Para verificar que los paquetes estén protegidos, pruebe la conexión con el comando snoop. Los prefijos siguientes pueden aparecer en el resultado de snoop:
AH: prefijo que indica que AH está protegiendo los encabezados. Verá este prefijo si usó auth_alg para proteger el tráfico.
ESP: prefijo que indica que se están enviando los datos cifrados. Verá este perfil si usó encr_auth_alg o encr_alg para proteger el tráfico.
Antes de empezar
Para poder probar la conexión, es preciso tener acceso a ambos sistemas.
Debe asumir el rol root para crear la salida snoop. Para obtener más información, consulte Uso de sus derechos administrativos asignados de Protección de los usuarios y los procesos en Oracle Solaris 11.2 .
% su - Password: xxxxxxxx #
# ipseckey dump
Esta salida indica cuáles valores de SPI coinciden con las SA que se usan, cuáles algoritmos se usan, las claves, etc.
En una ventana de terminal en partym, busque los paquetes desde el sistema enigma.
# snoop -d net0 -o /tmp/snoop_capture enigma Using device /dev/e1000g (promiscuous mode)
En otra ventana de terminal, inicie sesión remotamente en el sistema enigma. Facilite su contraseña. A continuación, asuma el rol root y envíe un paquete del sistema enigma al sistema partym. El paquete debe capturarse mediante el comando snoop -v enigma.
partym% ssh enigma Password: xxxxxxxx enigma% su - Password: xxxxxxxx enigma# ping partym
partym# snoop -i /tmp.snoop_capture -v
También puede cargar la salida de snoop en la aplicación Wireshark. Para obtener más información, consulte Cómo preparar los sistemas IPsec e IKE para la resolución de problemas and Comando snoop e IPsec.
En el archivo, verá la salida que incluye la información de AH y ESP después de la información de encabezado de IP. La información de AH y ESP similar a la siguiente muestra que se están protegiendo los paquetes:
IP: Time to live = 64 seconds/hops IP: Protocol = 51 (AH) IP: Header checksum = 4e0e IP: Source address = 192.168.116.16, enigma IP: Destination address = 192.168.13.213, partym IP: No options IP: AH: ----- Authentication Header ----- AH: AH: Next header = 50 (ESP) AH: AH length = 4 (24 bytes) AH: <Reserved field = 0x0> AH: SPI = 0xb3a8d714 AH: Replay = 52 AH: ICV = c653901433ef5a7d77c76eaa AH: ESP: ----- Encapsulating Security Payload ----- ESP: ESP: SPI = 0xd4f40a61 ESP: Replay = 52 ESP: ....ENCRYPTED DATA.... ETHER: ----- Ether Header ----- ...