os/doc
3
0
Fork 0
Code Issues Pull requests Projects Releases Wiki Activity

Merge the following from the english version.

Browse source 
handbook/security/chapter.sgml  1.113 -> 1.114

Submitted by:	Hiroo Ono <hiroo _at_ jp dot FreeBSD dot org>
Reference:	[doc-jp-work 1740]
This commit is contained in:
Ryusuke SUZUKI 2011-08-09 14:56:34 +00:00
parent 03c6ec98ef
commit b7853e5f55
Notes: svn2git 2020-12-08 03:00:23 +00:00 
svn path=/head/; revision=37541
1 changed files with 96 additions and 109 deletions

205
ja_JP.eucJP/books/handbook/security/chapter.sgml
View file

@ -2,7 +2,7 @@
The FreeBSD Documentation Project The FreeBSD Documentation Project
The FreeBSD Japanese Documentation Project The FreeBSD Japanese Documentation Project
Original revision: 1.113 Original revision: 1.114
Waiting for: 1.123 or mac/chapter.sgml Waiting for: 1.123 or mac/chapter.sgml
("mac" referenced from disks). ("mac" referenced from disks).
Translation note: "fs-acl" section added in rev.1.118 is moved to Translation note: "fs-acl" section added in rev.1.118 is moved to
@ -3193,13 +3193,11 @@ options IPSEC_ESP #IP security (crypto; define w/IPSEC)</progr
<para>次に、セキュリティアソシエーションを設定しましょう。ホスト <para>次に、セキュリティアソシエーションを設定しましょう。ホスト
A とホスト B の両方で、&man.setkey.8; を実行します。</para> A とホスト B の両方で、&man.setkey.8; を実行します。</para>
<screen> <screen>&prompt.root; <userinput>setkey -c
&prompt.root; <userinput>setkey -c add 10.2.3.4 10.6.7.8 ah-old 1000 -m transport -A keyed-md5 "MYSECRETMYSECRET" ;
add 10.2.3.4 10.6.7.8 ah-old 1000 -m transport -A keyed-md5 "MYSECRETMYSECRET" ; add 10.6.7.8 10.2.3.4 ah 2000 -m transport -A hmac-sha1 "KAMEKAMEKAMEKAMEKAME" ;
add 10.6.7.8 10.2.3.4 ah 2000 -m transport -A hmac-sha1 "KAMEKAMEKAMEKAMEKAME" ; add 10.6.7.8 10.2.3.4 esp 3000 -m transport -E des-cbc "PASSWORD" ;
add 10.6.7.8 10.2.3.4 esp 3000 -m transport -E des-cbc "PASSWORD" ; ^D</userinput></screen>
^D</userinput>
</screen>
<para>実際には、セキュリティポリシのエントリが定義されるまでは <para>実際には、セキュリティポリシのエントリが定義されるまでは
IPsec による通信は行われません。 IPsec による通信は行われません。
@ -3209,18 +3207,18 @@ add 10.6.7.8 10.2.3.4 esp 3000 -m transport -E des-cbc "PASSWORD" ;
A で: A で:
&prompt.root; <userinput>setkey -c &prompt.root; <userinput>setkey -c
spdadd 10.2.3.4 10.6.7.8 any -P out ipsec spdadd 10.2.3.4 10.6.7.8 any -P out ipsec
ah/transport/10.2.3.4-10.6.7.8/require ; ah/transport/10.2.3.4-10.6.7.8/require ;
^D</userinput> ^D</userinput>
B で: B で:
&prompt.root; <userinput>setkey -c &prompt.root; <userinput>setkey -c
spdadd 10.6.7.8 10.2.3.4 any -P out ipsec spdadd 10.6.7.8 10.2.3.4 any -P out ipsec
esp/transport/10.6.7.8-10.2.3.4/require ; esp/transport/10.6.7.8-10.2.3.4/require ;
spdadd 10.6.7.8 10.2.3.4 any -P out ipsec spdadd 10.6.7.8 10.2.3.4 any -P out ipsec
ah/transport/10.6.7.8-10.2.3.4/require ; ah/transport/10.6.7.8-10.2.3.4/require ;
^D</userinput> ^D</userinput>
ホスト A -------------------------------------> ホスト B ホスト A -------------------------------------> ホスト B
@ -3252,38 +3250,35 @@ spdadd 10.6.7.8 10.2.3.4 any -P out ipsec
認証アルゴリズムは hmac-sha1 で、その鍵は <quote>this is the test 認証アルゴリズムは hmac-sha1 で、その鍵は <quote>this is the test
key</quote> とします。ホスト-A の設定は次のようになります。</para> key</quote> とします。ホスト-A の設定は次のようになります。</para>
<screen> <screen>&prompt.root; <userinput>setkey -c &lt;&lt;<filename>EOF</filename>
&prompt.root; <userinput>setkey -c &lt;&lt;<filename>EOF</filename> spdadd fec0::10[any] fec0::11[110] tcp -P out ipsec
spdadd fec0::10[any] fec0::11[110] tcp -P out ipsec esp/transport/fec0::10-fec0::11/use ;
esp/transport/fec0::10-fec0::11/use ; spdadd fec0::11[110] fec0::10[any] tcp -P in ipsec
spdadd fec0::11[110] fec0::10[any] tcp -P in ipsec esp/transport/fec0::11-fec0::10/use ;
esp/transport/fec0::11-fec0::10/use ; add fec0::10 fec0::11 esp 0x10001
add fec0::10 fec0::11 esp 0x10001 -m transport
-m transport -E blowfish-cbc "kamekame"
-E blowfish-cbc "kamekame" -A hmac-sha1 "this is the test key" ;
-A hmac-sha1 "this is the test key" ; add fec0::11 fec0::10 esp 0x10002
add fec0::11 fec0::10 esp 0x10002 -m transport
-m transport -E blowfish-cbc "kamekame"
-E blowfish-cbc "kamekame" -A hmac-sha1 "this is the test key" ;
-A hmac-sha1 "this is the test key" ; EOF</userinput></screen>
EOF</userinput>
</screen>
<para>そしてホスト-B の設定は次のようになります。</para> <para>そしてホスト-B の設定は次のようになります。</para>
<screen>&prompt.root; <userinput>setkey -c &lt;&lt;<filename>EOF</filename> <screen>&prompt.root; <userinput>setkey -c &lt;&lt;<filename>EOF</filename>
spdadd fec0::11[110] fec0::10[any] tcp -P out ipsec spdadd fec0::11[110] fec0::10[any] tcp -P out ipsec
esp/transport/fec0::11-fec0::10/use ; esp/transport/fec0::11-fec0::10/use ;
spdadd fec0::10[any] fec0::11[110] tcp -P in ipsec spdadd fec0::10[any] fec0::11[110] tcp -P in ipsec
esp/transport/fec0::10-fec0::11/use ; esp/transport/fec0::10-fec0::11/use ;
add fec0::10 fec0::11 esp 0x10001 -m transport add fec0::10 fec0::11 esp 0x10001 -m transport
-E blowfish-cbc "kamekame" -E blowfish-cbc "kamekame"
-A hmac-sha1 "this is the test key" ; -A hmac-sha1 "this is the test key" ;
add fec0::11 fec0::10 esp 0x10002 -m transport add fec0::11 fec0::10 esp 0x10002 -m transport
-E blowfish-cbc "kamekame" -E blowfish-cbc "kamekame"
-A hmac-sha1 "this is the test key" ; -A hmac-sha1 "this is the test key" ;
EOF</userinput> EOF</userinput></screen>
</screen>
<para>SP の方向に注意してください。</para> <para>SP の方向に注意してください。</para>
</sect2> </sect2>
@ -3306,19 +3301,17 @@ spdadd 10.6.7.8 10.2.3.4 any -P out ipsec
<para>ゲートウェイ-A における設定は次のようになります。</para> <para>ゲートウェイ-A における設定は次のようになります。</para>
<screen> <screen>&prompt.root; <userinput>setkey -c &lt;&lt;<filename>EOF</filename>
&prompt.root; <userinput>setkey -c &lt;&lt;<filename>EOF</filename> spdadd 10.0.1.0/24 10.0.2.0/24 any -P out ipsec
spdadd 10.0.1.0/24 10.0.2.0/24 any -P out ipsec ah/tunnel/172.16.0.1-172.16.0.2/require ;
ah/tunnel/172.16.0.1-172.16.0.2/require ; spdadd 10.0.2.0/24 10.0.1.0/24 any -P in ipsec
spdadd 10.0.2.0/24 10.0.1.0/24 any -P in ipsec ah/tunnel/172.16.0.2-172.16.0.1/require ;
ah/tunnel/172.16.0.2-172.16.0.1/require ; add 172.16.0.1 172.16.0.2 ah-old 0x10003 -m any
add 172.16.0.1 172.16.0.2 ah-old 0x10003 -m any -A keyed-md5 "this is the test" ;
-A keyed-md5 "this is the test" ; add 172.16.0.2 172.16.0.1 ah-old 0x10004 -m any
add 172.16.0.2 172.16.0.1 ah-old 0x10004 -m any -A keyed-md5 "this is the test" ;
-A keyed-md5 "this is the test" ;
EOF</userinput> EOF</userinput></screen>
</screen>
<para>上記の例のように、もしポート番号フィールドを書かないと、 <para>上記の例のように、もしポート番号フィールドを書かないと、
<literal>[any]</literal> と同じ意味になります。<literal>-m</literal> は使用される SA <literal>[any]</literal> と同じ意味になります。<literal>-m</literal> は使用される SA
@ -3328,19 +3321,17 @@ spdadd 10.6.7.8 10.2.3.4 any -P out ipsec
<para>そしてゲートウェイ-B では次のようになります。</para> <para>そしてゲートウェイ-B では次のようになります。</para>
<screen> <screen>&prompt.root; <userinput>setkey -c &lt;&lt;<filename>EOF</filename>
&prompt.root; <userinput>setkey -c &lt;&lt;<filename>EOF</filename> spdadd 10.0.2.0/24 10.0.1.0/24 any -P out ipsec
spdadd 10.0.2.0/24 10.0.1.0/24 any -P out ipsec ah/tunnel/172.16.0.2-172.16.0.1/require ;
ah/tunnel/172.16.0.2-172.16.0.1/require ; spdadd 10.0.1.0/24 10.0.2.0/24 any -P in ipsec
spdadd 10.0.1.0/24 10.0.2.0/24 any -P in ipsec ah/tunnel/172.16.0.1-172.16.0.2/require ;
ah/tunnel/172.16.0.1-172.16.0.2/require ; add 172.16.0.1 172.16.0.2 ah-old 0x10003 -m any
add 172.16.0.1 172.16.0.2 ah-old 0x10003 -m any -A keyed-md5 "this is the test" ;
-A keyed-md5 "this is the test" ; add 172.16.0.2 172.16.0.1 ah-old 0x10004 -m any
add 172.16.0.2 172.16.0.1 ah-old 0x10004 -m any -A keyed-md5 "this is the test" ;
-A keyed-md5 "this is the test" ;
EOF</userinput> EOF</userinput></screen>
</screen>
<para>二台のセキュリティゲートウェイ間の SA の束の作成</para> <para>二台のセキュリティゲートウェイ間の SA の束の作成</para>
@ -3365,27 +3356,25 @@ spdadd 10.6.7.8 10.2.3.4 any -P out ipsec
hmac-sha1 とします。AH の認証アルゴリズムは hmac-md5 とします。 hmac-sha1 とします。AH の認証アルゴリズムは hmac-md5 とします。
ゲートウェイ-A での設定は次のようになります。</para> ゲートウェイ-A での設定は次のようになります。</para>
<screen> <screen>&prompt.root; <userinput>setkey -c &lt;&lt;<filename>EOF</filename>
&prompt.root; <userinput>setkey -c &lt;&lt;<filename>EOF</filename> spdadd fec0:0:0:1::/64 fec0:0:0:2::/64 any -P out ipsec
spdadd fec0:0:0:1::/64 fec0:0:0:2::/64 any -P out ipsec esp/tunnel/fec0:0:0:1::1-fec0:0:0:2::1/require
esp/tunnel/fec0:0:0:1::1-fec0:0:0:2::1/require ah/transport/fec0:0:0:1::1-fec0:0:0:2::1/require ;
ah/transport/fec0:0:0:1::1-fec0:0:0:2::1/require ; spdadd fec0:0:0:2::/64 fec0:0:0:1::/64 any -P in ipsec
spdadd fec0:0:0:2::/64 fec0:0:0:1::/64 any -P in ipsec esp/tunnel/fec0:0:0:2::1-fec0:0:0:1::1/require
esp/tunnel/fec0:0:0:2::1-fec0:0:0:1::1/require ah/transport/fec0:0:0:2::1-fec0:0:0:1::1/require ;
ah/transport/fec0:0:0:2::1-fec0:0:0:1::1/require ; add fec0:0:0:1::1 fec0:0:0:2::1 esp 0x10001 -m tunnel
add fec0:0:0:1::1 fec0:0:0:2::1 esp 0x10001 -m tunnel -E 3des-cbc "kamekame12341234kame1234"
-E 3des-cbc "kamekame12341234kame1234" -A hmac-sha1 "this is the test key" ;
-A hmac-sha1 "this is the test key" ; add fec0:0:0:1::1 fec0:0:0:2::1 ah 0x10001 -m transport
add fec0:0:0:1::1 fec0:0:0:2::1 ah 0x10001 -m transport -A hmac-md5 "this is the test" ;
-A hmac-md5 "this is the test" ; add fec0:0:0:2::1 fec0:0:0:1::1 esp 0x10001 -m tunnel
add fec0:0:0:2::1 fec0:0:0:1::1 esp 0x10001 -m tunnel -E 3des-cbc "kamekame12341234kame1234"
-E 3des-cbc "kamekame12341234kame1234" -A hmac-sha1 "this is the test key" ;
-A hmac-sha1 "this is the test key" ; add fec0:0:0:2::1 fec0:0:0:1::1 ah 0x10001 -m transport
add fec0:0:0:2::1 fec0:0:0:1::1 ah 0x10001 -m transport -A hmac-md5 "this is the test" ;
-A hmac-md5 "this is the test" ;
EOF</userinput> EOF</userinput></screen>
</screen>
<para>異なる通信端での SA の作成</para> <para>異なる通信端での SA の作成</para>
@ -3407,31 +3396,29 @@ spdadd 10.6.7.8 10.2.3.4 any -P out ipsec
<para>ホスト-A での設定は次のようになります。</para> <para>ホスト-A での設定は次のようになります。</para>
<screen> <screen>&prompt.root; <userinput>setkey -c &lt;&lt;<filename>EOF</filename>
&prompt.root; <userinput>setkey -c &lt;&lt;<filename>EOF</filename> spdadd fec0:0:0:1::1[any] fec0:0:0:2::2[80] tcp -P out ipsec
spdadd fec0:0:0:1::1[any] fec0:0:0:2::2[80] tcp -P out ipsec esp/transport/fec0:0:0:1::1-fec0:0:0:2::2/use
esp/transport/fec0:0:0:1::1-fec0:0:0:2::2/use esp/tunnel/fec0:0:0:1::1-fec0:0:0:2::1/require ;
esp/tunnel/fec0:0:0:1::1-fec0:0:0:2::1/require ; spdadd fec0:0:0:2::1[80] fec0:0:0:1::1[any] tcp -P in ipsec
spdadd fec0:0:0:2::1[80] fec0:0:0:1::1[any] tcp -P in ipsec esp/transport/fec0:0:0:2::2-fec0:0:0:l::1/use
esp/transport/fec0:0:0:2::2-fec0:0:0:l::1/use esp/tunnel/fec0:0:0:2::1-fec0:0:0:1::1/require ;
esp/tunnel/fec0:0:0:2::1-fec0:0:0:1::1/require ; add fec0:0:0:1::1 fec0:0:0:2::2 esp 0x10001
add fec0:0:0:1::1 fec0:0:0:2::2 esp 0x10001 -m transport
-m transport -E cast128-cbc "12341234"
-E cast128-cbc "12341234" -A hmac-sha1 "this is the test key" ;
-A hmac-sha1 "this is the test key" ; add fec0:0:0:1::1 fec0:0:0:2::1 esp 0x10002
add fec0:0:0:1::1 fec0:0:0:2::1 esp 0x10002 -E rc5-cbc "kamekame"
-E rc5-cbc "kamekame" -A hmac-md5 "this is the test" ;
-A hmac-md5 "this is the test" ; add fec0:0:0:2::2 fec0:0:0:1::1 esp 0x10003
add fec0:0:0:2::2 fec0:0:0:1::1 esp 0x10003 -m transport
-m transport -E cast128-cbc "12341234"
-E cast128-cbc "12341234" -A hmac-sha1 "this is the test key" ;
-A hmac-sha1 "this is the test key" ; add fec0:0:0:2::1 fec0:0:0:1::1 esp 0x10004
add fec0:0:0:2::1 fec0:0:0:1::1 esp 0x10004 -E rc5-cbc "kamekame"
-E rc5-cbc "kamekame" -A hmac-md5 "this is the test" ;
-A hmac-md5 "this is the test" ;
EOF</userinput> EOF</userinput></screen>
</screen>
</sect2> </sect2>
</sect1> </sect1>