JavaScript is required to for searching.
Omitir Vínculos de navegación
Salir de la Vista de impresión
Administración de Oracle Solaris: servicios IP     Oracle Solaris 10 1/13 Information Library (Español)
search filter icon
search icon

Información del documento

Prefacio

Parte I Introducción a la administración del sistema: servicios IP

1.  Conjunto de protocolos TCP/IP de Oracle Solaris (descripción general)

Parte II Administración de TCP/IP

2.  Planificación de la red TCP/IP (tareas)

3.  Introducción a IPv6 (descripción general)

4.  Planificación de una red IPv6 (tareas)

5.  Configuración de servicios de red TCP/IP y direcciones IPv4 (tareas)

6.  Administración de interfaces de red (tareas)

7.  Configuración de una red IPv6 (tareas)

8.  Administración de redes TCP/IP (tareas)

9.  Resolución de problemas de red (tareas)

10.  Descripción detallada de TCP/IP e IPv4 (referencia)

11.  IPv6 en profundidad (referencia)

Parte III DHCP

12.  Acerca de DHCP (descripción general)

13.  Planificación del servicio DHCP (tareas)

14.  Configuración del servicio DHCP (tareas)

15.  Administración de DHCP (tareas)

16.  Configuración y administración del cliente DHCP

17.  Solución de problemas de DHCP (referencia)

18.  Comandos y archivos DHCP (referencia)

Parte IV Seguridad IP

19.  Arquitectura de seguridad IP (descripción general)

Novedades de IPsec

Introducción a IPsec

RFC IPsec

Terminología de IPsec

Flujo de paquetes IPsec

Asociaciones de seguridad IPsec

Gestión de claves en IPsec

Mecanismos de protección de IPsec

Encabezado de autenticación

Carga de seguridad encapsuladora

Consideraciones de seguridad para el uso de AH y ESP

Algoritmos de autenticación y cifrado en IPsec

Algoritmos de autenticación en IPsec

Algoritmos de cifrado en IPsec

Políticas de protección IPsec

Modos de transporte y túnel en IPsec

Redes privadas virtuales e IPsec

Paso a través de IPsec y NAT

IPsec y SCTP

IPsec y zonas de Oracle Solaris

IPsec y dominios lógicos

Archivos y utilidades IPsec

Cambios en IPsec para la versión Oracle Solaris 10

20.  Configuración de IPsec (tareas)

21.  Arquitectura de seguridad IP (referencia)

22.  Intercambio de claves de Internet (descripción general)

23.  Configuración de IKE (tareas)

24.  Intercambio de claves de Internet (referencia)

25.  Filtro IP en Oracle Solaris (descripción general)

26.  Filtro IP (tareas)

Parte V IPMP

27.  Introducción a IPMP (descripción general)

28.  Administración de IPMP (tareas)

Parte VI Calidad de servicio IP (IPQoS)

29.  Introducción a IPQoS (descripción general)

30.  Planificación para una red con IPQoS (tareas)

31.  Creación del archivo de configuración IPQoS (tareas)

32.  Inicio y mantenimiento de IPQoS (tareas)

33.  Uso de control de flujo y recopilación de estadísticas (tareas)

34.  IPQoS detallado (referencia)

Glosario

Índice

Mecanismos de protección de IPsec

IPsec proporciona dos protocolos de seguridad para proteger los datos:

Un AH protege los datos con un algoritmo de autenticación. Una ESP protege los datos con un algoritmo de cifrado. ESP puede utilizarse, y debería utilizarse, con un mecanismo de autenticación. Si no está atravesando una NAT, puede combinar ESP con AH. De lo contrario, puede utilizar un algoritmo de autenticación y un mecanismo de cifrado con ESP.

Encabezado de autenticación

El encabezado de autenticación proporciona autenticación de datos, una integridad sólida y protección de repetición para los datagramas IP. AH protege la mayor parte del datagrama IP. Como muestra la ilustración siguiente, AH se inserta entre el encabezado IP y el encabezado de transporte.

image:En el gráfico, se muestra el encabezado AH entre el encabezado IP y el encabezado TCP.

El encabezado de transporte puede ser TCP, UDP, SCTP o ICMP. Si se utiliza un túnel, el encabezado de transporte puede ser otro encabezado de IP.

Carga de seguridad encapsuladora

El módulo carga de seguridad encapsuladora (ESP) ofrece confidencialidad para los elementos que encapsula ESP. ESP también proporciona los servicios que proporciona AH. Sin embargo, ESP sólo proporciona sus protecciones de la parte del datagrama que encapsula ESP. ESP proporciona servicios de autenticación opcional para asegurar la integridad de los paquetes protegidos. Debido a que ESP utiliza tecnología de habilitación de cifrado, un sistema que proporcione ESP puede estar sujeto a leyes de control de importación y exportación.

ESP encapsula sus datos, de modo que ESP sólo protege los datos que siguen a su inicio en el datagrama, como se muestra en la ilustración siguiente.

image:En el gráfico, se muestra el encabezado ESP entre el encabezado IP y el encabezado TCP. El encabezado TCP se cifra mediante el encabezado ESP.

En un paquete TCP, ESP encapsula únicamente el encabezado TCP y sus datos. Si el paquete se encuentra en un datagrama de IP en IP, ESP protege el datagrama IP interior. La política por socket permite la autoencapsulación, de modo que ESP puede encapsular las opciones de IP cuando lo necesita.

Si está activada la autoencapsulación, se realiza una copia del encabezado IP para construir un datagrama de IP en IP. Por ejemplo, cuando la autoencapsulación no está activada en un socket TCP, el datagrama se envía con el siguiente formato:

[ IP(a -> b) options + TCP + data ]

Cuando la autoencapsulación está activa en ese socket TCP, el datagrama se envía con el siguiente formato:

[ IP(a -> b) + ESP [ IP(a -> b) options + TCP + data ] ]

Para más información, consulte Modos de transporte y túnel en IPsec.

Consideraciones de seguridad para el uso de AH y ESP

La tabla siguiente compara las protecciones que proporcionan AH y ESP.

Tabla 19-2 Protecciones que proporcionan AH y ESP en IPsec

Protocolo
Protección de paquetes
Protección
Contra ataques
AH
Protege el paquete del encabezado IP al encabezado de transporte.
Proporciona integridad sólida, autenticación de datos:
  • Garantiza que el receptor recibe exactamente lo que ha enviado el remitente.

  • Es susceptible a los ataques de repetición cuando AH no activa la protección contra repeticiones.

Repetición, cortar y pegar
ESP
Protege el paquete que sigue a ESP en el datagrama.
Con la opción de cifrado, cifra la carga útil IP. Garantiza la confidencialidad.
Intercepción de comunicaciones
Con la opción de autenticación, proporciona la misma protección de carga útil que AH.
Repetición, cortar y pegar
Con ambas opciones, proporciona integridad sólida, autenticación de datos y confidencialidad.
Repetición, cortar y pegar e intercepción de comunicaciones.

Algoritmos de autenticación y cifrado en IPsec

Los protocolos de seguridad IPsec utilizan dos tipos de algoritmos: de autenticación y de cifrado. El módulo AH utiliza algoritmos de autenticación. El módulo ESP puede utilizar tanto algoritmos de cifrado como de autenticación. Puede obtener una lista de los algoritmos de su sistema y sus propiedades con el comando ipsecalgs. Para mas información, consulte la página del comando man ipsecalgs(1M) También puede utilizar las funciones que se describen en la página del comando man getipsecalgbyname(3NSL) para recuperar las propiedades de los algoritmos.

IPsec utiliza la estructura criptográfica para acceder a los algoritmos. La estructura criptográfica proporciona un repositorio central para los algoritmos, además de otros servicios. La estructura permite a IPsec aprovechar los aceleradores de hardware criptográficos de alto rendimiento.

Para obtener más información, consulte lo siguiente:

Algoritmos de autenticación en IPsec

Los algoritmos de autenticación producen un valor de suma de comprobación de integridad o síntesis que se basa en los datos y una clave. El módulo AH utiliza algoritmos de autenticación. El módulo ESP también puede utilizar algoritmos de autenticación.

Algoritmos de cifrado en IPsec

Los algoritmos de cifrado cifran los datos con una clave. El módulo ESP de IPsec utiliza algoritmos de cifrado. Los algoritmos operan en los datos en unidades del tamaño de un bloque.

Diferentes versiones del sistema operativo Oracle Solaris proporcionan algoritmos de cifrado predeterminados distintos.

A partir de la versión Solaris 10 7/07, el contenido de Solaris Encryption Kit se instala mediante el disco de instalación de Solaris. En esta versión se añaden los algoritmos de autenticación SHA2: sha256, sha384 y sha512. Las implementaciones SHA2 cumplen la especificación RFC 4868. Esta versión también agrega grupos Diffie-Hellman más grandes: 2048 bits (grupo 14), 3072 bits (grupo 15) y 4096 bits (grupo 16). Tenga en cuenta que los sistemas de Oracle Sun con tecnología CoolThreads sólo aceleran los grupos de 2048 bits.


Precaución

Precaución - A partir de la versión Solaris 10 7/07, no agregue Solaris Encryption Kit al sistema. El kit reduce el nivel de parche para cifrado del sistema. El kit es incompatible con el cifrado del sistema.