EN ESTA PÁGINA
Certificados digitales y conjuntos de servicios
Certificados digitales
Para redes pequeñas, el uso de claves previamente compartidas en una configuración IPSec suele ser suficiente. Sin embargo, a medida que una red crece, puede convertirse en un desafío agregar nuevas claves previamente compartidas en el enrutador local y en todos los pares IPSec nuevos y existentes. Una solución para escalar una red IPSec es usar certificados digitales.
Una implementación de certificado digital usa la infraestructura de clave pública (PKI), que requiere que genere un par de claves compuesto por una clave pública y una clave privada. Las claves se crean con un generador de números aleatorios y se utilizan para cifrar y descifrar datos. En las redes que no usan certificados digitales, un dispositivo habilitado para IPSec cifra los datos con la clave privada y los pares IPSec descifran los datos con la clave pública.
Con los certificados digitales, el proceso de uso compartido de claves requiere un nivel adicional de complejidad. En primer lugar, usted y sus pares IPSec solicitan a una entidad emisora de certificados (CA) que le envíe un certificado de CA que contenga la clave pública de la CA. A continuación, solicite a la CA que inscriba un certificado digital local que contenga su clave pública y cierta información adicional. Cuando la CA procesa su solicitud, firma su certificado local con la clave privada de la CA. A continuación, instale el certificado de CA y el certificado local en el enrutador local y cargue el certificado de CA en los dispositivos remotos antes de poder establecer túneles IPSec con los pares.
Cuando solicita una relación de emparejamiento con un par IPSec, el par recibe una copia del certificado local. Dado que el par ya tiene cargado el certificado de CA, puede usar la clave pública de la CA contenida en el certificado de CA para descifrar el certificado local firmado por la clave privada de la CA. Como resultado, el par ahora tiene una copia de su clave pública. El par cifra los datos con su clave pública antes de enviárselos. Cuando su enrutador local recibe los datos, descifra los datos con su clave privada.
En Junos OS, debe implementar los siguientes pasos para poder utilizar inicialmente certificados digitales:
Configurar un perfil de CA para solicitar certificados digitales locales y de CA: el perfil contiene el nombre y la URL de la CA o de la autoridad de registro (RA), así como algunas opciones del temporizador de reintento.
Configurar compatibilidad con la lista de revocación de certificados: una lista de revocación de certificados (CRL) contiene una lista de certificados cancelados antes de su fecha de caducidad. Cuando un par participante utiliza una CRL, la CA adquiere la CRL emitida más recientemente y comprueba la firma y la validez del certificado digital de un par. Puede solicitar y cargar CRL manualmente, configurar un servidor LDAP para que gestione el procesamiento de CRL automáticamente o deshabilitar el procesamiento de CRL que está habilitado de forma predeterminada.
Solicitar un certificado digital a la CA: la solicitud se puede realizar en línea o manualmente. Las solicitudes de certificados digitales de CA en línea usan el formato del Protocolo simple de inscripción de certificados (SCEP). Si solicita el certificado de CA manualmente, también debe cargar el certificado manualmente.
Generar un par de claves privada/pública: la clave pública se incluye en el certificado digital local y la clave privada se utiliza para descifrar los datos recibidos de los pares.
Generar e inscribir un certificado digital local: el certificado local se puede procesar en línea mediante SCEP o generarse manualmente en el formato Estándares de criptografía de clave pública #10 (PKCS-10). Si crea la solicitud de certificado local manualmente, también debe cargar el certificado manualmente.
Aplicar el certificado digital a una configuración IPSec: para activar un certificado digital local, configure la propuesta de IKE para que utilice certificados digitales en lugar de claves previamente compartidas, haga referencia al certificado local en la política de IKE e identifique la CA en el conjunto de servicios.
Opcionalmente, puede hacer lo siguiente:
Configurar el certificado digital para que se vuelva a inscribir automáticamente: a partir de Junos OS versión 8.5, puede configurar la reinscripción automática para certificados digitales.
Supervisar eventos de certificados digitales y eliminar certificados y solicitudes: puede emitir comandos de modo operativo para supervisar túneles IPSec establecidos mediante certificados digitales y eliminar certificados o solicitudes.
Para obtener más información sobre la administración de certificados digitales, su configuración en un conjunto de servicios IPSec, y su supervisión y desactivación, consulte Uso de certificados digitales para IPsec y Ejemplo: SA dinámica de IKE como PIC con configuración de certificados digitales.
Conjuntos de servicios
El PIC de Adaptive Services admite dos tipos de conjuntos de servicios al configurar túneles IPSec. Dado que se utilizan para diferentes propósitos, es importante conocer las diferencias entre estos tipos de conjuntos de servicios.
Conjunto de servicios del próximo salto: admite protocolos de enrutamiento dinámico de multidifusión y de estilo multidifusión (como OSPF) a través de IPSec. Los conjuntos de servicios del próximo salto permiten usar interfaces lógicas internas y externas en la PIC de Adaptive Services para conectarse con varias instancias de enrutamiento. También permiten el uso de la traducción de direcciones de red (NAT) y capacidades de firewall con estado. Sin embargo, los conjuntos de servicios del próximo salto no supervisan el tráfico del motor de enrutamiento de forma predeterminada y requieren la configuración de varios conjuntos de servicios para admitir el tráfico de varias interfaces.
Conjunto de servicios de interfaz: se aplica a una interfaz física y es similar a un filtro de firewall sin estado. Son fáciles de configurar, pueden admitir tráfico de múltiples interfaces y pueden monitorear el tráfico del motor de enrutamiento de forma predeterminada. Sin embargo, no pueden admitir protocolos de enrutamiento dinámico ni tráfico de multidifusión a través del túnel IPSec.
En general, se recomienda usar conjuntos de servicios del próximo salto porque admiten protocolos de enrutamiento y multidifusión a través del túnel IPSec, son más fáciles de entender y la tabla de enrutamiento toma decisiones de reenvío sin intervención administrativa.