IPsec の SA を生成するためのユーティリティー

IKE プロトコルは、IPv4 アドレスおよび IPv6 アドレスの鍵を自動的に管理します。IKEを設定する方法については、第 18 章IKE の構成 (手順)を参照してください。手動キーイングユーティリティーは ipseckey コマンドです (ipseckey(1M) のマニュアルページを参照)。

セキュリティーアソシエーションデータベース (SADB) を手動で生成するには、ipseckey コマンドを使用します。通常、手動での SA 生成は、何らかの理由で IKE を使用できない場合に使用します。ただし、SPI の値が一意であれば、手動での SA 生成と IKE を同時に使用することができます。

ipseckey コマンドを使用すると、鍵が手動で追加された場合でも、IKE によって追加された場合でも、システムで認識されているすべての SA を表示できます。-c オプションを指定して ipseckey コマンドを実行すると、引数として指定した鍵ファイルの構文がチェックされます。

ipseckey コマンドで追加された IPsec SA には持続性がなく、システムのリブート時に失われます。手動で追加した SA をシステムのブート時に有効にするには、/etc/inet/secret/ipseckeys ファイルにエントリを追加してから、svc:/network/ipsec/manual-key:default サービスを有効にします。手順については、「IPsec の鍵を手動で作成する方法」を参照してください。

ipseckey コマンドには少数の一般オプションしかありませんが、多くのコマンド言語をサポートしています。マニュアルキー操作に固有のプログラムインタフェースで要求を配信するように指定することもできます。詳細については、pf_key(7P) のマニュアルページを参照してください。

ipseckey におけるセキュリティーについて

ipseckey コマンドを使用すると、Network Security または Network IPsec Management 権利プロファイルを持つ役割は、暗号鍵に関する機密情報を入力できます。場合によっては、不正にこの情報にアクセスして IPsec トラフィックのセキュリティーを損なうことも可能です。

鍵情報を扱う場合および ipseckey コマンドを使用する場合には、次のことに注意してください。

• 鍵情報を更新しているかどうか。定期的に鍵を更新することが、セキュリティーの基本作業となります。鍵を更新することで、アルゴリズムと鍵の脆弱性が暴かれないように保護し、公開された鍵の侵害を制限します。

• TTY がネットワークに接続されているか。ipseckey コマンドは対話モードで実行されているか。

  • 対話モードの場合、鍵情報のセキュリティーは、TTY のトラフィックに対応するネットワークパスのセキュリティーになります。平文の telnet や rlogin セッションでは、ipseckey コマンドを使用しないでください。

  • ローカルウィンドウでも、ウィンドウを読み取ることのできる隠密プログラムからの攻撃には無防備です。

• -f オプションを使用しているか。ファイルはネットワークを介してアクセスされているか。ファイルは外部から読み取り可能か。

  • ネットワークマウントファイルが読み取られている場合、不正に読み取られる可能性があります。外部から読み取れるファイルに鍵情報を保存して使用しないでください。

  • ネーミングシステムを保護してください。次の 2 つの条件に該当する場合、そのホスト名は信頼できません。

    • ソースアドレスが、ネットワークを介して参照できるホストである。

    • ネーミングシステムの信頼性に問題がある。

セキュリティーの弱点の多くは、実際のツールではなく、ツールの使用方法にあります。ipseckey コマンドを使用するときには注意が必要です。もっとも安全な操作モードのために、ssh を使用するか、コンソールなど物理的に接続された TTY を使用してください。