시작하기 전에
root 역할을 맡아야 합니다. 자세한 내용은 Oracle Solaris 11.2의 사용자 및 프로세스 보안 의 지정된 관리 권한 사용을 참조하십시오. 원격으로 관리하는 경우 Example 7–1 및 Oracle Solaris 11.2의 보안 셸 액세스 관리 의 보안 셸을 사용하여 ZFS를 원격으로 관리하는 방법에서 보안 원격 로그인 지침을 참조하십시오.
중앙 시스템에는 광범위한 IP 주소를 허용하는 정책이 필요합니다. 나중에 IKE 정책의 인증서를 사용하면 연결하는 시스템이 적합한 것으로 보장됩니다.
# /etc/inet/ipsecinit.conf on central # Keep everyone out unless they use this IPsec policy: {} ipsec {encr_algs aes encr_auth_algs sha256 sa shared}
DNS가 중앙 시스템을 식별합니다. 인증서는 시스템을 인증하는 데 사용됩니다.
## /etc/inet/ike/ike.config on central # Global parameters # # Find CRLs by URI, URL, or LDAP # Use CRL from organization's URI use_http # # Use web proxy proxy "http://somecache.domain:port/" # # Use LDAP server ldap_server "ldap-server1.domain.org,ldap2.domain.org:port" # # List CA-signed certificates cert_root "C=US, O=Domain Org, CN=Domain STATE" # # List self-signed certificates - trust server and enumerated others #cert_trust "DNS=central.domain.org" #cert_trust "DNS=mobile.domain.org" #cert_trust "DN=CN=Domain Org STATE (CLASS), O=Domain Org #cert_trust "email=root@central.domain.org" #cert_trust "email=user1@mobile.domain.org" # # Rule for mobile systems with certificate { label "Mobile systems with certificate" local_id_type DNS # CA's public certificate ensures trust, # so allow any remote_id and any remote IP address. remote_id "" remote_addr 0.0.0.0/0 p2_pfs 5 p1_xform {auth_method rsa_sig oakley_group 5 encr_alg aes auth_alg sha256 } }
/etc/hosts 파일에 모바일 시스템의 주소가 없어도 되지만 지정해도 됩니다. 중앙 시스템 central에 대한 공용 IP 주소는 포함해야 합니다.
# /etc/hosts on mobile central 192.xxx.xxx.x
모바일 시스템이 공용 IP 주소로 중앙 시스템을 찾아야 합니다. 시스템은 동일한 IPsec 정책을 구성해야 합니다.
# /etc/inet/ipsecinit.conf on mobile # Find central {raddr 192.xxx.xxx.x} ipsec {encr_algs aes encr_auth_algs sha256 sa shared}
IP 주소는 식별자일 수 없습니다. 모바일 시스템에 유효한 식별자는 다음과 같습니다.
DN=ldap-directory-name
DNS=domain-name-server-address
email=email-address
인증서는 모바일 시스템 mobile을 인증하는 데 사용됩니다.
## /etc/inet/ike/ike.config on mobile # Global parameters # # Find CRLs by URI, URL, or LDAP # Use CRL from organization's URI use_http # # Use web proxy proxy "http://somecache.domain:port/" # # Use LDAP server ldap_server "ldap-server1.domain.org,ldap2.domain.org:port" # # List CA-signed certificates cert_root "C=US, O=Domain Org, CN=Domain STATE" # # Self-signed certificates - trust me and enumerated others #cert_trust "DNS=mobile.domain.org" #cert_trust "DNS=central.domain.org" #cert_trust "DN=CN=Domain Org STATE (CLASS), O=Domain Org #cert_trust "email=user1@domain.org" #cert_trust "email=root@central.domain.org" # # Rule for off-site systems with root certificate { label "Off-site mobile with certificate" local_id_type DNS # NAT-T can translate local_addr into any public IP address # central knows me by my DNS local_id "mobile.domain.org" local_addr 0.0.0.0/0 # Find central and trust the root certificate remote_id "central.domain.org" remote_addr 192.xxx.xxx.x p2_pfs 5 p1_xform {auth_method rsa_sig oakley_group 5 encr_alg aes auth_alg sha256 } }
# svcadm enable svc:/network/ipsec/ike:default
IKE는 NAT 박스 뒤에서 협상을 시작할 수 있습니다. 하지만 적합한 IKE 설정은 개입하는 NAT 박스가 없는 것입니다. 다음 예에서는 CA의 공개 인증서가 모바일 시스템 및 중앙 시스템에 배치되었습니다. 중앙 시스템이 NAT 박스 뒤에 있는 시스템의 IPsec 협상을 승인합니다. main1은 오프사이트 시스템의 연결을 승인할 수 있는 회사 시스템입니다. 오프사이트 시스템을 설정하려면 Example 10–5를 참조하십시오.
## /etc/hosts on main1 main1 192.168.0.100
## /etc/inet/ipsecinit.conf on main1 # Keep everyone out unless they use this IPsec policy: {} ipsec {encr_algs aes encr_auth_algs sha256 sa shared}
## /etc/inet/ike/ike.config on main1 # Global parameters # # Find CRLs by URI, URL, or LDAP # Use CRL from organization's URI use_http # # Use web proxy proxy "http://cache1.domain.org:8080/" # # Use LDAP server ldap_server "ldap1.domain.org,ldap2.domain.org:389" # # List CA-signed certificate cert_root "C=US, O=ExampleCA Inc, OU=CA-Example, CN=Example CA" # # Rule for off-site systems with root certificate { label "Off-site system with root certificate" local_id_type DNS local_id "main1.domain.org" local_addr 192.168.0.100 # CA's public certificate ensures trust, # so allow any remote_id and any remote IP address. remote_id "" remote_addr 0.0.0.0/0 p2_pfs 5 p1_xform {auth_method rsa_sig oakley_group 5 encr_alg aes auth_alg sha256} p1_xform {auth_method rsa_sig oakley_group 5 encr_alg aes auth_alg sha256} p1_xform {auth_method rsa_sig oakley_group 5 encr_alg aes auth_alg sha256} p1_xform {auth_method rsa_sig oakley_group 5 encr_alg aes auth_alg sha256} }예 10-5 NAT 뒤에서 IPsec 및 IKEv1을 사용하여 시스템 구성
다음 예에서는 CA의 공개 인증서가 모바일 시스템 및 중앙 시스템에 배치됩니다. mobile1은 자택에서 회사 본사에 연결하고 있습니다. 인터넷 서비스 제공업체(ISP) 네트워크는 NAT 박스를 사용하여 ISP가 mobile1에 개인 주소를 지정할 수 있도록 합니다. 그러면 NAT 박스는 다른 ISP 네트워크 노드와 공유되는 공용 IP 주소로 개인 주소를 변환합니다. 회사 본사는 NAT 뒤에 없습니다. 회사 본사에서 컴퓨터를 설정하려면 Example 10–4를 참조하십시오.
## /etc/hosts on mobile1 mobile1 10.1.3.3 main1 192.168.0.100
## /etc/inet/ipsecinit.conf on mobile1 # Find main1 {raddr 192.168.0.100} ipsec {encr_algs aes encr_auth_algs sha256 sa shared}
## /etc/inet/ike/ike.config on mobile1 # Global parameters # # Find CRLs by URI, URL, or LDAP # Use CRL from organization's URI use_http # # Use web proxy proxy "http://cache1.domain.org:8080/" # # Use LDAP server ldap_server "ldap1.domain.org,ldap2.domain.org:389" # # List CA-signed certificate cert_root "C=US, O=ExampleCA Inc, OU=CA-Example, CN=Example CA" # # Rule for off-site systems with root certificate { label "Off-site mobile1 with root certificate" local_id_type DNS local_id "mobile1.domain.org" local_addr 0.0.0.0/0 # Find main1 and trust the root certificate remote_id "main1.domain.org" remote_addr 192.168.0.100 p2_pfs 5 p1_xform {auth_method rsa_sig oakley_group 5 encr_alg aes auth_alg sha256 } }예 10-6 모바일 시스템의 자체 서명된 인증서 승인
다음 예에서는 자체 서명된 인증서가 발급되었으며 모바일 및 중앙 시스템에 배치됩니다. main1은 오프사이트 시스템의 연결을 승인할 수 있는 회사 시스템입니다. 오프사이트 시스템을 설정하려면 Example 10–7을 참조하십시오.
## /etc/hosts on main1 main1 192.168.0.100
## /etc/inet/ipsecinit.conf on main1 # Keep everyone out unless they use this IPsec policy: {} ipsec {encr_algs aes encr_auth_algs sha256 sa shared}
## /etc/inet/ike/ike.config on main1 # Global parameters # # Self-signed certificates - trust me and enumerated others cert_trust "DNS=main1.domain.org" cert_trust "jdoe@domain.org" cert_trust "user2@domain.org" cert_trust "user3@domain.org" # # Rule for off-site systems with trusted certificate { label "Off-site systems with trusted certificates" local_id_type DNS local_id "main1.domain.org" local_addr 192.168.0.100 # Trust the self-signed certificates # so allow any remote_id and any remote IP address. remote_id "" remote_addr 0.0.0.0/0 p2_pfs 5 p1_xform {auth_method rsa_sig oakley_group 5 encr_alg aes auth_alg sha256 } }예 10-7 자체 서명된 인증서를 사용하여 중앙 시스템에 연결
다음 예에서는 mobile1이 자택에서 회사 본사에 연결하고 있습니다. 인증서가 발급되었으며 모바일 및 중앙 시스템에 배치됩니다. ISP 네트워크는 NAT 박스를 사용하여 ISP가 mobile1에 개인 주소를 지정할 수 있도록 합니다. 그러면 NAT 박스는 다른 ISP 네트워크 노드와 공유되는 공용 IP 주소로 개인 주소를 변환합니다. 회사 본사는 NAT 뒤에 없습니다. 회사 본사에서 컴퓨터를 설정하려면 Example 10–6을 참조하십시오.
## /etc/hosts on mobile1 mobile1 10.1.3.3 main1 192.168.0.100
## /etc/inet/ipsecinit.conf on mobile1 # Find main1 {raddr 192.168.0.100} ipsec {encr_algs aes encr_auth_algs sha256 sa shared}
## /etc/inet/ike/ike.config on mobile1 # Global parameters # Self-signed certificates - trust me and the central system cert_trust "jdoe@domain.org" cert_trust "DNS=main1.domain.org" # # Rule for off-site systems with trusted certificate { label "Off-site mobile1 with trusted certificate" local_id_type email local_id "jdoe@domain.org" local_addr 0.0.0.0/0 # Find main1 and trust the certificate remote_id "main1.domain.org" remote_addr 192.168.0.100 p2_pfs 5 p1_xform {auth_method rsa_sig oakley_group 5 encr_alg aes auth_alg sha256 } }
다음 단계
IPsec 정책 설정을 완료하지 않았으면 IPsec 정책을 사용으로 설정하거나 새로 고치는 IPsec 절차로 돌아가십시오. VPN을 보호하는 IPsec 정책의 예는 IPsec를 사용하여 VPN 보호를 참조하십시오. 다른 IPsec 정책 예는 IPsec을 사용하여 두 서버 간의 네트워크 트래픽을 보호하는 방법을 참조하십시오.