Cómo crear manualmente claves IPsec

El siguiente procedimiento proporciona las claves para IPsec cuando no se está utilizando sólo IKE para la gestión de claves.

Las SA de IPsec que se agregan mediante el uso del comando ipseckey no persisten tras el reinicio del sistema. Para las SA de IPsec persistentes, agregue entradas al archivo /etc/inet/secret/ipseckeys.

---

Precaución  - Si debe utilizar las claves manuales, tenga mucho cuidado para asegurarse de que las claves que se generan son seguras. Estas son las claves reales utilizadas para proteger los datos.

---

Antes de empezar

Debe estar en la zona global para gestionar manualmente el material de claves para una zona IP compartida. Para una zona de IP exclusiva, configure el material de claves en esa zona de IP exclusiva.

Debe asumir el rol root. Para obtener más información, consulte Uso de sus derechos administrativos asignados de Protección de los usuarios y los procesos en Oracle Solaris 11.2 .

1. Genere las claves para las SA de IPsec.

   Las claves debe admitir una política específica en el archivo ipsecinit.conf. Por ejemplo, puede utilizar la política de Cómo proteger el tráfico de red seguro entre dos servidores con IPsec:

   {laddr enigma raddr partym} ipsec {encr_algs aes encr_auth_algs sha512 sa shared}

   Esta política utiliza los algoritmos AES y SHA -2.

   1. Determine las claves que necesita.

      Debe generar claves para aes, sha512 y el índice de parámetros de seguridad para la SA:

      • Dos números aleatorios hexadecimales como valor para la SPI. Un número es para el tráfico saliente. Otro es para el tráfico entrante. Cada número puede tener hasta ocho caracteres de longitud.

      • Dos números aleatorios hexadecimales para el algoritmo de autenticación SHA-2. Cada número debe tener 512 caracteres de longitud. Un número es para dst enigma. Un número es para dst partym.

      • Dos números aleatorios hexadecimales para el algoritmo de cifrado AES. Cada número debe tener 128 caracteres de longitud. Un número es para dst enigma. Un número es para dst partym.

      ---

      Notas - El comando ipsecalgs -l muestra los tamaños de clave de los algoritmos. Siga este procedimiento cuando utilice las claves manuales, es decir, los algoritmos SHA512 y AES. No utilice algoritmos débiles, algoritmos de modo combinado ni algoritmos GMAC para claves manuales.

      ---

   2. Genere las claves necesarias.

      • Si dispone de un generador de números aleatorios en su sitio, utilícelo.

      • Utilice el comando pktool, como se muestra en Cómo generar una clave simétrica con el comando pktool de Gestión de cifrado y certificados en Oracle Solaris 11.2 y el ejemplo de IPsec de esa sección.

2. Agregue las claves al archivo de claves manuales para IPsec.
   1. Edite el archivo /etc/inet/secret/ipseckeys del sistema enigma para que tenga un aspecto similar al siguiente:

      ## ipseckeys - This file takes the file format documented in 
      ##  ipseckey(1m).
      #   Note that naming services might not be available when this file
      #   loads, just like ipsecinit.conf.
      #
      #   Backslashes indicate command continuation.
      #
      # for outbound packets on enigma
      add esp spi 0x8bcd1407 \
         src 192.168.116.16 dst 192.168.13.213  \
         encr_alg aes \
         auth_alg sha512  \
         encrkey  d41fb74470271826a8e7a80d343cc5aa... \
         authkey  e896f8df7f78d6cab36c94ccf293f031...
      #
      # for inbound packets
      add esp spi 0x122a43e4 \
         src 192.168.13.213 dst 192.168.116.16 \
         encr_alg aes \
         auth_alg sha512  \
         encrkey dd325c5c137fb4739a55c9b3a1747baa... \
         authkey ad9ced7ad5f255c9a8605fba5eb4d2fd...

   2. Proteja el archivo con permisos de sólo lectura.

      # chmod 400 /etc/inet/secret/ipseckeys

      Si ha utilizado el comando pfedit -s para crear el archivo ipseckeys, entonces los permisos están configurados correctamente. Para obtener más información, consulte la página del comando man pfedit(1M).

   3. Verifique la sintaxis del archivo.

      # ipseckey -c /etc/inet/secret/ipseckeys

   ---

   Notas - Las claves de los dos sistemas deben ser idénticas.

   ---

3. Active las claves para IPsec.
   • Si el servicio manual-key no está activado, actívelo.

     % svcs manual-key
     STATE          STIME    FMRI
     disabled       Apr_10   svc:/network/ipsec/manual-key:default
     # svcadm enable ipsec/manual-key

   • Si el servicio manual-key está activado, actualícelo.

     # svcadm refresh ipsec/manual-key

Pasos siguientes

Si no terminó de establecer la política IPsec, regrese al procedimiento IPsec para activar o refrescar la política IPsec. Para ver ejemplos de la política de IPsec para protección de VPN, consulte Protección de una VPN con IPsec. Para ver otros ejemplos de la política de IPsec, consulte Cómo proteger el tráfico de red seguro entre dos servidores con IPsec.