Under Construction

Arbeiten mit AIX -> AIX-SicherheitIP-Filterung mit IPsecStarten und Stoppen von IPsec

Starten von IPsec (mkdev und mkfilt)

Als erstes sollte überprüft werden, ob die IPsec Devices schon angelegt wurden:

aix05 $ lsdev -Ccipsec
aix05 $

Ist dies nicht der Fall, dann können diese mit dem Kommando mkdev angelegt werden. Da es für IPv4 und IPv6 jeweils eigene Devices gibt, muss beim Anlegen der gewünschte Typ (4 für IPv4 und 6 für IPv6) angegeben werden. Es sollten immer beide Geräte angelegt werden, auch wenn in den meisten Fällen nicht beide IP-Versionen parallel verwendet werden. Die Devices können entweder im Zustand „defined“ angelegt werden, Option „-d“, oder direkt als verfügbar („available“). Werden die Devices als „defined“ angelegt, werden sie erst beim nächsten Reboot aktiviert und können nicht sofort verwendet werden. Wir legen beide Devices als verfügbar an:

aix05 # mkdev -c ipsec -t 4
ipsec_v4 Available
aix05 # mkdev -c ipsec -t 6
ipsec_v6 Available
aix05 #

Die beiden IPsec Devices wurden angelegt, was auch lsdev bestätigt:

aix05 # lsdev -Ccipsec
ipsec_v4 Available  IP Version 4 Security Extension
ipsec_v6 Available  IP Version 6 Security Extension
aix05 #

Bevor das Filtern von IP-Paketen aktiviert wird, sollten Filter-Regeln erstellt werden (siehe Filter-Regeln).

Anschließend kann das Filtern mit dem Kommando mkfilt und der Option „-u“ (update) aktiviert werden. Über die zusätzliche Option „-z“ kann angeben werden, ob für die Default Filter-Regel die Aktion erlauben („permit“) oder blockieren („deny“) verwendet werden soll. Hierzu muss einer der Werte „P“ (permit) oder „D“ (deny) angegeben werden. Standardmäßig aktiviert mkfilt IPv4 und IPv6 Filterung. Man kann aber über die Option „-v“ das Aktivieren einschränken: „4“ für IPv4 oder „6“ für IPv6.

Auf unserem AIX-System wird aktuell nur IPv4 verwendet und wir haben an dieser Stelle auch noch keine eigenen Filter-Regeln definiert. Wir wollen daher für IPv4 erst einmal alle Pakete erlauben, aber für IPv6 alle Pakete verbieten:

aix05 # mkfilt -v 4 -u -z P
Default rule for IPv4 in ODM has been changed.
Successfully set default action to PERMIT
aix05 # mkfilt -v 6 -u -z D
Default rule for IPv6 in ODM has been changed.
Successfully set default action to DENY
aix05 #

Hinweis: Wird die Option „-z“ nicht angegeben, dann wird die Default-Regel mit der Aktion die in der ODM hinterlegt ist aktiviert.