탐색 링크 건너뛰기 | |
인쇄 보기 종료 | |
Oracle Solaris 11.1의 네트워크 보안 Oracle Solaris 11.1 Information Library (한국어) |
3. 웹 서버 및 Secure Sockets Layer 프로토콜
1단계 IKE 교환에 사용 가능한 그룹 및 알고리즘 표시 방법
미리 공유한 키는 가장 간단한 IKE 인증 방법입니다. IKE를 사용하도록 피어 시스템을 구성 중이며, 해당 시스템의 관리자라면 미리 공유한 키를 사용하는 것이 좋습니다. 단, 공개 키 인증서와 달리 미리 공유한 키는 IP 주소와 연관되어 있습니다. 미리 공유한 키를 특정 IP 주소 또는 IP 주소 범위와 연관시킬 수 있습니다. 번호 재지정이 지정된 IP 주소 범위에 속하지 않을 경우, 번호가 재지정될 수 있는 모바일 시스템이나 시스템에서는 미리 공유한 키를 사용할 수 없습니다.
IKE 구현은 키 길이가 다양한 알고리즘을 제공합니다. 키 길이는 사이트 보안에 따라 선택할 수 있습니다. 일반적으로 길이가 긴 키는 길이가 짧은 키에 비해 더 강력한 보안을 제공합니다.
이 절차에서는 ASCII 형식으로 키를 생성합니다.
이 절차에서는 enigma 및 partym 시스템 이름을 사용합니다. enigma 및 partym 이름을 사용자의 현재 시스템 이름으로 대체하십시오.
주 - Trusted Extensions 시스템에서 레이블이 있는 IPsec를 사용하려면 Trusted Extensions 구성 및 관리의 다중 레벨 Trusted Extensions 네트워크에서 IPsec 보호를 적용하는 방법을 참조하십시오.
시작하기 전에
solaris.admin.edit/etc/inet/ike/config 권한 부여 외에 Network IPsec Management 권한 프로파일에 지정된 관리자여야 합니다. root 역할에는 이러한 권한이 모두 있습니다. 자세한 내용은 Oracle Solaris 11.1 관리: 보안 서비스의 지정된 관리 권한을 사용하는 방법을 참조하십시오.
원격으로 로그인할 경우 안전한 원격 로그인을 위해 ssh 명령을 사용합니다. 예는 예 7-1을 참조하십시오.
/etc/inet/ike/config.sample을 템플리트로 사용할 수 있습니다.
이 파일의 규칙 및 전역 매개변수는 시스템의 ipsecinit.conf 파일에 설정되어 있는 IPsec 정책이 성공하도록 허용해야 합니다. 다음 IKE 구성 예는 IPsec를 사용하여 두 시스템 사이의 트래픽을 보호하는 방법의 ipsecinit.conf 예와 함께 작동합니다.
### ike/config file on enigma, 192.168.116.16 ## Global parameters # ## Defaults that individual rules can override. p1_xform { auth_method preshared oakley_group 5 auth_alg sha encr_alg 3des } p2_pfs 2 # ## The rule to communicate with partym # Label must be unique { label "enigma-partym" local_addr 192.168.116.16 remote_addr 192.168.13.213 p1_xform { auth_method preshared oakley_group 5 auth_alg sha256 encr_alg aes } p2_pfs 5 }
### ike/config file on partym, 192.168.13.213 ## Global Parameters # p1_xform { auth_method preshared oakley_group 5 auth_alg sha encr_alg 3des } p2_pfs 2 ## The rule to communicate with enigma # Label must be unique { label "partym-enigma" local_addr 192.168.13.213 remote_addr 192.168.116.16 p1_xform { auth_method preshared oakley_group 5 auth_alg sha256 encr_alg aes } p2_pfs 5 }
# /usr/lib/inet/in.iked -c -f /etc/inet/ike/config
각 파일에 미리 공유한 키를 삽입합니다.
# ike.preshared on enigma, 192.168.116.16 #… { localidtype IP localid 192.168.116.16 remoteidtype IP remoteid 192.168.13.213 # The preshared key can also be represented in hex # as in 0xf47cb0f432e14480951095f82b # key "This is an ASCII Cqret phrAz, use str0ng p@ssword tekniques" }
# ike.preshared on partym, 192.168.13.213 #… { localidtype IP localid 192.168.13.213 remoteidtype IP remoteid 192.168.116.16 # The preshared key can also be represented in hex # as in 0xf47cb0f432e14480951095f82b key "This is an ASCII Cqret phrAz, use str0ng p@ssword tekniques" }
# svcadm enable ipsec/ike
예 10-1 IKE 미리 공유한 키 새로 고침
IKE 관리자가 미리 공유한 키를 새로 고치려고 할 경우, 피어 시스템에서 이 파일을 편집하고 in.iked 데몬을 다시 시작합니다.
먼저 관리자는 192.168.13.0/24 서브넷의 호스트에 유효한 미리 공유한 키 항목을 추가합니다.
#… { localidtype IP localid 192.168.116.0/24 remoteidtype IP remoteid 192.168.13.0/24 # enigma and partym's shared passphrase for keying material key "LOooong key Th@t m^st Be Ch*angEd \'reguLarLy)" }
그런 다음 관리자는 모든 시스템에서 IKE 서비스를 다시 시작합니다.
# svcadm enable ipsec/ike
다음 순서
IPsec 정책 설정을 완료하지 않았으면 IPsec 정책을 사용으로 설정하거나 새로 고치는 IPsec 절차로 돌아가십시오.
같은 피어 간의 작업 구성에 IPsec 정책 항목을 추가할 경우에는 IPsec 정책 서비스를 새로 고쳐야 합니다. IKE는 재구성하거나 다시 시작하지 않아도 됩니다.
IPsec 정책에 새 피어를 추가할 경우 IPsec 변경 외에 IKE 구성도 수정해야 합니다.
시작하기 전에
ipsecinit.conf 파일을 업데이트했으며 피어 시스템에 대한 IPsec 정책을 새로 고쳤습니다.
solaris.admin.edit/etc/inet/ike/config 권한 부여 외에 Network IPsec Management 권한 프로파일에 지정된 관리자여야 합니다. root 역할에는 이러한 권한이 모두 있습니다. 자세한 내용은 Oracle Solaris 11.1 관리: 보안 서비스의 지정된 관리 권한을 사용하는 방법을 참조하십시오.
원격으로 로그인할 경우 안전한 원격 로그인을 위해 ssh 명령을 사용합니다. 예는 예 7-1을 참조하십시오.
### ike/config file on enigma, 192.168.116.16 ## The rule to communicate with ada {label "enigma-to-ada" local_addr 192.168.116.16 remote_addr 192.168.15.7 p1_xform {auth_method preshared oakley_group 5 auth_alg sha256 encr_alg aes} p2_pfs 5 }
### ike/config file on ada, 192.168.15.7 ## The rule to communicate with enigma {label "ada-to-enigma" local_addr 192.168.15.7 remote_addr 192.168.116.16 p1_xform {auth_method preshared oakley_group 5 auth_alg sha256 encr_alg aes} p2_pfs 5 }
# ike.preshared on enigma for the ada interface # { localidtype IP localid 192.168.116.16 remoteidtype IP remoteid 192.168.15.7 # enigma and ada's shared key key "Twas brillig and the slivey toves did *s0mEtHiNg* be CareFULL hEEEr" }
# ike.preshared on ada for the enigma interface # { localidtype IP localid 192.168.15.7 remoteidtype IP remoteid 192.168.116.16 # ada and enigma's shared key key "Twas brillig and the slivey toves did *s0mEtHiNg* be CareFULL hEEEr" }
# svcadm refresh ike
다음 순서
IPsec 정책 설정을 완료하지 않았으면 IPsec 정책을 사용으로 설정하거나 새로 고치는 IPsec 절차로 돌아가십시오.