IPsec을 사용하여 웹 서버와 다른 서버의 통신을 보호하는 방법

웹 서비스를 실행하는 시스템에서 IPsec을 사용하여 웹 클라이언트 요청을 제외한 모든 트래픽을 보호할 수 있습니다. 일반적으로 웹 서버와 다른 백엔드 서버 간의 네트워크 트래픽이 보호됩니다.

이 절차의 IPsec 정책에서는 웹 클라이언트가 IPsec을 우회하도록 허용할 뿐 아니라 서버가 DNS 클라이언트 요청을 하도록 허용합니다. 다른 트래픽은 모두 IPsec으로 보호됩니다.

시작하기 전에

이 절차에서는 두 서버에서 IPsec을 구성하는 IPsec을 사용하여 두 서버 간의 네트워크 트래픽을 보호하는 방법의 단계를 완료했다고 가정하므로 다음 조건이 적용됩니다.

• 각 시스템은 주소가 고정된 전역 영역이나 배타적 IP 영역입니다. 자세한 내용은 IPsec 및 Oracle Solaris 영역을 참조하십시오.

• 웹 서버와의 통신은 이미 IPsec으로 보호되고 있습니다.

• 키 입력 자료가 IKE에 의해 생성됩니다.

• 패킷이 보호되고 있는지 확인했습니다.

특정 권한이 있는 사용자는 root가 아니어도 이러한 명령을 실행할 수 있습니다.

• 구성 명령을 실행하려면 Network IPsec Management 권한 프로파일에 지정된 관리자여야 합니다.

• IPsec 관련 시스템 파일을 편집하고 키를 만들려면 pfedit 명령을 사용합니다.

• hosts 파일을 편집하려면 root 역할이거나 해당 파일을 편집할 수 있는 명시적 권한이 있어야 합니다.

자세한 내용은 Oracle Solaris 11.2의 사용자 및 프로세스 보안 의 지정된 관리 권한 사용을 참조하십시오.

원격으로 관리하는 경우 Example 7–1 및 Oracle Solaris 11.2의 보안 셸 액세스 관리 의 보안 셸을 사용하여 ZFS를 원격으로 관리하는 방법에서 보안 원격 로그인 지침을 참조하십시오.

1. IPsec 정책 검사를 우회해야 하는 서비스를 결정합니다.

   웹 서버의 경우 이러한 서비스에는 TCP 포트 80(HTTP) 및 443(보안 HTTP)이 포함됩니다. 웹 서버에서 DNS 이름 조회를 제공하는 경우 TCP 및 UDP 모두에 대해 포트 53이 서버에 포함되어야 할 수도 있습니다.

2. IPsec 정책 파일에 웹 서버 정책을 추가합니다.

   ipsecinit.conf 파일에 다음 라인을 추가합니다.

   # pfedit /etc/inet/ipsecinit.conf
   ...
   # Web traffic that web server should bypass.
   {lport  80 ulp tcp dir both} bypass {}
   {lport 443 ulp tcp dir both} bypass {}
   
   # Outbound DNS lookups should also be bypassed.
   {rport 53 dir both} bypass {}
   
   # Require all other traffic to use ESP with AES and SHA-2.
   # Use a unique SA for outbound traffic from the port
   {} ipsec {encr_algs aes encr_auth_algs sha512 sa shared}

   이 구성은 Step 1에서 설명한 우회 예외 사항과 함께 보안 트래픽만 시스템에 액세스할 수 있도록 허용합니다.

3. IPsec 정책 파일의 구문을 확인합니다.

   # ipsecconf -c /etc/inet/ipsecinit.conf

4. IPsec 정책을 새로 고칩니다.

   # svcadm refresh ipsec/policy

5. IPsec에 대한 키를 새로 고칩니다.

   ike 서비스를 다시 시작합니다.

   # svcadm restart ike:ikev2

   ---

   주 - IKEv1 프로토콜만 실행할 수 있는 시스템과 통신하는 경우에는 ike:default 인스턴스를 지정합니다.

   ---

   키를 수동으로 구성한 경우 IPsec 키를 수동으로 만드는 방법의 지침을 따릅니다.

   설정이 완료되었습니다.

6. (옵션) 원격 시스템이 비웹 트래픽에 대해 웹 서버와 통신할 수 있도록 설정합니다.

   다음 행을 원격 시스템의 /etc/inet/ipsecinit.conf 파일에 추가합니다.

   ## Communicate with web server about nonweb stuff
   ##
   {raddr webserver} ipsec {encr_algs aes encr_auth_algs sha512 sa shared}

   구문을 확인한 다음 IPsec 정책을 새로 고쳐 활성화합니다.

   remote-system # ipsecconf -c /etc/inet/ipsecinit.conf
   remote-system # svcadm refresh ipsec/policy

   원격 시스템은 시스템의 IPsec 정책이 일치할 경우에만 비웹 트래픽에 대해 웹 서버와 안전하게 통신할 수 있습니다.

7. (옵션) 터널별 항목을 포함하여 일치하는 순서대로 IPsec 정책 항목을 표시합니다.

   # ipsecconf -L -n