| Omitir Vínculos de navegación | |
| Salir de la Vista de impresión | |
|
Administración de Oracle Solaris: servicios IP Oracle Solaris 10 1/13 Information Library (Español) |
| Omitir Vínculos de navegación | |
| Salir de la Vista de impresión | |
|
|
Administración de Oracle Solaris: servicios IP Oracle Solaris 10 1/13 Information Library (Español) |
Parte I Introducción a la administración del sistema: servicios IP
1. Conjunto de protocolos TCP/IP de Oracle Solaris (descripción general)
Parte II Administración de TCP/IP
2. Planificación de la red TCP/IP (tareas)
3. Introducción a IPv6 (descripción general)
4. Planificación de una red IPv6 (tareas)
5. Configuración de servicios de red TCP/IP y direcciones IPv4 (tareas)
6. Administración de interfaces de red (tareas)
7. Configuración de una red IPv6 (tareas)
8. Administración de redes TCP/IP (tareas)
9. Resolución de problemas de red (tareas)
10. Descripción detallada de TCP/IP e IPv4 (referencia)
11. IPv6 en profundidad (referencia)
12. Acerca de DHCP (descripción general)
13. Planificación del servicio DHCP (tareas)
14. Configuración del servicio DHCP (tareas)
15. Administración de DHCP (tareas)
16. Configuración y administración del cliente DHCP
17. Solución de problemas de DHCP (referencia)
18. Comandos y archivos DHCP (referencia)
19. Arquitectura de seguridad IP (descripción general)
20. Configuración de IPsec (tareas)
21. Arquitectura de seguridad IP (referencia)
Base de datos de asociaciones de seguridad para IPsec
Utilidades para la generación de SA en IPsec
Consideraciones de seguridad para ipseckey
Extensiones IPsec para otras utilidades
Opción de seguridad encr_auth_algs
22. Intercambio de claves de Internet (descripción general)
23. Configuración de IKE (tareas)
24. Intercambio de claves de Internet (referencia)
25. Filtro IP en Oracle Solaris (descripción general)
27. Introducción a IPMP (descripción general)
28. Administración de IPMP (tareas)
Parte VI Calidad de servicio IP (IPQoS)
29. Introducción a IPQoS (descripción general)
30. Planificación para una red con IPQoS (tareas)
31. Creación del archivo de configuración IPQoS (tareas)
32. Inicio y mantenimiento de IPQoS (tareas)
33. Uso de control de flujo y recopilación de estadísticas (tareas)
Para activar la política de seguridad IPsec al iniciar Oracle Solaris, debe crear un archivo de configuración para inicializar IPsec con las entradas de política IPsec específicas. El nombre predeterminado para este archivo es /etc/inet/ipsecinit.conf. Consulte la página del comando man ipsecconf(1M) para obtener más información acerca de las entradas de política y su formato. Una vez configurada la política, puede utilizar el comando ipsecconf para ver o modificar la configuración existente. A partir de Solaris 10 4/09, debe actualizar el servicio policy para modificar la configuración existente.
El software Oracle Solaris incluye un archivo de política IPsec de ejemplo: ipsecinit.sample. Puede utilizar dicho archivo como plantilla para crear su propio archivo ipsecinit.conf. El archivo ipsecinit.sample contiene los ejemplos siguientes:
#
# For example,
#
# {rport 23} ipsec {encr_algs des encr_auth_algs md5}
#
# will protect the telnet traffic originating from the host with ESP using
# DES and MD5. Also:
#
# {raddr 10.5.5.0/24} ipsec {auth_algs any}
#
# will protect traffic to or from the 10.5.5.0 subnet with AH
# using any available algorithm.
#
#
# To do basic filtering, a drop rule may be used. For example:
#
# {lport 23 dir in} drop {}
# {lport 23 dir out} drop {}
# will disallow any remote system from telnetting in.
#
# If you are using IPv6, it may be useful to bypass neighbor discovery
# to allow in.iked to work properly with on-link neighbors. To do that,
# add the following lines:
#
# {ulp ipv6-icmp type 133-137 dir both } pass { }
#
# This will allow neighbor discovery to work normally.
Tenga especial precaución al transmitir una copia del archivo ipsecinit.conf por una red. Un adversario puede leer un archivo montado en red mientras se lee el archivo. Si, por ejemplo, se accede al archivo /etc/inet/ipsecinit.conf o se copia desde un sistema de archivos montado en NFS, un adversario puede cambiar la directiva que contiene el archivo.
La política IPsec no se puede cambiar para las conexiones establecidas. Un socket cuya política no se puede modificar se denomina socket bloqueado. Las nuevas entradas de política no protegen los sockets que ya están bloqueados. Para obtener más información, consulte las páginas del comando man connect(3SOCKET) y accept(3SOCKET) Si no está seguro, reinicie la conexión.
Proteja su sistema de nombres. Si se cumplen las dos condiciones siguientes, los nombres de host dejarán de ser de confianza:
La dirección de origen es un host que se puede buscar en la red.
El sistema de nombres está en peligro.
Los fallos de seguridad a menudo se deben a la mala aplicación de las herramientas, no a las herramientas en sí. Utilice el comando ipsecconf con precaución. Utilice una consola u otro TTY conectado físicamente para obtener el funcionamiento mas seguro.
|