En un sistema que ejecuta un servidor web, puede utilizar IPSec para proteger todo el tráfico excepto las solicitudes del cliente web. Normalmente, el tráfico de red está protegido entre el servidor web y otros servidores de back-end.
Además de permitir a los clientes web omitir IPsec, la política de IPsec en este procedimiento permite que el servidor realice solicitudes de cliente DNS. El resto del tráfico esté protegido por IPsec.
Antes de empezar
Este procedimiento asume que los pasos de Cómo proteger el tráfico de red seguro entre dos servidores con IPsec que configura IPsec en sus dos servidores han sido completados, de modo que se aplican las siguientes condiciones:
Cada sistema es una zona global o una zona de IP exclusiva con una dirección fija. Para obtener más información, consulte IPsec y zonas de Oracle Solaris.
La comunicación con el servidor web ya está protegida por IPsec.
Que se esté generando material de claves mediante IKE.
Que haya comprobado que los paquetes se estén protegiendo.
Un usuario con derechos específicos puede ejecutar estos comandos sin ser root.
Para ejecutar los comandos de configuración, debe convertirse en un administrador que tiene asignado el perfil de derechos de gestión de IPsec de red.
Para editar los archivos del sistema relacionados con IPsec y crear claves, utilice el comando pfedit.
Para editar el archivo hosts, debe tener el rol root o tener permiso explícito para editar el archivo.
Para obtener más información, consulte Uso de sus derechos administrativos asignados de Protección de los usuarios y los procesos en Oracle Solaris 11.2 .
Si realiza administraciones remotas, consulte el Example 7–1 y Cómo administrar ZFS con shell seguro de forma remota de Gestión de acceso mediante shell seguro en Oracle Solaris 11.2 para obtener instrucciones para un inicio de sesión remoto seguro.
En el caso de un servidor web, estos servicios incluyen los puertos TCP 80 (HTTP) y 443 (HTTP seguro). Si el servidor web proporciona consultas de nombres DNS, el servidor también podría incluir el puerto 53 tanto para TCP como para UDP.
Agregue las siguientes líneas al archivo ipsecinit.conf:
# pfedit /etc/inet/ipsecinit.conf
...
# Web traffic that web server should bypass.
{lport 80 ulp tcp dir both} bypass {}
{lport 443 ulp tcp dir both} bypass {}
# Outbound DNS lookups should also be bypassed.
{rport 53 dir both} bypass {}
# Require all other traffic to use ESP with AES and SHA-2.
# Use a unique SA for outbound traffic from the port
{} ipsec {encr_algs aes encr_auth_algs sha512 sa shared}
Esta configuración sólo permite que el tráfico seguro acceda al sistema, con las excepciones de omisión que se describen en el Step 1.
# ipsecconf -c /etc/inet/ipsecinit.conf
# svcadm refresh ipsec/policy
Reinicie el servicio ike.
# svcadm restart ike:ikev2
Si debe generar y mantener las claves de forma manual, siga las instrucciones de Cómo crear manualmente claves IPsec.
La configuración se ha completado.
Agregue las siguientes líneas al archivo /etc/inet/ipsecinit.conf de un sistema remoto:
## Communicate with web server about nonweb stuff
##
{raddr webserver} ipsec {encr_algs aes encr_auth_algs sha512 sa shared}
Compruebe la sintaxis y, a continuación, actualice la política de IPsec para activarla.
remote-system # ipsecconf -c /etc/inet/ipsecinit.conf remote-system # svcadm refresh ipsec/policy
Un sistema remoto puede comunicarse de forma segura con el servidor web para tráfico que no sea de web sólo cuando las políticas IPsec del sistema coinciden.
# ipsecconf -L -n