test

Solaris 10 5/09 새로운 기능

보안 개선 내용

Solaris 10 5/09 릴리스에는 다음과 같은 보안 기능과 향상된 기능이 추가되었습니다.

IPsec 키 관리 개발자를 위한 NAT 순회

Solaris 10 5/09 릴리스에는 IPsec 네트워크 주소 변환기(Network Address Translator, NAT) 순회 끝점 역할을 하는 사용자 데이터그램 프로토콜(User Datagram Protocol, UDP)용 공용 API가 포함되어 있습니다.

UDP_NAT_T_ENDPOINT 소켓 옵션이 활성화될 경우, UDP 트래픽의 아웃바운드 트래픽은 제로 보안 매개 변수 색인(security parameters index, SPI) 값(4바이트)로 시작되며 인바운드 트래픽은 제로 SPI를 제거합니다. 비제로 SPI를 갖는 그와 같은 소켓에 바인딩된 인바운드 트래픽은 ESP-in-UDP 캡슐화 해제를 위해 IPsec의 Encapsulating Security Payload(ESP)로 자동 전송됩니다. ESP-in-UDP 캡슐화는 IPsec 보안 연결(SA) 속성에 따라 결정됩니다.

IPsec 키 관리 소프트웨어 개발자는 이 기능을 사용하여 NAT 장치 전환이 가능한 키 관리 프로토콜을 만들 수 있습니다. iked(1M)의 Solaris IKE 데몬은 이 기능을 사용하며 pfiles(1M) 명령을 사용하여 그와 같은 소켓이 표시됩니다.

더욱 강력해진 IPsec용 알고리즘

Solaris 10 5/09 릴리스에는 다음과 같은 IPsec 및 IKE용 알고리즘이 도입되었습니다.

OpenSSL PKCS#11 엔진을 지원하는 SunSSH

이 기능은 SunSSH 서버와 클라이언트에서 OpenSSL PKCS#11 엔진을 통해 Solaris 암호화 프레임워크를 사용할 수 있도록 해 줍니다. SunSSH는 데이터 전송 속도에 중요한 대칭 암호화 알고리즘의 하드웨어 암호화 가속을 위해 암호화 프레임워크를 사용합니다. 이 기능은 n2cp(7D) 암호화 드라이버가 있는 UltraSPARC® T2 프로세서 플랫폼용입니다.

ncp(7D) 드라이버는 대칭 암호화 알고리즘을 지원하지 않기 때문에 UltraSPARC T1 프로세서 플랫폼은 이 기능에 의해 영향을 받지 않습니다. UseOpenSSLEngine 옵션 값의 설정 여부에 관계없이 하드웨어 암호화 플러그인이 없는 플랫폼은 이 기능에 의해 영향을 받지 않습니다. UseOpenSSLEngine 옵션의 기본값은 on(켜짐)이며 서버 및 클라이언트 SSH 구성 파일을 업데이트할 필요가 없습니다.

SunSSH는 다음 패치가 설치되어 있는 Sun Crypto Accelerator 6000 보드 소프트웨어 버전 1.1과 함께 사용해야 합니다.

주 –

Sun Crypto Accelerator 6000 보드 소프트웨어 버전 1.0에는 패치를 사용할 수 없습니다. 이 문제를 해결하려면 서버 및 클라이언트 둘 다에 대해 Ciphers 옵션 키워드에서 AES 카운터 모드를 제거하십시오.

자세한 내용은 ssh_config(4)sshd_config(4)를 참조하십시오.