ナビゲーションリンクをスキップ | |
印刷ビューの終了 | |
Solaris のシステム管理 (IP サービス) Oracle Solaris 10 8/11 Information Library (日本語) |
1. Oracle Solaris TCP/IP プロトコル群 (概要)
5. TCP/IP ネットワークサービスと IPv4 アドレス指定の構成 (作業)
10. TCP/IP と IPv4 の詳細 (リファレンス)
18. DHCP コマンドと DHCP ファイル (リファレンス)
21. IP セキュリティーアーキテクチャー (リファレンス)
ipsecinit.conf と ipsecconf のセキュリティーについて
25. Oracle Solaris の IP フィルタ (概要)
29. モバイル IP のファイルおよびコマンド (リファレンス)
ifconfig コマンドには、トンネルインタフェースで IPsec ポリシーを管理するオプションがあります。snoop コマンドは、AH ヘッダーと ESP ヘッダーを構文解析できます。
Solaris 10、Solaris 10 7/05、Solaris 10 1/06、および Solaris 10 11/06 リリースの場合: IPsec をサポートするため、ifconfig では次のオプションを利用できます。Solaris 10 7/07 リリースでは、これらのセキュリティーオプションは ipsecconf コマンドで処理されます。
すべての IPsec セキュリティーオプションは 1 度の呼び出しでトンネルに指定する必要があります。たとえば、ESP だけを使ってトラフィックを保護する場合、次のように両方のセキュリティーオプションを指定して、トンネル ip.tun0 を設定します。
# ifconfig ip.tun0 encr_algs aes encr_auth_algs md5
同様に、ipsecinit.conf エントリは、次のように 1 度に両方のセキュリティーオプションを指定して、トンネルを構成します。
# WAN traffic uses ESP with AES and MD5. {} ipsec {encr_algs aes encr_auth_algs md5}
このオプションは、指定した認証アルゴリズムで、トンネルの IPsec AH を有効にできます。auth_algs オプションの書式は次のとおりです。
auth_algs authentication-algorithm
アルゴリズムには、番号またはアルゴリズム名を指定できます。特定のアルゴリズムが指定されないようにするパラメータ any も使用できます。トンネルセキュリティーを無効にするには、次のオプションを指定します。
auth_algs none
利用できる認証アルゴリズムのリストについては、ipsecalgs コマンドを実行してください。
このオプションは、指定した認証アルゴリズムで、トンネルの IPsec ESP を有効にできます。encr_auth_algs オプションの書式は次のとおりです。
encr_auth_algs authentication-algorithm
アルゴリズムには、番号またはアルゴリズム名を指定できます。特定のアルゴリズムが指定されないようにするパラメータ any も使用できます。ESP 暗号化アルゴリズムを指定し、認証アルゴリズムを指定しない場合、ESP 認証アルゴリズム値はデフォルトのパラメータ any になります。
利用できる認証アルゴリズムのリストについては、ipsecalgs コマンドを実行してください。
このオプションは、指定した暗号化アルゴリズムで、トンネルの IPsec ESP を有効にできます。encr_algs オプションの書式は次のとおりです。
encr_algs encryption-algorithm
このアルゴリズムの場合、番号またはアルゴリズム名を指定できます。トンネルセキュリティーを無効にするには、次のオプションを指定します。
encr_algs none
ESP 認証アルゴリズムを指定し、暗号化アルゴリズムを指定しない場合、ESP 暗号化アルゴリズム値はデフォルトのパラメータ null になります。
利用できる暗号化アルゴリズムのリストについては、ipsecalgs コマンドを実行してください。
snoop コマンドは、AH ヘッダーと ESP ヘッダーを構文解析できます。ESP はそのデータを暗号化するため、ESP で暗号化および保護されたヘッダーは snoop コマンドでは読み取ることができません。しかし、AH はデータを暗号化しません。したがって、AH で保護されたトラフィックは snoop コマンドで読み取ることができます。このコマンドに -V オプションを指定すると、いつ AH がパケットに使用されているかを表示できます。詳細は、snoop(1m) のマニュアルページを参照してください。
保護されたパケットに snoop コマンドを実行した場合の詳細な出力については、「IPsec によってパケットが保護されていることを確認する方法」を参照してください。