ipsecinit.conf の新しいポリシーエントリ用に IKE 事前共有鍵を追加する方法

IPsec と IKE の実行中に IPsec ポリシーのエントリを追加した場合は、新しいポリシーおよび IKE ルールをカーネルに読み込む必要があります。Solaris 10 4/09 リリース以降では、新しい鍵を追加したあと policy サービスを再起動し、ike サービスを更新します。

Solaris 10 4/09 リリースより前のリリースでこの手順を実行するには、例 23–3 を参照してください。

始める前に

この手順では、次のように仮定しています。

• enigma システムは、「事前共有鍵により IKE を設定する方法」で説明されているように設定されている。

• enigma システムは、新しいシステム ada を使用して、そのトラフィックを保護しようとしている。

• 両システムで in.iked デーモンが動作している。

• 両システムの /etc/hosts ファイルには、各システムのインタフェースのエントリが登録されている。次に例を示します。

  192.168.15.7 ada 192.168.116.16 enigma

  この手順は、/etc/inet/ipnodes ファイル内の Ipv6 アドレスにも適用されます。Solaris 10 6/07 リリース以降では、IPv6 エントリは /etc/hosts ファイルに格納されています。

• 両システムの /etc/inet/ipsecinit.conf ファイルに新しいポリシーエントリが追加されている。この場合、エントリは次のようになります。

  # ipsecinit.conf file for enigma {laddr enigma raddr ada} ipsec {auth_algs any encr_algs any sa shared}

  # ipsecinit.conf file for ada {laddr ada raddr enigma} ipsec {auth_algs any encr_algs any sa shared}

• 現在のリリースの場合は、次のコマンドを使用して、各システムの /etc/inet/ipsecinit.conf ファイルの構文を確認してある。

  # ipsecconf -c -f /etc/inet/ipsecinit.conf

1. システムコンソール上で、Primary Administrator の役割を引き受けるか、スーパーユーザーになります。

   Primary Administrator 役割には、Primary Administrator プロファイルが含まれます。役割を作成してユーザーに役割を割り当てるには、『Solaris のシステム管理 (基本編)』の第 2 章「Solaris 管理コンソールの操作 (手順)」を参照してください。

   ---

   注 –

   リモートログインすると、セキュリティー上重要なトラフィックが盗聴される恐れがあります。何らかの方法でリモートログインを保護していても、システムのセキュリティーがリモートログインセッションレベルに低下します。セキュリティー保護されたリモートログインには、ssh コマンドを使用してください。

   ---

2. このシステムで乱数を生成し、64 から 448 ビットの鍵を作成します。

   詳細については、「Solaris System で乱数を生成するには」を参照してください。Solaris システムが ASCII 形式を必要とするオペレーティングシステムと通信する場合、事前共有鍵を生成する方法については、例 23–1 を参照してください。

3. このキーを何らかの方法でリモートシステムの管理者に送信します。

   両者は、同じ事前共有鍵を同時に追加する必要があります。この鍵の安全性は転送機構の安全性と同じです。登録済みメールや保護済み FAX マシンなど、帯域外機構を使用することが最良です。ssh セッションを使用して両方のシステムを管理することもできます。

4. enigma と ada の鍵を管理するための IKE の規則を作成します。

   1. enigma システムで、次の規則を /etc/inet/ike/config ファイルに追加します。

      ### ike/config file on enigma, 192.168.116.16   ## The rule to communicate with ada {label "enigma-to-ada" local_addr 192.168.116.16 remote_addr 192.168.15.7 p1_xform {auth_method preshared oakley_group 5 auth_alg sha1 encr_alg blowfish} p2_pfs 5 }

   2. ada システムで、次の規則を追加します。

      ### ike/config file on ada, 192.168.15.7   ## The rule to communicate with enigma {label "ada-to-enigma" local_addr 192.168.15.7 remote_addr 192.168.116.16 p1_xform {auth_method preshared oakley_group 5 auth_alg sha1 encr_alg blowfish} p2_pfs 5 }

5. リブート時に IKE 事前共有鍵が利用できることを確認します。

   1. enigma システムで、次の情報を /etc/inet/secret/ike.preshared ファイルに追加します。

      # ike.preshared on enigma for the ada interface #  { localidtype IP localid 192.168.116.16 remoteidtype IP remoteid 192.168.15.7 # enigma and ada's shared key in hex (32 - 448 bits required) key 8d1fb4ee500e2bea071deb2e781cb48374411af5a9671714672bb1749ad9364d }

   2. ada システムで、次の情報を ike.preshared ファイルに追加します。

      # ike.preshared on ada for the enigma interface #  { localidtype IP localid 192.168.15.7 remoteidtype IP remoteid 192.168.116.16 # ada and enigma's shared key in hex (32 - 448 bits required) key 8d1fb4ee500e2bea071deb2e781cb48374411af5a9671714672bb1749ad9364d }

6. 各システムで、IPsec ポリシーサービスを再起動して、追加したインタフェースをセキュリティー保護します。

   # svcadm restart policy

7. 各システムで、ike サービスを更新します。

   # svcadm refresh ike

8. 両システムが通信できることを確認します。

   詳細は、「事前共有鍵が同一であることを確認する方法」を参照してください。

例 23–3 新しい IPsec ポリシーエントリに IKE 事前共有鍵を追加する

次の例では、現在の Solaris リリースが稼働していない Solaris システムに管理者が事前共有鍵を追加しようとしています。管理者は前の手順に従って ike/config ファイルと ike.preshared ファイルを変更し、鍵を生成し、リモートシステムに接続します。管理者は各種のコマンドを使用して、新しい IPsec ポリシーおよび IKE ルールをカーネルに読み込みます。

• 新しい鍵を生成する前に、管理者は in.iked デーモンの特権レベルを 2 に設定します。

  # pkill in.iked # /usr/lib/inet/in.iked -p 2 Setting privilege level to 2

• 通信先のシステムに鍵を送信し、新しい鍵をシステムに追加したあと、管理者は特権レベルを低くします。

  # ikeadm set priv base

• 次に、管理者は新しい IPsec ポリシーをカーネルに読み込みます。

  # ipsecconf -a /etc/inet/ipsecinit.conf

• 最後に、新しい IKE ルールをカーネルに読み込みます。

  # ikeadm read rules