Sécurisation du réseau dans Oracle® Solaris 11.2

Quitter la vue de l'impression

Mis à jour : Septembre 2014
 
 

Affichage des informations IKE

Vous pouvez visualiser les propriétés du service IKE, certains aspects de l'état IKE et de l'objet de démon IKE et la stratégie de validation de certificat. IKE si vous exécutez les deux services, vous pouvez afficher des informations par service ou à la fois pour les services. Ces commandes peuvent vous être utiles lors du test, à des fins de dépannage, et la surveillance.

  • Affichage des propriétés des instances des services IKE – La sortie affiche les propriétés confiigurables du service IKEv2 y compris les noms des fichiers de configuration.


    Remarque -  Passez en revue les pages de manuelipsecconf(1M). in.ikev2d(1M) et in.iked(1M) pour vous assurer que vous pouvez ou devez modifier une propriété dans le groupe config des services IPsec, IKEv2 ou IKEv1. Par exemple, les fichiers de configuration IKEv2 sont créés avec des permissions spéciales et appartiennent à ikeuser. Les droits d'accès et propriétaire du fichier ne doivent pas être modifiés.
    % svccfg -s ipsec/ike:ikev2 listprop config
    config                      application
    config/allow_keydump       boolean     false
    config/config_file         astring     /etc/inet/ike/ikev2.config
    config/ignore_errors       boolean     false
    config/kmf_policy          astring     /etc/inet/ike/kmf-policy.xml
    config/max_child_sas       integer     0
    config/max_threads         integer     0
    config/min_threads         integer     0
    config/preshared_file      astring     /etc/inet/ike/ikev2.preshared
    config/response_wait_time  integer     30
    config/value_authorization astring     solaris.smf.value.ipsec
    config/debug_logfile       astring
    config/debug_level         astring     op

    La sortie dans l'exemple suivant illustre les propriétés configurables du service IKEv1. Ne spécifiez pas l'instance de service :default.

    % svccfg -s ipsec/ike listprop config
    config                      application
    config/admin_privilege     astring     base
    config/config_file         astring     /etc/inet/ike/config
    config/debug_level         astring     op
    config/debug_logfile       astring     /var/log/in.iked.log
    config/ignore_errors       boolean     false
    config/value_authorization astring     solaris.smf.value.ipsec
  • Affichage de l'état actuel du démon IKE – La sortie de l'exemple suivant affiche les arguments de la commande ikeadm. Ces arguments afficher l'état en cours du démon.


    Remarque -  Pour utiliser la commande ikeadm, le démon IKE doit être en cours d'exécution.
    % ikeadm help
    ...
            get   debug|priv|stats|p1|ikesa|rule|preshared|defaults [identifier]
            dump  p1|ikesa|rule|preshared|certcache|groups|encralgs|authalgs
            read  rule|preshared [filename]
            help  [get|set|add|del|dump|flush|read|write|token|help]
  • Affichage de la syntaxe d'un argument particulier de la commande ikeadm – Utilisez les sous-commandes help pour voir la syntaxe des arguments de la commande. Ainsi,

    % ikeadm help read
    This command reads a new configuration file into
    in.iked, discarding the old configuration info.
    
    Sets of data that may be read include:
            rule            all phase 1/ikesa rules
            preshared       all preshared keys
    
    A filename may be provided to specify a source file
    other than the default.
  • Affichage des clés prépartagées – Vous pouvez afficher les clés prépartagées pour IKEv1 et IKEv2.


    Remarque -  Si vous exécutez une seule version d'IKE, vous pouvez omettre l'option –v.

    Pour IKEv2 :

    # ikeadm -v2 dump preshared

    Pour IKEv1 :

    # ikeadm set priv keymat
    # ikeadm -v1 dump preshared
    
    PSKEY: Rule label: "Test PSK 197 to 56"
    PSKEY: Local pre-shared key (80 bytes): 74206272696c6c696720...3/584
    PSKEY: Remote pre-shared key (80 bytes): 74206272696c6c696720...3/584
    
    Completed dump of preshared keys
  • Affichage des AS IKE – La sortie comporte des informations sur les AS, la transformation, les systèmes locaux et distants ainsi que d'autres détails. En cas de communication n'a pas été demandé. par conséquent, aucun EdC existe, il n'existe aucune information à afficher.

    # ikeadm -v2 dump ikesa
    IKESA: SPIs: Local 0xd3db95689459cca4  Remote 0xb5878717f5cfa877
    ...
    XFORM: Encryption alg: aes-cbc(256..256); Authentication alg: hmac-sha512
    ...
    LOCIP: AF_INET: port 500, 10.1.2.3 (example-3).
    ...
    REMIP: AF_INET: port 500, 10.1.4.5 (ex-2).
    ...
    LIFTM: SA expires in 11459 seconds (3.18 hours)
    ...
    STATS: 0 IKE SA rekeys since initial AUTH.
    LOCID: Initiator identity, type FQDN
    ...
    CHILD: ESP Inbound SPI: 0x94841ca3, Outbound SPI 0x074ae1e5
    ...
    Completed dump of IKE SA info
  • Affichage des règles IKE actives – Une règle IKE répertoriée peut ne pas être en cours d'utilisation, mais disponible.

    # ikeadm -v2 dump rule
    
    GLOBL: Label 'Test Rule1 for PSK', key manager cookie 1
    GLOBL: Local auth method=pre-shared key
    GLOBL: Remote auth method=pre-shared key
    
    GLOBL: childsa_pfs=false
    GLOBL: authentication_lifetime=86400 seconds (1.00 day)
    GLOBL: childsa_lifetime=120 seconds (2.00 minutes)
    GLOBL: childsa_softlife=108 seconds (1.80 minute)
    GLOBL: childsa_idletime=60 seconds
    GLOBL: childsa_lifetime_kb=122880 kilobytes (120.00 MB)
    GLOBL: childsa_softlife_kb=110592 kilobytes (108.00 MB)
    LOCIP: IP address range(s):
    LOCIP: 10.142.245.197
    REMIP: IP address range(s):
    REMIP: 10.134.64.56
    LOCID: Identity descriptors:
    LOCID: Includes:
    LOCID:       fqdn="gloria@ms.mag"
    REMID: Identity descriptors:
    REMID: Includes:
    REMID:       fqdn="gloria@ms.mag"
    XFRMS: Available Transforms:
    
    XF  0: Encryption alg: aes-cbc(128..256); Authentication alg: hmac-sha512
    XF  0: PRF: hmac-sha512 ; Diffie-Hellman Group: 2048-bit MODP (group 14)
    XF  0: IKE SA lifetime before rekey: 14400 seconds (4.00 hours)
    
    Completed dump of policy rules
  • Affichage de la stratégie de validation de certificat dans IKEv2 – Vous devez spécifier les valeurs dbfile et policy.

    • Les listes des certificats révoqués, il peut s'avérer nécessaire de façon dynamique que l'administrateur ait à intervenir téléchargé pour ajuster le répondeur de temporisation.

      Dans la sortie de l'exemple suivant, les CRL sont téléchargés à partir de l'URI intégrée au certificat, puis les listes sont mises en mémoire cache. Lorsque la mémoire cache contient un CRL expiré, un nouveau CRL est téléchargé pour remplacer l'ancien.

      # kmfcfg list dbfile=/etc/inet/ike/kmf-policy.xml policy=default
      …
      Validation Policy Information:
          Maximum Certificate Revocation Responder Timeout: 10
          Ignore Certificate Revocation Responder Timeout: true
      …
          CRL:
              Base filename: [not set]
              Directory: /var/user/ikeuser/crls
              Download and cache CRL: true
              CRL specific proxy override: www-proxy.cagate.example.com:80
              Ignore CRL signature: false
              Ignore CRL validity date: false
      IPsec policy bypass on outgoing connections: true
      …
    • Les LCR téléchargées de manière statique demandent des interventions fréquentes de la part de l'administrateur.

      Lorsque l'administrateur définit les entrées de la liste de révocation de certificats sur les valeurs suivantes, il est responsable du téléchargement manuel de ces listes, du remplissage de l'annuaire et de la maintenance des listes de révocation de certificats actuelles :

      …
              Directory: /var/user/ikeuser/crls
              Download and cache CRL: false
              Proxy: [not set]
      …