Oracle® Solaris 11.2의 네트워크 보안

인쇄 보기 종료

 
업데이트 날짜: 2014년 8월
 
 

미리 공유한 키로 IKEv1을 구성하는 방법

IKE 구현은 키 길이가 다양한 알고리즘을 제공합니다. 키 길이는 사이트 보안에 따라 선택할 수 있습니다. 일반적으로 길이가 긴 키는 길이가 짧은 키에 비해 더 강력한 보안을 제공합니다.

이 절차에서는 ASCII 형식으로 키를 생성합니다.

이 절차에서는 enigmapartym 시스템 이름을 사용합니다. enigmapartym 이름을 사용자의 현재 시스템 이름으로 대체하십시오.

주 - Trusted Extensions 시스템에서 레이블이 있는 IPsec를 사용하려면 Trusted Extensions 구성 및 관리 의 다중 레벨 Trusted Extensions 네트워크에서 IPsec 보호를 적용하는 방법을 참조하십시오.

시작하기 전에

Network IPsec Management 권한 프로파일에 지정된 관리자여야 합니다. 자세한 내용은 Oracle Solaris 11.2의 사용자 및 프로세스 보안 의 지정된 관리 권한 사용을 참조하십시오.

원격으로 관리하는 경우 Example 7–1Oracle Solaris 11.2의 보안 셸 액세스 관리 의 보안 셸을 사용하여 ZFS를 원격으로 관리하는 방법에서 보안 원격 로그인 지침을 참조하십시오.

  1. 각 시스템에서 /etc/inet/ike/config 파일을 만듭니다.

    /etc/inet/ike/config.sample을 템플리트로 사용할 수 있습니다.

  2. 각 시스템의 ike/config 파일에 규칙 및 전역 매개변수를 입력합니다.

    이 파일의 규칙 및 전역 매개변수는 시스템의 ipsecinit.conf 파일에 설정되어 있는 IPsec 정책이 성공하도록 허용해야 합니다. 다음 IKEv1 구성 예는 IPsec을 사용하여 두 서버 간의 네트워크 트래픽을 보호하는 방법ipsecinit.conf 예와 함께 사용합니다.

    1. 예를 들어, enigma 시스템에서 /etc/inet/ike/config 파일을 수정합니다. 
      ### ike/config file on enigma, 192.168.116.16

## Global parameters
#
## Defaults that individual rules can override.
p1_xform
  { auth_method preshared oakley_group 5 auth_alg sha encr_alg 3des }
p2_pfs 2
#
## The rule to communicate with partym
#  Label must be unique
{ label "enigma-partym"
  local_addr 192.168.116.16
  remote_addr 192.168.13.213
  p1_xform
   { auth_method preshared oakley_group 5 auth_alg sha256 encr_alg aes }
  p2_pfs 5
}
    2. partym 시스템에서 /etc/inet/ike/config 파일을 수정합니다. 
      ### ike/config file on partym, 192.168.13.213
## Global Parameters
#
p1_xform
  { auth_method preshared oakley_group 5 auth_alg sha encr_alg 3des }
p2_pfs 2

## The rule to communicate with enigma
#  Label must be unique
{ label "partym-enigma"
  local_addr 192.168.13.213
  remote_addr 192.168.116.16
p1_xform
 { auth_method preshared oakley_group 5 auth_alg sha256 encr_alg aes }
p2_pfs 5
}
  3. 각 시스템에서 파일의 구문을 확인합니다. 
    # /usr/lib/inet/in.iked -c -f /etc/inet/ike/config
  4. 각 시스템에서 미리 공유한 키를 /etc/inet/secret/ike.preshared 파일에 넣습니다.
    1. 예를 들어, enigma 시스템에서는 ike.preshared 파일이 다음과 유사하게 표시됩니다. 
      ## ike.preshared on enigma, 192.168.116.16
#…
{ localidtype IP
	localid 192.168.116.16
	remoteidtype IP
	remoteid 192.168.13.213
	# The preshared key can also be represented in hex
# as in 0xf47cb0f432e14480951095f82b
# key "This is an ASCII Cqret phrAz, use str0ng p@ssword tekniques"
}
    2. partym 시스템에서는 ike.preshared 파일이 다음과 유사하게 표시됩니다. 
      ## ike.preshared on partym, 192.168.13.213
#…
{ localidtype IP
	localid 192.168.13.213
	remoteidtype IP
	remoteid 192.168.116.16
	# The preshared key can also be represented in hex
# as in 0xf47cb0f432e14480951095f82b
	key "This is an ASCII Cqret phrAz, use str0ng p@ssword tekniques"
	}
  5. IKEv1 서비스를 사용으로 설정합니다. 
    # svcadm enable ipsec/ike:default
예 10-1  IKEv1 미리 공유한 키 새로 고침

IKEv1 관리자가 미리 공유한 키를 새로 고치려고 할 경우, 피어 시스템에서 이 파일을 편집하고 in.iked 데몬을 다시 시작합니다.

먼저, 미리 공유한 키를 사용하는 두 서브넷의 모든 시스템에서 관리자는 미리 공유한 키 항목을 변경합니다.

# pfedit -s /etc/inet/secret/ike.preshared
…
{ localidtype IP
	localid 192.168.116.0/24
	remoteidtype IP
	remoteid 192.168.13.0/24
	# The two subnet's shared passphrase for keying material 
key "LOooong key Th@t m^st Be Ch*angEd \'reguLarLy)"
	}

그런 다음 관리자는 모든 시스템에서 IKEv1 서비스를 다시 시작합니다.

pfedit 명령의 옵션에 대한 자세한 내용은 pfedit(1M) 매뉴얼 페이지를 참조하십시오.

# svcadm enable ipsec/ike:default

다음 단계

IPsec 정책 설정을 완료하지 않았으면 IPsec 정책을 사용으로 설정하거나 새로 고치는 IPsec 절차로 돌아가십시오. VPN을 보호하는 IPsec 정책의 예는 IPsec를 사용하여 VPN 보호를 참조하십시오. 다른 IPsec 정책 예는 IPsec을 사용하여 두 서버 간의 네트워크 트래픽을 보호하는 방법을 참조하십시오.

Copyright © 1999, 2014, Oracle and/or its affiliates. All rights reserved. 법적 공지
이전
다음