JavaScript is required to for searching.
탐색 링크 건너뛰기
인쇄 보기 종료
Oracle Solaris 11.1의 네트워크 보안     Oracle Solaris 11.1 Information Library (한국어)
Oracle 기술 네트워크
라이브러리
PDF
인쇄 보기
피드백
search filter icon
search icon

문서 정보

머리말

1.  가상화된 환경에서 링크 보호 사용

링크 보호 개요

링크 보호 유형

링크 보호 구성(작업 맵)

링크 보호를 사용으로 설정하는 방법

링크 보호를 사용 안함으로 설정하는 방법

IP 스푸핑으로부터 보호할 IP 주소를 지정하는 방법

DHCP 스푸핑으로부터 보호할 DHCP 클라이언트를 지정하는 방법

링크 보호 구성 및 통계를 확인하는 방법

2.  네트워크 조정(작업)

3.  웹 서버 및 Secure Sockets Layer 프로토콜

4.  Oracle Solaris의 IP 필터(개요)

5.  IP 필터(작업)

6.  IP 보안 아키텍처(개요)

7.  IPsec 구성(작업)

8.  IP 보안 아키텍처(참조)

9.  Internet Key Exchange(개요)

10.  IKE 구성(작업)

11.  Internet Key Exchange(참조)

용어집

색인

링크 보호 구성(작업 맵)

링크 보호를 사용하려면 링크의 protection 등록 정보를 설정합니다. 보호 유형이 다른 구성 파일과 작동(예: ip-nospoofallowed-ips 또는 dhcp-nospoofallowed-dhcp-cids)하는 경우 두 가지 일반 작업을 수행합니다. 우선 링크 보호를 사용으로 설정합니다. 그런 다음 구성 파일을 사용자 정의하여 통과하도록 허용할 기타 패킷을 식별합니다.

주 - 전역 영역에 링크 보호를 구성해야 합니다.

다음 작업 맵에서는 Oracle Solaris 시스템에서 링크 보호를 구성하기 위한 절차를 안내합니다.

작업
설명
수행 방법
링크 보호를 사용으로 설정합니다.
링크에서 보내는 패킷을 제한하고 스푸핑으로부터 링크를 보호합니다.
링크 보호를 사용으로 설정하는 방법
링크 보호를 사용 안함으로 설정합니다.
링크 보호를 제거합니다.
링크 보호를 사용 안함으로 설정하는 방법
IP 링크 보호 유형을 지정합니다.
링크 보호 방식을 통과할 수 있는 IP 주소를 지정합니다.
IP 스푸핑으로부터 보호할 IP 주소를 지정하는 방법
DHCP 링크 보호 유형을 지정합니다.
링크 보호 방식을 통과할 수 있는 DHCP 주소를 지정합니다.
DHCP 스푸핑으로부터 보호할 DHCP 클라이언트를 지정하는 방법
링크 보호 구성을 확인합니다.
보호되는 링크와 예외를 나열하고 적용 통계를 표시합니다.
링크 보호 구성 및 통계를 확인하는 방법

링크 보호를 사용으로 설정하는 방법

이 절차에서는 나가는 패킷 유형을 제한하고 링크 스푸핑을 방지합니다.

시작하기 전에

Network Link Security 권한 프로파일에 지정된 관리자여야 합니다. 자세한 내용은 Oracle Solaris 11.1 관리: 보안 서비스의 지정된 관리 권한을 사용하는 방법을 참조하십시오.

  1. 사용 가능한 링크 보호 유형을 확인합니다.
    # dladm show-linkprop -p protection
LINK      PROPERTY      PERM VALUE    DEFAULT    POSSIBLE
vnic0     protection    rw   --       --         mac-nospoof,
                                                 restricted,
                                                 ip-nospoof,
                                                 dhcp-nospoof

    가능한 유형에 대한 설명은 링크 보호 유형dladm(1M) 매뉴얼 페이지를 참조하십시오.

  2. 보호 유형을 하나 이상 지정하여 링크 보호를 사용으로 설정합니다.
    # dladm set-linkprop -p protection=value[,value,...] link

    다음 예에서는 vnic0 링크에서 네 개의 모든 링크 보호가 사용으로 설정되어 있습니다.

    # dladm set-linkprop \
-p protection=mac-nospoof,restricted,ip-nospoof,dhcp-nospoof vnic0
  3. 링크 보호가 사용으로 설정되어 있는지 확인합니다.
    # dladm show-linkprop -p protection vnic0
LINK    PROPERTY       PERM VALUE         DEFAULT      POSSIBLE
vnic0   protection     rw   mac-nospoof   --           mac-nospoof,
                            restricted                 restricted,
                            ip-nospoof                 ip-nospoof,
                            dhcp-nospoof               dhcp-nospoof

    VALUE 아래의 링크 보호 유형은 해당 보호가 사용으로 설정되어 있음을 나타냅니다.

링크 보호를 사용 안함으로 설정하는 방법

이 절차에서는 링크 보호를 기본값인 링크 보호 안함으로 재설정합니다.

시작하기 전에

Network Link Security 권한 프로파일에 지정된 관리자여야 합니다. 자세한 내용은 Oracle Solaris 11.1 관리: 보안 서비스의 지정된 관리 권한을 사용하는 방법을 참조하십시오.

  1. protection 등록 정보를 기본값으로 재설정하여 링크 보호를 사용 안함으로 설정합니다.
    # dladm reset-linkprop -p protection link
  2. 링크 보호가 사용 안함으로 설정되어 있는지 확인합니다.
    # dladm show-linkprop -p protection vnic0
LINK      PROPERTY      PERM VALUE    DEFAULT    POSSIBLE
vnic0     protection    rw   --       --         mac-nospoof,
                                                 restricted,
                                                 ip-nospoof,
                                                 dhcp-nospoof

    VALUE 아래 목록에 링크 보호 유형이 없으면 해당 링크 보호가 사용 안함으로 설정되어 있음을 나타냅니다.

IP 스푸핑으로부터 보호할 IP 주소를 지정하는 방법

시작하기 전에

링크 보호를 사용으로 설정하는 방법에 나온 대로 ip-nospoof 보호 유형이 사용으로 설정되어 있습니다.

Network Link Security 권한 프로파일에 지정된 관리자여야 합니다. 자세한 내용은 Oracle Solaris 11.1 관리: 보안 서비스의 지정된 관리 권한을 사용하는 방법을 참조하십시오.

  1. IP 스푸핑으로부터 보호하도록 설정했는지 확인합니다.
    # dladm show-linkprop -p protection link
LINK    PROPERTY       PERM    VALUE         DEFAULT      POSSIBLE
link     protection     rw      ...
                               ip-nospoof                 ip-nospoof

    VALUE 아래 ip-nospoof 목록은 이 보호 유형이 사용으로 설정되어 있음을 나타냅니다.

  2. allowed-ips 링크 등록 정보의 기본값 목록에 IP 주소를 추가합니다.
    # dladm set-linkprop -p allowed-ips=IP-addr[,IP-addr,...] link

    다음 예에서는 vnic0 링크의 allowed-ips 등록 정보에 IP 주소 10.0.0.110.0.0.2를 추가하는 방법을 보여 줍니다.

    # dladm set-linkprop -p allowed-ips=10.0.0.1,10.0.0.2 vnic0

    자세한 내용은 dladm(1M) 매뉴얼 페이지를 참조하십시오.

DHCP 스푸핑으로부터 보호할 DHCP 클라이언트를 지정하는 방법

시작하기 전에

링크 보호를 사용으로 설정하는 방법에 나온 대로 dhcp-nospoof 보호 유형이 사용으로 설정되어 있습니다.

Network Link Security 권한 프로파일에 지정된 관리자여야 합니다. 자세한 내용은 Oracle Solaris 11.1 관리: 보안 서비스의 지정된 관리 권한을 사용하는 방법을 참조하십시오.

  1. DHCP 스푸핑으로부터 보호하도록 설정했는지 확인합니다.
    # dladm show-linkprop -p protection link
LINK    PROPERTY       PERM    VALUE         DEFAULT      POSSIBLE
link     protection     rw      ...
                               dhcp-nospoof               dhcp-nospoof

    VALUE 아래 dhcp-nospoof 목록은 이 보호 유형이 사용으로 설정되어 있음을 나타냅니다.

  2. allowed-dhcp-cids 링크 등록 정보에 대해 ASCII 구문을 지정합니다.
    # dladm set-linkprop -p allowed-dhcp-cids=CID-or-DUID[,CID-or-DUID,...] link

    다음 예에서는 hello 문자열을 vnic0 링크의 allowed-dhcp-cids 등록 정보 값으로 지정하는 방법을 보여 줍니다.

    # dladm set-linkprop -p allowed-dhcp-cids=hello vnic0

    자세한 내용은 dladm(1M) 매뉴얼 페이지를 참조하십시오.

링크 보호 구성 및 통계를 확인하는 방법

시작하기 전에

Network Link Security 권한 프로파일에 지정된 관리자여야 합니다. 자세한 내용은 Oracle Solaris 11.1 관리: 보안 서비스의 지정된 관리 권한을 사용하는 방법을 참조하십시오.

  1. 링크 보호 등록 정보 값을 확인합니다.
    # dladm show-linkprop -p protection,allowed-ips,allowed-dhcp-cids link

    다음 예에서는 vnic0 링크의 protection, allowed-ipsallowed-dhcp-cids 등록 정보 값을 보여 줍니다.

    # dladm show-linkprop -p protection,allowed-ips,allowed-dhcp-cids vnic0
LINK    PROPERTY            PERM     VALUE           DEFAULT    POSSIBLE
vnic0   protection          rw       mac-nospoof     --         mac-nospoof,
                                     restricted                 restricted,
                                     ip-nospoof                 ip-nospoof,
                                     dhcp-nospoof               dhcp-nospoof
vnic0   allowed-ips         rw       10.0.0.1,       --         --
                                     10.0.0.2
vnic0   allowed-dhcp-cids   rw       hello           --         --

    주 - allowed-ips 등록 정보는 VALUE 아래 나열된 것과 같이 ip-nospoof가 사용으로 설정되어 있는 경우에만 사용됩니다. allowed-dhcp-cids 등록 정보는 dhcp-nospoof가 사용으로 설정되어 있는 경우에만 사용됩니다.

  2. 링크 보호 통계를 확인합니다.

    dlstat 명령의 출력은 커밋되므로 이 명령은 스크립트에 적합합니다.

    # dlstat -A
...
 vnic0
  mac_misc_stat
               multircv                       0
              brdcstrcv                       0
               multixmt                       0
              brdcstxmt                       0
          multircvbytes                       0
           bcstrcvbytes                       0
          multixmtbytes                       0
           bcstxmtbytes                       0
               txerrors                       0
             macspoofed                       0  <----------
              ipspoofed                       0  <----------
            dhcpspoofed                       0  <----------
             restricted                       0  <----------
               ipackets                       3
                 rbytes                     182
...

    출력은 스푸핑되거나 제한된 패킷이 통과를 시도하지 않았음을 나타냅니다.

    kstat 명령을 사용할 수 있지만 해당 출력은 커밋되지 않습니다. 예를 들어, 다음 명령은 dhcpspoofed 통계를 찾습니다.

    # kstat vnic0:0:link:dhcpspoofed
module: vnic0                           instance: 0
name:   link                            class:    vnic
        dhcpspoofed                     0

    자세한 내용은 dlstat(1M)kstat(1M) 매뉴얼 페이지를 참조하십시오.

Copyright © 1999, 2013, Oracle and/or its affiliates. All rights reserved. 법적 공지
이전 다음