direcciones IPv6 en los ejemplos. Al proteger túneles con IPsec, puede combinar direcciones IPv4 e IPv6 para las direcciones internas y externas. Esta configuración permite establecer un túnel para IPv6 en una red IPv4, por ejemplo.
El siguiente mapa de tareas hace referencia a los procedimientos que configuran IPsec entre uno o más sistemas. En las secciones de ejemplo correspondientes de las páginas del comando man ipsecconf(1M), ipseckey(1M) y ipadm(1M), también se describen procedimientos útiles.
|
Este procedimiento presupone la siguiente configuración:
Los dos sistemas se denominan enigma y partym.
Cada sistema tiene una dirección IP. Ésta puede ser una dirección IPv4, una dirección IPv6 o ambas.
Cada sistema requiere cifrado ESP con el algoritmo AES, el cual requiere una clave de 128 bits, y autenticación ESP con un resumen de mensajes SHA-2, el cual requiere una clave de 512 bits.
Cada sistema utiliza asociaciones de seguridad compartidas.
Con las asociaciones de seguridad (SA) compartidas, sólo se necesita un par de SA para proteger los dos sistemas.
Nota - Para utilizar IPsec con etiquetas en un sistema Trusted Extensions, consulte la extensión de este procedimiento en Cómo aplicar las protecciones IPsec en una red de Trusted Extensions de varios niveles de Configuración y administración de Trusted Extensions.
Antes de empezar
La política IPsec se puede configurar en la zona global o en una zona de pila IP exclusiva. La política para una zona de pila IP compartida se debe configurar en la zona global. Para una zona de IP exclusiva, configure la política IPsec en la zona no global.
Para obtener más información, consulte Cómo obtener derechos administrativos de Administración de Oracle Solaris: servicios de seguridad. Si inicia sesión de manera remota, utilice el comando ssh para un inicio de sesión remoto seguro. Esto se ilustra en el Ejemplo 15-1.
Este paso permite que la utilidad de gestión de servicios (SMF) utilice los nombres del sistema sin depender de servicios de nombres no existentes. Para obtener más información, consulte la página del comando man smf(5).
# Secure communication with enigma 192.168.116.16 enigma
# Secure communication with partym 192.168.13.213 partym
El nombre de archivo es /etc/inet/ipsecinit.conf. Para ver un ejemplo, consulte el archivo /etc/inet/ipsecinit.sample.
{laddr enigma raddr partym} ipsec {encr_algs aes encr_auth_algs sha512 sa shared}
{laddr partym raddr enigma} ipsec {encr_algs aes encr_auth_algs sha512 sa shared}
Para ver la sintaxis de las entradas de la política IPsec, consulte la página del comando man ipsecconf(1M).
Configure IKE siguiendo uno de los métodos de configuración de Configuración de IKE (mapa de tareas). Para ver la sintaxis del archivo de configuración de IKE, consulte la página del comando man ike.config(4).
Nota - Si debe generar y mantener las claves de forma manual, consulte Cómo crear manualmente claves IPsec.
# ipsecconf -c -f /etc/inet/ipsecinit.conf
Subsane los posibles errores, compruebe la sintaxis del archivo y continúe.
# svcadm refresh svc:/network/ipsec/policy:default
La política IPsec está habilitada de forma predeterminada, por lo que puede actualizarla. Si ha inhabilitado la política IPsec, habilítela.
# svcadm enable svc:/network/ipsec/policy:default
# svcadm enable svc:/network/ipsec/ike:default
# svcadm restart svc:/network/ipsec/ike:default
Si configuró manualmente las claves en el Paso 5, complete Cómo crear manualmente claves IPsec para activar las claves.
Para ver el procedimiento, consulte Cómo verificar que los paquetes estén protegidos con IPsec.
Ejemplo 15-1 Adición de políticas IPsec al utilizar una conexión ssh
En este ejemplo, el administrador con el rol root configura las claves y la política IPsec en dos sistemas con el comando ssh para llegar al segundo sistema. Para obtener más información, consulte la página del comando man ssh(1).
En primer lugar, el administrador realiza del Paso 2 al Paso 6 del procedimiento anterior para configurar el primer sistema.
A continuación, en una ventana de terminal distinta, el administrador utiliza el comando ssh para iniciar la sesión en el segundo sistema.
local-system # ssh other-system other-system #
En la ventana de terminal de la sesión ssh, el administrador configura la política IPsec y las claves del segundo sistema; para ello, realiza del Paso 2 al Paso 8.
A continuación, el administrador termina la sesión ssh.
other-system # exit local-system #
Por último, el administrador completa el Paso 7 y el Paso 8 para habilitar la política IPsec en el primer sistema.
La próxima ocasión que los dos sistemas se comunican, incluida la conexión ssh, la comunicación queda protegida por IPsec.
Un servidor web seguro permite a los clientes web comunicarse con el servicio web. En un servidor web seguro, el tráfico que no sea de la red debe someterse a comprobaciones de seguridad. El siguiente procedimiento incluye las omisiones del tráfico de red. Además, este servidor web puede realizar solicitudes de clientes DNS no seguras. El resto del tráfico requiere ESP con los algoritmos AES y SHA-2.
Antes de empezar
Debe encontrarse en la zona global para poder configurar la política IPsec. Para una zona de IP exclusiva, configure la política IPsec en la zona no global. Ha completado Cómo proteger el tráfico entre dos sistemas con IPsec para que se apliquen las condiciones siguientes:
Que la comunicación entre los dos sistemas esté protegida por IPsec.
Que se esté generando material de claves mediante IKE.
Que haya comprobado que los paquetes se estén protegiendo.
Para obtener más información, consulte Cómo obtener derechos administrativos de Administración de Oracle Solaris: servicios de seguridad. Si inicia sesión de manera remota, utilice el comando ssh para un inicio de sesión remoto seguro. Esto se ilustra en el Ejemplo 15-1.
En el caso de un servidor web, estos servicios incluyen los puertos TCP 80 (HTTP) y 443 (HTTP seguro). Si el servidor web proporciona consultas de nombres DNS, el servidor también podría incluir el puerto 53 tanto para TCP como para UDP.
Agregue las líneas siguientes al archivo /etc/inet/ipsecinit.conf:
# Web traffic that web server should bypass. {lport 80 ulp tcp dir both} bypass {} {lport 443 ulp tcp dir both} bypass {} # Outbound DNS lookups should also be bypassed. {rport 53 dir both} bypass {} # Require all other traffic to use ESP with AES and SHA-2. # Use a unique SA for outbound traffic from the port {} ipsec {encr_algs aes encr_auth_algs sha512 sa shared}
Esta configuración sólo permite que el tráfico seguro acceda al sistema, con las excepciones de omisión que se describen en el Paso 2.
# ipsecconf -c -f /etc/inet/ipsecinit.conf
# svcadm refresh svc:/network/ipsec/policy:default
Reinicie el servicio ike.
# svcadm restart svc:/network/ipsec/ike
Si debe generar y mantener las claves de forma manual, siga las instrucciones de Cómo crear manualmente claves IPsec.
La configuración se ha completado. Si lo desea, puede llevar a cabo el Paso 7.
Agregue las siguientes líneas al archivo /etc/inet/ipsecinit.conf de un sistema remoto:
# Communicate with web server about nonweb stuff # {laddr webserver} ipsec {encr_algs aes encr_auth_algs sha512 sa shared}
Verifique la sintaxis y, luego, refresque la política IPsec para activarla.
remote-system # ipsecconf -c -f /etc/inet/ipsecinit.conf remote-system # svcadm refresh svc:/network/ipsec/policy:default
Un sistema remoto puede comunicarse de forma segura con el servidor web para tráfico que no sea de web sólo cuando las políticas IPsec del sistema coinciden.
Puede ver las políticas configuradas en el sistema ejecutando el comando ipsecconf sin argumentos.
Antes de empezar
Debe ejecutar el comando ipsecconf en la zona global. Para una zona de IP exclusiva, ejecute el comando ipsecconf en la zona no global.
Para crear un rol discreto de seguridad de red y asignar ese rol a un usuario, consulte Cómo configurar una función para la seguridad de la red.
$ ipsecconf
El comando muestra cada entrada con un índice, seguida de un número.
$ ipsecconf -l -n
$ ipsecconf -L -n