Cómo verificar que los paquetes estén protegidos con IPsec

Para verificar que los paquetes estén protegidos, pruebe la conexión con el comando snoop. Los prefijos siguientes pueden aparecer en el resultado de snoop:

• AH: prefijo que indica que AH está protegiendo los encabezados. Verá este prefijo si usó auth_alg para proteger el tráfico.

• ESP: prefijo que indica que se están enviando los datos cifrados. Verá este perfil si usó encr_auth_alg o encr_alg para proteger el tráfico.

Antes de empezar

Para poder probar la conexión, es preciso tener acceso a ambos sistemas.

Debe asumir el rol root para crear la salida snoop. Para obtener más información, consulte Uso de sus derechos administrativos asignados de Protección de los usuarios y los procesos en Oracle Solaris 11.2 .

1. En un sistema, como partym, asuma el rol root.

   % su -
   Password: xxxxxxxx
   # 

2. (Opcional) Muestre los detalles de la SA.

   # ipseckey dump

   Esta salida indica cuáles valores de SPI coinciden con las SA que se usan, cuáles algoritmos se usan, las claves, etc.

3. En este sistema, prepárese para buscar paquetes desde un sistema remoto.

   En una ventana de terminal en partym, busque los paquetes desde el sistema enigma.

   # snoop -d net0 -o /tmp/snoop_capture enigma
   Using device /dev/e1000g (promiscuous mode)

4. Envíe un paquete desde el sistema remoto.

   En otra ventana de terminal, inicie sesión remotamente en el sistema enigma. Facilite su contraseña. A continuación, asuma el rol root y envíe un paquete del sistema enigma al sistema partym. El paquete debe capturarse mediante el comando snoop -v enigma.

   partym% ssh enigma
   Password: xxxxxxxx
   enigma% su -
   Password: xxxxxxxx
   enigma# ping partym

5. Examine el resultado de snoop.

   partym# snoop -i /tmp.snoop_capture -v

   También puede cargar la salida de snoop en la aplicación Wireshark. Para obtener más información, consulte Cómo preparar los sistemas IPsec e IKE para la resolución de problemas and Comando snoop e IPsec.

   En el archivo, verá la salida que incluye la información de AH y ESP después de la información de encabezado de IP. La información de AH y ESP similar a la siguiente muestra que se están protegiendo los paquetes:

   IP:   Time to live = 64 seconds/hops
   IP:   Protocol = 51 (AH)
   IP:   Header checksum = 4e0e
   IP:   Source address = 192.168.116.16, enigma
   IP:   Destination address = 192.168.13.213, partym
   IP:   No options
   IP:
   AH:  ----- Authentication Header -----
   AH:
   AH:  Next header = 50 (ESP)
   AH:  AH length = 4 (24 bytes)
   AH:  <Reserved field = 0x0>
   AH:  SPI = 0xb3a8d714
   AH:  Replay = 52
   AH:  ICV = c653901433ef5a7d77c76eaa
   AH:
   ESP:  ----- Encapsulating Security Payload -----
   ESP:
   ESP:  SPI = 0xd4f40a61
   ESP:  Replay = 52
   ESP:     ....ENCRYPTED DATA....
   
   ETHER:  ----- Ether Header -----
   ...