Proteccion de tráfico entre dos sistemas con IPsec

En este post vamos a hablar sobre la Proteccion de trafico entre dos sistemas con IPsec....

Este procedimiento de configuración es de la siguiente manera:

1.
- Los dos sistemas se denominan enigma y partym.
- Cada sistema tiene dos direcciones, una dirección IPv4 y otra IPv6.
- Cada sistema invoca la protección AH con el algoritmo MD5, que requiere una clave de 128 bits.
- Cada sistema invoca protecciones ESP con el algoritmo 3DES, que requiere una clave de 192 bits.
- Cada sistema utiliza asociaciones de seguridad compartidas.
- Con las asociaciones de seguridad (SA) compartidas, sólo se necesita un par de SA para proteger los dos sistemas.

2. En cada sistema, agregue entradas de host.

En un sistema que se ejecute en una versión anterior a Solaris 10 8/07, agregue entradas IPv4 e IPv6 en el archivo /etc/inet/ipnodes. Las entradas de un sistema deben ser contiguas en el archivo.

Si está conectando sistemas sólo con direcciones IPv4, debe modificar el archivo /etc/inet/hosts. En este ejemplo, los sistemas que se conectan ejecutan una versión anterior de Solaris y utilizan direcciones IPv6.

a) En un sistema denominado enigma, escriba lo siguiente en el archivo ipnodes:

# Secure communication with partym
192.168.13.213 partym
2001::eeee:3333:3333 partym

b) En un sistema denominado partym, escriba lo siguiente en el archivo ipnodes:

# Secure communication with enigma
192.168.116.16 enigma
2001::aaaa:6666:6666 enigma

Este paso permite a las secuencias de arranque utilizar los nombres de sistema sin necesidad de depender de servicios de nombres no existentes.

3. En cada sistema, cree el archivo de directiva IPsec.

El nombre de archivo es /etc/inet/ipsecinit.conf. Para ver un ejemplo, consulte el archivo /etc/inet/ipsecinit.sample.

4. Agregue una entrada de directiva IPsec al archivo ipsecinit.conf.

a) En el sistema enigma, agregue la directiva siguiente:

{laddr enigma raddr partym} ipsec {auth_algs any encr_algs any sa shared}

b) En el sistema partym, agregue una directiva idéntica:

{laddr partym raddr enigma} ipsec {auth_algs any encr_algs any sa shared}

5. En cada sistema, agregue un par de SA IPsec entre los dos sistemas.

Puede configurar el intercambio de claves de Internet (IKE) para crear las SA automáticamente. También puede agregar las SA de forma manual.

Una asociación de seguridad (SA) IPsec especifica las propiedades de seguridad que se reconocen mediante hosts comunicados. Una única SA protege los datos en una dirección. La protección es para un solo host o para una dirección de grupo (multidifusión). Dado que la mayoría de la comunicación es de igual a igual o de cliente-servidor, debe haber dos SA para proteger el tráfico en ambas direcciones.
Los tres elementos siguientes identifican una SA IPsec de modo exclusivo:
- El protocolo de seguridad (AH o ESP)
- La dirección IP de destino
- El índice de parámetros de seguridad

a) Genere el material de claves para la SA. Necesita tres números aleatorios hexadecimales para el tráfico saliente y tres para el tráfico entrante.

Por tanto, un sistema necesita generar los siguientes números:

- Dos números aleatorios hexadecimales como valor para la palabra clave spi. Un número es para el tráfico saliente. Otro es para el tráfico entrante. Cada número puede tener hasta ocho caracteres de longitud.

- Dos números aleatorios hexadecimales para el algoritmo MD5 para AH. Cada número debe tener 32 caracteres de longitud. Un número es para dst enigma. Un número es para dst partym.

- Dos números aleatorios hexadecimales para el algoritmo 3DES para ESP. Para una clave de 192 bits, cada numero debe tener 48 caracteres de longitud. Un número es para dst enigma. Un número es para dst partym.

6. Rearranque cada sistema.

# init 6

7. Compruebe que los paquetes se estén protegiendo.

El ejemplo siguiente describe cómo implementar IPsec en un entorno de prueba. En un entorno de producción, es más seguro rearrancar que ejecutar el comando ipsecconf. Consulte las consideraciones de seguridad al final de este ejemplo.

a) Si ha utilizado IKE para crear material de claves, detenga y reinicie el daemon in.iked.

# pkill in.iked
# /usr/lib/inet/in.iked

b) Si ha agregado claves manualmente, utilice el comando ipseckey para agregar las SA a la base de datos.

# ipseckey -c -f /etc/inet/secret/ipseckeys

c) A continuación, active la directiva IPsec con el comando ipsecconf.

# ipsecconf -a /etc/inet/ipsecinit.conf

Estaremos publicando en el siguiente post mas informacion de los mecanismos de seguridad que se pueden implementar con IPV6......