パケットが保護されていることを確認するには、snoop コマンドで接続をテストします。snoop 出力に表示される接頭辞は、次のとおりです。
AH: 接頭辞は、AH がヘッダーを保護していることを示します。この接頭辞が表示されるのは、auth_alg を使ってトラフィックを保護している場合です。
ESP: 接頭辞は、暗号化されたデータが送信されていることを示します。この接頭辞が表示されるのは、encr_auth_alg か encr_alg を使ってトラフィックを保護している場合です。
始める前に
さらに、接続をテストするためには、両方のシステムにアクセスできなければなりません。
snoop の出力を作成するには、root 役割になる必要があります。詳細は、Oracle Solaris 11.3 でのユーザーとプロセスのセキュリティー保護 の 割り当てられている管理権利の使用を参照してください。
% su - Password: xxxxxxxx #
# ipseckey dump
この出力は、使用されている SA に一致する SPI 値、使用されていたアルゴリズム、鍵などを示します。
host2 の端末ウィンドウで、host1 システムからパケットをスヌープします。
# snoop -d net0 -o /tmp/snoop_capture host1 Using device /dev/xxx (promiscuous mode)
別の端末ウィンドウで、host1 システムにリモートからログインします。パスワードを入力します。次に、root 役割になり、パケットを host1 システムから host2 システムに送信します。パケットは、snoop -v host1 コマンドで取り込む必要があります。
host2% ssh host1 Password: xxxxxxxx host1% su - Password: xxxxxxxx host1# ping host2
host2# snoop -i /tmp.snoop_capture -v
snoop の出力を Wireshark アプリケーションにロードすることもできます。詳細は、IPsec および IKE システムのトラブルシューティングを準備する方法および snoop コマンドと IPsecを参照してください。
このファイルで、冒頭の IP ヘッダー情報のあとに AH と ESP の情報が含まれている出力を確認します。次のような AH と ESP の情報は、パケットが保護されていることを示します。
IP: Time to live = 64 seconds/hops IP: Protocol = 51 (AH) IP: Header checksum = 4e0e IP: Source address = 192.168.116.16, host1 IP: Destination address = 192.168.13.213 host2 IP: No options IP: AH: ----- Authentication Header ----- AH: AH: Next header = 50 (ESP) AH: AH length = 4 (24 bytes) AH: <Reserved field = 0x0> AH: SPI = 0xb3a8d714 AH: Replay = 52 AH: ICV = c653901433ef5a7d77c76eaa AH: ESP: ----- Encapsulating Security Payload ----- ESP: ESP: SPI = 0xd4f40a61 ESP: Replay = 52 ESP: ....ENCRYPTED DATA.... ETHER: ----- Ether Header ----- ...