Protección de la red en Oracle® Solaris 11.2

Salir de la Vista de impresión

Actualización: Septiembre de 2014
 
 

Conceptos y terminología de IKE

    Los siguientes conceptos y términos son comunes a ambas versiones de IKE. Se pueden implementar de manera diferente en las dos versiones.

  • Negociación de claves e intercambio: el intercambio de material de claves y la autenticación de la identidad de los pares de una manera segura. El proceso utiliza los algoritmos criptográficos asimétricos. Los dos métodos principales son los protocolos RSA y Diffie-Hellman.

    IKE crea y gestiona todas las SA de IPsec entre sistemas que están ejecutando un daemon IKE. IKE negocia un canal seguro que protege la transmisión del material de claves. El daemon IKE crea las claves a partir de un generador de números aleatorio mediante el dispositivo /dev/random. La velocidad a la que el daemon cambia las claves se puede configurar. El material de claves está disponible para los algoritmos especificados en el archivo de configuración para la política IPsec, ipsecinit.conf.

  • Algoritmo Diffie-Hellman (DH): un algoritmo de intercambio de claves que permite a dos sistemas generar de forma segura un secreto compartido por un canal no seguro.

  • Algoritmo RSA: un algoritmo de claves asimétrico que se usa para autenticar la identidad de sistemas pares, generalmente mediante la proporción de la propiedad de un certificado X.509. El algoritmo recibe el nombre de sus tres creadores, Rivest, Shamir y Adleman.

    Como alternativa, los algoritmos DSA o ECDSA se pueden usar para este propósito.

  • Confidencialidad directa perfecta (PFS): en PFS, la clave que se usa para proteger la transmisión de datos no se usa para derivar claves adicionales. La fuente de la clave que se usa para proteger la transmisión de datos tampoco se emplea en la derivación de claves adicionales. Por lo tanto, PFS puede evitar el descifrado de tráfico registrado anteriormente.

  • Grupo Oakley: se usa para negociar la PFS. Consulte la sección 6 de la RFC The Internet Key Exchange (IKE).

  • Política de IKE: el conjunto de reglas de IKE que define los parámetros aceptables que usa un daemon de IKE cuando intenta configurar un canal de intercambio de claves seguro con un sistema par. Esto se denomina SA de IKE en IKEv2 o Fase 1 en IKEv1.

    Los parámetros incluyen algoritmos, tamaños de clave, los grupos de Oakley y método de autenticación. Los daemons de IKE de Oracle Solaris admiten claves compartidas previamente y certificados como métodos de autenticación.