Protección de la red en Oracle® Solaris 11.2

Salir de la Vista de impresión

Actualización: Septiembre de 2014
 
 

Cómo verificar que los paquetes estén protegidos con IPsec

    Para verificar que los paquetes estén protegidos, pruebe la conexión con el comando snoop. Los prefijos siguientes pueden aparecer en el resultado de snoop:

  • AH: prefijo que indica que AH está protegiendo los encabezados. Verá este prefijo si usó auth_alg para proteger el tráfico.

  • ESP: prefijo que indica que se están enviando los datos cifrados. Verá este perfil si usó encr_auth_alg o encr_alg para proteger el tráfico.

Antes de empezar

Para poder probar la conexión, es preciso tener acceso a ambos sistemas.

Debe asumir el rol root para crear la salida snoop. Para obtener más información, consulte Uso de sus derechos administrativos asignados de Protección de los usuarios y los procesos en Oracle Solaris 11.2 .

  1. En un sistema, como partym, asuma el rol root.
    % su -
    Password: xxxxxxxx
    # 
  2. (Opcional) Muestre los detalles de la SA.
    # ipseckey dump

    Esta salida indica cuáles valores de SPI coinciden con las SA que se usan, cuáles algoritmos se usan, las claves, etc.

  3. En este sistema, prepárese para buscar paquetes desde un sistema remoto.

    En una ventana de terminal en partym, busque los paquetes desde el sistema enigma.

    # snoop -d net0 -o /tmp/snoop_capture enigma
    Using device /dev/e1000g (promiscuous mode)
  4. Envíe un paquete desde el sistema remoto.

    En otra ventana de terminal, inicie sesión remotamente en el sistema enigma. Facilite su contraseña. A continuación, asuma el rol root y envíe un paquete del sistema enigma al sistema partym. El paquete debe capturarse mediante el comando snoop -v enigma.

    partym% ssh enigma
    Password: xxxxxxxx
    enigma% su -
    Password: xxxxxxxx
    enigma# ping partym
  5. Examine el resultado de snoop.
    partym# snoop -i /tmp.snoop_capture -v

    También puede cargar la salida de snoop en la aplicación Wireshark. Para obtener más información, consulte Cómo preparar los sistemas IPsec e IKE para la resolución de problemas and Comando snoop e IPsec.

    En el archivo, verá la salida que incluye la información de AH y ESP después de la información de encabezado de IP. La información de AH y ESP similar a la siguiente muestra que se están protegiendo los paquetes:

    IP:   Time to live = 64 seconds/hops
    IP:   Protocol = 51 (AH)
    IP:   Header checksum = 4e0e
    IP:   Source address = 192.168.116.16, enigma
    IP:   Destination address = 192.168.13.213, partym
    IP:   No options
    IP:
    AH:  ----- Authentication Header -----
    AH:
    AH:  Next header = 50 (ESP)
    AH:  AH length = 4 (24 bytes)
    AH:  <Reserved field = 0x0>
    AH:  SPI = 0xb3a8d714
    AH:  Replay = 52
    AH:  ICV = c653901433ef5a7d77c76eaa
    AH:
    ESP:  ----- Encapsulating Security Payload -----
    ESP:
    ESP:  SPI = 0xd4f40a61
    ESP:  Replay = 52
    ESP:     ....ENCRYPTED DATA....
    
    ETHER:  ----- Ether Header -----
    ...