Las asociaciones de seguridad (SA) requieren materiales para la autenticación y para el cifrado. La gestión de este material de claves se denomina gestión de claves. Oracle Solaris proporciona dos métodos para gestión de claves para las SA de IPsec: IKE y gestión manual de claves.
El protocolo de intercambio de claves de Internet (IKE) maneja automáticamente la gestión de claves. Oracle Solaris 11.2 admite la versión 2 de IKE (IKEv2) y la versión 1 de IKE (IKEv1) del protocolo IKE.
Se recomienda el uso de IKE para gestionar las SA de IPsec. Estos protocolos de gestión de claves ofrecen las siguientes ventajas:
Configuración simple
Autenticación eficaz de pares
Generación automática de SA con un origen de clave aleatorio de alta calidad
No requiere la intervención del administrador para generar nuevas SA
Para obtener información, consulte Cómo funciona IKE.
Para configurar IKE, consulte el Chapter 9, Configuración de IKEv2. Si se está comunicando con un sistema que no admite el protocolo IKEv2, siga las instrucciones del Chapter 10, Configuración de IKEv1.
El uso de claves manuales es más complicado que IKE y es potencialmente riesgoso. Un archivo del sistema, /etc/inet/secret/ipseckeys, contiene claves de cifrado. Si estas claves se encuentran comprometidas, se pueden utilizar para descifrar el tráfico de red registrado. Dado que IKE cambia con frecuencia las claves, la ventana de la exposición a dicho compromiso es mucho menor. El uso del archivo ipseckeys o de su interfaz de comando, ipseckey, sólo es adecuado para los sistemas que no admiten IKE.
Aunque el comando ipseckey tiene un número limitado de opciones generales, admite un lenguaje de comandos amplio. Puede especificar que las solicitudes se envíen mediante una interfaz de programación específica para las claves manuales. Para obtener más información, consulte las páginas del comando man ipseckey(1M) y pf_key(7P).
Normalmente, la generación manual de SA se utiliza cuando IKE no está disponible por algún motivo. Sin embargo, si los valores SPI son exclusivos, la generación manual de SA e IKE se pueden utilizar al mismo tiempo.