Sécurisation du réseau dans Oracle® Solaris 11.2

Quitter la vue de l'impression

 
Mis à jour : Septembre 2014
 
 

Vérification de la protection des paquets par IPsec

    Pour vérifier que les paquets sont protégés, testez la connexion à l'aide de la commande snoop. Les préfixes suivants peuvent apparaître dans la sortie snoop :

  • Le préfixe AH: indique que AH protège les en-têtes. Ce préfixe s'affiche si le trafic est protégé à l'aide d'auth_alg.

  • Le préfixe ESP: indique le transfert de données chiffrées. Ce préfixe s'affiche si le trafic est protégé à l'aide d'encr_auth_alg ou encr_alg.

Avant de commencer

Vous devez avoir accès aux deux systèmes afin de tester la connexion.

Vous devez prendre le rôle root pour créer la sortie snoop. Pour plus d'informations, reportez-vous à la section A l’aide de vos droits administratifs attribués du manuel Sécurisation des utilisateurs et des processus dans Oracle Solaris 11.2 .

  1. Sur un système, par exemple partym, prenez le rôle root. 
    % su -
Password: xxxxxxxx
#
  2. (Facultatif) Afficher les détails concernant l'EdC. 
    # ipseckey dump

    SPI cette sortie indique les valeurs correspondent aux EdC qui sont utilisés, lequel les algorithmes qui étaient utilisées, les clés localisées, et ainsi de suite.

  3. Sur ce système, préparez l'analyse des paquets à l'aide de la commande snoop à partir d'un système distant.

    Dans une fenêtre de terminal sur partym, analysez les paquets du système enigma.

    # snoop -d net0 -o /tmp/snoop_capture enigma
Using device /dev/e1000g (promiscuous mode)
  4. Envoyez un paquet à partir du système distant.

    Dans une autre fenêtre de terminal, connectez-vous à distance au système enigma. Entrez votre mot de passe. Ensuite, prenez le rôle root et envoyez un paquet à partir du système enigma au système partym. Le paquet doit être capturé à l'aide de la commande snoop -v enigma.

    partym% ssh enigma
Password: xxxxxxxx
enigma% su -
Password: xxxxxxxx
enigma# ping partym
  5. Examinez la sortie de la commande snoop. 
    partym# snoop -i /tmp.snoop_capture -v

    Vous pouvez aussi charger la sortie de snoop dans l'application Wireshark. Pour plus d'informations, reportez-vous à Préparation des systèmes IPsec et IKE pour la résolution de problèmes et IPsec et commande snoop.

    Dans le fichier, la sortie devrait contenir les informations AH et ESP après les informations d'en-tête IP initiales. Les informations AH et ESP semblables à l'exemple ci-dessous indiquent que les paquets sont protégés :

    IP:   Time to live = 64 seconds/hops
IP:   Protocol = 51 (AH)
IP:   Header checksum = 4e0e
IP:   Source address = 192.168.116.16, enigma
IP:   Destination address = 192.168.13.213, partym
IP:   No options
IP:
AH:  ----- Authentication Header -----
AH:
AH:  Next header = 50 (ESP)
AH:  AH length = 4 (24 bytes)
AH:  <Reserved field = 0x0>
AH:  SPI = 0xb3a8d714
AH:  Replay = 52
AH:  ICV = c653901433ef5a7d77c76eaa
AH:
ESP:  ----- Encapsulating Security Payload -----
ESP:
ESP:  SPI = 0xd4f40a61
ESP:  Replay = 52
ESP:     ....ENCRYPTED DATA....

ETHER:  ----- Ether Header -----
...
Copyright © 1999, 2014, Oracle et/ou ses affiliés. Tous droits réservés. Mentions légales
Précédent
Suivant