다음 절차에서는 키 관리에 IKE만 사용하지 않는 경우에 대한 IPsec 키를 제공합니다.
ipseckey 명령을 사용하여 추가된 IPsec SA는 시스템을 재부트하면 없어집니다. 지속 IPsec SA가 필요하면 항목을 /etc/inet/secret/ipseckeys 파일에 추가합니다.
주의 - 수동 키 입력을 사용해야 하는 경우에는 생성하는 키를 안전하게 보관하는 데 많은 주의가 필요합니다. 이러한 키는 데이터를 보호하는 데 실제로 사용됩니다. |
시작하기 전에
공유 IP 영역에서 키 입력 도구를 수동으로 관리하려면 전역 영역에 있어야 합니다. 배타적 IP 영역의 경우 해당 배타적 IP 영역에서 키 입력 도구를 구성합니다.
root 역할을 맡아야 합니다. 자세한 내용은 Oracle Solaris 11.2의 사용자 및 프로세스 보안 의 지정된 관리 권한 사용을 참조하십시오.
이 키는 ipsecinit.conf 파일의 특정 정책을 지원해야 합니다. 예를 들어, IPsec을 사용하여 두 서버 간의 네트워크 트래픽을 보호하는 방법의 정책을 사용할 수 있습니다.
{laddr enigma raddr partym} ipsec {encr_algs aes encr_auth_algs sha512 sa shared}
이 정책에서는 AES 및 SHA-2 알고리즘을 사용합니다.
SA에 대해 aes, sha512 및 SPI(보안 매개변수 색인)용 키를 생성해야 합니다.
SPI에 대한 값으로 2개의 16진수 난수. 하나는 아웃바운드 트래픽용입니다. 다른 하나는 인바운드 트래픽용입니다. 각 숫자 모두 최대 8자까지만 허용됩니다.
SHA-2 인증 알고리즘에 대한 2개의 16진수 난수. 각 숫자 모두 512자까지만 허용됩니다. 하나는 dst enigma용입니다. 다른 하나는 dst partym용입니다.
AES 암호화 알고리즘에 대한 2개의 16진수 난수. 각 숫자의 길이는 128자여야 합니다. 하나는 dst enigma용입니다. 다른 하나는 dst partym용입니다.
사이트에 임의 숫자 생성기가 있을 경우 생성기를 사용하십시오.
Oracle Solaris 11.2의 암호화 및 인증서 관리 의 pktool 명령을 사용하여 대칭 키를 생성하는 방법 및 해당 절의 IPsec 예에 나온 대로 pktool 명령을 사용합니다.
## ipseckeys - This file takes the file format documented in ## ipseckey(1m). # Note that naming services might not be available when this file # loads, just like ipsecinit.conf. # # Backslashes indicate command continuation. # # for outbound packets on enigma add esp spi 0x8bcd1407 \ src 192.168.116.16 dst 192.168.13.213 \ encr_alg aes \ auth_alg sha512 \ encrkey d41fb74470271826a8e7a80d343cc5aa... \ authkey e896f8df7f78d6cab36c94ccf293f031... # # for inbound packets add esp spi 0x122a43e4 \ src 192.168.13.213 dst 192.168.116.16 \ encr_alg aes \ auth_alg sha512 \ encrkey dd325c5c137fb4739a55c9b3a1747baa... \ authkey ad9ced7ad5f255c9a8605fba5eb4d2fd...
# chmod 400 /etc/inet/secret/ipseckeys
pfedit -s 명령을 사용하여 ipseckeys 파일을 만든 경우 권한이 올바르게 설정되어 있습니다. 자세한 내용은 pfedit(1M) 매뉴얼 페이지를 참조하십시오.
# ipseckey -c /etc/inet/secret/ipseckeys
% svcs manual-key STATE STIME FMRI disabled Apr_10 svc:/network/ipsec/manual-key:default # svcadm enable ipsec/manual-key
# svcadm refresh ipsec/manual-key
다음 단계
IPsec 정책 설정을 완료하지 않았으면 IPsec 정책을 사용으로 설정하거나 새로 고치는 IPsec 절차로 돌아가십시오. VPN을 보호하는 IPsec 정책의 예는 IPsec를 사용하여 VPN 보호를 참조하십시오. 다른 IPsec 정책 예는 IPsec을 사용하여 두 서버 간의 네트워크 트래픽을 보호하는 방법을 참조하십시오.