이 섹션에는 IPsec 서비스, 선택된 IPsec RFC, IPsec과 관련된 파일 및 명령 등이 나옵니다.
SMF(서비스 관리 기능)는 IPsec에 대한 다음 서비스를 제공합니다.
svc:/network/ipsec/policy 서비스 – IPsec 정책을 관리합니다. 기본적으로 이 서비스는 사용으로 설정됩니다. config_file 등록 정보의 값으로 ipsecinit.conf 파일의 위치를 결정합니다. DefaultFixed 네트워크 구성 프로파일을 실행 중인 시스템의 초기 값은 /etc/inet/ipsecinit.conf입니다. 이 프로파일을 실행하고 있지 않은 시스템에서는 등록 정보 값이 비어 있습니다.
svc:/network/ipsec/ipsecalgs 서비스 – IPsec에 사용 가능한 알고리즘을 관리합니다. 기본적으로 이 서비스는 사용으로 설정됩니다.
svc:/network/ipsec/manual-key 서비스 – 수동 키 관리를 활성화합니다. 기본적으로 이 서비스는 사용 안함으로 설정됩니다. config_file 등록 정보의 값으로 ipseckeys 구성 파일의 위치를 결정합니다. 초기 값은 /etc/inet/secret/ipseckeys입니다.
svc:/network/ipsec/ike 서비스 – IKE를 관리합니다. 기본적으로 이 서비스는 사용 안함으로 설정됩니다. 구성 가능한 등록 정보는 IKEv2 서비스 및 IKEv1 서비스를 참조하십시오.
SMF에 대한 자세한 내용은 Oracle Solaris 11.2의 시스템 서비스 관리 의 1 장, 서비스 관리 기능 소개를 참조하십시오. 또한 smf(5), svcadm(1M) 및 svccfg(1M) 매뉴얼 페이지를 참조하십시오.
ipsecconf 명령을 사용하여 호스트의 IPsec 정책을 구성합니다. 명령을 실행하여 정책을 구성할 때 시스템은 커널에 IPsec 정책 항목을 만듭니다. 시스템에서는 이러한 항목을 사용하여 모든 인바운드 및 아웃바운드 IP 데이터그램에 대한 정책을 확인합니다. 터널링 및 전달되지 않은 패킷은 이 명령을 사용하여 추가한 정책 확인에 영향을 받지 않습니다. ipsecconf 명령으로 SPD(보안 정책 데이터베이스)의 IPsec 항목도 관리합니다. IPsec 정책 옵션은 ipsecconf(1M) 매뉴얼 페이지를 참조하십시오.
ipsecconf 명령을 호출하려면 root 역할이 있어야 합니다. 이 명령을 통해 양방향에서 트래픽을 보호하는 항목을 구성할 수 있습니다. 한 방향에서만 트래픽을 보호하는 항목도 구성할 수 있습니다.
로컬 주소 및 원격 주소 형식의 정책 항목은 단일 정책 항목으로 양방향에서 트래픽을 보호할 수 있습니다. 예를 들어, laddr host1 및 raddr host2 패턴을 포함하는 항목은 명명된 호스트에 대해 방향을 지정하지 않은 경우 양방향에서 트래픽을 보호합니다. 따라서 각 호스트에 대해 하나의 정책 항목만 필요합니다.
ipsecconf 명령으로 추가된 정책 항목은 시스템을 재부트하면 없어집니다. 시스템이 부트할 때 IPsec 정책이 활성화되도록 하려면 정책 항목을 /etc/inet/ipsecinit.conf 파일에 추가한 다음 policy 서비스를 새로 고치거나 사용으로 설정합니다. 예는 IPsec을 사용하여 네트워크 트래픽 보호를 참조하십시오.
Oracle Solaris를 시작할 때 IPsec 보안 정책을 사용으로 설정하려면 구성 파일을 만들어 특정 IPsec 정책 항목으로 IPsec를 초기화합니다. 이 파일에 대한 기본 이름은 /etc/inet/ipsecinit.conf입니다. 정책 항목 및 해당 형식에 대한 자세한 내용은 ipsecconf(1M) 매뉴얼 페이지를 참조하십시오. 정책이 구성된 후 svcadm refresh ipsec/policy 명령으로 정책을 새로 고칠 수 있습니다.
Oracle Solaris 소프트웨어에는 샘플 IPsec 정책 파일 ipsecinit.sample이 포함되어 있습니다. 이 파일을 템플리트로 사용하여 자신의 ipsecinit.conf 파일을 만들 수 있습니다. ipsecinit.sample 파일에는 다음 예가 포함되어 있습니다.
...
# In the following simple example, outbound network traffic between the local
# host and a remote host will be encrypted. Inbound network traffic between
# these addresses is required to be encrypted as well.
#
# This example assumes that 10.0.0.1 is the IPv4 address of this host (laddr)
# and 10.0.0.2 is the IPv4 address of the remote host (raddr).
#
{laddr 10.0.0.1 raddr 10.0.0.2} ipsec
{encr_algs aes encr_auth_algs sha256 sa shared}
# The policy syntax supports IPv4 and IPv6 addresses as well as symbolic names.
# Refer to the ipsecconf(1M) man page for warnings on using symbolic names and
# many more examples, configuration options and supported algorithms.
#
# This example assumes that 10.0.0.1 is the IPv4 address of this host (laddr)
# and 10.0.0.2 is the IPv4 address of the remote host (raddr).
#
# The remote host will also need an IPsec (and IKE) configuration that mirrors
# this one.
#
# The following line will allow ssh(1) traffic to pass without IPsec protection:
{lport 22 dir both} bypass {}
#
# {laddr 10.0.0.1 dir in} drop {}
#
# Uncommenting the above line will drop all network traffic to this host unless
# it matches the rules above. Leaving this rule commented out will allow
# network packets that do not match the above rules to pass up the IP
# network stack. ,,,
설정된 연결에 대한 IPsec 정책은 변경할 수 없습니다. 정책을 변경할 수 없는 소켓을 잠긴 소켓이라고 합니다. 새 정책 항목은 이미 잠긴 소켓을 보호하지 않습니다. 자세한 내용은 connect(3SOCKET) 및 accept(3SOCKET) 매뉴얼 페이지를 참조하십시오. 의심스러운 경우 연결을 다시 시작하십시오. 자세한 내용은 ipsecconf(1M) 매뉴얼 페이지의 SECURITY 섹션을 참조하십시오.
암호화 프레임워크는 IPsec에 인증 및 암호화 알고리즘을 제공합니다. ipsecalgs 명령은 각 IPsec 프로토콜이 지원하는 알고리즘을 나열할 수 있습니다. ipsecalgs 구성은 /etc/inet/ipsecalgs 파일에 저장됩니다. 일반적으로 이 파일은 수정할 필요가 없으며 직접 편집하지 않아야 합니다. 그러나 파일을 수정해야 하는 경우 ipsecalgs 명령을 사용합니다. 지원되는 알고리즘은 시스템 부트 시 svc:/network/ipsec/ipsecalgs:default 서비스로 커널과 동기화됩니다.
유효한 IPsec 프로토콜 및 알고리즘은 RFC 2407에 포함된 ISAKMP DOI(Domain of Interpretation)에 설명되어 있습니다. 특히, ISAKMP DOI는 유효한 IPsec 알고리즘 및 해당 프로토콜(PROTO_IPSEC_AH 및 PROTO_IPSEC_ESP)에 대한 이름 지정 및 번호 지정 규칙을 정의합니다. 각 알고리즘은 정확히 하나의 프로토콜과 연결됩니다. 이러한 ISAKMP DOI 정의는 /etc/inet/ipsecalgs 파일에 있습니다. 알고리즘 및 프로토콜 번호는 IANA(Internet Assigned Numbers Authority)에 의해 정의됩니다. ipsecalgs 명령은 IPsec에 대한 알고리즘 목록을 확장할 수 있도록 합니다.
알고리즘에 대한 자세한 내용은 ipsecalgs(1M) 매뉴얼 페이지를 참조하십시오. 암호화 프레임워크에 대한 자세한 내용은 Oracle Solaris 11.2의 암호화 및 인증서 관리 의 1 장, 암호화 프레임워크를 참조하십시오.
ipseckey 명령에 다양한 옵션을 사용하여 IPsec의 키를 수동으로 관리합니다. ipseckey 명령에 대한 설명은 ipseckey(1M) 매뉴얼 페이지를 참조하십시오.
ipseckey 명령은 Network Security 또는 Network IPsec Management 권한 프로파일을 가진 역할이 민감한 암호화 키 입력 정보를 입력할 수 있도록 합니다. 공격자가 이 정보에 대한 액세스 권한을 획득할 경우 IPsec 트래픽의 보안을 침해할 수 있습니다.
자세한 내용은 ipseckey(1M) 매뉴얼 페이지의 SECURITY 섹션을 참조하십시오.
kstat 명령으로 ESP, AH 및 기타 IPsec 데이터에 대한 통계를 표시할 수 있습니다. IPsec 관련 옵션은 IPsec 및 IKE 의미 오류 문제 해결에 나옵니다. kstat(1M) 매뉴얼 페이지도 참조하십시오.
snoop 명령은 AH 및 ESP 헤더를 구문 분석할 수 있습니다. ESP는 데이터를 암호화하므로 snoop 명령은 ESP로 보호된 암호화된 헤더를 볼 수 없습니다. AH는 데이터를 암호화하지 않으므로 AH로 보호되는 트래픽은 snoop 명령을 사용하여 검사할 수 있습니다. 명령에 대한 –V 옵션은 AH가 패킷에서 언제 사용되었는지 표시합니다. 자세한 내용은 snoop(1M) 매뉴얼 페이지를 참조하십시오.
보호된 패킷에 대한 상세 정보 snoop 출력의 예는 IPsec로 패킷이 보호되는지 확인하는 방법을 참조하십시오.
이 릴리스에 포함된 무료 오픈 소스 소프트웨어인 Wireshark 등의 타사 네트워크 분석기도 사용할 수 있습니다.
IETF(Internet Engineering Task Force)는 IP 계층에 대한 보안 아키텍처를 설명하는 여러 RFC(Requests for Comment)를 게시했습니다. RFC에 대한 링크는 http://www.ietf.org/http://www.ietf.org/를 참조하십시오. 다음 RFC 목록은 일반적인 IP 보안 참조를 다룹니다.
RFC 2411, “IP Security Document Roadmap,” 1998년 11월
RFC 2401, “Security Architecture for the Internet Protocol,” 1998년 11월
RFC 2402, “IP Authentication Header,” 1998년 11월
RFC 2406, “IP Encapsulating Security Payload (ESP),” 1998년 11월
RFC 2408, “Internet Security Association and Key Management Protocol (ISAKMP),” 1998년 11월
RFC 2407, “The Internet IP Security Domain of Interpretation for ISAKMP,” 1998년 11월
RFC 2409, “The Internet Key Exchange (IKEv1),” 1998년 11월
RFC 5996, “Internet Key Exchange Protocol Version 2 (IKEv2),” 2010년 9월
RFC 3554, “On the Use of Stream Control Transmission Protocol (SCTP) with IPsec,” 2003년 7월