Configuración y administración de Trusted Extensions

Salir de la Vista de impresión

 
Actualización: Julio de 2014
 
 

Cómo aplicar las protecciones IPsec en una red de Trusted Extensions de varios niveles

    En este procedimiento, se configura IPsec en dos sistemas Trusted Extensions para manejar las siguientes condiciones:

  • Los dos sistemas, enigma y partym, son sistemas Trusted Extensions de varios niveles que se ejecutan en una red de varios niveles.

  • Los datos de aplicación están cifrados y protegidos contra cambios no autorizados en la red.

  • La etiqueta de seguridad de los datos se visualiza en forma de una opción IP de CALIPSO o CIPSO para su uso en dispositivos de seguridad y enrutadores de varios niveles en la ruta entre los sistemas enigma y partym.

  • La etiquetas de seguridad que enigma y partym intercambian están protegidas contra cambios no autorizados.

Antes de empezar

Debe estar con el rol de usuario root en la zona global.

  1. Agregue los hosts enigma y partym a una plantilla de seguridad cipso.

    Siga los procedimientos descriptos en Etiquetado de hosts y redes. Utilice una plantilla con un tipo de host cipso.

  2. Configure IPsec para los sistemas enigma y partym.

    Para conocer el procedimiento, consulte Cómo proteger el tráfico de red seguro entre dos servidores con IPsec de Protección de la red en Oracle Solaris 11.2 . Utilice IKE para la gestión de claves, como se describe en el siguiente paso.

  3. Agregue etiquetas a las negociaciones IKE.

    Siga el procedimiento descripto en Cómo configurar IKEv2 con claves compartidas previamente de Protección de la red en Oracle Solaris 11.2 y, luego, modifique el archivo ike/config de la siguiente manera:

    1. Agregue las palabras clave label_aware, multi_label y wire_label inner al archivo /etc/inet/ike/config del sistema enigma.

      El archivo resultante tiene el siguiente aspecto. Se resaltan las adiciones de etiquetas.

      	### ike/config file on enigma, 192.168.116.16
## Global parameters
#
## Use IKE to exchange security labels.
label_aware
#
## Defaults that individual rules can override.
p1_xform
{ auth_method preshared oakley_group 5 auth_alg sha encr_alg 3des }
p2_pfs 2
#
## The rule to communicate with partym
# Label must be unique
{ label "enigma-partym"
local_addr 192.168.116.16
remote_addr 192.168.13.213
multi_label
wire_label inner
p1_xform
{ auth_method preshared oakley_group 5 auth_alg sha1 encr_alg aes }
p2_pfs 5
}
    2. Agregue las mismas palabras clave al archivo ike/config del sistema partym.
      	### ike/config file on partym, 192.168.13.213
## Global Parameters
#
## Use IKE to exchange security labels.
label_aware
#
p1_xform
{ auth_method preshared oakley_group 5 auth_alg sha encr_alg 3des }
p2_pfs 2
## The rule to communicate with enigma
# Label must be unique
{ label "partym-enigma"
local_addr 192.168.13.213
remote_addr 192.168.116.16
multi_label
wire_label inner
p1_xform
{ auth_method preshared oakley_group 5 auth_alg sha1 encr_alg aes }
p2_pfs 5
}
  4. Si, en la red, no se puede utilizar la protección AH de las opciones IP de CALIPSO o CIPSO, utilice la autenticación ESP.

    Utilice encr_auth_algs en lugar de auth_algs en el archivo /etc/inet/ipsecinit.conf para gestionar la autenticación. La autenticación ESP no abarca el encabezado IP y las opciones IP, pero autenticará toda la información después del encabezado ESP.

    {laddr enigma raddr partym} ipsec {encr_algs any encr_auth_algs any sa shared}
    Notas - También puede agregar etiquetas a los sistemas que están protegidos mediante certificados. Los certificados de claves públicas se gestionan en la zona global en los sistemas Trusted Extensions. Modifique los archivos ike/config de manera similar cuando complete los procedimientos descriptos en Configuración de IKEv2 con certificados de claves públicas de Protección de la red en Oracle Solaris 11.2 .
Copyright © 1992, 2014, Oracle y/o sus filiales. Todos los derechos reservados. Advertencia legal
Anterior
Siguiente