Sécurisation du réseau dans Oracle® Solaris 11.2

Quitter la vue de l'impression

Mis à jour : Septembre 2014
 
 

Dépannage des systèmes lorsqu'IPsec est en cours d'exécution

Sur les systèmes en cours d'exécution qui échangent ou tentent d'échanger des paquets à l'aide d'IKE, la commande ikeadm permet d'afficher les statistiques, les règles, les clés prépartagées et d'autres choses. Vous pouvez également utiliser les fichiers journaux et des outils comme sélectionné Wireshark application.

  1. Analysez les éléments suivants :
    • Assurez-vous que policy et les services de gestion de clés appropriés sont activés.

      Sur le système test suivant, le service manual-key est utilisé pour gérer les clés :

      % svcs -a  | grep ipsec
      online         Feb_04   svc:/network/ipsec/manual-key:default
      online         Feb_04   svc:/network/ipsec/ipsecalgs:default
      online         Feb_04   svc:/network/ipsec/policy:default
      disabled       Feb_28   svc:/network/ipsec/ike:ikev2
      disabled       Feb_28   svc:/network/ipsec/ike:default

      Si le service est désactivé, activez-le .

      Vous pouvez utiliser à la fois des services IKE via le programme de traitements simultanés. Vous pouvez également utiliser simultanément de clés manuelles, et cette configuration IKE, il est possible que vous obteniez mais qui ne figurent pas dans oddities dépannage.

    • Affichez la fin du fichier journal du service IKEv2.
      # svcs -xL ikev2
      svc:/network/ipsec/ike:ikev2 (IKEv2 daemon)
       State: disabled since October  10, 2013 10:10:40 PM PDT
      Reason: Disabled by an administrator.
         See: http://support.oracle.com/msg/SMF-8000-05
         See: in.ikev2d(1M)
         See: /var/svc/log/network-ipsec-ike:ikev2.log
      Impact: This service is not running.
         Log:
      Oct 01 13:20:20: (1)  Property "debug_level" set to: "op"
      Oct 01 13:20:20: (1)  Errors and debug messages will be written to: 
                              /var/log/ikev2/in.ikev2d.log
      [ Oct 10 10:10:10 Method "start" exited with status 0. ]
      [ Oct 10 10:10:40 Stopping because service disabled. ]
      [ Oct 10 10:10:40 Executing stop method (:kill). ]
      
         Use: 'svcs -Lv svc:/network/ipsec/ike:ikev2' to view the complete log.
    • (Facultatif) Vous pouvez définir une valeur temporaire pour le niveau de débogage du démon en cours d'exécution.
      # ikeadm set debug verbose /var/log/ikev2/in.ikev2d.log
      Successfully changed debug level from 0x80000000 to 0x6204
      Debug categories enabled:
              Operational / Errors
              Config file processing
              Interaction with Audit
              Verbose Operational
  2. Vérifiez que la sortie de la commande ipsecconf correspond au contenu du fichier de stratégie.
    # ipsecconf 
    #INDEX 14 
    ...
    {  laddr 10.133.66.222 raddr 10.133.64.77 }
    	ipsec   { encr_algs aes(256) encr_auth_algs sha512 sa shared } 
    ...
    {  laddr 10.134.66.122 raddr 10.132.55.55 }
    	ipsec   { encr_algs aes(256) encr_auth_algs sha512 sa shared } 
    
    # cat /etc/inet/ipsecinit.conf
    ...
    {  laddr 10.133.66.222 raddr 10.133.64.77 }
    	ipsec   { encr_algs aes(256) encr_auth_algs sha512 sa shared } 
    
    {  laddr 10.134.66.122 raddr 10.132.55.55 }
    	ipsec   { encr_algs aes(256) encr_auth_algs sha512 sa shared } 
    

    Remarque -  Les adresses à caractère générique peuvent cacher une correspondance, alors vérifiez que toutes les adresses spécifiques du fichier ipsecinit.conf sont dans la plage des adresses à caractère générique de la sortie d'ipsecconf.

    Si aucun résultat n'est imprimé pour la commandeipsecconf, assurez-vous que la stratégie service est activé et actualisez le service.

    % svcs policy
    STATE          STIME    FMRI
    online         Apr_10   svc:/network/ipsec/policy:default

    Si la sortie affiche une erreur, modifiez le fichier ipsecinit.conf pour corriger l'erreur puis actualisez le service.

  3. Validez la configuration IKEv2.

    Pour les sorties de configuration qui ont éventuellement besoin d'être réparées, reportez-vous aux exemples suivants : Example 11–1 et Example 11–2. La sortie dans l'exemple suivant indique que la configuration est correcte.

    # /usr/lib/inet/in.ikev2d -c
    Feb 04 12:08:25: (1)    Reading service properties from smf(5) repository.
    Feb 04 12:08:25: (1)    Property "config_file" set to: "/etc/inet/ike/ikev2.config"
    Feb 04 12:08:25: (1)    Property "debug_level" set to: "all"
    Feb 04 12:08:25: (1)    Warning: debug output being written to stdout.
    Feb 04 12:08:25: (1)    Checking IKE rule #1: "Test 104 to 113"
    Feb 04 12:08:25: (1)    Configuration file /etc/inet/ike/ikev2.config is valid.
    Feb 04 12:08:25: (1)    Pre-shared key file /etc/inet/ike/ikev2.preshared is valid.

    Remarque -  La boîte de dialogue de l'avertissement sur la sortie de débogage ne change pas même une fois que vous avez indiqué un fichier journal des diagnostics. Si vous spécifiez une valeur pour la propriété de service debug_logfile, l'avertissement signifie que la sortie de débogage est transmise à ce fichier. Dans le cas contraire, la sortie de débogage, est concédé sous licence au console.
    • Dans les lignes Checking IKE rule, assurez-vous que les règles IKE connectent les adresses IP correctes. Par exemple, les entrées suivantes pour qu'il y ait correspondance. La valeur laddr du fichier ipsecinit.conf correspond à la valeur local_addr du fichier ikev2.config et les adresses distantes correspondent.

      {  laddr 10.134.64.104 raddr 10.134.66.113 }      /** ipsecinit.conf **/
                       ipsec {encr_algs aes encr_auth_algs sha512 sa shared}
      
      	local_addr   10.134.64.104                          /** ikev2.config **/
      	remote_addr  10.134.66.113                          /** ikev2.config **/
      

      Si les entrées ne correspondent pas, corrigez-les pour identifier le bon de configuration des adresses IP.


      Remarque -  Les règles peuvent comporter des adresses à caractère générique, comme par exemple 10.134.0.0/16, qui couvrent une plage d'adresses. Vérifiez la plage dans des adresses particulières.
    • Si la ligne Pre-shared key file indique que le fichier n'est pas valide, réparez le fichier.

      Vérifiez si la saisie comporte des erreurs. Dans IKEv2, assurez-vous aussi que la valeur de l'étiquette dans ikev2.config correspond à celle du fichier ikev2.preshared. Ensuite, si vous utilisez deux local des clés prépartagées, vérifiez que le système effectue le rapprochement entre clé sur une clé prépartagée sur son pair distant et que le système à distance, la clé correspond à la clé local sur le pair.

      Si votre configuration ne fonctionne toujours pas, reportez-vous à la section Dépannage des erreurs sémantiques dans IPsec et IKE

Exemple 11-1  Correction d'une configuration IKEv2 non valide

Dans la sortie suivante, la durée de vie du SA IKE est trop court.

# /usr/lib/inet/in.ikev2d -c
...
May 08 08:52:49: (1)	WARNING: Problem in rule "Test 104 to 113"
May 08 08:52:49: (1)	 HARD lifetime too small (60 < 100)
May 08 08:52:49: (1)	  -> Using 100 seconds (minimum)
May 08 08:52:49: (1)	Checking IKE rule #1: "config 10.134.13.113 to 10.134.13.104"
...

Cette valeur est définie explicitement dans le fichier ikev2.config. Pour supprimer l'avertissement, augmentez la valeur du délai à au moins 100 et actualisez le service.

# pfedit /etc/inet/ike/ikev2.config
...
## childsa_lifetime_secs   60
childsa_lifetime_secs   100
...
# /usr/lib/inet/in.ikev2d -c
...
# svcadm refresh ikev2
Exemple 11-2  Correction en cas de message signalant l'absence de règle correspondante

Dans la sortie suivante, une clé prépartagée est définie mais n'est pas utilisée dans une règle.

# /usr/lib/inet/in.ikev2d -c
Feb 4 12:58:31: (1)  Reading service properties from smf(5) repository.
Feb 4 12:58:31: (1)  Property "config_file" set to: "/etc/inet/ike/ikev2.config"
Feb 4 12:58:31: (1)  Property "debug_level" set to: "op"
Feb 4 12:58:31: (1)  Warning: debug output being written to stdout.
Feb 4 12:58:31: (1)  Checking IKE rule #1: "Test 104 to 113"
Feb 4 12:58:31: (1)  Configuration file /etc/inet/ike/ikev2.config is valid.
Feb 4 12:58:31: (1)  No matching IKEv2 rule for pre-shared key ending on line 12
Feb 4 12:58:31: (1)  Pre-shared key file /etc/inet/ike/ikev2.preshared is valid.

    La sortie indique qu'une seule règle existe.

  • Si la règle requiert une clé prépartagée, alors l'étiquette de la clé prépartagée ne correspond pas à l'étiquette de la règle. Réparez l'étiquette de règle ikev2.config et l'étiquette de clé ikev2.preshared de façon qu'elles correspondent.

  • Si la règle utilise un certificat, vous pouvez supprimer ou commenter la clé prépartagée à la ligne 12 du fichier ikev2.preshared pour éviter l'affichage du message No matching.

Exemple 11-3  Définition d'un nouveau niveau de débogage sur un démon IKE en cours d'exécution

Dans la sortie suivante, la sortie de débogage est définie sur all dans le service ikev2.

# /usr/lib/inet/in.ikev2d -c
Feb 4 12:58:31: (1)  Reading service properties from smf(5) repository.
...
Feb 4 12:58:31: (1)  Property "debug_level" set to: "all"
...

Si vous avez réalisé l'Step 2 dans Dépannage de systèmes avant l'exécution d'IPsec et IKE et que la sortie de débogage est toujours op au lieu de all, utilisez la commande ikeadm pour fixer le niveau de débogage du démon IKE en cours d'exécution.

# ikeadm set debug_level all