Sécurisation du réseau dans Oracle® Solaris 11.2

Quitter la vue de l'impression

Mis à jour : Septembre 2014
 
 

Vérification de la protection des paquets par IPsec

    Pour vérifier que les paquets sont protégés, testez la connexion à l'aide de la commande snoop. Les préfixes suivants peuvent apparaître dans la sortie snoop :

  • Le préfixe AH: indique que AH protège les en-têtes. Ce préfixe s'affiche si le trafic est protégé à l'aide d'auth_alg.

  • Le préfixe ESP: indique le transfert de données chiffrées. Ce préfixe s'affiche si le trafic est protégé à l'aide d'encr_auth_alg ou encr_alg.

Avant de commencer

Vous devez avoir accès aux deux systèmes afin de tester la connexion.

Vous devez prendre le rôle root pour créer la sortie snoop. Pour plus d'informations, reportez-vous à la section A l’aide de vos droits administratifs attribués du manuel Sécurisation des utilisateurs et des processus dans Oracle Solaris 11.2 .

  1. Sur un système, par exemple partym, prenez le rôle root.
    % su -
    Password: xxxxxxxx
    # 
  2. (Facultatif) Afficher les détails concernant l'EdC.
    # ipseckey dump

    SPI cette sortie indique les valeurs correspondent aux EdC qui sont utilisés, lequel les algorithmes qui étaient utilisées, les clés localisées, et ainsi de suite.

  3. Sur ce système, préparez l'analyse des paquets à l'aide de la commande snoop à partir d'un système distant.

    Dans une fenêtre de terminal sur partym, analysez les paquets du système enigma.

    # snoop -d net0 -o /tmp/snoop_capture enigma
    Using device /dev/e1000g (promiscuous mode)
  4. Envoyez un paquet à partir du système distant.

    Dans une autre fenêtre de terminal, connectez-vous à distance au système enigma. Entrez votre mot de passe. Ensuite, prenez le rôle root et envoyez un paquet à partir du système enigma au système partym. Le paquet doit être capturé à l'aide de la commande snoop -v enigma.

    partym% ssh enigma
    Password: xxxxxxxx
    enigma% su -
    Password: xxxxxxxx
    enigma# ping partym
  5. Examinez la sortie de la commande snoop.
    partym# snoop -i /tmp.snoop_capture -v

    Vous pouvez aussi charger la sortie de snoop dans l'application Wireshark. Pour plus d'informations, reportez-vous à Préparation des systèmes IPsec et IKE pour la résolution de problèmes et IPsec et commande snoop.

    Dans le fichier, la sortie devrait contenir les informations AH et ESP après les informations d'en-tête IP initiales. Les informations AH et ESP semblables à l'exemple ci-dessous indiquent que les paquets sont protégés :

    IP:   Time to live = 64 seconds/hops
    IP:   Protocol = 51 (AH)
    IP:   Header checksum = 4e0e
    IP:   Source address = 192.168.116.16, enigma
    IP:   Destination address = 192.168.13.213, partym
    IP:   No options
    IP:
    AH:  ----- Authentication Header -----
    AH:
    AH:  Next header = 50 (ESP)
    AH:  AH length = 4 (24 bytes)
    AH:  <Reserved field = 0x0>
    AH:  SPI = 0xb3a8d714
    AH:  Replay = 52
    AH:  ICV = c653901433ef5a7d77c76eaa
    AH:
    ESP:  ----- Encapsulating Security Payload -----
    ESP:
    ESP:  SPI = 0xd4f40a61
    ESP:  Replay = 52
    ESP:     ....ENCRYPTED DATA....
    
    ETHER:  ----- Ether Header -----
    ...