Protección de la red en Oracle® Solaris 11.2

Salir de la Vista de impresión

Actualización: Septiembre de 2014
 
 

Visualización de información de IKE

Puede ver las propiedades del servicio de IKE, los aspectos del estado de IKE y el objeto del daemon de IKE, y la política de validación de certificados. Si ejecuta ambos servicios IKE, puede mostrar información por servicio o para ambos servicios. Estos comandos pueden ser útiles durante la prueba, la resolución de problemas y la supervisión.

  • Visualización de propiedades de las instancias de servicio de IKE: la salida muestra las propiedades configurables del servicio IKEv2, incluidos los nombres de los archivos de configuración.


    Notas -  Revise las páginas del comando man ipsecconf(1M). in.ikev2d(1M) y in.iked(1M) para asegurarse de que puede o debe modificar una propiedad en el grupo config de IPsec, el servicio IKEv2 o IKEv1. Por ejemplo, los archivos de configuración de IKEv2 se crean con permisos especiales y son propiedad de ikeuser. Los permisos y el propietario de archivo no se deben cambiar.
    % svccfg -s ipsec/ike:ikev2 listprop config
    config                      application
    config/allow_keydump       boolean     false
    config/config_file         astring     /etc/inet/ike/ikev2.config
    config/ignore_errors       boolean     false
    config/kmf_policy          astring     /etc/inet/ike/kmf-policy.xml
    config/max_child_sas       integer     0
    config/max_threads         integer     0
    config/min_threads         integer     0
    config/preshared_file      astring     /etc/inet/ike/ikev2.preshared
    config/response_wait_time  integer     30
    config/value_authorization astring     solaris.smf.value.ipsec
    config/debug_logfile       astring
    config/debug_level         astring     op

    La salida del ejemplo siguiente muestra las propiedades configurables del servicio IKEv1. No especifique la instancia del servicio :default.

    % svccfg -s ipsec/ike listprop config
    config                      application
    config/admin_privilege     astring     base
    config/config_file         astring     /etc/inet/ike/config
    config/debug_level         astring     op
    config/debug_logfile       astring     /var/log/in.iked.log
    config/ignore_errors       boolean     false
    config/value_authorization astring     solaris.smf.value.ipsec
  • Visualización del estado actual del daemon IKE: la salida del siguiente ejemplo muestra los argumentos del comando ikeadm. Estos argumentos muestran el estado actual del daemon.


    Notas -  Para usar el comando ikeadm, el daemon IKE debe estar en ejecución.
    % ikeadm help
    ...
            get   debug|priv|stats|p1|ikesa|rule|preshared|defaults [identifier]
            dump  p1|ikesa|rule|preshared|certcache|groups|encralgs|authalgs
            read  rule|preshared [filename]
            help  [get|set|add|del|dump|flush|read|write|token|help]
  • Visualización de la sintaxis de un argumento específico para el comando ikeadm: utilice los subcomandos help para mostrar la sintaxis del argumento del comando. Por ejemplo:

    % ikeadm help read
    This command reads a new configuration file into
    in.iked, discarding the old configuration info.
    
    Sets of data that may be read include:
            rule            all phase 1/ikesa rules
            preshared       all preshared keys
    
    A filename may be provided to specify a source file
    other than the default.
  • Visualización de claves compartidas: puede visualizar claves compartidas previamente para IKEv1 y IKEv2.


    Notas -  Si ejecuta solamente una versión de IKE, puede omitir la opción –v.

    Para IKEv2:

    # ikeadm -v2 dump preshared

    Para IKEv1:

    # ikeadm set priv keymat
    # ikeadm -v1 dump preshared
    
    PSKEY: Rule label: "Test PSK 197 to 56"
    PSKEY: Local pre-shared key (80 bytes): 74206272696c6c696720...3/584
    PSKEY: Remote pre-shared key (80 bytes): 74206272696c6c696720...3/584
    
    Completed dump of preshared keys
  • Visualización de SA de IKE: la salida incluye información acerca de la SA, la transformación, los sistemas local y remoto, y otros detalles. Si la comunicación no ha sido solicitada, no existe un SA, de modo que no hay información para mostrar.

    # ikeadm -v2 dump ikesa
    IKESA: SPIs: Local 0xd3db95689459cca4  Remote 0xb5878717f5cfa877
    ...
    XFORM: Encryption alg: aes-cbc(256..256); Authentication alg: hmac-sha512
    ...
    LOCIP: AF_INET: port 500, 10.1.2.3 (example-3).
    ...
    REMIP: AF_INET: port 500, 10.1.4.5 (ex-2).
    ...
    LIFTM: SA expires in 11459 seconds (3.18 hours)
    ...
    STATS: 0 IKE SA rekeys since initial AUTH.
    LOCID: Initiator identity, type FQDN
    ...
    CHILD: ESP Inbound SPI: 0x94841ca3, Outbound SPI 0x074ae1e5
    ...
    Completed dump of IKE SA info
  • Visualización de reglas de IKE activas: es posible que una regla de IKE enumerada no esté en uso, pero está disponible para uso.

    # ikeadm -v2 dump rule
    
    GLOBL: Label 'Test Rule1 for PSK', key manager cookie 1
    GLOBL: Local auth method=pre-shared key
    GLOBL: Remote auth method=pre-shared key
    
    GLOBL: childsa_pfs=false
    GLOBL: authentication_lifetime=86400 seconds (1.00 day)
    GLOBL: childsa_lifetime=120 seconds (2.00 minutes)
    GLOBL: childsa_softlife=108 seconds (1.80 minute)
    GLOBL: childsa_idletime=60 seconds
    GLOBL: childsa_lifetime_kb=122880 kilobytes (120.00 MB)
    GLOBL: childsa_softlife_kb=110592 kilobytes (108.00 MB)
    LOCIP: IP address range(s):
    LOCIP: 10.142.245.197
    REMIP: IP address range(s):
    REMIP: 10.134.64.56
    LOCID: Identity descriptors:
    LOCID: Includes:
    LOCID:       fqdn="gloria@ms.mag"
    REMID: Identity descriptors:
    REMID: Includes:
    REMID:       fqdn="gloria@ms.mag"
    XFRMS: Available Transforms:
    
    XF  0: Encryption alg: aes-cbc(128..256); Authentication alg: hmac-sha512
    XF  0: PRF: hmac-sha512 ; Diffie-Hellman Group: 2048-bit MODP (group 14)
    XF  0: IKE SA lifetime before rekey: 14400 seconds (4.00 hours)
    
    Completed dump of policy rules
  • Visualización de la política de validación de certificados en IKEv2: debe especificar el valor de dbfile y el valor de policy.

    • Es posible que las CRL descargadas de forma dinámica requieran la intervención del administrador para ajustar el tiempo de espera del contestador.

      En la salida del siguiente ejemplo, las CRL se descargan desde la URI que está incrustada en el certificado y, a continuación, las listas se almacenan en la memoria caché. Cuando la caché contiene una CRL caducada, se descarga una nueva CRL para reemplazar la anterior.

      # kmfcfg list dbfile=/etc/inet/ike/kmf-policy.xml policy=default
      …
      Validation Policy Information:
          Maximum Certificate Revocation Responder Timeout: 10
          Ignore Certificate Revocation Responder Timeout: true
      …
          CRL:
              Base filename: [not set]
              Directory: /var/user/ikeuser/crls
              Download and cache CRL: true
              CRL specific proxy override: www-proxy.cagate.example.com:80
              Ignore CRL signature: false
              Ignore CRL validity date: false
      IPsec policy bypass on outgoing connections: true
      …
    • CRL de forma estática requieren la atención frecuente del administrador.

      Cuando el administrador establece las entradas de CRL en los siguientes valores, el administrador es responsable de descargar manualmente las CRL. de completar el directorio y de mantener las CRL actuales:

      …
              Directory: /var/user/ikeuser/crls
              Download and cache CRL: false
              Proxy: [not set]
      …