Omitir Vínculos de navegación | |
Salir de la Vista de impresión | |
Protección de la red en Oracle Solaris 11.1 Oracle Solaris 11.1 Information Library (Español) |
1. Uso de protección de enlaces en entornos virtualizados
3. Servidores web y el protocolo de capa de sockets seguros
4. Filtro IP en Oracle Solaris (descripción general)
6. Arquitectura de seguridad IP (descripción general)
Asociaciones de seguridad IPsec
Mecanismos de protección de IPsec
Carga de seguridad encapsuladora
Consideraciones de seguridad para el uso de AH y ESP
Algoritmos de autenticación y cifrado en IPsec
Algoritmos de autenticación en IPsec
Algoritmos de cifrado en IPsec
Modos de transporte y túnel en IPsec
Redes privadas virtuales e IPsec
IPsec y zonas de Oracle Solaris
7. Configuración de IPsec (tareas)
8. Arquitectura de seguridad IP (referencia)
9. Intercambio de claves de Internet (descripción general)
10. Configuración de IKE (tareas)
IKE puede negociar las SA IPsec a través de un cuadro NAT Esta función permite a los sistemas conectarse de forma segura desde una red remota, incluso cuando los sistemas están detrás de un dispositivo NAT. Por ejemplo, los empleados que trabajan desde casa, o que se registran desde un sitio de conferencia pueden proteger su tráfico con IPsec.
NAT significa traducción de direcciones de red. Un cuadro NAT se utiliza para traducir una dirección interna privada en una dirección de Internet exclusiva. Las NAT son muy comunes en los puntos de acceso públicos a Internet, como los hoteles. Para obtener más información, consulte Uso de la función NAT del filtro IP.
La posibilidad de utilizar IKE cuando hay un cuadro NAT entre los sistemas que se comunican se denomina NAT transversal o NAT-T. NAT-T tiene las siguientes limitaciones:
El protocolo AH depende de un encabezado IP sin cambios, por lo que AH no puede funcionar con NAT-T. El protocolo ESP se utiliza con NAT-T.
El cuadro NAT no utiliza reglas de procesamiento especiales. Un cuadro NAT con reglas de procesamiento IPsec especiales podría interferir con la implementación de NAT-T.
NAT-T sólo funciona cuando el iniciador IKE es el sistema que hay detrás del cuadro NAT. Un contestador IKE no puede estar detrás de un cuadro NAT a menos que el cuadro se haya programado para reenviar paquetes IKE al sistema individual adecuado detrás del cuadro.
Las siguientes RFC describen la funcionalidad de NAT y los límites de NAT-T. Las copias de RFC se pueden obtener en http://www.rfc-editor.org.
RFC 3022, “Traditional IP Network Address Translator (Traditional NAT)” (Traductor tradicional de direcciones de red IP [NAT tradicional]), enero de 2001
RFC 3715, “IPsec-Network Address Translation (NAT) Compatibility Requirements” (Requisitos de compatibilidad entre IPsec y la traducción de direcciones de red [NAT]), marzo de 2004
RFC 3947, “Negotiation of NAT-Traversal in the IKE” (Negociación de NAT transversal en IKE), enero de 2005
RFC 3948, “UDP Encapsulation of IPsec Packets” (Encapsulación UDP de paquetes IPsec), enero de 2005
Para utilizar IPsec en una NAT, consulte Configuración de IKE para sistemas portátiles (mapa de tareas).