En esta sección, se muestran los servicios de IPsec, las RFC de IPsec seleccionadas, y los archivos y comandos relevantes para IPsec.
La utilidad de gestión de servicios (SMF) proporciona los siguientes servicios para IPsec:
servicio svc:/network/ipsec/policy: gestiona la política de IPsec. De manera predeterminada, este servicio está activado. El valor de la propiedad config_file determina la ubicación del archivo ipsecinit.conf. El valor inicial en un sistema que ejecuta el perfil de configuración de red DefaultFixed es /etc/inet/ipsecinit.conf. En los sistemas que no se están ejecutando este perfil, el valor de la propiedad está vacío.
servicio svc:/network/ipsec/ipsecalgs: gestiona los algoritmos disponibles para IPsec. De manera predeterminada, este servicio está activado.
servicio svc:/network/ipsec/manual-key: activa la gestión manual de claves. De manera predeterminada, este servicio está desactivado. El valor de la propiedad config_file determina la ubicación del archivo de configuración ipseckeys. El valor inicial es /etc/inet/secret/ipseckeys.
servicio svc:/network/ipsec/ike: gestiona IKE. De manera predeterminada, este servicio está desactivado. Para conocer las propiedades configurables, consulte Servicio IKEv2 y Servicio IKEv1.
Para obtener información acerca de SMF, consulte Capítulo 1, Introducción a la Utilidad de gestión de servicios de Gestión de los servicios del sistema en Oracle Solaris 11.2 . Consulte también las páginas del comando man smf(5), svcadm(1M) y svccfg(1M).
Usa el comando ipsecconf para configurar la política de IPsec para un host. Al ejecutar el comando para configurar la política, el sistema crea las entradas de la política IPsec en el núcleo. El sistema utiliza estas entradas para comprobar la política en todos los paquetes IP entrantes y salientes. Los paquetes que no se envían por túneles y se reenvían no están sujetos a las comprobaciones de políticas que se agregan mediante este comando. El comando ipsecconf también gestiona las entradas IPsec de base de datos de políticas de seguridad (SPD). Para conocer las opciones de la política de IPsec, consulte la página del comando man ipsecconf(1M).
Debe asumir el rol root para invocar el comando ipsecconf. El comando puede configurar entradas que protegen el tráfico en ambas direcciones. El comando también puede configurar entradas que protegen el tráfico sólo en una dirección.
Las entradas de política con un formato de dirección local y dirección remota pueden proteger el tráfico en ambas direcciones con una sola entrada de política. Por ejemplo, las entradas que contienen los patrones laddr host1 y raddr host2 protegen el tráfico en ambas direcciones, si no se especifica ninguna dirección para el host con nombre. De este modo, sólo necesita una entrada de política para cada host.
Las entradas de políticas agregadas por el comando ipsecconf no persisten tras un reinicio del sistema. Para garantizar que la política de IPsec esté activa cuando se inicia el sistema, agregue las entradas de la política al archivo /etc/inet/ipsecinit.conf y, a continuación, actualice o active el servicio policy. Para ver ejemplos, consulte Protección del tráfico de red con IPsec.
Para activar la política de seguridad IPsec al iniciar Oracle Solaris, debe crear un archivo de configuración para inicializar IPsec con las entradas de política IPsec específicas. El nombre predeterminado para este archivo es /etc/inet/ipsecinit.conf. Consulte la página del comando man ipsecconf(1M) para obtener detalles acerca de las entradas de la política y de su formato. Después de configurar la política, puede actualizar la política con el comando svcadm refresh ipsec/policy.
El software Oracle Solaris incluye un archivo de política de IPsec de ejemplo: ipsecinit.sample. Puede utilizar dicho archivo como plantilla para crear su propio archivo ipsecinit.conf. El archivo ipsecinit.sample contiene los ejemplos siguientes:
...
# In the following simple example, outbound network traffic between the local
# host and a remote host will be encrypted. Inbound network traffic between
# these addresses is required to be encrypted as well.
#
# This example assumes that 10.0.0.1 is the IPv4 address of this host (laddr)
# and 10.0.0.2 is the IPv4 address of the remote host (raddr).
#
{laddr 10.0.0.1 raddr 10.0.0.2} ipsec
{encr_algs aes encr_auth_algs sha256 sa shared}
# The policy syntax supports IPv4 and IPv6 addresses as well as symbolic names.
# Refer to the ipsecconf(1M) man page for warnings on using symbolic names and
# many more examples, configuration options and supported algorithms.
#
# This example assumes that 10.0.0.1 is the IPv4 address of this host (laddr)
# and 10.0.0.2 is the IPv4 address of the remote host (raddr).
#
# The remote host will also need an IPsec (and IKE) configuration that mirrors
# this one.
#
# The following line will allow ssh(1) traffic to pass without IPsec protection:
{lport 22 dir both} bypass {}
#
# {laddr 10.0.0.1 dir in} drop {}
#
# Uncommenting the above line will drop all network traffic to this host unless
# it matches the rules above. Leaving this rule commented out will allow
# network packets that do not match the above rules to pass up the IP
# network stack. ,,,
La política de IPsec no se puede cambiar para las conexiones establecidas. Un socket cuya política no se puede modificar se denomina socket bloqueado. Las nuevas entradas de política no protegen los sockets que ya están bloqueados. Para obtener más información, consulte las páginas del comando man connect(3SOCKET) y accept(3SOCKET). Si no está seguro, reinicie la conexión. Para obtener más información, consulte la sección SECURITY de la página del comando man ipsecconf(1M).
La estructura criptográfica brinda algoritmos de autenticación y cifrado en IPsec. El comando ipsecalgs puede enumerar los algoritmos que cada protocolo de IPsec admite. La configuración ipsecalgs se almacena en el archivo /etc/inet/ipsecalgs. Normalmente, no es necesario modificar este archivo y nunca se debe editar directamente. Sin embargo, si es necesario modificar el archivo, use el comando. ipsecalgs. Los algoritmos admitidos se sincronizan con el núcleo durante el inicio del sistema mediante en servicio svc:/network/ipsec/ipsecalgs:default.
El dominio de interpretación (DOI) ISAKMP, que se trata en la norma RFC 1407, describe los algoritmos y protocolos IPsec válidos. En concreto, el DOI ISAKMP define las convenciones de denominación y numeración para los algoritmos IPsec válidos y sus protocolos. PROTO_IPSEC_AH y PROTO_IPSEC_ESP. Cada algoritmo se asocia exactamente con un protocolo. Estas definiciones DOI ISAKMP se encuentran en el archivo /etc/inet/ipsecalgs. Los números de protocolo y algoritmos los define la Autoridad de números asignados de Internet (IANA). El comando ipsecalgs permite ampliar la lista de algoritmos para IPsec.
Para obtener más información sobre los algoritmos, consulte la página del comando man ipsecalgs(1M). Para obtener más información sobre la estructura criptográfica, consulte el Capítulo 1, Estructura criptográfica de Gestión de cifrado y certificados en Oracle Solaris 11.2 .
El comando ipseckey con varias opciones gestiona claves para IPsec manualmente. Para obtener una descripción sobre el comando ipseckey, consulte la página del comando man ipseckey(1M).
El comando ipseckey permite que un rol con el perfil derechos de seguridad de la red o el perfil de derechos de gestión de IPsec de red especifique información criptográfica confidencial de claves. Si un adversario obtiene acceso a esta información, puede poner en peligro la seguridad del tráfico IPsec.
Para obtener más información, consulte la sección SECURITY de la página del comando man ipseckey(1M).
El comando kstatpuede mostrar las estadísticas sobre ESP, AH y otros datos de IPsec. Las opciones relacionadas con IPsec se muestran en Resolución de problemas semánticos de IPsec e IKE. Consulte también la página del comando man kstat(1M).
El comando snoop puede analizar los encabezados AH y ESP. Dado que ESP cifra sus datos, el comando snoop no puede ver los encabezados cifrados protegidos por ESP. AH no cifra los datos, de modo que el tráfico que se protege por AH se puede examinar con el comando snoop. La opción –V para el comando muestra cuándo se está utilizando AH en un paquete. Para obtener más información, consulte la página del comando man snoop(1M).
Para ver un ejemplo de resultado snoop detallado en un paquete protegido, consulte Cómo verificar que los paquetes estén protegidos con IPsec.
También hay disponibles analizadores de red de terceros, como el software de código abierto gratuito Wireshark, que se integra en esta versión.
Internet Engineering Task Force (IETF) ha publicado una serie de solicitudes de comentarios (RFC) que describen la arquitectura de seguridad para la capa IP. Encontrará un enlace a las RFC en la página http://www.ietf.org/http://www.ietf.org/. La siguiente lista de RFC incluye referencias de seguridad IP generales:
RFC 2411, “IP Security Document Roadmap” (Documentos de seguridad IP), noviembre de 1998
RFC 2401, “Security Architecture for the Internet Protocol” (Arquitectura de seguridad para el protocolo de Internet), noviembre de 1998
RFC 2402, “IP Authentication Header” (Encabezado de autenticación IP), noviembre de 1998
RFC 2406, “IP Encapsulating Security Payload (ESP)” (Carga de seguridad encapsuladora de IP [ESP]), noviembre de 1998
RFC 2408, “Internet Security Association and Key Management Protocol (ISAKMP)” (protocolo de gestión de claves y asociaciones de seguridad de Internet [ISAKMP]), noviembre de 1998
RFC 2407, "The Internet IP Security Domain of Interpretation for ISAKMP", noviembre de 1998
RFC 2409, “The Internet Key Exchange (IKEv1)”, noviembre de 1998
RFC 5996, “Internet Key Exchange Protocol Version 2 (IKEv2)”, septiembre de 2010
RFC 3554, “On the Use of Stream Control Transmission Protocol (SCTP) with IPsec” (Sobre el uso del protocolo de transmisión para el control de flujo con IPsec), julio de 2003