その他のユーティリティに対する IPsec 拡張機能

ifconfig コマンドには、トンネルインタフェースで IPsec ポリシーを管理するオプションがあります。また、snoop コマンドを使用して AH ヘッダーと ESP ヘッダーを構文解析できます。

ifconfig コマンド

IPsec をサポートするため、ifconfig に次のオプションが追加されました。

• auth_algs

• encr_auth_algs

• encr_algs

1 回の呼び出しで、1 つのトンネルにすべての IPsec セキュリティオプションを指定する必要があります。たとえば、ESP だけを使ってトラフィックを保護する場合、次のように両方のセキュリティオプションを指定して、トンネル ip.tun0 を設定します。

# ifconfig ip.tun0 … encr_algs 3DES encr_auth_algs MD5

同様に、ipsecinit.conf エントリは、次のように両方のセキュリティオプションを指定して、トンネルを設定します。

# WAN トラフィックは 3DES および MD5 とともに ESP を使用します。
{} ipsec {encr_algs 3des encr_auth_algs md5}

auth_algsセキュリティオプション

このオプションを設定すると、指定した認証アルゴリズムで、トンネルに IPsec AH を使用できます。auth_algs オプションの書式は次のとおりです。

auth_algs authentication-algorithm

アルゴリズムには、番号またはアルゴリズム名を指定できます。特定のアルゴリズムが指定されないようにするパラメータ any も使用できます。トンネルセキュリティを無効にするには、次のオプションを指定します。

auth_algs none

サポートされる認証アルゴリズムとその詳細を説明したマニュアルページのリストについては、表 1–1 を参照してください。

encr_auth_algs セキュリティオプション

このオプションを設定すると、指定した認証アルゴリズムで、トンネルに IPsec ESP を使用できます。encr_auth_algs オプションの書式は次のとおりです。

encr_auth_algs authentication-algorithm

アルゴリズムには、番号またはアルゴリズム名を指定できます。特定のアルゴリズムが指定されないようにするパラメータ any も使用できます。ESP 暗号化アルゴリズムを指定し、認証アルゴリズムを指定しない場合、ESP 認証アルゴリズム値はデフォルトのパラメータ any になります。

サポートされる認証アルゴリズムとそのアルゴリズムの詳細を説明したマニュアルページのリストについては、表 1–1 を参照してください。

encr_algs セキュリティオプション

このオプションを設定すると、指定した暗号化アルゴリズムで、トンネルに IPsec ESP を使用できます。encr_algs オプションの書式は次のとおりです。

encr_algs encryption-algorithm

アルゴリズムには、番号またはアルゴリズム名を指定できます。トンネルセキュリティを無効にするには、次のオプションを指定します。

encr_algs none

ESP 認証アルゴリズムを指定し、暗号化アルゴリズムを指定しない場合、ESP 暗号化アルゴリズム値はデフォルトのパラメータ null になります。

使用可能な暗号化アルゴリズムの一覧とアルゴリズムのマニュアルページへのポインタについては、ipsecesp(7P) のマニュアルページまたは 表 1–2 を参照してください。

snoop コマンド

snoop コマンドでも、AH ヘッダーと ESP ヘッダーを構文解析できるようになりました。ESP はそのデータを暗号化するので、snoop は ESP で暗号化されて保護されたヘッダーを読み取ることができませんが、AH ではデータは暗号化されないので、このコマンドでトラフィックを確認できます。パケットに AH が使用されている場合、snoop -V オプションで表示できます。詳細については、snoop(1M) のマニュアルページを参照してください。

保護されたパケットに対する snoop の冗長出力例については、パケットが保護されていることを確認する方法を参照してください。