Configuración de IKE con claves previamente compartidas

Las claves previamente compartidas constituyen el método de autenticación más sencillo para IKE. Si está configurando un sistema equivalente para que utilice IKE, y usted es el administrador de estos sistemas, el uso de claves previamente configuradas es una buena opción. Sin embargo, a diferencia de los certificados de clave pública, las claves previamente compartidas están vinculadas a direcciones IP. Puede asociar claves previamente compartidas con direcciones IP específicas o rangos de direcciones IP. Las claves previamente compartidas no se pueden utilizar con sistemas portátiles o sistemas que pueden renumerarse, a menos que la renumeración esté dentro del rango especificado de direcciones IP.

Cómo configurar IKE con claves previamente compartidas

La implementación de IKE ofrece algoritmos con claves cuya longitud varía. La longitud de claves que elija dependerá de la seguridad del sitio. En general, las claves largas son más seguras que las cortas.

En este procedimiento, se generan claves en formato ASCII.

Estos procedimientos utilizan los nombres de sistema enigma y partym. Sustituya los nombres de los sistemas con los nombres enigma y partym.

Nota - Para utilizar IPsec con etiquetas en un sistema Trusted Extensions, consulte la extensión de este procedimiento en Cómo aplicar las protecciones IPsec en una red de Trusted Extensions de varios niveles de Configuración y administración de Trusted Extensions.

Antes de empezar

Debe convertirse en un administrador que tiene asignado el perfil de derechos de gestión de IPsec de red, además de la autorización solaris.admin.edit/etc/inet/ike/config. El rol root tiene todos estos derechos. Para obtener más información, consulte Cómo usar los derechos administrativos que tiene asignados de Administración de Oracle Solaris 11.1: servicios de seguridad.

Si inicia sesión de manera remota, utilice el comando ssh para un inicio de sesión remoto seguro. Si desea ver un ejemplo, consulte el Ejemplo 7-1.

En cada sistema, cree un archivo /etc/inet/ike/config.
Puede usar /etc/inet/ike/config.sample como plantilla.

Especifique las reglas y los parámetros generales en el archivo ike/config de cada sistema.

Las reglas y los parámetros generales de este archivo deberían permitir la correcta aplicación de la política IPsec en el archivo ipsecinit.conf del sistema. Los siguientes ejemplos de configuración IKE funcionan con los ejemplos ipsecinit.conf de Cómo proteger el tráfico entre dos sistemas con IPsec.

Por ejemplo, modifique el archivo /etc/inet/ike/config del sistema enigma:

### ike/config file on enigma, 192.168.116.16

## Global parameters
#
## Defaults that individual rules can override.
p1_xform
  { auth_method preshared oakley_group 5 auth_alg sha encr_alg 3des }
p2_pfs 2
#
## The rule to communicate with partym
#  Label must be unique
{ label "enigma-partym"
  local_addr 192.168.116.16
  remote_addr 192.168.13.213
  p1_xform
   { auth_method preshared oakley_group 5 auth_alg sha256 encr_alg aes }
  p2_pfs 5
}

Modifique el archivo /etc/inet/ike/config del sistema partym:

### ike/config file on partym, 192.168.13.213
## Global Parameters
#
p1_xform
  { auth_method preshared oakley_group 5 auth_alg sha encr_alg 3des }
p2_pfs 2

## The rule to communicate with enigma
#  Label must be unique
{ label "partym-enigma"
  local_addr 192.168.13.213
  remote_addr 192.168.116.16
p1_xform
 { auth_method preshared oakley_group 5 auth_alg sha256 encr_alg aes }
p2_pfs 5
}

En cada sistema, verifique la sintaxis del archivo.

# /usr/lib/inet/in.iked -c -f /etc/inet/ike/config

Cree el archivo /etc/inet/secret/ike.preshared en cada sistema.

Coloque la clave previamente compartida en cada archivo.

Por ejemplo, en el sistema enigma, el archivo ike.preshared tendría el siguiente aspecto:

# ike.preshared on enigma, 192.168.116.16
#…
{ localidtype IP
    localid 192.168.116.16
    remoteidtype IP
    remoteid 192.168.13.213
    # The preshared key can also be represented in hex
# as in 0xf47cb0f432e14480951095f82b
# key "This is an ASCII Cqret phrAz, use str0ng p@ssword tekniques"
}

En el sistema partym, el archivo ike.preshared tendría el siguiente aspecto:

# ike.preshared on partym, 192.168.13.213
#…
{ localidtype IP
    localid 192.168.13.213
    remoteidtype IP
    remoteid 192.168.116.16
    # The preshared key can also be represented in hex
# as in 0xf47cb0f432e14480951095f82b
    key "This is an ASCII Cqret phrAz, use str0ng p@ssword tekniques"
    }

Active el servicio IKE.
```
# svcadm enable ipsec/ike
```

Ejemplo 10-1 Refrescamiento de una clave IKE previamente compartida

Cuando los administradores de IKE desean refrescar la clave previamente compartida, editan los archivos en los sistemas equivalentes y reinician el daemon in.iked.

En primer lugar, el administrador agrega una entrada de clave previamente compartida, válida para cualquier host en la subred 192.168.13.0/24.

#…
{ localidtype IP
    localid 192.168.116.0/24
    remoteidtype IP
    remoteid 192.168.13.0/24
    # enigma and partym's shared passphrase for keying material 
key "LOooong key Th@t m^st Be Ch*angEd \'reguLarLy)"
    }

Luego, el administrador reinicia el servicio IKE en cada sistema.

# svcadm enable ipsec/ike

Pasos siguientes

Si no terminó de establecer la política IPsec, regrese al procedimiento IPsec para activar o refrescar la política IPsec.

Cómo actualizar IKE para un sistema equivalente nuevo

Si agrega entradas de política IPsec a una configuración operativa entre los mismos sistemas equivalentes, debe refrescar el servicio de política IPsec. No necesita privilegios para reconfigurar o reiniciar IKE.

Si agrega un sistema equivalente nuevo a la política IPsec, además de los cambios IPsec, debe modificar la configuración IKE.

Antes de empezar

Actualizó el archivo ipsecinit.conf y refrescó la política IPsec para los sistemas equivalentes.

Si inicia sesión de manera remota, utilice el comando ssh para un inicio de sesión remoto seguro. Si desea ver un ejemplo, consulte el Ejemplo 7-1.

Cree una regla para que IKE gestione las claves para el nuevo sistema que utiliza IPsec.

Por ejemplo, en el sistema enigma, agregue la regla siguiente al archivo /etc/inet/ike/config:

### ike/config file on enigma, 192.168.116.16
 
## The rule to communicate with ada

{label "enigma-to-ada"
 local_addr 192.168.116.16
 remote_addr 192.168.15.7
 p1_xform
 {auth_method preshared oakley_group 5 auth_alg sha256 encr_alg aes}
 p2_pfs 5
    }

En el sistema ada, agregue la siguiente regla:

### ike/config file on ada, 192.168.15.7
 
## The rule to communicate with enigma

{label "ada-to-enigma"
 local_addr 192.168.15.7
 remote_addr 192.168.116.16
 p1_xform
 {auth_method preshared oakley_group 5 auth_alg sha256 encr_alg aes}
 p2_pfs 5
}

Cree una clave IKE previamente compartida para los sistemas equivalentes.

En el sistema enigma, agregue la siguiente información al archivo /etc/inet/secret/ike.preshared:

# ike.preshared on enigma for the ada interface
# 
{ localidtype IP
  localid 192.168.116.16
  remoteidtype IP
  remoteid 192.168.15.7
  # enigma and ada's shared key
  key "Twas brillig and the slivey toves did *s0mEtHiNg* be CareFULL hEEEr"
}

En el sistema ada, agregue la información siguiente al archivo ike.preshared:

# ike.preshared on ada for the enigma interface
# 
{ localidtype IP
  localid 192.168.15.7
  remoteidtype IP
  remoteid 192.168.116.16
  # ada and enigma's shared key
  key "Twas brillig and the slivey toves did *s0mEtHiNg* be CareFULL hEEEr"
}

En cada sistema, actualice el servicio ike.
```
# svcadm refresh ike
```

Pasos siguientes

Si no terminó de establecer la política IPsec, regrese al procedimiento IPsec para activar o refrescar la política IPsec.

Omitir Vínculos de navegación
Salir de la Vista de impresión
	Protección de la red en Oracle Solaris 11.1 Oracle Solaris 11.1 Information Library (Español)