El daemon IKEv1, in.iked, negocia las claves y autentica las SA de IPsec de forma segura. IKEv1 proporciona confidencialidad directa perfecta (PFS). En PFS, las claves que protegen la transmisión de datos no se utilizan para derivar claves adicionales. Asimismo, los números generadores que se utilizan para crear claves de transmisión de datos no se vuelven a utilizar. Consulte la página del comando man in.iked(1M).
El protocolo IKEv1 tiene dos fases. Oracle Solaris admite el intercambio de fase 1 del modo principal. El intercambio del modo principal negocia los parámetros aceptables para crear una asociación de seguridad (SA) de ISAKMP entre los dos pares. Esta SA de ISAKMP usa cifrado asimétrico para intercambiar el material de claves y autentica su par mediante el uso de una clave compartida previamente o un certificado de clave pública. A diferencia de las asociaciones de seguridad de IPsec, las asociaciones de seguridad de ISAKMP son bidireccionales, de modo que sólo se necesita una asociación de seguridad.
La manera en la que IKEv1 negocia las SA de ISAKAMP en el intercambio de fase 1 se puede configurar. IKEv1 lee la información de configuración del archivo /etc/inet/ike/config. La información de configuración incluye:
Parámetros globales, como los nombres de los certificados de claves públicas
Si la confidencialidad directa perfecta (PFS) es necesaria
Los pares de IKE del sistema
Los algoritmos que protegen los intercambios de fase 1
El método de autenticación
Los dos métodos de autenticación son las claves previamente compartidas y los certificados de claves públicas. Los certificados de clave pública pueden ser autofirmados o emitidos por una autoridad de certificación (CA).
Para obtener más información, consulte la página del comando man ike.config(4).
El intercambio de fase 2 se conoce como modo rápido. El intercambio de modo rápido negocia los algoritmos de IPsec y el material de claves que se necesita para crear las SA de IPsec. Este intercambio está protegido (cifrado) por la SA de ISAKMP que se negocia en la fase 1.
Los algoritmos y los protocolos de seguridad del intercambio de modo rápido provienen del archivo de política de IPsec /etc/inet/ipsecinit.conf.
Se asignan nuevas claves a las SA cuando caducan. La duración de la SA está establecida por el daemon in.iked cuando éste crea la SA de IPsec. Este valor es configurable.
PAra obtener más información, consulte las páginas del comando man ipsecconf(1M) y in.iked(1M).