탐색 링크 건너뛰기 | |
인쇄 보기 종료 | |
Oracle Solaris 11.1의 네트워크 보안 Oracle Solaris 11.1 Information Library (한국어) |
|
이 절차에 따라 기본 라우터를 지정하여 설치한 후 네트워크 경로 지정을 방지합니다. 그렇지 않으면 경로 지정을 수동으로 구성한 후 이 절차를 수행하십시오.
주 - 여러 네트워크 구성 절차에서는 경로 지정 데몬을 사용 안함으로 설정해야 합니다. 따라서 대규모 구성 절차에서는 이 데몬이 사용 안함으로 설정되었을 수 있습니다.
시작하기 전에
Network Management 권한 프로파일에 지정된 관리자여야 합니다. 자세한 내용은 Oracle Solaris 11.1 관리: 보안 서비스의 지정된 관리 권한을 사용하는 방법을 참조하십시오.
# svcs -x svc:/network/routing/route:default svc:/network/routing/route:default (in.routed network routing daemon) State: online since April 10, 2011 05:15:35 AM PDT See: in.routed(1M) See: /var/svc/log/network-routing-route:default.log Impact: None.
서비스가 실행 중이 아니면 여기에서 중지할 수 있습니다.
# routeadm -d ipv4-forwarding -d ipv6-forwarding # routeadm -d ipv4-routing -d ipv6-routing # routeadm -u
# svcs -x routing/route:default svc:/network/routing/route:default (in.routed network routing daemon) State: disabled since April 11, 2011 10:10:10 AM PDT Reason: Disabled by an administrator. See: http://support.oracle.com/msg/SMF-8000-05 See: in.routed(1M) Impact: This service is not running.
참조
routeadm(1M) 매뉴얼 페이지
기본적으로 Oracle Solaris는 브로드캐스트 패킷을 전달합니다. 사이트 보안 정책에 따라 브로드캐스트 범람 가능성을 줄여야 하는 경우 이 절차를 사용하여 기본값을 변경하십시오.
주 - _forward_directed_broadcasts 네트워크 등록 정보를 사용 안함으로 설정하면 브로드캐스트 핑이 사용 안함으로 설정됩니다.
시작하기 전에
Network Management 권한 프로파일에 지정된 관리자여야 합니다. 자세한 내용은 Oracle Solaris 11.1 관리: 보안 서비스의 지정된 관리 권한을 사용하는 방법을 참조하십시오.
# ipadm set-prop -p _forward_directed_broadcasts=0 ip
# ipadm show-prop -p _forward_directed_broadcasts ip PROTO PROPERTY PERM CURRENT PERSISTENT DEFAULT POSSIBLE ip _forward_directed_broadcasts rw 0 -- 0 0,1
참조
ipadm(1M) 매뉴얼 페이지
이 절차를 사용하여 네트워크 토폴로지에 대한 정보 배포를 방지합니다.
시작하기 전에
Network Management 권한 프로파일에 지정된 관리자여야 합니다. 자세한 내용은 Oracle Solaris 11.1 관리: 보안 서비스의 지정된 관리 권한을 사용하는 방법을 참조하십시오.
# ipadm set-prop -p _respond_to_echo_broadcast=0 ip # ipadm show-prop -p _respond_to_echo_broadcast ip PROTO PROPERTY PERM CURRENT PERSISTENT DEFAULT POSSIBLE ip _respond_to_echo_broadcast rw 0 -- 1 0,1
# ipadm set-prop -p _respond_to_echo_multicast=0 ipv4 # ipadm set-prop -p _respond_to_echo_multicast=0 ipv6 # ipadm show-prop -p _respond_to_echo_multicast ipv4 PROTO PROPERTY PERM CURRENT PERSISTENT DEFAULT POSSIBLE ipv4 _respond_to_echo_multicast rw 0 -- 1 0,1 # ipadm show-prop -p _respond_to_echo_multicast ipv6 PROTO PROPERTY PERM CURRENT PERSISTENT DEFAULT POSSIBLE ipv6 _respond_to_echo_multicast rw 0 -- 1 0,1
참조
자세한 내용은 Oracle Solaris 11.1 조정 가능 매개변수 참조 설명서의 _respond_to_echo_broadcast 및 _respond_to_echo_multicast (ipv4 or ipv6) 및 ipadm(1M) 매뉴얼 페이지를 참조하십시오.
다른 시스템에 대한 게이트웨이인 시스템(예: 방화벽 또는 VPN 노드)의 경우 이 절차를 사용하여 엄격한 다중 홈 지정을 설정합니다. hostmodel 등록 정보는 다중 홈 지정 시스템에 대한 IP 패킷의 전송 및 수신 동작을 제어합니다.
시작하기 전에
Network Management 권한 프로파일에 지정된 관리자여야 합니다. 자세한 내용은 Oracle Solaris 11.1 관리: 보안 서비스의 지정된 관리 권한을 사용하는 방법을 참조하십시오.
# ipadm set-prop -p hostmodel=strong ipv4 # ipadm set-prop -p hostmodel=strong ipv6
# ipadm show-prop -p hostmodel ip PROTO PROPERTY PERM CURRENT PERSISTENT DEFAULT POSSIBLE ipv6 hostmodel rw strong strong weak strong,src-priority,weak ipv4 hostmodel rw strong strong weak strong,src-priority,weak
참조
자세한 내용은 Oracle Solaris 11.1 조정 가능 매개변수 참조 설명서의 hostmodel (ipv4 or ipv6) 및 ipadm(1M) 매뉴얼 페이지를 참조하십시오.
엄격한 다중 홈 지정 사용에 대한 자세한 내용은 터널 모드에서 IPsec를 사용하여 VPN을 보호하는 방법을 참조하십시오.
이 절차에 따라 완전하지 않은 보류 중인 연결 개수를 제어하여 서비스 거부(DOS) 공격을 방지합니다.
시작하기 전에
Network Management 권한 프로파일에 지정된 관리자여야 합니다. 자세한 내용은 Oracle Solaris 11.1 관리: 보안 서비스의 지정된 관리 권한을 사용하는 방법을 참조하십시오.
# ipadm set-prop -p _conn_req_max_q0=4096 tcp
# ipadm show-prop -p _conn_req_max_q0 tcp PROTO PROPERTY PERM CURRENT PERSISTENT DEFAULT POSSIBLE tcp _conn_req_max_q0 rw 4096 -- 128 1-4294967295
참조
자세한 내용은 Oracle Solaris 11.1 조정 가능 매개변수 참조 설명서의 _conn_req_max_q0 및 ipadm(1M) 매뉴얼 페이지를 참조하십시오.
이 절차에 따라 허용된 수신 중인 연결 개수를 제어하여 DOS 공격을 방지합니다.
시작하기 전에
Network Management 권한 프로파일에 지정된 관리자여야 합니다. 자세한 내용은 Oracle Solaris 11.1 관리: 보안 서비스의 지정된 관리 권한을 사용하는 방법을 참조하십시오.
# ipadm set-prop -p _conn_req_max_q=1024 tcp
# ipadm show-prop -p _conn_req_max_q tcp PROTO PROPERTY PERM CURRENT PERSISTENT DEFAULT POSSIBLE tcp _conn_req_max_q rw 1024 -- 128 1-4294967295
참조
자세한 내용은 Oracle Solaris 11.1 조정 가능 매개변수 참조 설명서의 _conn_req_max_q 및 ipadm(1M) 매뉴얼 페이지를 참조하십시오.
이 절차에서는 RFC 6528을 준수하는 TCP 초기 시퀀스 번호 생성 매개변수를 설정합니다.
시작하기 전에
solaris.admin.edit/etc.default/inetinit 권한 부여가 지정된 관리자여야 합니다. 기본적으로 root 역할에 이 권한 부여가 있습니다. 자세한 내용은 Oracle Solaris 11.1 관리: 보안 서비스의 지정된 관리 권한을 사용하는 방법을 참조하십시오.
# pfedit /etc/default/inetinit # TCP_STRONG_ISS=1 TCP_STRONG_ISS=2
# /usr/sbin/reboot
라우터는 ICMP 재지정 메시지를 사용하여 대상에 더 직접적인 경로를 호스트에 알립니다. 불법적인 ICMP 재지정 메시지는 중간 전달자의 공격을 초래할 수 있습니다.
시작하기 전에
Network Management 권한 프로파일에 지정된 관리자여야 합니다. 자세한 내용은 Oracle Solaris 11.1 관리: 보안 서비스의 지정된 관리 권한을 사용하는 방법을 참조하십시오.
ICMP 재지정 메시지는 호스트의 경로 테이블을 수정하며 인증되지 않습니다. 또한 재지정된 패킷을 처리하려면 시스템의 CPU가 더 많이 필요합니다.
# ipadm set-prop -p _ignore_redirect=1 ipv4 # ipadm set-prop -p _ignore_redirect=1 ipv6 # ipadm show-prop -p _ignore_redirect ipv4 PROTO PROPERTY PERM CURRENT PERSISTENT DEFAULT POSSIBLE ipv4 _ignore_redirect rw 1 1 0 0,1 # ipadm show-prop -p _ignore_redirect ipv6 PROTO PROPERTY PERM CURRENT PERSISTENT DEFAULT POSSIBLE ipv6 _ignore_redirect rw 1 1 0 0,1
이러한 메시지에는 네트워크 토폴로지 부분을 노출시킬 수 있는 경로 테이블 정보가 포함되어 있습니다.
# ipadm set-prop -p _send_redirects=0 ipv4 # ipadm set-prop -p _send_redirects=0 ipv6 # ipadm show-prop -p _send_redirects ipv4 PROTO PROPERTY PERM CURRENT PERSISTENT DEFAULT POSSIBLE ipv4 _send_redirects rw 0 0 1 0,1 # ipadm show-prop -p _send_redirects ipv6 PROTO PROPERTY PERM CURRENT PERSISTENT DEFAULT POSSIBLE ipv6 _send_redirects rw 0 0 1 0,1
자세한 내용은 Oracle Solaris 11.1 조정 가능 매개변수 참조 설명서의 _send_redirects (ipv4 or ipv6) 및 ipadm(1M) 매뉴얼 페이지를 참조하십시오.
기본적으로 보안되는 여러 네트워크 매개변수는 조정 가능하며 기본값에서 변경되었을 수 있습니다. 사이트 조건에서 허용하는 경우 다음과 같은 튜닝 가능한 매개변수를 해당 기본값으로 반환합니다.
시작하기 전에
Network Management 권한 프로파일에 지정된 관리자여야 합니다. 자세한 내용은 Oracle Solaris 11.1 관리: 보안 서비스의 지정된 관리 권한을 사용하는 방법을 참조하십시오.
기본값은 허위로 제공된 패킷으로부터의 DOS 공격을 방지합니다.
# ipadm set-prop -p _forward_src_routed=0 ipv4 # ipadm set-prop -p _forward_src_routed=0 ipv6 # ipadm show-prop -p _forward_src_routed ipv4 PROTO PROPERTY PERM CURRENT PERSISTENT DEFAULT POSSIBLE ipv4 _forward_src_routed rw 0 -- 0 0,1 # ipadm show-prop -p _forward_src_routed ipv6 PROTO PROPERTY PERM CURRENT PERSISTENT DEFAULT POSSIBLE ipv6 _forward_src_routed rw 0 -- 0 0,1
자세한 내용은 Oracle Solaris 11.1 조정 가능 매개변수 참조 설명서의 forwarding (ipv4 or ipv6)을 참조하십시오.
기본값은 네트워크 토폴로지 정보의 배포를 방지합니다.
# ipadm set-prop -p _respond_to_address_mask_broadcast=0 ip # ipadm show-prop -p _respond_to_address_mask_broadcast ip PROTO PROPERTY PERM CURRENT PERSISTENT DEFAULT POSSIBLE ip _respond_to_address_mask_broadcast rw 0 -- 0 0,1
기본값은 시스템에서 추가 CPU 요구를 제거하고 네트워크 정보의 배포를 방지합니다.
# ipadm set-prop -p _respond_to_timestamp=0 ip # ipadm show-prop -p _respond_to_timestamp ip PROTO PROPERTY PERM CURRENT PERSISTENT DEFAULT POSSIBLE ip _respond_to_timestamp rw 0 -- 0 0,1
기본값은 시스템에서 추가 CPU 요구를 제거하고 네트워크 정보의 배포를 방지합니다.
# ipadm set-prop -p _respond_to_timestamp_broadcast=0 ip # ipadm show-prop -p _respond_to_timestamp_broadcast ip PROTO PROPERTY PERM CURRENT PERSISTENT DEFAULT POSSIBLE ip _respond_to_timestamp_broadcast rw 0 -- 0 0,1
기본값은 패킷이 네트워크 보안 조치를 무시하지 못하도록 합니다. 소스 경로가 지정된 패킷의 경우 패킷 소스가 라우터에 구성된 경로와 다른 경로를 표시하도록 허용합니다.
주 - 진단을 위해 이 매개변수를 1로 설정할 수 있습니다. 진단이 완료되면 이 값을 0으로 되돌립니다.
# ipadm set-prop -p _rev_src_routes=0 tcp # ipadm show-prop -p _rev_src_routes tcp PROTO PROPERTY PERM CURRENT PERSISTENT DEFAULT POSSIBLE tcp _rev_src_routes rw 0 -- 0 0,1
자세한 내용은 Oracle Solaris 11.1 조정 가능 매개변수 참조 설명서의 _rev_src_routes를 참조하십시오.
참조
ipadm(1M) 매뉴얼 페이지