| Omitir Vínculos de navegación | |
| Salir de la Vista de impresión | |
|
Protección de la red en Oracle Solaris 11.1 Oracle Solaris 11.1 Information Library (Español) |
| Omitir Vínculos de navegación | |
| Salir de la Vista de impresión | |
|
|
Protección de la red en Oracle Solaris 11.1 Oracle Solaris 11.1 Information Library (Español) |
1. Uso de protección de enlaces en entornos virtualizados
3. Servidores web y el protocolo de capa de sockets seguros
4. Filtro IP en Oracle Solaris (descripción general)
6. Arquitectura de seguridad IP (descripción general)
7. Configuración de IPsec (tareas)
8. Arquitectura de seguridad IP (referencia)
Archivo ipsecinit.conf de ejemplo
Consideraciones de seguridad para ipsecinit.conf e ipsecconf
Base de datos de asociaciones de seguridad para IPsec
9. Intercambio de claves de Internet (descripción general)
10. Configuración de IKE (tareas)
El protocolo IKE permite administrar automáticamente las claves para las direcciones IPv4 e IPv6. Consulte el Capítulo 10, Configuración de IKE (tareas) para obtener instrucciones sobre cómo configurar IKE. La utilidad de claves manuales es el comando ipseckey, que se describe en la página del comando man ipseckey(1M).
Puede usar el comando ipseckey para rellenar manualmente la base de datos de asociaciones de seguridad (SADB). Normalmente, la generación manual de SA se utiliza cuando IKE no está disponible por algún motivo. Sin embargo, si los valores SPI son exclusivos, la generación manual de SA e IKE se pueden utilizar al mismo tiempo.
El comando ipseckey se puede utilizar para ver todas las SA conocidas por el sistema, independientemente de si las claves se agregaron manualmente o mediante IKE. Con la opción -c, el comando ipseckey comprueba la sintaxis del archivo de claves que se proporciona como argumento.
Las IPsec SA que agrega el comando ipseckey no persisten tras el reinicio del sistema. Para activar las SA agregadas manualmente durante el inicio del sistema, agregue entradas al archivo /etc/inet/secret/ipseckeys y, luego, active el servicio svc:/network/ipsec/manual-key:default. Para conocer el procedimiento, consulte Cómo crear manualmente claves IPsec.
Aunque el comando ipseckey tiene un número limitado de opciones generales, admite un lenguaje de comandos amplio. Puede especificar que las solicitudes se envíen mediante una interfaz de programación específica para las claves manuales. Para obtener información adicional, consulte la página del comando man pf_key(7P).
El comando ipseckey permite que un rol con el perfil derechos de seguridad de la red o el perfil de derechos de gestión de IPsec de red especifique información criptográfica confidencial de claves. Si un adversario obtiene acceso a esta información, puede poner en peligro la seguridad del tráfico IPsec.
Nota - Si es posible, utilice IKE y no las claves manuales con ipseckey.
Cuando administre material de claves y utilice el comando ipseckey, debe tener en cuenta los aspectos siguientes:
¿Ha actualizado el material de claves? La actualización periódica de las claves es fundamental para garantizar la seguridad. La actualización de las claves protege contra posibles ataques de los algoritmos y las claves, y limita los daños a los que se expone una clave.
¿El TTY se transfiere por una red? ¿El comando ipseckey está en modo interactivo?
En modo interactivo, la seguridad del material de claves es la seguridad de la ruta de red para el tráfico de este TTY. Debe evitar el uso del comando ipseckey en una sesión rlogin o telnet de texto simple.
Incluso las ventanas locales podrían ser vulnerables a ataques de un programa oculto que lee los eventos de ventanas.
¿Ha utilizado la opción -f? ¿Se está accediendo al archivo a través de la red? ¿Todo el mundo puede leer el archivo?
Un adversario puede leer un archivo montado en red mientras se lee el archivo. Debe evitar el uso de un archivo con material de claves que pueda leer todo el mundo.
Proteja su sistema de nombres. Si se cumplen las dos condiciones siguientes, los nombres de host dejarán de ser de confianza:
La dirección de origen es un host que se puede buscar en la red.
El sistema de nombres está en peligro.
Los fallos de seguridad a menudo se deben a la mala aplicación de las herramientas, no a las herramientas en sí. Utilice el comando ipseckey con precaución. Utilice ssh, una consola u otro TTY conectado físicamente para lograr el funcionamiento más seguro.
|