Protección de la red en Oracle® Solaris 11.2

Salir de la Vista de impresión

 
Actualización: Septiembre de 2014
 
 

Introducción a IPsec

IPsec protege el contenido de los paquetes IP mediante cifrado y proporciona comprobación de integridad mediante la autenticación del contenido de los paquetes. Dado que IPsec se lleva a cabo en la capa de red, una aplicación de red puede aprovechar IPsec si no es necesario que se configure para usar IPsec. Cuando se utiliza correctamente, la política IPsec es una herramienta eficaz para proteger el tráfico de la red.

    IPsec usa los siguientes términos:

  • Protocolos de seguridad: la protección que se aplica a un paquete IP. encabezado de autenticación (AH) protege los paquetes IP mediante la agregación de un vector de comprobación de integridad (ICV), que es un hash del paquete completo, incluidos los encabezados de IP. El receptor tiene la seguridad de que el paquete no se ha modificado. No proporciona confidencialidad con cifrado.

    carga de seguridad encapsuladora (ESP) protege la carga útil de un paquete IP. La carga útil de un paquete puede estar cifrada para proporcionar confidencialidad y puede garantizar la integridad de los datos mediante el uso de un ICV.

  • Asociaciones de seguridad (SA): los parámetros criptográficos, las claves, el protocolo de seguridad IP, los números de puertos y otros parámetros que se usan para asociar una SA determinada a un flujo de tráfico específico.

  • Base de datos de asociaciones de seguridad (SADB): la base de datos que almacena las asociaciones de seguridad. Las SA tienen referencias del índice de parámetros de seguridad, el protocolo de seguridad y la dirección IP de destino. Los tres elementos identifican de forma exclusiva una SA de IPsec. Cuando un sistema recibe un paquete IP que tiene un encabezado de IPsec (ESP o AH), el sistema busca la SADB para una SA coincidente. Si se encuentra una SA coincidente, se utiliza para permitir a IPsec que descifre y compruebe le paquete. Si la verificación falla o no se encuentra ningún SA coincidente, el paquete se descarta.

  • Gestión de claves: la generación y la distribución de claves seguras usadas por algoritmos criptográficos y la generación de SA usadas para almacenarlas.

  • Base de datos de política de seguridad(SPD): la base de datos que especifica la política de seguridad para aplicar al tráfico IP. SPD filtra el tráfico para determinar el modo en que se deben procesar los paquetes. Un paquete se puede descartar o se puede transferir sin cifrar. También se puede proteger un paquete mediante IPsec, es decir, se aplica la política de seguridad.

    Para los paquetes salientes, la política de IPsec determina si IPsec se debe aplicar a un paquete IP. Si se aplica IPsec, el módulo IP busca la SADB para una SA coincidente y usa esta SA para aplicar la política.

    Para los paquetes entrantes, la política IPsec garantiza que el nivel de protección de un paquete recibido es adecuado. Si la política requiere que IPsec proteja una determinada dirección IP, el sistema descarta los paquetes no protegidos. Si un paquete entrante está protegido por IPsec, el módulo IP busca la SADB para una SA coincidente y aplica la SA al paquete.

Las aplicaciones pueden invocar IPsec para aplicar mecanismos de seguridad a los paquetes IP también por socket. Si el socket de un puerto está conectado y, posteriormente, se aplica la política de IPsec a ese puerto, el tráfico que utiliza ese socket no está protegido mediante IPsec. Naturalmente, un socket abierto en un puerto después de la aplicación de la política IPsec en el puerto está protegido con IPsec.

Copyright © 1999, 2014, Oracle y/o sus filiales. Todos los derechos reservados. Advertencia legal
Anterior
Siguiente