パケットが保護されていることを確認するには、snoop コマンドで接続をテストします。snoop 出力に表示される接頭辞は、次のとおりです。
AH: 接頭辞は、AH がヘッダーを保護していることを示します。この接頭辞が表示されるのは、auth_alg を使ってトラフィックを保護している場合です。
ESP: 接頭辞は、暗号化されたデータが送信されていることを示します。この接頭辞が表示されるのは、encr_auth_alg か encr_alg を使ってトラフィックを保護している場合です。
始める前に
さらに、接続をテストするためには、両方のシステムにアクセスできなければなりません。
snoop の出力を作成するには、root 役割になる必要があります。詳細は、Oracle Solaris 11.2 でのユーザーとプロセスのセキュリティー保護 の割り当てられている管理権利の使用を参照してください。
% su - Password: xxxxxxxx #
# ipseckey dump
この出力は、使用されている SA に一致する SPI 値、使用されていたアルゴリズム、鍵などを示します。
partym の端末ウィンドウで、enigma システムからパケットをスヌープします。
# snoop -d net0 -o /tmp/snoop_capture enigma Using device /dev/e1000g (promiscuous mode)
別の端末ウィンドウで、enigma システムにリモートからログインします。パスワードを入力します。次に、root 役割になり、パケットを enigma システムから partym システムに送信します。パケットは、snoop -v enigma コマンドで取り込む必要があります。
partym% ssh enigma Password: xxxxxxxx enigma% su - Password: xxxxxxxx enigma# ping partym
partym# snoop -i /tmp.snoop_capture -v
snoop の出力を Wireshark アプリケーションにロードすることもできます。詳細は、IPsec および IKE システムのトラブルシューティングを準備する方法および snoop コマンドと IPsecを参照してください。
このファイルで、冒頭の IP ヘッダー情報のあとに AH と ESP の情報が含まれている出力を確認します。次のような AH と ESP の情報は、パケットが保護されていることを示します。
IP: Time to live = 64 seconds/hops IP: Protocol = 51 (AH) IP: Header checksum = 4e0e IP: Source address = 192.168.116.16, enigma IP: Destination address = 192.168.13.213, partym IP: No options IP: AH: ----- Authentication Header ----- AH: AH: Next header = 50 (ESP) AH: AH length = 4 (24 bytes) AH: <Reserved field = 0x0> AH: SPI = 0xb3a8d714 AH: Replay = 52 AH: ICV = c653901433ef5a7d77c76eaa AH: ESP: ----- Encapsulating Security Payload ----- ESP: ESP: SPI = 0xd4f40a61 ESP: Replay = 52 ESP: ....ENCRYPTED DATA.... ETHER: ----- Ether Header ----- ...