Protección de la red en Oracle® Solaris 11.2

Salir de la Vista de impresión

 
Actualización: Septiembre de 2014
 
 

Cómo proteger la conexión entre dos LAN con IPsec en modo de túnel

En modo túnel, el paquete IP interior determina la política IPsec que protege su contenido.

Este procedimiento amplía el procedimiento de Cómo proteger el tráfico de red seguro entre dos servidores con IPsec. El procedimiento de configuración se describe en Descripción de la topología de red para la protección de una VPN por parte de las tareas de IPsec.

Para ver una descripción completa de los motivos para ejecutar comandos determinados, consulte los pasos correspondientes en Cómo proteger el tráfico de red seguro entre dos servidores con IPsec.

Notas - Lleve a cabo los pasos de este procedimiento en ambos sistemas.

Además de conectar dos sistemas, está conectando dos intranets que se conectan a estos dos sistemas. Los sistemas de este procedimiento actúan como portales.

Notas - Para utilizar IPsec en modo de túnel con etiquetas en un sistema Trusted Extensions, consulte la extensión de este procedimiento en Cómo configurar un túnel en una red que no es de confianza de Configuración y administración de Trusted Extensions .

Antes de empezar

Cada sistema es una zona global o una zona de IP exclusiva. Para obtener más información, consulte IPsec y zonas de Oracle Solaris.

    Un usuario con derechos específicos puede ejecutar estos comandos sin ser root.

  • Para ejecutar los comandos de configuración, debe convertirse en un administrador que tiene asignado el perfil de derechos de gestión de IPsec de red.

  • Para editar los archivos del sistema relacionados con IPsec y crear claves, utilice el comando pfedit.

  • Para editar el archivo hosts, debe tener el rol root o tener permiso explícito para editar el archivo.

Para obtener más información, consulte Uso de sus derechos administrativos asignados de Protección de los usuarios y los procesos en Oracle Solaris 11.2 .

Si realiza administraciones remotas, consulte el Example 7–1 y Cómo administrar ZFS con shell seguro de forma remota de Gestión de acceso mediante shell seguro en Oracle Solaris 11.2 para obtener instrucciones para un inicio de sesión remoto seguro.

  1. Controle el flujo de paquetes antes de configurar IPsec.
    1. Desactive el reenvío de IP y el enrutamiento dinámico de IP. 
      # routeadm -d ipv4-routing
# ipadm set-prop -p forwarding=off ipv4
# routeadm -u

      La desactivación del reenvío de IP impide que los paquetes se reenvíen de una red a otra a través de este sistema. Para ver una descripción del comando routeadm, consulte la página del comando manrouteadm(1M).

    2. Active los hosts de conexión múltiple estrictos de IP. 
      # ipadm set-prop -p hostmodel=strong ipv4

      La activación de hosts de conexión múltiple estrictos de IP requiere que los paquetes de una de las direcciones de destino del sistema lleguen a la dirección de destino correcta.

      Cuando el parámetro hostmodel está configurado en strong, los paquetes que llegan a una interfaz determinada deben dirigirse a una de las direcciones IP locales de esa interfaz. Todos los demás paquetes, incluidos los que se dirigen a otras direcciones locales del sistema, se eliminan.

    3. Compruebe que la mayoría de los servicios de red estén desactivados.

      Compruebe que se esté ejecutando el servicio ssh.

      % svcs | grep network
…
online         Aug_09   svc:/network/ssh:default
  2. Agregue la política de IPsec para la VPN al archivo /etc/inet/ipsecinit.conf.

    Para ver ejemplos adicionales, consulte Ejemplos de protección de una VPN con IPsec mediante el uso del modo de túnel.

    En esta política, la protección IPsec no se necesita entre sistemas de la LAN local y la dirección IP del servidor de seguridad, de modo que se agrega una instrucción bypass.

    1. En el sistema euro-vpn, agregue la siguiente entrada al archivo ipsecinit.conf: 
      # LAN traffic to and from this host can bypass IPsec.
{laddr 10.16.16.6 dir both} bypass {}

# WAN traffic uses ESP with AES and SHA-2.
{tunnel tun0 negotiate tunnel} 
 ipsec {encr_algs aes encr_auth_algs sha512 sa shared}
    2. En el sistema calif-vpn, escriba la siguiente entrada en el archivo ipsecinit.conf: 
      # LAN traffic to and from this host can bypass IPsec.
{laddr 10.1.3.3 dir both} bypass {}

# WAN traffic uses ESP with AES and SHA-2.
{tunnel tun0 negotiate tunnel} 
 ipsec {encr_algs aes encr_auth_algs sha512 sa shared}
  3. En cada sistema, configure IKE para agregar un par de SA de IPsec entre los dos sistemas.

    Siga uno de los procedimientos de configuración de Configuración de IKEv2 para configurar IKE. Para ver la sintaxis del archivo de configuración de IKE, consulte la página del comando man ikev2.config(4). Si se está comunicando con un sistema que solamente admite el protocolo IKEv1, consulte Configuración de IKEv1 y la página del comando man ike.config(4).

    Notas - Si debe generar y mantener las claves de forma manual, consulte Cómo crear manualmente claves IPsec.
  4. Verifique la sintaxis del archivo de política de IPsec. 
    # ipsecconf -c /etc/inet/ipsecinit.conf

    Subsane los posibles errores, compruebe la sintaxis del archivo y continúe.

  5. Actualice la política de IPsec. 
    # svcadm refresh ipsec/policy

    La política IPsec está activada de forma predeterminada, por lo que puede actualizarla. Si ha desactivado la política de IPsec, actívela.

    # svcadm enable ipsec/policy
  6. Cree y configure el túnel, tun0.

    Los comandos siguientes configuran las interfaces internas y externas, crean el túnel tun0 y asignan direcciones IP al túnel.

    1. En el sistema calif-vpn, cree el túnel y configúrelo. 
      # ipadm create-ip net1
# ipadm create-addr -T static -a local=10.1.3.3 net1/inside
# dladm create-iptun -T ipv4 -a local=192.168.13.213,remote=192.168.116.16 tun0
# ipadm create-ip tun0
# ipadm create-addr -T static \
-a local=10.1.3.3,remote=10.16.16.6 tun0/v4tunaddr

      El primer comando crea la interfaz IP net1. El segundo comando agrega direcciones a net1. El tercer comando crea la interfaz IP tun0. El cuarto comando agrega direcciones IP que se encapsulan en el enlace del túnel. Para obtener más información, consulte las páginas del comando man dladm(1M) y ipadm(1M).

    2. En el sistema euro-vpn, cree el túnel y configúrelo. 
      # ipadm create-ip net1
# ipadm create-addr -T static -a local=10.16.16.6 net1/inside
# dladm create-iptun -T ipv4 -a local=192.168.116.16,remote=192.168.13.213 tun0
# ipadm create-ip tun0
# ipadm create-addr -T static \
-a local=10.16.16.6,remote=10.1.3.3 tun0/v4tunaddr
      Notas - La opción –T del comando ipadm permite especificar el tipo de dirección que se creará. La opción –T del comando dladm permite especificar el túnel.

      Para obtener información acerca de estos comandos, consulte las páginas del comando man dladm(1M) y ipadm(1M), y Cómo configurar una interfaz IPv4 de Configuración y administración de componentes de red en Oracle Solaris 11.2 . Para obtener más información sobre los nombres personalizados, consulte Dispositivos de red y denominación de enlaces de datos en Oracle Solaris de Configuración y administración de componentes de red en Oracle Solaris 11.2 .

  7. En cada sistema, configure el reenvío. 
    # ipadm set-ifprop -m ipv4 -p forwarding=on net1
# ipadm set-ifprop -m ipv4 -p forwarding=on tun0
# ipadm set-ifprop -m ipv4 -p forwarding=off net0

    El reenvío de IP significa que los paquetes que llegan desde cualquier parte se pueden reenviar. El reenvío de IP también significa que los paquetes que abandonan esta interfaz podrían haberse originado en cualquier otra parte. Para reenviar un paquete correctamente, tanto la interfaz receptora como la de transmisión deben tener activada la opción de reenvío de IP.

    Dado que la interfaz de net1 está dentro de la intranet, el reenvío de IP debe estar activado para net1. Dado que tun0 conecta los dos sistemas a través de Internet, el reenvío de IP debe permanecer activado para tun0. La interfaz de net0 tiene su propio reenvío de IP desactivado para evitar que un adversario externo de Internet inserte paquetes en la intranet protegida.

  8. En cada sistema, impida el anuncio de la interfaz privada. 
    # ipadm set-addrprop -p private=on net0

    Aunque net0 tenga el reenvío de IP desactivado, la implementación de un protocolo de enrutamiento podría seguir publicando la interfaz. Por ejemplo, el protocolo in.routed podría seguir anunciando que net0 está disponible para reenviar paquetes a sus equivalentes dentro de la intranet. Al configurar el indicador private de la interfaz, se evita la publicación de estos datos.

  9. Reinicie los servicios de red. 
    # svcadm restart svc:/network/initial:default
  10. Agregue manualmente una ruta predeterminada a través de la interfaz net0.

    La ruta predeterminada debe ser un enrutador con acceso directo a Internet.

    1. En el sistema calif-vpn, agregue la siguiente ruta: 
      # route -p add net default 192.168.13.5
    2. En el sistema euro-vpn, agregue la ruta siguiente: 
      # route -p add net default  192.168.116.4

      Aunque la interfaz net0 no forme parte de la intranet, net0 necesita alcanzar su sistema equivalente a través de Internet. Para encontrar su equivalente, net0 necesita información sobre el enrutamiento de Internet. El sistema VPN aparece como host, en lugar de aparecer como enrutador, para el resto de Internet. Por tanto, puede utilizar un enrutador predeterminado o ejecutar el protocolo de descubrimiento de enrutador para encontrar un sistema equivalente. Para obtener más información, consulte las páginas del comando man route(1M) y in.routed(1M).

Copyright © 1999, 2014, Oracle y/o sus filiales. Todos los derechos reservados. Advertencia legal
Anterior
Siguiente