Protección de la red en Oracle® Solaris 11.2

Salir de la Vista de impresión

 
Actualización: Septiembre de 2014
 
 

Cómo proteger el tráfico de red seguro entre dos servidores con IPsec

    Este procedimiento presupone la siguiente configuración:

  • Los sistemas son direcciones IP estáticas asignadas y ejecutan el perfil de configuración de red DefaultFixed. Si el comando netadm list devuelve consulte, consulte la página del comando man netcfg(1M) para obtener más información.

  • Los dos sistemas se denominan enigma y partym.

  • Cada sistema tiene una dirección IP. Ésta puede ser una dirección IPv4, una dirección IPv6 o ambas. Este procedimiento utiliza direcciones IPv4.

  • Cada sistema es una zona global o una zona de IP exclusiva. Para obtener más información, consulte IPsec y zonas de Oracle Solaris.

  • Cada sistema cifra el tráfico con el algoritmo AES y lo autentica con SHA-2.

    Notas -  Es posible que el algoritmo SHA-2 sea necesario en algunos sitios.

  • Cada sistema utiliza asociaciones de seguridad compartidas.

    Con las asociaciones de seguridad (SA) compartidas, sólo se necesita un par de SA para proteger los dos sistemas.

Notas - Para utilizar IPsec con etiquetas en un sistema Trusted Extensions, consulte la extensión de este procedimiento en Cómo aplicar las protecciones IPsec en una red de Trusted Extensions de varios niveles de Configuración y administración de Trusted Extensions .

Antes de empezar

    Un usuario con derechos específicos puede ejecutar los siguientes comandos sin ser root:

  • Para ejecutar los comandos de configuración, debe convertirse en un administrador que tiene asignado el perfil de derechos de gestión de IPsec de red.

  • En este rol administrativo, puede editar los archivos del sistema relacionados con IPsec y crear claves con el comando pfedit.

  • Para editar el archivo hosts, debe tener el rol root o tener permiso explícito para editar el archivo. Consulte Example 7–7.

Para obtener más información, consulte Uso de sus derechos administrativos asignados de Protección de los usuarios y los procesos en Oracle Solaris 11.2 .

Si realiza administraciones remotas, consulte el Example 7–1 y Cómo administrar ZFS con shell seguro de forma remota de Gestión de acceso mediante shell seguro en Oracle Solaris 11.2 para obtener instrucciones para un inicio de sesión remoto seguro.

  1. En cada sistema, agregue entradas de host al archivo /etc/inet/hosts.

    Este paso permite al servicio de nombres local resolver los nombres del sistema en direcciones IP sin depender de un servicio de nombres.

    1. En un sistema denominado partym, escriba lo siguiente en el archivo hosts: 
      ## Secure communication with enigma
192.168.116.16 enigma
    2. En un sistema denominado enigma, escriba lo siguiente en el archivo hosts: 
      ## Secure communication with partym
192.168.13.213 partym
  2. En cada sistema, cree el archivo de política de IPsec.

    El nombre de archivo es /etc/inet/ipsecinit.conf. Para ver un ejemplo, consulte el archivo /etc/inet/ipsecinit.sample.

    # pfedit /etc/inet/ipsecinit.conf
  3. Agregue una entrada de política de IPsec al archivo ipsecinit.conf.

    Para conocer la sintaxis de las entradas de la política de IPsec y varios ejemplos, consulte la página del comando man ipsecconf(1M).

    1. En el sistema enigma, agregue la directiva siguiente: 
      {laddr enigma raddr partym} ipsec {encr_algs aes encr_auth_algs sha512 sa shared}

      Dado que la palabra clave dir no se utiliza, la política se aplica a los paquetes salientes y entrantes.

    2. En el sistema partym, agregue una directiva idéntica: 
      {laddr partym raddr enigma} ipsec {encr_algs aes encr_auth_algs sha512 sa shared}
  4. En cada sistema, configure IKE para gestionar las SA de IPsec.

    Siga uno de los procedimientos de configuración de Configuración de IKEv2. Para ver la sintaxis del archivo de configuración de IKE, consulte la página del comando man ikev2.config(4). Si se está comunicando con un sistema que solamente admite el protocolo IKEv1, consulte Configuración de IKEv1 y la página del comando man ike.config(4).

    Notas - Si debe generar y mantener las claves de forma manual, consulte Cómo crear manualmente claves IPsec.
  5. Verifique la sintaxis del archivo de política de IPsec. 
    % pfbash
# /usr/sbin/ipsecconf -c /etc/inet/ipsecinit.conf

    Subsane los posibles errores, compruebe la sintaxis del archivo y continúe.

  6. Actualice la política de IPsec. 
    # svcadm refresh ipsec/policy:default

    La política IPsec está activada de forma predeterminada, por lo que puede actualizarla. Si ha desactivado la política de IPsec, actívela.

    # svcadm enable ipsec/policy:default
  7. Active las claves de IPsec.
    • Si el servicio ike no está activado, actívelo.
      Notas - Si se está comunicando con un sistema que solamente puede ejecutar el protocolo IKEv1, especifique la instancia ike:default.
      # svcadm enable ipsec/ike:ikev2
    • Si el servicio ike está activado, reinícielo. 
      # svcadm restart ike:ikev2

    Si configuró claves manualmente en el Step 4, complete el procedimiento Cómo crear manualmente claves IPsec para activar las claves.

  8. Compruebe que los paquetes se estén protegiendo.

    Para ver el procedimiento, consulte Cómo verificar que los paquetes estén protegidos con IPsec.

Ejemplo 7-1  Configuración remota de la política de IPSec mediante una conexión ssh

En este ejemplo, el administrador del rol root configura la política de IPsec y las claves en dos sistemas mediante el comando ssh para llegar al segundo sistema. El administrador se define de manera idéntica en ambos sistemas. Para obtener más información, consulte la página del comando man ssh(1).

  1. Para configurar el primer sistema, el administrador realiza el Step 1 hasta el Step 5 de Cómo proteger el tráfico de red seguro entre dos servidores con IPsec.

  2. En una ventana de terminal diferente, el administrador utiliza el nombre de usuario y el ID definidos idénticamente para iniciar sesión de manera remota con el comando ssh.

    local-system % ssh -l jdoe other-system
other-system # su - root 
Enter password: xxxxxxxx
other-system #

  3. En la ventana de terminal de la sesión ssh, el administrador configura la política IPsec y las claves del segundo sistema; para ello, realiza del Step 1 al Step 7.

  4. A continuación, el administrador termina la sesión ssh. 

    other-system # exit
local-system 
# exit

  5. Para activar la política de IPsec en el primer sistema, el administrador completa el Step 6 y el Step 7.

La próxima ocasión que los dos sistemas se comunican, incluida la conexión ssh, la comunicación queda protegida por IPsec.

Ejemplo 7-2  Configuración de la política IPsec para ejecución en modo FIPS 140

En este ejemplo, el administrador configura la política IPsec en un sistema activado por FIPS 140 para seguir una política de seguridad de sitio que requiere algoritmos simétricos cuya longitud de clave es de, al menos, 192 bits.

El administrador especifica dos políticas IPsec posibles. La primera política especifica AES en modo CCM para cifrado y autenticación, y la segunda política especifica AES con longitudes de clave de 192 y 256 bits para cifrado y SHA384 para autenticación.

 {laddr machine1 raddr machine2} ipsec {encr_algs aes-ccm(192...) sa shared} or ipsec
 {laddr machine1 raddr machine2} ipsec {encr_algs aes(192...) encr_auth_algs sha2(384) sa shared}
Copyright © 1999, 2014, Oracle y/o sus filiales. Todos los derechos reservados. Advertencia legal
Anterior
Siguiente