Go to main content
Guía de seguridad de Oracle MiniCluster S7-2

Salir de la Vista de impresión

Actualización: Octubre de 2016
 
 

Configuración de IPsec e IKE

Antes de poder configurar IPsec, se deben definir los nombres de host específicos o las direcciones IP que se usan entre los pares que se comunican.

En el ejemplo de este procedimiento, se usan las direcciones IP 10.1.1.1 y 10.1.1.2 para designar dos zonas no globales de Solaris que son controladas por un inquilino único. La comunicación entre estas dos direcciones se protegerá con IPsec. El ejemplo se presenta desde la perspectiva de la zona no global asociada con la dirección IP 10.1.1.1.

Realice los siguientes pasos para configurar el uso de IPsec e IKE entre un par de zonas no globales designadas (máquinas virtuales):

  1. Defina la política de seguridad para IPsec.

    Defina la política de seguridad que se aplicará entre las dos zonas que se comunican.

    En este ejemplo, se cifrarán todas las comunicaciones de red entre 10.1.1.1 y 10.1.1.2:

    {laddr 10.1.1.1 raddr 10.1.1.2}
ipsec{encr_algs aes encr_auth_algs sha256 sa shared}
  2. Almacene la política en el archivo /etc/inet/ipsecinit.conf.
  3. Verifique que la política de IPsec sea correcta desde el punto de vista sintáctico.

    Ejemplo:

    # ipsecconf –c –f ipsecinit.conf
  4. Configure el servicio de intercambio de claves de internet (IKE).

    Configure el servicio según la configuración de host y de algoritmo que aparece en el archivo /etc/inet/ike/config.

    { label "ipsec"

local_id_type ip

remote_addr 10.1.1.2

p1_xform { auth_method preshared oakley_group 5

auth_alg sha256 encr_alg aes } }
  5. Configure la clave compartida previamente.

    Antes de que se pueda activar IPsec, se debe compartir el material de claves con ambos nodos, de manera que puedan autenticarse entre sí.

    La implementación de IKE de Oracle Solaris admite una variedad de tipos de clave, incluidos los certificados y las claves compartidas previamente. Para que resulte más sencillo, en este ejemplo, se usan claves compartidas previamente que se almacenan en el archivo /etc/inet/secret/ike.preshared. Sin embargo, si lo desean, las organizaciones pueden usar métodos de autenticación más seguros.

    Edite el archivo /etc/inet/secret/ike.preshared e introduzca la información de claves compartidas previamente. Por ejemplo:

    {
localidtype IP
localid 10.1.1.1
remoteid type IP
key "This is an ASCII phrAz, use strOng p@sswords"
}
  6. Active los servicios IKE e IPsec en ambo pares.

    Los servicios se deben activar en los dos pares que se comunican para que la comunicación cifrada sea posible.

    Ejemplo:

    # svcadm enable svc:/network/ipsec/policy:default
# svcadm enable svc:/network/ipsec/ike:default
Copyright © 2016, Oracle y/o sus filiales. Todos los derechos reservados. Advertencia legal
Anterior
Siguiente