test

IPsec と IKE の管理

IPsec セキュリティアソシエーションを手動で作成する方法

システムで IPv6 アドレスを使用している場合には、手動で IPsec セキュリティアソシエーションを作成する必要があります。

注 –

IPv4 ネットワークを使用している場合は、IKE を使ってセキュリティアソシエーションを管理します。IKE を使って SA を管理する方法については、IKE の実装 (作業マップ)を参照してください。

  1. どれかのシステムのシステムコンソールで、スーパーユーザーになるか、同等の役割を引き受けます。

    注 –

    リモートログインすると、セキュリティ上重要なトラフィックが盗聴される恐れがあります。何らかの方法でリモートログインを保護していても、システム全体のセキュリティがリモートログインセッションレベルに低下します。

  2. 次のコマンドを入力して ipseckey コマンドモードを有効にします。


    # ipseckey

>

    > プロンプトは、ipseckey コマンドモードになったことを示します。

  3. セキュリティアソシエーションを作成したり、フラッシュしたばかりのセキュリティアソシエーションを置き換えたりするには、次のコマンドを実行します。


    > add protocol spi random-hex-string \
src addr dst addr2 \
protocol_alg protocol-algorithm  \
protocolkey random-hex-string-of-algorithm-specified-length

    random-hex-string

    16 進数形式の最大 8 桁の乱数。SPI が受け取れる以上の桁数を入力すると、超過部分は無視される。SPI が受け取れるより少ない桁数を入力すると、パディングが行われる 

    protocol

    esp または ah

    addr

    システムの IP アドレス 

    addr2

    addr のピアシステムの IP アドレス

    protocol-algorithm

    ESP または AH のアルゴリズム。それぞれのアルゴリズムには、特定の長さのキーが必要 

    認証アルゴリズムには MD5 と SHA がある。暗号化アルゴリズムには 3DES と AES がある 

    random-hex-string-of-algorithm-specified-length

    アルゴリズムによって必要とされる長さをもつ 16 進数の乱数。たとえば、MD5 アルゴリズムでは、128 ビットキーのため 32 桁の乱数が必要。3DES アルゴリズムでは、192 ビットキーのため 48 桁の乱数が必要 

    1. たとえば、enigma で、次のコマンドを入力してアウトバウンドパケットを保護します。生成した乱数を使用します。


      > add esp spi 8bcd1407 src 192.168.116.16 dst 192.168.13.213 \
encr_alg 3DES \
encrkey d41fb74470271826a8e7a80d343cc5aae9e2a7f05f13730d

> add ah spi 18907dae src 192.168.116.16 dst 192.168.13.213 \
auth_alg MD5 \
authkey e896f8df7f78d6cab36c94ccf293f031

>
      注 –

      ピアシステムでは、同じキー情報を使用する必要があります。

    2. 引き続き ipseckey モードを使って、enigma で、次のコマンドを入力してインバウンドパケットを保護します。生成した乱数を使用します。


      > add esp spi 122a43e4 src 192.168.13.213 dst 192.168.116.16 \
encr_alg 3des \
encrkey dd325c5c137fb4739a55c9b3a1747baa06359826a5e4358e

> add ah spi 91825a77 src 192.168.13.213 dst 192.168.116.16 \
auth_alg md5 \
authkey ad9ced7ad5f255c9a8605fba5eb4d2fd

>
      注 –

      これらのキーとSPI は、セキュリティアソシエーションごとに変更できます。セキュリティアソシエーションごとに、異なるキーと異なる SPI を割り当てるべきです。

  4. Control-Dquit を使って ipseckey コマンドモードを終了します。

  5. リブート時に IPsec がキー情報を使用できるように、enigma/etc/inet/secret/ipseckeys ファイルにキー情報を追加します。


    add esp spi 8bcd1407 dst partym  encr_alg 3DES \
   encrkey  d41fb74470271826a8e7a80d343cc5aae9e2a7f05f13730d
#
add ah spi  18907dae  dst partym auth_alg MD5  \
   authkey  e896f8df7f78d6cab36c94ccf293f031
#
#
add esp spi 122a43e4 dst enigma encr_alg 3DES \
    encrkey 137fb4739a55c9b3a1747baa06359826a5e4358e
#
add ah spi  91825a77  dst enigma auth_alg MD5  \
   authkey  ad9ced7ad5f255c9a8605fba5eb4d2fd

  6. partym で、手順 1 から手順 5 を繰り返します。

    両システムのキー情報は同じでなければなりません。

例 — IPsec セキュリティアソシエーションの置き換え

暗号化システムを破る時間的な猶予を与えないためには、キー情報を更新する必要があります。あるシステムの SA を置き換える場合は、それと通信しているシステムの SA も置き換える必要があります。

セキュリティアソシエーションを置き換える場合は、古いキーを削除してから新しいキーを追加します。古いキーを削除するには、ipseckey コマンドモードで flush コマンドを実行します。そのあとに新しいキー情報を追加します。


# ipseckey
> flush
> add esp spi …