Configuración de IKE con claves previamente compartidas

Las claves previamente compartidas constituyen el método de autenticación más sencillo para IKE. Si esta configurando dos sistemas para que utilicen IKE y es el administrador de ambos sistemas, se recomienda utilizar claves previamente compartidas. Sin embargo, a diferencia de los certificados de clave pública, las claves previamente compartidas están vinculadas a direcciones IP específicas. Las claves previamente compartidas no se pueden utilizar con sistemas portátiles o sistemas cuya numeración podría variar.

Cómo configurar IKE con claves previamente compartidas

La implementación de IKE ofrece algoritmos con claves cuya longitud varía. La longitud de claves que elija dependerá de la seguridad del sitio. En general, las claves largas son más seguras que las cortas.

Estos procedimientos utilizan los nombres de sistema enigma y partym. Sustituya los nombres de los sistemas con los nombres enigma y partym.

En la consola del sistema, asuma el rol de administrador principal o conviértase en superusuario.
El rol de administrador principal incluye el perfil de administrador principal. Para obtener información sobre cómo crear el rol y asignarlo a un usuario, consulte el Capítulo 2, Trabajo con Solaris Management Console (tareas) de Administración de Oracle Solaris: administración básica.

Nota - El inicio de sesión remoto expone el tráfico cuya seguridad es crítica a intrusos. Aunque proteja de algún modo el inicio de sesión remoto, la seguridad del sistema se reducirá a la seguridad de la sesión remota. Utilice el comando ssh para un inicio de sesión remota seguro.
En cada sistema, copie el archivo /etc/inet/ike/config.sample al archivo /etc/inet/ike/config.

Especifique las reglas y los parámetros generales en el archivo ike/config de cada sistema.

Las reglas y los parámetros generales de este archivo deberían permitir la correcta aplicación de la política IPsec en el archivo ipsecinit.conf del sistema. Los siguientes ejemplos de ike/config funcionan con los ejemplos de ipsecinit.conf de Cómo proteger el tráfico entre dos sistemas con IPsec.

Por ejemplo, modifique el archivo /etc/inet/ike/config del sistema enigma:

### ike/config file on enigma, 192.168.116.16

## Global parameters
#
## Phase 1 transform defaults
p1_lifetime_secs 14400
p1_nonce_len 40
#
## Defaults that individual rules can override.
p1_xform
  { auth_method preshared oakley_group 5 auth_alg sha encr_alg 3des }
p2_pfs 2
#
## The rule to communicate with partym
#  Label must be unique
{ label "enigma-partym"
  local_addr 192.168.116.16
  remote_addr 192.168.13.213
  p1_xform
    { auth_method preshared oakley_group 5 auth_alg sha1 encr_alg aes }
  p2_pfs 5
}

Modifique el archivo /etc/inet/ike/config del sistema partym:

### ike/config file on partym, 192.168.13.213
## Global Parameters
#
p1_lifetime_secs 14400
p1_nonce_len 40
#
p1_xform
  { auth_method preshared oakley_group 5 auth_alg sha encr_alg 3des }
p2_pfs 2

## The rule to communicate with enigma
#  Label must be unique
{ label "partym-enigma"
  local_addr 192.168.13.213
  remote_addr 192.168.116.16
p1_xform
  { auth_method preshared oakley_group 5 auth_alg sha1 encr_alg aes }
p2_pfs 5
}

En cada sistema, compruebe la sintaxis del archivo.

# /usr/lib/inet/in.iked -c -f /etc/inet/ike/config

Genere números aleatorios para utilizar como material de claves.
Si su sitio cuenta con un generador de números aleatorios, utilícelo. En un sistema Oracle Solaris 10, puede utilizar el comando od. Por ejemplo, el siguiente comando imprime dos líneas de números hexadecimales:
```
% od -X -A n /dev/random | head -2
         f47cb0f4 32e14480 951095f8 2b735ba8
         0a9467d0 8f92c880 68b6a40e 0efe067d
```
Para obtener una explicación del comando od, consulte la página del comando man Cómo generar números aleatorios en un sistema Oracle Solaris and the od(1).

Nota - Otros sistemas operativos pueden requerir material de claves ASCII. Para generar una clave idéntica en los formatos hexadecimal y ASCII, consulte el Ejemplo 23-1.
Cree una clave a partir del resultado obtenido en el Paso 5.
```
f47cb0f432e14480951095f82b735ba80a9467d08f92c88068b6a40e
```
El algoritmo de autenticación de este procedimiento es SHA–1, tal como se muestra en el Paso 3. El tamaño del hash, es decir, el tamaño del resultado del algoritmo de autenticación, determina el tamaño mínimo recomendado de una clave previamente compartida. El resultado del algoritmo SHA–1 es 160 bits o 40 caracteres. La clave de ejemplo tiene una longitud de 56 caracteres, que proporciona material de claves adicional para usar en IKE.

Cree el archivo /etc/inet/secret/ike.preshared en cada sistema.

Coloque la clave previamente compartida en cada archivo.

Por ejemplo, en el sistema enigma, el archivo ike.preshared tendría el siguiente aspecto:

# ike.preshared on enigma, 192.168.116.16
#…
{ localidtype IP
    localid 192.168.116.16
    remoteidtype IP
    remoteid 192.168.13.213
    # enigma and partym's shared key in hex (192 bits)
    key f47cb0f432e14480951095f82b735ba80a9467d08f92c88068b6a40e
    }

En el sistema partym, el archivo ike.preshared tendría el siguiente aspecto:

# ike.preshared on partym, 192.168.13.213
#…
{ localidtype IP
    localid 192.168.13.213
    remoteidtype IP
    remoteid 192.168.116.16
    # partym and enigma's shared key in hex (192 bits)
    key f47cb0f432e14480951095f82b735ba80a9467d08f92c88068b6a40e
    }

Nota - Las claves previamente compartidas de cada sistema deben ser idénticas.

Ejemplo 23-1 Generación de material de claves idéntico para dos sistemas con diferentes sistemas operativos

La función IPsec de Oracle Solaris interopera con IPsec en otros sistemas operativos. Si su sistema se comunica con un sistema que requiere claves previamente compartidas ASCII, debe generar una clave en dos formatos, hexadecimal y ASCII.

En este ejemplo, el administrador del sistema Oracle Solaris desea material de claves de 56 caracteres. El administrador utiliza el comando siguiente para generar una clave hexadecimal a partir de una contraseña ASCII. La opción -tx1 imprime los bytes uno a uno en todos los sistemas Oracle Solaris.

# /bin/echo "papiermache with cashews and\c" | od -tx1 | cut -c 8-55 | \
tr -d '\n' | tr -d ' ' | awk '{print}'
7061706965726d616368652077697468206361736865777320616e64

Al eliminar los desfases y concatenar la salida hexadecimal, la clave hexadecimal del sistema Oracle Solaris es 7061706965726d616368652077697468206361736865777320616e64. El administrador coloca este valor en el archivo ike.preshared del sistema Oracle Solaris.

# Shared key in hex (192 bits)
key 7061706965726d616368652077697468206361736865777320616e64

En el sistema que requiere claves previamente compartidas ASCII, la contraseña es la clave previamente compartida. El administrador del sistema Oracle Solaris comunica por teléfono la frase de contraseña (papiermache with cashews and) al otro administrador.

Cómo actualizar las claves IKE previamente compartidas

Este procedimiento presupone que desea reemplazar una clave previamente compartida a intervalos regulares.

En la consola del sistema, asuma el rol de administrador principal o conviértase en superusuario.
El rol de administrador principal incluye el perfil de administrador principal. Para obtener información sobre cómo crear el rol y asignarlo a un usuario, consulte el Capítulo 2, Trabajo con Solaris Management Console (tareas) de Administración de Oracle Solaris: administración básica.

Nota - El inicio de sesión remoto expone el tráfico cuya seguridad es crítica a intrusos. Aunque proteja de algún modo el inicio de sesión remoto, la seguridad del sistema se reducirá a la seguridad de la sesión remota. Utilice el comando ssh para un inicio de sesión remota seguro.
Genere números aleatorios y cree una clave con la longitud adecuada.
Para obtener detalles, consulte Cómo generar números aleatorios en un sistema Oracle Solaris. Si va a generar una clave previamente compartida para un sistema Oracle Solaris que se comunica con un sistema operativo que requiere ASCII, consulte el Ejemplo 23-1.
Sustituya la clave actual por una nueva.
Por ejemplo, en los hosts enigma y partym, debe reemplazar el valor de key en el archivo /etc/inet/secret/ike.preshared con un nuevo número que tenga la misma longitud.
Lea la nueva clave en el núcleo.
- A partir de la versión Solaris 10 4/09, reinicie el servicio ike.
```
# svcadm enable ike
```
- Si está ejecutando una versión anterior a la Solaris 10 4/09, finalícela y reinicie el daemon in.iked.
  1. Compruebe el nivel de privilegio del daemon in.iked.
```
# /usr/sbin/ikeadm get priv
Current privilege level is 0x0, base privileges enabled
```
    Puede cambiar el material de claves si el comando devuelve un nivel de privilegio de 0x1 o 0x2. El nivel 0x0 no permite a las operaciones modificar ni ver el material de claves. De modo predeterminado, el daemon in.iked se ejecuta en el nivel de privilegio 0x0.
  2. Si el nivel de privilegio es 0x0, finalice el daemon y reinícielo.
    Al reiniciar el daemon, lee la nueva versión del archivo ike.preshared.
```
# pkill in.iked
# /usr/lib/inet/in.iked
```
  3. Si el nivel de privilegio es 0x1 o 0x2, lea la nueva versión del archivo ike.preshared.
```
# ikeadm read preshared
```

Cómo ver las claves IKE previamente compartidas

Por defecto, el comando ikeadm impide que vea las teclas reales en un volcado de una fase 1 SA. La visualización de las claves es útil durante la depuración.

Para ver las teclas reales, debe aumentar el nivel de privilegios del daemon. Para obtener una descripción de los niveles de privilegios, consulte Comando ikeadm.

Nota - Para llevar a cabo este procedimiento en una versión anterior a Solaris 10 4/09, consulte el Ejemplo 23-2.

Antes de empezar

IKE se configura y el servicio ike se ejecuta.

Consulte las teclas previamente compartidas de IKE.
```
# ikeadm
ikeadm> dump preshared
```
Si aparece un mensaje de error, aumente el nivel de privilegios del daemon in.iked .
1. Aumente el nivel de privilegios del daemon in.iked en el repositorio SMF.
```
# svcprop -p config/admin_privilege ike
base
# svccfg -s ike setprop config/admin_privilege=keymat
```
2. Aumente el nivel de privilegios del daemon in.iked en ejecución.
```
# svcadm refresh ike ; svcadm restart ike
```
3. (Opcional) Confirme que el nivel de privilegios es keymat.
```
# svcprop -p config/admin_privilege ike
keymat
```
4. Ejecute de nuevo el Paso 1 para ver las teclas.
Devuelva al daemon IKE el nivel de privilegios base.
1. Después de ver las claves, devuelva al nivel de privilegios el valor predeterminado.
```
# svccfg -s ike setprop config/admin_privilege=base
```
2. Actualice y, a continuación, reinicie IKE.
```
# svcadm refresh ike ; svcadm restart ike
```

Ejemplo 23-2 Verificación de las claves IKE compartidas previamente en una versión anterior a Solaris 10 4/09

En el siguiente ejemplo, el administrador está consultando claves en un sistema Solaris que no ejecuta la versión actual de Oracle Solaris 10. El administrador desea comprobar que las claves de este sistema son idénticas a las del sistema de comunicación. Después de comprobar que las claves de los dos sistemas son idénticos, el administrador restablece el nivel de privilegios a 0.

En primer lugar, el administrador determina el nivel de privilegios del daemon in.iked.

adm1 # /usr/sbin/ikeadm get priv
Current privilege level is 0x0, base privileges enabled

Debido a que el nivel de privilegios no es 0x1 o 0x2, el administrador detiene el daemon in.iked y, a continuación, aumenta el nivel de privilegios a 2.
```
adm1 # pkill in.iked
adm1 # /usr/lib/inet/in.iked -p 2
Setting privilege level to 2
```

El administrador muestra las claves.

adm1 # ikeadm dump preshared
PSKEY: Preshared key (24 bytes): f47cb…/192
LOCIP: AF_INET: port 0, 192.168.116.16 (adm1).
REMIP: AF_INET: port 0, 192.168.13.213 (com1).

El administrador inicia sesión remota en el sistema de comunicación y determina que las claves sean idénticas.
A continuación, el administrador restablece el nivel básico de privilegios.
```
# ikeadm set priv base
```

Cómo agregar una clave IKE previamente compartida para una nueva entrada de directiva en `ipsecinit.conf`

Si agrega entradas de política IPsec a una configuración operativa entre los mismos sistemas equivalentes, debe refrescar el servicio de política IPsec. No necesita privilegios para reconfigurar o reiniciar IKE.

Si agrega un sistema equivalente nuevo a la política IPsec, además de los cambios IPsec, debe modificar la configuración IKE.

Nota - Para llevar a cabo este procedimiento en una versión anterior a Solaris 10 4/09, consulte el Ejemplo 23-3.

Antes de empezar

Actualizó el archivo ipsecinit.conf y refrescó la política IPsec para los sistemas equivalentes.

En la consola del sistema, asuma el rol de administrador principal o conviértase en superusuario.
El rol de administrador principal incluye el perfil de administrador principal. Para obtener información sobre cómo crear el rol y asignarlo a un usuario, consulte el Capítulo 2, Trabajo con Solaris Management Console (tareas) de Administración de Oracle Solaris: administración básica.

Nota - El inicio de sesión remoto expone el tráfico cuya seguridad es crítica a intrusos. Aunque proteja de algún modo el inicio de sesión remoto, la seguridad del sistema se reducirá a la seguridad de la sesión remota. Utilice el comando ssh para un inicio de sesión remota seguro.
En este sistema, genere números aleatorios y cree una clave de entre 64 y 448 bits.
Para obtener detalles, consulte Cómo generar números aleatorios en un sistema Oracle Solaris. Si va a generar una clave previamente compartida para un sistema Oracle Solaris que se comunica con un sistema operativo que requiere ASCII, consulte el Ejemplo 23-1.
Envíe la clave al administrador del sistema remoto.
Ambos deben agregar la misma clave previamente compartida y de forma simultánea. La seguridad de su clave depende de la seguridad de su mecanismo de transmisión. Se recomienda un mecanismo fuera de banda, como un correo registrado o un fax protegido. También puede utilizar una sesión ssh para administrar ambos sistemas.

Cree una regla para que IKE gestione las claves para enigma y el nuevo sistema equivalente ada.

En el sistema enigma, agregue la regla siguiente al archivo /etc/inet/ike/config:

### ike/config file on enigma, 192.168.116.16
 
## The rule to communicate with ada

{label "enigma-to-ada"
 local_addr 192.168.116.16
 remote_addr 192.168.15.7
 p1_xform
 {auth_method preshared oakley_group 5 auth_alg sha1 encr_alg blowfish}
 p2_pfs 5
    }

En el sistema ada, agregue la siguiente regla:

### ike/config file on ada, 192.168.15.7
 
## The rule to communicate with enigma

{label "ada-to-enigma"
 local_addr 192.168.15.7
 remote_addr 192.168.116.16
 p1_xform
 {auth_method preshared oakley_group 5 auth_alg sha1 encr_alg blowfish}
 p2_pfs 5
}

Asegúrese de que haya claves IKE previamente compartidas al iniciar.

En el sistema enigma, agregue la siguiente información al archivo /etc/inet/secret/ike.preshared:

# ike.preshared on enigma for the ada interface
# 
{ localidtype IP
  localid 192.168.116.16
  remoteidtype IP
  remoteid 192.168.15.7
  # enigma and ada's shared key in hex (32 - 448 bits required)
  key 8d1fb4ee500e2bea071deb2e781cb48374411af5a9671714672bb1749ad9364d
}

En el sistema ada, agregue la información siguiente al archivo ike.preshared:

# ike.preshared on ada for the enigma interface
# 
{ localidtype IP
  localid 192.168.15.7
  remoteidtype IP
  remoteid 192.168.116.16
  # ada and enigma's shared key in hex (32 - 448 bits required)
  key 8d1fb4ee500e2bea071deb2e781cb48374411af5a9671714672bb1749ad9364d
}

En cada sistema, actualice el servicio ike.
```
# svcadm refresh ike
```
Compruebe que los sistemas se puedan comunicar.
Consulte Verificación de que las claves IKE previamente compartidas sean idénticas.

Ejemplo 23-3 Adición de una clave IKE compartida previamente para una nueva entrada de directiva IPsec

En el siguiente ejemplo, el administrador agrega una clave compartida previamente a un sistema Solaris que no ejecuta la versión actual de Oracle Solaris 10. El administrador sigue el procedimiento anterior para modificar los archivos ike/config e ike., así como generar las claves y establecer contacto con el sistema remoto.

Antes de generar la nueva tecla, el administrador define el nivel de privilegios del daemon in.iked en 2.
```
# pkill in.iked
# /usr/lib/inet/in.iked -p 2
Setting privilege level to 2
```
Después de enviar la tecla para el otro sistema y agregar la nueva tecla al sistema, el administrador reduce el nivel de privilegios.
```
# ikeadm set priv base
```
Por último, el administrador lee las nuevas reglas IKE en el núcleo.
```
# ikeadm read rules
```

Pasos siguientes

Si no terminó de establecer la política IPsec, regrese al procedimiento IPsec para activar o refrescar la política IPsec.

Verificación de que las claves IKE previamente compartidas sean idénticas

Si las claves previamente compartidas de los sistemas que se comunican no son idénticas, los sistemas no se podrán autenticar.

Antes de empezar

IPsec se ha configurado y se ha habilitado entre los dos sistemas que se están probando. Se está ejecutando la versión Oracle Solaris 10 actual.

Nota - Para llevar a cabo este procedimiento en una versión anterior a Solaris 10 4/09, consulte el Ejemplo 23-2.

En la consola del sistema, asuma el rol de administrador principal o conviértase en superusuario.
El rol de administrador principal incluye el perfil de administrador principal. Para obtener información sobre cómo crear el rol y asignarlo a un usuario, consulte el Capítulo 2, Trabajo con Solaris Management Console (tareas) de Administración de Oracle Solaris: administración básica.

Nota - El inicio de sesión remoto expone el tráfico cuya seguridad es crítica a intrusos. Aunque proteja de algún modo el inicio de sesión remoto, la seguridad del sistema se reducirá a la seguridad de la sesión remota. Utilice el comando ssh para un inicio de sesión remota seguro.
En cada sistema, compruebe el nivel de privilegios del daemon in.iked.
```
# svcprop -p config/admin_privilege ike
base
```
- Si el nivel de privilegios es keymat, continúe con el Paso 3.
- Si el nivel de privilegios es base o modkeys, aumente su nivel.
  A continuación, actualice el servicio ike y reinícielo.
```
# svccfg -s ike setprop config/admin_privilege=keymat
# svcadm refresh ike ; svcadm restart ike
# svcprop -p config/admin_privilege ike
keymat
```

En cada sistema, visualice la información de claves previamente compartidas.

# ikeadm dump preshared
PSKEY: Preshared key (24 bytes): f47cb…/192
LOCIP: AF_INET: port 0, 192.168.116.16 (enigma).
REMIP: AF_INET: port 0, 192.168.13.213 (partym).

Compare los dos vaciados.
Si las claves previamente compartidas no son idénticas, sustituya una de ellas con la otra en el archivo /etc/inet/secret/ike.preshared.
Cuando se haya completado la verificación, devuelva al nivel de privilegios el valor predeterminado de cada sistema.
```
# svccfg -s ike setprop config/admin_privilege=base
# svcadm restart ike
```

Omitir Vínculos de navegación
Salir de la Vista de impresión
	Administración de Oracle Solaris: servicios IP Oracle Solaris 10 1/13 Information Library (Español)