IKE 정보 보기

IKE 서비스의 등록 정보, IKE 상태 및 IKE 데몬 객체의 요소, 인증서 검증 정책을 볼 수 있습니다. 두 IKE 서비스를 모두 실행 중인 경우 서비스별로 정보를 표시하거나 두 서비스 정보를 모두 표시할 수 있습니다. 이러한 명령은 테스트, 문제 해결 및 모니터링 중에 유용할 수 있습니다.

• IKE 서비스 인스턴스의 등록 정보 보기 – 출력에는 구성 파일의 이름을 비롯해 IKEv2 서비스에 대해 구성 가능한 속성이 표시됩니다.

  ---

  주 -  ipsecconf(1M). in.ikev2d(1M) 및 in.iked(1M) 매뉴얼 페이지를 검토하여 IPsec, IKEv2 또는 IKEv1 서비스의 config 그룹에서 등록 정보를 수정할 수 있는지 또는 수정해야 하는지 확인합니다. 예를 들어, IKEv2 구성 파일은 특수한 권한으로 만들어지며 ikeuser가 소유합니다. 이 권한과 파일 소유자는 변경하면 안됩니다.

  ---

  % svccfg -s ipsec/ike:ikev2 listprop config
  config                      application
  config/allow_keydump       boolean     false
  config/config_file         astring     /etc/inet/ike/ikev2.config
  config/ignore_errors       boolean     false
  config/kmf_policy          astring     /etc/inet/ike/kmf-policy.xml
  config/max_child_sas       integer     0
  config/max_threads         integer     0
  config/min_threads         integer     0
  config/preshared_file      astring     /etc/inet/ike/ikev2.preshared
  config/response_wait_time  integer     30
  config/value_authorization astring     solaris.smf.value.ipsec
  config/debug_logfile       astring
  config/debug_level         astring     op

  다음 예의 출력에는 IKEv1 서비스에 대해 구성 가능한 등록 정보가 표시됩니다. :default 서비스 인스턴스를 지정하지 마십시오.

  % svccfg -s ipsec/ike listprop config
  config                      application
  config/admin_privilege     astring     base
  config/config_file         astring     /etc/inet/ike/config
  config/debug_level         astring     op
  config/debug_logfile       astring     /var/log/in.iked.log
  config/ignore_errors       boolean     false
  config/value_authorization astring     solaris.smf.value.ipsec

• IKE 데몬의 현재 상태 보기 – 다음 예의 출력에는 ikeadm 명령의 인수가 표시됩니다. 이러한 인수를 사용하면 데몬의 현재 상태가 표시됩니다.

  ---

  주 -  ikeadm 명령을 사용하려면 IKE 데몬이 실행 중이어야 합니다.

  ---

  % ikeadm help
  ...
          get   debug|priv|stats|p1|ikesa|rule|preshared|defaults [identifier]
          dump  p1|ikesa|rule|preshared|certcache|groups|encralgs|authalgs
          read  rule|preshared [filename]
          help  [get|set|add|del|dump|flush|read|write|token|help]

• ikeadm 명령의 특정 인수에 대한 구문 표시 – help 하위 명령을 사용하여 명령 인수 구문을 표시합니다. 예를 들면 다음과 같습니다.

  % ikeadm help read
  This command reads a new configuration file into
  in.iked, discarding the old configuration info.
  
  Sets of data that may be read include:
          rule            all phase 1/ikesa rules
          preshared       all preshared keys
  
  A filename may be provided to specify a source file
  other than the default.

• 미리 공유한 키 보기 - IKEv1 및 IKEv2에 대한 미리 공유한 키를 볼 수 있습니다.

  ---

  주 -  IKE 버전을 하나만 실행 중인 경우 –v 옵션을 생략해도 됩니다.

  ---

  IKEv2의 경우:

  # ikeadm -v2 dump preshared

  IKEv1의 경우:

  # ikeadm set priv keymat
  # ikeadm -v1 dump preshared
  
  PSKEY: Rule label: "Test PSK 197 to 56"
  PSKEY: Local pre-shared key (80 bytes): 74206272696c6c696720...3/584
  PSKEY: Remote pre-shared key (80 bytes): 74206272696c6c696720...3/584
  
  Completed dump of preshared keys

• IKE SA 보기 – 출력에는 SA, 변환, 로컬 및 원격 시스템에 대한 정보와 기타 세부 정보가 포함됩니다. 통신을 요청하지 않은 경우 SA가 없으므로 표시할 정보가 없습니다.

  # ikeadm -v2 dump ikesa
  IKESA: SPIs: Local 0xd3db95689459cca4  Remote 0xb5878717f5cfa877
  ...
  XFORM: Encryption alg: aes-cbc(256..256); Authentication alg: hmac-sha512
  ...
  LOCIP: AF_INET: port 500, 10.1.2.3 (example-3).
  ...
  REMIP: AF_INET: port 500, 10.1.4.5 (ex-2).
  ...
  LIFTM: SA expires in 11459 seconds (3.18 hours)
  ...
  STATS: 0 IKE SA rekeys since initial AUTH.
  LOCID: Initiator identity, type FQDN
  ...
  CHILD: ESP Inbound SPI: 0x94841ca3, Outbound SPI 0x074ae1e5
  ...
  Completed dump of IKE SA info

• 활성 IKE 규칙 보기 – 나열된 IKE 규칙은 사용 중이 아닐 수 있지만 사용 가능한 상태입니다.

  # ikeadm -v2 dump rule
  
  GLOBL: Label 'Test Rule1 for PSK', key manager cookie 1
  GLOBL: Local auth method=pre-shared key
  GLOBL: Remote auth method=pre-shared key
  
  GLOBL: childsa_pfs=false
  GLOBL: authentication_lifetime=86400 seconds (1.00 day)
  GLOBL: childsa_lifetime=120 seconds (2.00 minutes)
  GLOBL: childsa_softlife=108 seconds (1.80 minute)
  GLOBL: childsa_idletime=60 seconds
  GLOBL: childsa_lifetime_kb=122880 kilobytes (120.00 MB)
  GLOBL: childsa_softlife_kb=110592 kilobytes (108.00 MB)
  LOCIP: IP address range(s):
  LOCIP: 10.142.245.197
  REMIP: IP address range(s):
  REMIP: 10.134.64.56
  LOCID: Identity descriptors:
  LOCID: Includes:
  LOCID:       fqdn="gloria@ms.mag"
  REMID: Identity descriptors:
  REMID: Includes:
  REMID:       fqdn="gloria@ms.mag"
  XFRMS: Available Transforms:
  
  XF  0: Encryption alg: aes-cbc(128..256); Authentication alg: hmac-sha512
  XF  0: PRF: hmac-sha512 ; Diffie-Hellman Group: 2048-bit MODP (group 14)
  XF  0: IKE SA lifetime before rekey: 14400 seconds (4.00 hours)
  
  Completed dump of policy rules

• IKEv2에서 인증서 검증 정책 보기 – dbfile 값과 policy 값을 지정해야 합니다.

  • 동적으로 다운로드되는 CRL에서는 관리자가 개입하여 응답자 시간 초과를 조정해야 합니다.

    다음 예의 출력에서는 인증서에 포함된 URI에서 CRL이 다운로드된 다음 목록이 캐시됩니다. 캐시에 만료된 CRL이 포함된 경우 새 CRL이 다운로드되어 이전 CRL을 대체합니다.

    # kmfcfg list dbfile=/etc/inet/ike/kmf-policy.xml policy=default
    …
    Validation Policy Information:
        Maximum Certificate Revocation Responder Timeout: 10
        Ignore Certificate Revocation Responder Timeout: true
    …
        CRL:
            Base filename: [not set]
            Directory: /var/user/ikeuser/crls
            Download and cache CRL: true
            CRL specific proxy override: www-proxy.cagate.example.com:80
            Ignore CRL signature: false
            Ignore CRL validity date: false
    IPsec policy bypass on outgoing connections: true
    …

  • 정적으로 다운로드되는 CRL은 관리자가 주기적으로 주의를 기울여야 합니다.

    관리자가 CRL 항목을 다음 값으로 설정하는 경우 관리자는 CRL을 수동으로 다운로드하고, 디렉토리를 채우고, 현재 CRL을 유지 관리해야 합니다.

    …
            Directory: /var/user/ikeuser/crls
            Download and cache CRL: false
            Proxy: [not set]
    …