Руководство по управлению системой: Сети и средства связи

Средства ведения протокола

В этом разделе описана конфигурация и формат системных протоколов, связанных с защитой IP. В процессе взаимодействия хостов передаваемые пакеты могут регистрироваться программой-демоном системного протокола - syslogd. Кроме того, можно просмотреть другие важные сообщения о защите IP. Администратор может отслеживать информацию протокола для анализа потока и упрощения отладки. Для установки средств ведения протокола выполните следующие действия.

Добавьте в файл /etc/syslog.conf следующую запись:
```
local4.debug var/adm/ipsec.log
```
Средство local4 записывает данные о потоке и событиях защиты IP. При этом применяются стандартные уровни приоритета операционной системы. Вы должны задать уровень приоритета debug и сохранять его до тех пор, пока поток данных через туннели и фильтры защиты IP не станет устойчивым и бесперебойным.

Примечание: Ведение протокола событий фильтрации может привести к значительному повышению уровня загрузки хоста, на котором установлена система защиты IP, и занять большой объем памяти.
Сохраните файл /etc/syslog.conf.
Перейдите в каталог, указанный в файле протокола, и создайте пустой файл с тем же именем. В приведенном выше примере необходимо перейти в каталог /var/adm и вызвать команду
```
touch ipsec.log
```
Вызовите команду refresh для подсистемы syslogd:
```
refresh -s syslogd
```
При работе с туннелями IKE убедитесь, что в файле /etc/isakmpd.conf указан необходимый уровень ведения протокола isakmpd. (Дополнительная информация о ведении протокола IKE приведена в разделе Определение неполадок в системе защиты IP.)
В процессе создания правил фильтрации для вашего хоста можно установить регистрацию пакетов, соответствующих некоторому правилу, присвоив параметру -l правила значение Y (да) с помощью команды genfilt или chfilt.
Наконец, включите занесение пакетов в протокол и запустите демон ipsec_logd следующей командой:
```
mkfilt -g start
```
Прекратить ведение протокола можно с помощью команды
```
mkfilt -g stop
```

Следующий пример файла протокола содержит записи потока данных и прочие записи защиты IP:

1. Aug 27 08:08:40 host1 : Демон ведения протокола
фильтрации ipsec_logd (уровень 2.20) 
   инициализирован 08:08:40 08/27/97A
2. Aug 27 08:08:46 host1 : mkfilt: Состояние регистрации пакетов
установлено на Включено в 08:08:46 08/27/97
3. Aug 27 08:08:47 host1 : mktun: Активирован статический туннель 2 для IPv4,
9.3.97.244, 9.3.97.130 
   .
4. Aug 27 08:08:47 host1 : mkfilt: #:1 permit 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 
   udp eq  4001 eq  4001  both both l=n f=y t=0 e= a=
5. Aug 27 08:08:47 host1 : mkfilt: #:2 permit 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 
   ah any 0 any 0  both both l=n f=y t=0 e= a=
6. Aug 27 08:08:47 host1 : mkfilt: #:3 permit 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 
   esp any 0 any 0  both both l=n f=y t=0 e= a=
7. Aug 27 08:08:47 host1 : mkfilt: #:4 permit 10.0.0.1 255.255.255.255 10.0.0.2 
   255.255.255.255 icmp any 0 any 0  local outbound l=y f=y t=1 e= a=
8. Aug 27 08:08:47 host1 : mkfilt: #:4 permit 10.0.0.2 255.255.255.255 10.0.0.1 
   255.255.255.255 icmp any 0 any 0  local inbound l=y f=y t=1 e= a=
9. Aug 27 08:08:47 host1 : mkfilt: #:6 permit 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 
    all any 0 any 0  both both l=y f=y t=0 e= a=
10. Aug 27 08:08:47 host1 : mkfilt: Инициализирована поддержка фильтрации (уровень 1.00) 
    08:08:47 on 08/27/97
11. Aug 27 08:08:48 host1 : #:6 R:p  o:10.0.0.1 s:10.0.0.1 d:10.0.0.20 p:udp 
    sp:3327 dp:53 r:l a:n f:n T:0 e:n l:67
12. Aug 27 08:08:48 host1 : #:6 R:p  i:10.0.0.1 s:10.0.0.20 d:10.0.0.1 p:udp 
    sp:53 dp:3327 r:l a:n f:n T:0 e:n l:133
13. Aug 27 08:08:48 host1 : #:6 R:p  i:10.0.0.1 s:10.0.0.15 d:10.0.0.1 p:tcp 
    sp:4649 dp:23 r:l a:n f:n T:0 e:n l:43
14. Aug 27 08:08:48 host1 : #:6 R:p  o:10.0.0.1 s:10.0.0.1 d:10.0.0.15 p:tcp 
    sp:23 dp:4649 r:l a:n f:n T:0 e:n l:41
15. Aug 27 08:08:48 host1 : #:6 R:p  i:10.0.0.1 s:10.0.0.15 d:10.0.0.1 p:tcp 
    sp:4649 dp:23 r:l a:n f:n T:0 e:n l:40
16. Aug 27 08:08:51 host1 : #:4 R:p  o:10.0.0.1 s:10.0.0.1 d:10.0.0.2 p:icmp 
    t:8 c:0 r:l a:n f:n T:1 e:n l:84
17. Aug 27 08:08:51 host1 : #:5 R:p  i:10.0.0.1 s:10.0.0.2 d:10.0.0.1 p:icmp 
    t:0 c:0 r:l a:n f:n T:1 e:n l:84
18. Aug 27 08:08:52 host1 : #:4 R:p  o:10.0.0.1 s:10.0.0.1 d:10.0.0.2 p:icmp 
    t:8 c:0 r:l a:n f:n T:1 e:n l:84
19. Aug 27 08:08:52 host1 : #:5 R:p  i:10.0.0.1 s:10.0.0.2 d:10.0.0.1 p:icmp 
    t:0 c:0 r:l a:n f:n T:1 e:n l:84
20. Aug 27 08:32:27 host1 : Демон ведения протокола завершает работу в 08:32:27 
    08/27/97l

Ниже приведены пояснения к перечисленным записям протокола.

1: Программа-демон ведения протокола фильтрации активизирована.
2: Ведение протокола фильтрации включено командой mkfilt -g start.
3: Активизация туннеля; показан ИД туннеля, адрес отправителя, адрес получателя и системное время.
4-9: Фильтры активированы. В протоколе показаны все загруженные правила фильтрации.
10: Сообщение, уведомляющее об активации фильтров.
11-12: Эти записи соответствуют поиску хоста в DNS.
13-15: Эти записи соответствуют частичному соединению Telnet (остальные записи этого вида были удалены из данного примера для экономии места).
16-19: Эти записи соответствуют двум запросам ping.
20: Программа-демон ведения протокола фильтрации завершает работу.

В следующем примере показано согласование между двумя хостами туннелей 1 и 2 уровней с точки зрения инициатора. (Уровень ведения протокола isakmpd задан в виде isakmp_events .)

1. Dec  6 14:34:42 host1 Администратор туннеля: 0: обработка
    Connection_request_msg
 2. Dec  6 14:34:42 host1 Администратор туннеля: 1: Создание нового объекта туннеля P1 (tid)
 3. Dec  6 14:34:42 host1 isakmpd: 192.168.100.103 >>> 192.168.100.104 ( SA PROPOSAL
    TRANSFORM  )
 4. Dec  6 14:34:42 host1 isakmpd: ::ffff:192.168.100.103 <<< 192.168.100.104 ( SA
    PROPOSAL TRANSFORM  )
 5. Dec  6 14:34:42 host1 isakmpd: Согласование уровня I завершено
 6. Dec  6 14:34:42 host1 isakmpd: 192.168.100.103 >>> 192.168.100.104 ( KE NONCE  )
 7. Dec  6 14:34:42 host1 isakmpd: ::ffff:192.168.100.103 <<< 192.168.100.104 ( KE
    NONCE  )
 8. Dec  6 14:34:42 host1 isakmpd: Шифрование сообщение для отправки: ( ID HASH
     )
 9. Dec  6 14:34:42 host1 isakmpd: 192.168.100.103 >>> 192.168.100.104 ( Encrypted
    Payloads )
10. Dec  6 14:34:42 host1 isakmpd: ::ffff:192.168.100.103 <<< 192.168.100.104 (
    Encrypted Payloads )
11. Dec  6 14:34:42 host1 Администратор туннеля: 1: обработка P1_sa_created_msg
    (tid)
12. Dec  6 14:34:42 host1 Администратор туннеля: 1:   получена правильная P1 SA,
обновление туннеля P1
    (tid)
13. Dec  6 14:34:42 host1 Администратор туннеля: 0: проверка ожидающих
активации туннелей P2
 
14. Dec  6 14:34:42 host1 isakmpd: Расшифровано полученное сообщение msg: ( ID
HASH
     )
15. Dec  6 14:34:42 host1 isakmpd:  Согласование уровня I завершено !!!
16. Dec  6 14:34:42 host1 isakmpd: Согласование уровня I идентифицировано
17. Dec  6 14:34:44 host1 Администратор туннеля: 0: обработка
    Connection_request_msg
18. Dec  6 14:34:44 host1 Администратор туннеля: 0: Получен объект соединения для
    активного туннеля P1
19. Dec  6 14:34:44 host1 Администратор туннеля: 1: Создан пустой туннель P2  (tid)
20. Dec  6 14:34:44 host1 Администратор туннеля: 0: проверка ожидающих активации
туннелей P2
 
21. Dec  6 14:34:44 host1 Администратор туннеля: 1: Начало согласования P2  (P2 tid)
22. Dec  6 14:34:45 host1 isakmpd: Шифрование сообщения для отправки: ( HASH SA
    PROPOSAL TRANSFORM NONCE ID ID  )
23. Dec  6 14:34:45 host1 isakmpd: 192.168.100.103 >>> 192.168.100.104 ( Encrypted
    Payloads )
24. Dec  6 14:34:45 host1 isakmpd: ::ffff:192.168.100.103 <<< 192.168.100.104 (
    Encrypted Payloads )
25. Dec  6 14:34:45 host1 isakmpd: Расшифровано полученное сообщение: ( HASH SA
    PROPOSAL TRANSFORM NONCE ID ID  )
26. Dec  6 14:34:45 host1 isakmpd: Шифрование сообщения для отправки: ( HASH  )
27. Dec  6 14:34:45 host1 isakmpd: 192.168.100.103 >>> 192.168.100.104 ( Encrypted
    Payloads )
28. Dec  6 14:34:45 host1 isakmpd: Согласована конфигурация защиты уровня II
29. Dec  6 14:34:45 host1 isakmpd: Согласование уровня II завершено.
30. Dec  6 14:34:45 host1 Администратор туннеля: 0: обработка P2_sa_created_msg
31. Dec  6 14:34:45 host1 Администратор туннеля: 1: получено сообщение p2_sa_created для существующего
    туннеля в качестве инициатора (tid)
32. Dec  6 14:34:45 host1 Администратор туннеля: 1: Filter::AddFilterRules: Созданы правила фильтрации
    для туннеля
33. Dec  6 14:34:45 host1 Администратор туннеля: 0: обработка List_tunnels_msg

Ниже приведены пояснения к перечисленным записям протокола.

1-2: С помощью команды ike cmd=activate phase=1 запрошено установление соединения.
3-10: Демон isakmpd выполняет согласование туннеля уровня 1.
11-12: Администратор туннеля получил от удаленной системы допустимую конфигурацию защиты первого уровня.
13: Администратор туннеля проверяет, указаны ли в команде ike cmd=activate туннели второго уровня. Таких команд нет.
14-16: Демон isakmpd завершает согласование уровня 1.
17-21: С помощью команды ike cmd=activate phase=2 запрошено создание туннеля второго уровня.
22-29: Демон isakmpd выполняет согласование туннеля уровня 2.
30-31: Администратор туннеля получил от удаленной системы допустимую конфигурацию защиты первого уровня.
32: Администратор туннеля записал динамические правила фильтрации.
33: С помощью команды ike cmd=list запрошен список туннелей IKE.

Метки в полях записей

В полях протокола записей в целях экономии объема памяти DASD используются следующие сокращения:

#	Номер правила, согласно которому данный пакет был занесен в протокол.
R	Тип правила. p Разрешить. d Запретить.
i/o	Направление движения пакета, когда он был перехвачен средствами поддержки фильтра. Определяет IP-адрес адаптера, связанного с пакетом: Для принимаемых пакетов (i) - адаптер, на который пришел пакет. Для отправляемых (o) пактов - адаптер, которому слой IP передал запрос на управление передачей пакета.
s	Задает IP-адрес отправителя пакета (извлеченный из заголовка IP).
d	Задает IP-адрес получателя пакета (извлеченный из заголовка IP).
p	Задает высокоуровневый протокол, который применялся для создания сообщения, содержащегося в области данных пакета. Может быть указано число или имя, например: `udp` , `icmp` , `tcp` , `tcp/ack` , `ospf` , `pip` , `esp` , `ah` или `all` .
sp/t	Задает номер порта протокола, связанного с отправителем пакета (извлеченный из заголовка TCP/UDP). Если используется протокол ICMP или OSPF, это поле заменяется полем t, в котором указывается тип IP.
dp/c	Задает номер порта протокола, связанного с получателем пакета (извлеченный из заголовка TCP/UDP). Если используется протокол ICMP, это поле заменяется полем t, в котором указывается код IP.
-	Указывает, что информация недоступна
r	Показывает, связан ли пакет с локальной системой. f Пакеты для пересылки l Локальные пакеты o Отправляемые b Both
l	Задает длину пакета в байтах.
f	Указывает, является ли пакет фрагментом.
T	Показывает ИД туннеля.
i	Задает интерфейс, используемый для пакета.