Protección de la red en Oracle® Solaris 11.2

Salir de la Vista de impresión

 
Actualización: Septiembre de 2014
 
 

Gestión de claves para asociaciones de seguridad IPsec

Las asociaciones de seguridad (SA) requieren materiales para la autenticación y para el cifrado. La gestión de este material de claves se denomina gestión de claves. Oracle Solaris proporciona dos métodos para gestión de claves para las SA de IPsec: IKE y gestión manual de claves.

IKE para generación de SA de IPsec

El protocolo de intercambio de claves de Internet (IKE) maneja automáticamente la gestión de claves. Oracle Solaris 11.2 admite la versión 2 de IKE (IKEv2) y la versión 1 de IKE (IKEv1) del protocolo IKE.

    Se recomienda el uso de IKE para gestionar las SA de IPsec. Estos protocolos de gestión de claves ofrecen las siguientes ventajas:

  • Configuración simple

  • Autenticación eficaz de pares

  • Generación automática de SA con un origen de clave aleatorio de alta calidad

  • No requiere la intervención del administrador para generar nuevas SA

Para obtener información, consulte Cómo funciona IKE.

Para configurar IKE, consulte el Chapter 9, Configuración de IKEv2. Si se está comunicando con un sistema que no admite el protocolo IKEv2, siga las instrucciones del Chapter 10, Configuración de IKEv1.

Claves manuales para generación de SA de IPsec

El uso de claves manuales es más complicado que IKE y es potencialmente riesgoso. Un archivo del sistema, /etc/inet/secret/ipseckeys, contiene claves de cifrado. Si estas claves se encuentran comprometidas, se pueden utilizar para descifrar el tráfico de red registrado. Dado que IKE cambia con frecuencia las claves, la ventana de la exposición a dicho compromiso es mucho menor. El uso del archivo ipseckeys o de su interfaz de comando, ipseckey, sólo es adecuado para los sistemas que no admiten IKE.

Aunque el comando ipseckey tiene un número limitado de opciones generales, admite un lenguaje de comandos amplio. Puede especificar que las solicitudes se envíen mediante una interfaz de programación específica para las claves manuales. Para obtener más información, consulte las páginas del comando man ipseckey(1M) y pf_key(7P).

Normalmente, la generación manual de SA se utiliza cuando IKE no está disponible por algún motivo. Sin embargo, si los valores SPI son exclusivos, la generación manual de SA e IKE se pueden utilizar al mismo tiempo.

Copyright © 1999, 2014, Oracle y/o sus filiales. Todos los derechos reservados. Advertencia legal
Anterior
Siguiente