test

IPsec と IKE の管理

2 つのシステム間のトラフィックを保護する方法

この手順では、次の設定がすでになされているものとします。

  1. システムコンソールから、スーパーユーザーになるか、同等の役割を引き受けます。

    注 –

    リモートログインすると、セキュリティ上トラフィックが盗聴される可能性があります。何らかの方法でリモートログインを保護していても、システムのセキュリティがリモートログインセッションレベルに低下します。

  2. システムごとに、他のシステムのアドレスとホスト名を /etc/inet/ipnodes ファイルに追加します。次のように、1 つのシステムのエントリは連続してそのファイルに入力します。

    IPv4 アドレスしか持たないシステムに接続する場合は、/etc/inet/hosts ファイルに変更を加えます。

    1. partym という名前のシステムでは、ipnodes ファイルに次のように入力します。


      # Secure communication with enigma 
192.168.116.16 enigma
fec0::10:20ff:fea0:21f6 enigma

    2. enigma という名前のシステムでは、ipnodes ファイルに次のように入力します。


      # Secure communication with partym 
192.168.13.213  partym
fec0::9:a00:20ff:fe7b:b373 partym

    これで、起動スクリプトでは、存在しないネーミングサービスに依存することなくシステム名を使用できます。

  3. システムごとに、/etc/inet/ipsecinit.conf ファイルを作成します。

    /etc/inet/ipsecinit.sample ファイルを /etc/inet/ipsecinit.conf ファイルにコピーすることができます。

  4. ipsecinit.conf ファイルに IPsec ポリシーエントリを追加します。

    1. enigma システムで、次のポリシーを ipsecinit.conf ファイルに追加します。


      {laddr enigma raddr partym} ipsec {auth_algs any encr_algs any sa shared}

    2. partym システムで、同じポリシーを ipsecinit.conf ファイルに追加します。


      {laddr partym raddr enigma} ipsec {auth_algs any encr_algs any sa shared}

      IPsec ポリシーエントリの構文については、ipsecconf(1M) のマニュアルページを参照してください。

  5. システムごとに、2 つのシステム間の IPsec SA の組を追加します。

    インターネットキー交換 (IKE) を設定すると、SA が自動的に生成されます。SA は手動でも追加できます。

    注 –

    キーの生成や保守を手動で行う必要が特にない場合は、IKE を使用すべきです。IKE キー管理では、手動でのキー管理よりも強力なセキュリティ効果が得られます。

  6. 各システムをリブートします。


    # /usr/sbin/reboot

  7. パケットが保護されていることを確認します。パケットが保護されていることを確認する方法を参照してください。

例— リブートなしでのシステム間のトラフィックの保護

この例では、2 つのシステム間のトラフィックが保護されていることを確認する方法を示します。実際の稼働環境では、ipsecconf コマンドを実行するよりもリブートする方が安全です。

2 つのシステム間のトラフィックを保護する方法手順 5 でリブートする代わりに、次のいずれかの作業を行います。

注意 – 注意 –

ipsecconf コマンドの実行時には警告を読んでください。ソケットがすでにラッチされている (使用されている) 場合には、システムへ侵入される恐れがあります。詳細については、ipsecinit.confipsecconf のセキュリティについてを参照してください。