탐색 링크 건너뛰기 | |
인쇄 보기 종료 | |
Trusted Extensions 구성 및 관리 Oracle Solaris 11.1 Information Library (한국어) |
3. Oracle Solaris에 Trusted Extensions 기능 추가(작업)
5. Trusted Extensions에 대해 LDAP 구성(작업)
8. Trusted Extensions 시스템의 보안 요구 사항(개요)
9. Trusted Extensions에서 일반 작업 수행
10. Trusted Extensions의 사용자, 권한 및 역할(개요)
11. Trusted Extensions에서 사용자, 권한 및 역할 관리(작업)
12. Trusted Extensions에서 원격 관리(작업)
13. Trusted Extensions에서 영역 관리
14. Trusted Extensions에서 파일 관리 및 마운트
16. Trusted Extensions에서 네트워크 관리(작업)
사이트별 보안 템플리트가 필요한지 여부를 확인하는 방법
신뢰할 수 있는 네트워크에 연결할 수 있는 호스트 제한(작업)
신뢰할 수 있는 네트워크에서 연결할 수 있는 호스트를 제한하는 방법
Trusted Extensions 네트워크를 디버깅하는 방법
LDAP 서버에 대한 클라이언트 연결을 디버깅하는 방법
17. Trusted Extensions 및 LDAP(개요)
18. Trusted Extensions의 다중 레벨 메일(개요)
20. Trusted Extensions의 장치(개요)
21. Trusted Extensions에 대한 장치 관리(작업)
23. Trusted Extensions에서 소프트웨어 관리
사이트 보안 정책 및 Trusted Extensions
B. Trusted Extensions 구성 점검 목록
C. Trusted Extensions 관리에 대한 빠른 참조
Trusted Extensions에서 확장된 Oracle Solaris 인터페이스
Trusted Extensions의 강화된 보안 기본값
D. Trusted Extensions 매뉴얼 페이지 목록
Trusted Extensions 매뉴얼 페이지(사전순)
다음 작업 맵에서는 레이블을 IPsec 보호에 추가하는 데 사용되는 작업을 설명합니다.
|
이 절차에서는 다음 조건을 처리하기 위해 두 Trusted Extensions 시스템에서 IPsec를 구성합니다.
enigma 및 partym의 두 시스템이 다중 레벨 네트워크에서 작동하는 다중 레벨 Trusted Extensions 시스템입니다.
응용 프로그램 데이터가 암호화되고 네트워크 내에서 무단 변경을 막도록 보호되어 있습니다.
데이터의 보안 레이블은 enigma 및 partym 시스템 사이의 경로에 있는 다중 레벨 라우터 및 보안 장치에서 사용하도록 CALIPSO 또는 CIPSO IP 옵션의 형태로 표시됩니다.
enigma 및 partym이 교환하는 보안 레이블은 무단 변경을 막도록 보호됩니다.
시작하기 전에
전역 영역에서 root 역할을 가진 사용자입니다.
호스트 및 네트워크 레이블 지정(작업)의 절차를 따릅니다. cipso 호스트 유형의 템플리트를 사용합니다.
절차는 Oracle Solaris 11.1의 네트워크 보안의 IPsec를 사용하여 두 시스템 사이의 트래픽을 보호하는 방법을 참조하십시오. 다음 단계에 설명된 대로 키 관리를 위해 IKE를 사용합니다.
Oracle Solaris 11.1의 네트워크 보안의 미리 공유한 키로 IKE를 구성하는 방법에 나온 절차를 따른 다음 ike/config 파일을 다음과 같이 수정합니다.
결과 파일은 다음과 유사하게 나타납니다. 레이블 추가는 강조 표시되어 있습니다.
### ike/config file on enigma, 192.168.116.16 ## Global parameters # ## Use IKE to exchange security labels. label_aware # ## Defaults that individual rules can override. p1_xform { auth_method preshared oakley_group 5 auth_alg sha encr_alg 3des } p2_pfs 2 # ## The rule to communicate with partym # Label must be unique { label "enigma-partym" local_addr 192.168.116.16 remote_addr 192.168.13.213 multi_label wire_label inner p1_xform { auth_method preshared oakley_group 5 auth_alg sha1 encr_alg aes } p2_pfs 5 }
### ike/config file on partym, 192.168.13.213 ## Global Parameters # ## Use IKE to exchange security labels. label_aware # p1_xform { auth_method preshared oakley_group 5 auth_alg sha encr_alg 3des } p2_pfs 2 ## The rule to communicate with enigma # Label must be unique { label "partym-enigma" local_addr 192.168.13.213 remote_addr 192.168.116.16 multi_label wire_label inner p1_xform { auth_method preshared oakley_group 5 auth_alg sha1 encr_alg aes } p2_pfs 5 }
/etc/inet/ipsecinit.conf 파일의 auth_algs 대신 encr_auth_algs를 사용하여 인증을 처리하십시오. ESP 인증은 IP 헤더 및 IP 옵션을 포함하지 않지만, ESP 헤더 이후의 모든 정보를 인증합니다.
{laddr enigma raddr partym} ipsec {encr_algs any encr_auth_algs any sa shared}
주 - 인증서로 보호되는 시스템에 레이블을 추가할 수도 있습니다. 공개 키 인증서는 Trusted Extensions 시스템의 전역 영역에서 관리됩니다. Oracle Solaris 11.1의 네트워크 보안의 공개 키 인증서로 IKE 구성에 나온 절차를 완료할 때 ike/config 파일을 유사하게 수정합니다.
이 절차에서는 두 Trusted Extensions VPN 게이트웨이 시스템 사이의 공용 네트워크에서 IPsec 터널을 구성합니다. 이 절차에서 사용된 예는 Oracle Solaris 11.1의 네트워크 보안의 VPN을 보호하기 위한 IPsec 작업에 대한 네트워크 토폴로지 설명에 나온 구성을 기준으로 합니다.
이 구성에서 다음과 같은 수정 사항이 있습니다.
10 서브넷은 다중 레벨 신뢰할 수 있는 네트워크입니다. CALIPSO 또는 CIPSO IP 옵션 보안 레이블을 이러한 LAN에서 볼 수 있습니다.
192.168 서브넷은 PUBLIC 레이블에서 작동하는 단일 레이블 신뢰할 수 없는 네트워크입니다. 이러한 네트워크는 CALIPSO 또는 CIPSO IP 옵션을 지원하지 않습니다.
euro-vpn 및 calif-vpn 간의 레이블이 있는 트래픽은 무단 변경으로부터 보호됩니다.
시작하기 전에
전역 영역에서 root 역할을 가진 사용자입니다.
cipso 호스트 유형의 템플리트를 사용합니다. ADMIN_LOW ~ ADMIN_HIGH의 기본 레이블 범위를 유지합니다.
레이블이 없는 호스트 유형의 템플리트를 사용합니다. 기본 레이블을 PUBLIC으로 설정합니다. ADMIN_LOW ~ ADMIN_HIGH의 기본 레이블 범위를 유지합니다.
기본 레이블 범위를 유지합니다.
Oracle Solaris 11.1의 네트워크 보안의 터널 모드에서 IPsec를 사용하여 VPN을 보호하는 방법에 나온 절차를 따릅니다. 다음 단계에 설명된 대로 키 관리를 위해 IKE를 사용합니다.
Oracle Solaris 11.1의 네트워크 보안의 미리 공유한 키로 IKE를 구성하는 방법에 나온 절차를 따른 다음 ike/config 파일을 다음과 같이 수정합니다.
결과 파일은 다음과 유사하게 나타납니다. 레이블 추가는 강조 표시되어 있습니다.
### ike/config file on euro-vpn, 192.168.116.16 ## Global parameters # ## Use IKE to exchange security labels. label_aware # ## Defaults that individual rules can override. p1_xform { auth_method preshared oakley_group 5 auth_alg sha encr_alg 3des } p2_pfs 2 # ## The rule to communicate with calif-vpn # Label must be unique { label "eurovpn-califvpn" local_addr 192.168.116.16 remote_addr 192.168.13.213 multi_label wire_label none PUBLIC p1_xform { auth_method preshared oakley_group 5 auth_alg sha1 encr_alg aes } p2_pfs 5 }
### ike/config file on calif-vpn, 192.168.13.213 ## Global Parameters # ## Use IKE to exchange security labels. label_aware # p1_xform { auth_method preshared oakley_group 5 auth_alg sha encr_alg 3des } p2_pfs 2 ## The rule to communicate with euro-vpn # Label must be unique { label "califvpn-eurovpn" local_addr 192.168.13.213 remote_addr 192.168.116.16 multi_label wire_label none PUBLIC p1_xform { auth_method preshared oakley_group 5 auth_alg sha1 encr_alg aes } p2_pfs 5 }
주 - 인증서로 보호되는 시스템에 레이블을 추가할 수도 있습니다. Oracle Solaris 11.1의 네트워크 보안의 공개 키 인증서로 IKE 구성에 나온 절차를 완료할 때 ike/config 파일을 유사하게 수정합니다.