test

Solaris のシステム管理 (IP サービス)

現在のセキュリティアソシエーションの変更

この手順では、現在のセキュリティアソシエーションを変更します。暗号システムの不正侵入者の時間的な余裕をなくすためにこの操作を定期的に行います。

  1. システムコンソールからスーパーユーザーになります。

    注 –

    リモートログインすると、セキュリティ上重要なトラフィックが盗聴される恐れがあります。何らかの方法でリモートログインを保護していても、システム全体のセキュリティがリモートログインセッションレベルに低下します。

  2. システムごとに、ipseckey コマンドモードで次のコマンドを入力して、現在のセキュリティアソシエーションをフラッシュします。


    # ipseckey

> flush
>

  3. 次のコマンドを入力して、出力パケットに新しいセキュリティアソシエーションを設定します。


    > add esp spi new-random-number src local-system dst remote-system \
auth_alg the_algorithm-name encr_alg the_algorithm-name \
authkey random-hex-string-of-algorithm-specified-length \
encrkey random-hex-string-of-algorithm-specified-length

  4. Return キーを押します。

    コマンドが実行され、ipseckey コマンドモードプロンプトが再表示されます。

  5. 次のコマンドを入力して、入力パケットに新しいセキュリティアソシエーションを設定します。


    > add esp spi new-random-number src remote-system dst local-system \
auth_alg the_algorithm-name encr_alg the_algorithm-name \
authkey random-hex-string-of-algorithm-specified-length \
encrkey random-hex-string-of-algorithm-specified-length
    注 –

    キーと SPI は、セキュリティアソシエーションごとに変更できますが、同じにしてはいけません。

  6. Ctrl-D を押すか、 quit を入力してこのモードを終了します。

例 — ipseckeys ファイルのセキュリティアソシエーションの変更

次の例では、partymenigma のシステムでキーを更新します。そのトラフィックは2 つのシステム間のトラフィックを保護でセキュリティ保護されています。 両方のシステムでは、AH に SHA1 アルゴリズムを使用し、IPv6 アドレスを使用しているものとします。

  1. 現在のキーをフラッシュします。

  2. 両方のシステムで ipseckeys ファイルを編集して、既存の SPIauthkey の値を変更します。

    1. 次のように、partymipseckeys ファイルを編集します。


      # for inbound packets
add ah spi 0x55142 dst partym authalg sha1 \
	    authkey 012345678921001234abcdeffedcba9876543210
# for outbound packets
add ah spi 0x235211 dst enigma authalg sha1 \
	    authkey 21001234abcdef98765432100123456789fedcba

    2. 次のように、enigmaipseckeys ファイルを編集します。


      # for inbound packets
add ah spi 0x235235 dst enigma authalg sha1 \
	    authkey 123456780123456789abcdeffedcba9876543210
# for outbound packets
add ah spi 0x123456 dst partym authalg sha1 \
	    authkey abcdef98765432100123456789fed12345678bac

  3. そのラッチされたソケットが新しいキーを使用していることを確認するには、両方のシステムをリブートします。 ブート時に ipseckeys ファイルが自動的に読み込まれます。


    # /usr/sbin/reboot

    テストする場合には、各システムをリブートしないで新しいキーをセキュリティデータベースに配置できます。


    # ipseckey -f /etc/inet/secret/ipseckeys