IKE確立までのログ 確立までのログ 確立までのログ 確立までのログ
Session
Index Date/Time Log Message
75 03/Dec/2002 07:21:11PM Isakmp ScSA AddSa: SPIs:C0307A1D/2FEF5A47 Loc:192.168.1.*
Rem:192.168.10.* (210.152.196.10) Prot:ESP-3DES[168]-HMAC-MD5 Exp:5:00:00 74 03/Dec/2002 07:21:10PM Isakmp cSA Notify from 210.152.196.10: Initial Contact
73 03/Dec/2002 07:21:10PM Isakmp ScSA AddPhase1: Rem:210.152.196.10, ID:"210.152.196.10",
Cookies: 930802BDF812A961/D061A0255F9D657E Prot:DES[56]-MD5, Exp:23:59:59 72 03/Dec/2002 07:21:10PM ShSecrt ScSA Found PW for: 210.152.196.10.
71 03/Dec/2002 07:21:09PM Isakmp ScSA Got policy for peer:210.152.196.1, I am initiator, authentication: shared 70 03/Dec/2002 07:21:09PM Isakmp ScSA Establish Request: 192.168.1.5 to 192.168.10.1
65 03/Dec/2002 06:52:15PM Monitor Evnt Red port link: 10Mb HD 49 03/Dec/2002 06:37:18PM Monitor Evnt Black port link: 10Mb HD
48 03/Dec/2002 06:37:18PM Sonic Init LAN interface link status is supported.
47 03/Dec/2002 06:37:18PM Monitor Evnt Gate is now Secure.
34 03/Dec/2002 06:37:08PM Isakmp ScSA Default sa lifetime: 720
33 03/Dec/2002 06:37:08PM Isakmp ScSA Current security level set to "Standard"
32 03/Dec/2002 06:37:08PM Isakmp Init Initialized and running.
2 03/Dec/2002 06:36:59PM RTC Init Initialized and running.
1 03/Dec/2002 06:36:59PM RtcNVRA Init Initialized and running.
Reported By
初期化と各種パラメータのセッ ト 初期化と各種パラメータのセッ ト 初期化と各種パラメータのセッ ト 初期化と各種パラメータのセッ ト インタフェース のリンクア ッ プ インタフェース のリンクア ッ プ インタフェース のリンクア ッ プ インタフェース のリンクア ッ プ
IKEネゴシエーション IKEネゴシエーション IKEネゴシエーション IKEネゴシエーション フェーズ 1 の確立
フェーズ 1 の確フェーズ 1 の確立立 フェーズ 1 の確立
イニシエータとして 動作 イニシエータとして 動作 イニシエータとして 動作 イニシエータとして 動作
フェーズ 2の確立 フェーズ 2の確立 フェーズ 2の確立 フェーズ 2の確立
Network Se curity
Copyright (C) 2003 All rights reserved , by Matsushima & Yamada Copyright (C) 2003 All rights reserved , by Matsushima & YamadaCopyright (C) 2003 All rights reserved , by Matsushima & Yamada Copyright (C) 2003 All rights reserved , by Matsushima & Yamada
IPsec
56 56 56 56
パケット パケット パケット パケット
Phase 1 Phase 1 Phase 1
Phase 1セッション セッション セッション セッション
(メインモード)
(メインモード)
(メインモード)
(メインモード)
Phase 2 Phase 2 Phase 2
Phase 2セッション セッション セッション セッション
暗号化通信 暗号化通信 暗号化通信 暗号化通信
Network Se curity
Copyright (C) 2003 All rights reserved , by Matsushima & Yamada Copyright (C) 2003 All rights reserved , by Matsushima & YamadaCopyright (C) 2003 All rights reserved , by Matsushima & Yamada Copyright (C) 2003 All rights reserved , by Matsushima & Yamada
IPsec
57 57 57 57
2 22 2- -- -3. 3. 3. 3. 障害切り分け 障害切り分け 障害切り分け 障害切り分け
Network Se curity
Copyright (C) 2003 All rights reserved , by Matsushima & Yamada Copyright (C) 2003 All rights reserved , by Matsushima & YamadaCopyright (C) 2003 All rights reserved , by Matsushima & Yamada Copyright (C) 2003 All rights reserved , by Matsushima & Yamada
IPsec
58 58 58 58
切り分け作業 切り分け作業 切り分け作業 切り分け作業
Internet Internet Internet Internet
Router Router Router Router IPsec
IPsec IPsec IPsec gateway gateway gateway
gateway Router Router Router Router IPsec IPsec IPsec IPsec gateway gateway gateway gateway
パケットアナライザまたは試験用 パケットアナライザまたは試験用 パケットアナライザまたは試験用
パケットアナライザまたは試験用PC PC PCの接続箇所 PC の接続箇所 の接続箇所 の接続箇所
1 11
1 2 22 2 3 33 3 44 4 4
ブランチ拠点 センター拠点
Server Server Server Server
Server Server Server Server
Server
Server Server
Server
Network Se curity
Copyright (C) 2003 All rights reserved , by Matsushima & Yamada Copyright (C) 2003 All rights reserved , by Matsushima & YamadaCopyright (C) 2003 All rights reserved , by Matsushima & Yamada Copyright (C) 2003 All rights reserved , by Matsushima & Yamada
IPsec
59 59 59 59
切り分け作業 切り分け作業 切り分け作業 切り分け作業
Internet Internet Internet Internet
Router Router Router Router IPsec
IPsec IPsec IPsec gateway gateway gateway gateway
可能であればパケットアナライザ 可能であればパケットアナライザ 可能であればパケットアナライザ
可能であればパケットアナライザ1 11 1台で 台で 台でgateway 台で gateway gateway gatewayを を を を 挟んで両側の内外のパケットを同時に収集
挟んで両側の内外のパケットを同時に収集 挟んで両側の内外のパケットを同時に収集 挟んで両側の内外のパケットを同時に収集
パケット パケット パケット パケット アナライザ アナライザアナライザ アナライザ
記録時間にズレが無くなり、遅延などが把握しやすい
記録時間にズレが無くなり、遅延などが把握しやすい 記録時間にズレが無くなり、遅延などが把握しやすい
記録時間にズレが無くなり、遅延などが把握しやすい
Network Se curity
Copyright (C) 2003 All rights reserved , by Matsushima & Yamada Copyright (C) 2003 All rights reserved , by Matsushima & YamadaCopyright (C) 2003 All rights reserved , by Matsushima & Yamada Copyright (C) 2003 All rights reserved , by Matsushima & Yamada
IPsec
60 60 60 60
切り分け作業 切り分け作業 切り分け作業 切り分け作業
• 障害が確認された拠点で現地調査 障害が確認された拠点で現地調査 障害が確認された拠点で現地調査 障害が確認された拠点で現地調査
– ブランチで障害発生時は同時にセンター ブランチで障害発生時は同時にセンター ブランチで障害発生時は同時にセンター ブランチで障害発生時は同時にセンター 側でも調査した方が良い
側でも調査した方が良い 側でも調査した方が良い 側でも調査した方が良い
– しかし、実際には人員の手配が付かずど しかし、実際には人員の手配が付かずど しかし、実際には人員の手配が付かずど しかし、実際には人員の手配が付かずど ちらか一方での作業になることが多い
ちらか一方での作業になることが多い ちらか一方での作業になることが多い
ちらか一方での作業になることが多い
Network Se curity
Copyright (C) 2003 All rights reserved , by Matsushima & Yamada Copyright (C) 2003 All rights reserved , by Matsushima & YamadaCopyright (C) 2003 All rights reserved , by Matsushima & Yamada Copyright (C) 2003 All rights reserved , by Matsushima & Yamada
IPsec
61 61 61 61
Ping Ping Ping
Pingによる切り分け による切り分け による切り分け による切り分け
• 経路上のどこに障害があるのかを予測 経路上のどこに障害があるのかを予測 経路上のどこに障害があるのかを予測 経路上のどこに障害があるのかを予測
• 問題のあるホストまたはネットワークの特定 問題のあるホストまたはネットワークの特定 問題のあるホストまたはネットワークの特定 問題のあるホストまたはネットワークの特定
• IPsec IPsec IPsec IPsec gateway gateway gatewayの障害か否かの絞込み gateway の障害か否かの絞込み の障害か否かの絞込み の障害か否かの絞込み
Network Se curity
Copyright (C) 2003 All rights reserved , by Matsushima & Yamada Copyright (C) 2003 All rights reserved , by Matsushima & YamadaCopyright (C) 2003 All rights reserved , by Matsushima & Yamada Copyright (C) 2003 All rights reserved , by Matsushima & Yamada
IPsec
62 62 62 62
例 例 例 例
• ブランチ拠点にあるクライアントからセンター ブランチ拠点にあるクライアントからセンター ブランチ拠点にあるクライアントからセンター ブランチ拠点にあるクライアントからセンター 拠点のあるサーバにアクセスできなくなった 拠点のあるサーバにアクセスできなくなった 拠点のあるサーバにアクセスできなくなった 拠点のあるサーバにアクセスできなくなった と想定
と想定
と想定
と想定
Network Se curity
Copyright (C) 2003 All rights reserved , by Matsushima & Yamada Copyright (C) 2003 All rights reserved , by Matsushima & YamadaCopyright (C) 2003 All rights reserved , by Matsushima & Yamada Copyright (C) 2003 All rights reserved , by Matsushima & Yamada
IPsec
63 63 63 63
Ping Ping Ping
Pingによる切り分け による切り分け による切り分け による切り分け
• 58 58 58 58ページの図においてブランチ側で切り分け作業を行なう ページの図においてブランチ側で切り分け作業を行なう ページの図においてブランチ側で切り分け作業を行なう ページの図においてブランチ側で切り分け作業を行なう と想定。
と想定。
と想定。
と想定。
• ①にpingを送信する ①にpingを送信する ①にpingを送信する ①にpingを送信するPC PC PCを設置 PC を設置 を設置 を設置
• ②にパケットアナライザを設置 ②にパケットアナライザを設置 ②にパケットアナライザを設置 ②にパケットアナライザを設置
– ①からセンター内問題のサーバへ ①からセンター内問題のサーバへping ①からセンター内問題のサーバへ ①からセンター内問題のサーバへ ping ping pingを打つ。 を打つ。 を打つ。 を打つ。
– ①からセンターの別のサーバや ①からセンターの別のサーバやPC ①からセンターの別のサーバや ①からセンターの別のサーバや PC PCに PC に に にping ping ping pingを打つ。 を打つ。 を打つ。 を打つ。
– ①からセンター ①からセンター ①からセンター ①からセンター IPsec IPsec IPsec IPsec gateway gateway gatewayの内部 gateway の内部 の内部LAN の内部 LAN LAN LAN側 側 側I/F 側 I/F I/Fに I/F に に にping ping ping ping を打つ。
を打つ。 を打つ。
を打つ。
– ①からセンター側ルータへ ①からセンター側ルータへping ①からセンター側ルータへ ①からセンター側ルータへ ping ping pingを打つ。 を打つ。 を打つ。 を打つ。
– ①からセンター ①からセンター ①からセンター ①からセンター IPsec IPsec IPsec IPsec gateway gateway gatewayの gateway の のInternet の Internet Internet側 Internet 側 側I/F 側 I/F I/Fに I/F に に にping ping ping pingを を を を 打つ。 打つ。 打つ。
打つ。
– ②で収集したパケットの確認 ②で収集したパケットの確認 ②で収集したパケットの確認 ②で収集したパケットの確認
Network Se curity
Copyright (C) 2003 All rights reserved , by Matsushima & Yamada Copyright (C) 2003 All rights reserved , by Matsushima & YamadaCopyright (C) 2003 All rights reserved , by Matsushima & Yamada Copyright (C) 2003 All rights reserved , by Matsushima & Yamada
IPsec
64 64 64 64
Ping Ping Ping
Pingによる切り分け による切り分け による切り分け による切り分け
• 確認事項 確認事項 確認事項 確認事項
– アプリケーションはだめでも アプリケーションはだめでもping アプリケーションはだめでも アプリケーションはだめでも ping ping pingは通るか は通るか は通るか は通るか – SA SAは確立しているか SA SA は確立しているか は確立しているか は確立しているか
– IKE IKEはどこで失敗するか IKE IKE はどこで失敗するか はどこで失敗するか はどこで失敗するか
– どことどこの間に問題がありそうか どことどこの間に問題がありそうか どことどこの間に問題がありそうか どことどこの間に問題がありそうか
• 原因箇所の絞込み 原因箇所の絞込み 原因箇所の絞込み 原因箇所の絞込み
– アプロケーション、ホスト、経路、 アプロケーション、ホスト、経路、IPsec アプロケーション、ホスト、経路、 アプロケーション、ホスト、経路、 IPsec IPsecの IPsec の の の 設定、 設定、 設定、
設定、IKE IKE IKE IKEネゴ ネゴ ネゴ ネゴ
Network Se curity
Copyright (C) 2003 All rights reserved , by Matsushima & Yamada Copyright (C) 2003 All rights reserved , by Matsushima & YamadaCopyright (C) 2003 All rights reserved , by Matsushima & Yamada Copyright (C) 2003 All rights reserved , by Matsushima & Yamada