IPsec 키를 수동으로 만드는 방법

다음 절차에서는 키 관리에 IKE만 사용하지 않는 경우에 대한 IPsec 키를 제공합니다.

ipseckey 명령을 사용하여 추가된 IPsec SA는 시스템을 재부트하면 없어집니다. 지속 IPsec SA가 필요하면 항목을 /etc/inet/secret/ipseckeys 파일에 추가합니다.

---

주의  - 수동 키 입력을 사용해야 하는 경우에는 생성하는 키를 안전하게 보관하는 데 많은 주의가 필요합니다. 이러한 키는 데이터를 보호하는 데 실제로 사용됩니다.

---

시작하기 전에

공유 IP 영역에서 키 입력 도구를 수동으로 관리하려면 전역 영역에 있어야 합니다. 배타적 IP 영역의 경우 해당 배타적 IP 영역에서 키 입력 도구를 구성합니다.

root 역할을 맡아야 합니다. 자세한 내용은 Oracle Solaris 11.2의 사용자 및 프로세스 보안 의 지정된 관리 권한 사용을 참조하십시오.

1. IPsec SA에 대한 키를 생성합니다.

   이 키는 ipsecinit.conf 파일의 특정 정책을 지원해야 합니다. 예를 들어, IPsec을 사용하여 두 서버 간의 네트워크 트래픽을 보호하는 방법의 정책을 사용할 수 있습니다.

   {laddr enigma raddr partym} ipsec {encr_algs aes encr_auth_algs sha512 sa shared}

   이 정책에서는 AES 및 SHA-2 알고리즘을 사용합니다.

   1. 필요한 키를 결정합니다.

      SA에 대해 aes, sha512 및 SPI(보안 매개변수 색인)용 키를 생성해야 합니다.

      • SPI에 대한 값으로 2개의 16진수 난수. 하나는 아웃바운드 트래픽용입니다. 다른 하나는 인바운드 트래픽용입니다. 각 숫자 모두 최대 8자까지만 허용됩니다.

      • SHA-2 인증 알고리즘에 대한 2개의 16진수 난수. 각 숫자 모두 512자까지만 허용됩니다. 하나는 dst enigma용입니다. 다른 하나는 dst partym용입니다.

      • AES 암호화 알고리즘에 대한 2개의 16진수 난수. 각 숫자의 길이는 128자여야 합니다. 하나는 dst enigma용입니다. 다른 하나는 dst partym용입니다.

      ---

      주 - ipsecalgs -l 명령을 실행하면 알고리즘의 키 크기가 표시됩니다. 수동 키, 즉 SHA512 및 AES 알고리즘을 사용할 때는 이 절차를 따릅니다. 약한 알고리즘, 결합 모드 알고리즘 또는 GMAC 알고리즘은 수동 키에 사용하지 마십시오.

      ---

   2. 필요한 키를 생성합니다.

      • 사이트에 임의 숫자 생성기가 있을 경우 생성기를 사용하십시오.

      • Oracle Solaris 11.2의 암호화 및 인증서 관리 의 pktool 명령을 사용하여 대칭 키를 생성하는 방법 및 해당 절의 IPsec 예에 나온 대로 pktool 명령을 사용합니다.

2. 키를 IPsec의 수동 키 파일에 추가합니다.
   1. enigma 시스템에서 /etc/inet/secret/ipseckeys 파일을 다음과 유사하게 표시되도록 편집합니다.

      ## ipseckeys - This file takes the file format documented in 
      ##  ipseckey(1m).
      #   Note that naming services might not be available when this file
      #   loads, just like ipsecinit.conf.
      #
      #   Backslashes indicate command continuation.
      #
      # for outbound packets on enigma
      add esp spi 0x8bcd1407 \
         src 192.168.116.16 dst 192.168.13.213  \
         encr_alg aes \
         auth_alg sha512  \
         encrkey  d41fb74470271826a8e7a80d343cc5aa... \
         authkey  e896f8df7f78d6cab36c94ccf293f031...
      #
      # for inbound packets
      add esp spi 0x122a43e4 \
         src 192.168.13.213 dst 192.168.116.16 \
         encr_alg aes \
         auth_alg sha512  \
         encrkey dd325c5c137fb4739a55c9b3a1747baa... \
         authkey ad9ced7ad5f255c9a8605fba5eb4d2fd...

   2. 읽기 전용 권한으로 파일을 보호합니다.

      # chmod 400 /etc/inet/secret/ipseckeys

      pfedit -s 명령을 사용하여 ipseckeys 파일을 만든 경우 권한이 올바르게 설정되어 있습니다. 자세한 내용은 pfedit(1M) 매뉴얼 페이지를 참조하십시오.

   3. 파일의 구문을 확인합니다.

      # ipseckey -c /etc/inet/secret/ipseckeys

   ---

   주 - 두 시스템의 키는 동일해야 합니다.

   ---

3. IPsec에 대한 키를 활성화합니다.
   • manual-key 서비스가 사용으로 설정되지 않은 경우 사용으로 설정합니다.

     % svcs manual-key
     STATE          STIME    FMRI
     disabled       Apr_10   svc:/network/ipsec/manual-key:default
     # svcadm enable ipsec/manual-key

   • manual-key 서비스가 사용으로 설정된 경우 새로 고칩니다.

     # svcadm refresh ipsec/manual-key

다음 단계

IPsec 정책 설정을 완료하지 않았으면 IPsec 정책을 사용으로 설정하거나 새로 고치는 IPsec 절차로 돌아가십시오. VPN을 보호하는 IPsec 정책의 예는 IPsec를 사용하여 VPN 보호를 참조하십시오. 다른 IPsec 정책 예는 IPsec을 사용하여 두 서버 간의 네트워크 트래픽을 보호하는 방법을 참조하십시오.