Protección de la red en Oracle® Solaris 11.2

Salir de la Vista de impresión

Actualización: Septiembre de 2014
 
 

Resolución de problemas semánticos de IPsec e IKE

    Si las investigaciones de Cómo solucionar problemas de sistemas cuando se está ejecutando IPsec no pueden manejar el problema, es posible que el problema sea la semántica de la configuración, en lugar de la sintaxis de los archivos o de la configuración del servicio.

  • Si ambas instancias del servicio ike:default y ike:ikev2 están activadas, asegúrese de que las reglas de IKEv2 y IKEv1 no se superpongan. Las reglas que se aplican a los mismos puntos finales de la red pueden causar SA de IPsec redundantes y podrían causar falta de conectividad en determinadas situaciones.

    Si cambia una regla de IKE, lea la regla en el núcleo.

    # ikeadm -v[1|2] read rule
  • Si está ejecutando IKEv1, asegúrese de que los mecanismos del algoritmo de las reglas estén disponibles en el sistema IKEv1 al que se está conectando. Para ver los algoritmos disponibles, ejecute el comando ikeadm dump algorithms del sistema que no admite IKEv2:

    # ikeadm dump groupsAvailable Diffie-Hellman groups
    # ikeadm dump encralgsAll IKE encryption algorithms
    # ikeadm dump authalgsAll IKE authentication algorithms

    Corrija ambos archivos de política IPsec e IKEv1 para usar los algoritmos disponibles en ambos sistemas. A continuación, reinicie el servicio IKEv1 y actualice el servicio IPsec.

    # svcadm restart ike:default; svcadm refresh ipsec/policy
  • Si está usando claves compartidas previamente con IKEv1 y se reinicia el sistema IKEv1 remoto, ejecute el comando ipseckey flush en el sistema local.

  • Si utiliza certificados autofirmados, verifique con el otro administrador que no se ha vuelto a crear un certificado con el mismo DN y que los valores hash de los certificados coincidan. Para conocer los pasos de verificación, consulte Step 4 in Cómo configurar IKEv2 con certificados de claves públicas autofirmados.

    Si el certificado se actualiza, importe el nuevo certificado y, a continuación, actualice y reinicie el servicio IKEv2.

  • Use el comando ikeadm -v2 dump | get para ver la configuración actual de IKEv2. Para obtener un resumen de uso, consulte Visualización de información de IKE.

  • Utilice el comando kstat para mostrar las estadísticas relacionadas con IP. Para obtener más información, consulte la página del comando man kstat(1M).

    # kstat -m ipsecesp
    # kstat -m ipsecah
    # kstat -m ip

    La salida del comando kstat en el ejemplo siguiente indica que no hay problemas en el módulo ipsecesp.

    # kstat -m ipsecesp
    module: ipsecesp                        instance: 0     
    name:   esp_stat                        class:    net
            acquire_requests                18
            bad_auth                        0
            bad_decrypt                     0
            bad_padding                     0
            bytes_expired                   0
            crtime                          4.87974774
            crypto_async                    0
            crypto_failures                 0
            crypto_sync                     172
            good_auth                       86
            keysock_in                      135
            num_aalgs                       9
            num_ealgs                       13
            out_discards                    0
            out_requests                    86
            replay_early_failures           0
            replay_failures                 0
            sa_port_renumbers               0
            snaptime                        5946769.7947628
  • Utilice el comando snoop para ver el tráfico que no está protegido. La aplicación Wireshark puede leer la salida snoop. Para obtener un ejemplo de la salida de snoop, consulte Cómo verificar que los paquetes estén protegidos con IPsec.