탐색 링크 건너뛰기 | |
인쇄 보기 종료 | |
Oracle Solaris 11.1의 네트워크 보안 Oracle Solaris 11.1 Information Library (한국어) |
3. 웹 서버 및 Secure Sockets Layer 프로토콜
터널 모드를 사용하여 IPsec로 VPN을 보호하는 예
VPN을 보호하기 위한 IPsec 작업에 대한 네트워크 토폴로지 설명
이 절에서는 두 시스템 간의 트래픽을 보호하고 웹 서버의 보안을 유지할 수 있는 절차를 제공합니다. VPN을 보호하려면 IPsec를 사용하여 VPN 보호를 참조하십시오. IPsec를 관리하고 IPsec 및 IKE에서 SMF 명령을 사용하는 추가 절차는 IPsec 및 IKE 관리를 참조하십시오.
다음 정보는 모든 IPsec 구성 작업에 적용됩니다.
IPsec 및 영역 – 공유 IP 비전역 영역에 대한 IPsec 정책 및 키를 관리하려면 전역 영역에서 IPsec 정책 파일을 만들고 전역 영역에서 IPsec 구성 명령을 실행합니다. 구성 중인 비보안 영역에 해당하는 소스 주소를 사용합니다. 배타적 IP 영역의 경우 비전역 영역에서 IPsec 정책을 구성합니다.
IPsec 및 RBAC – 역할을 사용하여 IPsec를 관리하려면 Oracle Solaris 11.1 관리: 보안 서비스의 9 장, 역할 기반 액세스 제어 사용(작업)을 참조하십시오. 예는 네트워크 보안에 대한 역할을 구성하는 방법을 참조하십시오.
IPsec 및 SCTP – IPsec는 SCTP(Streams Control Transmission Protocol) 연결을 보호하는 데 사용할 수 있지만 주의해야 합니다. 자세한 내용은 IPsec 및 SCTP를 참조하십시오.
IPsec 및 Trusted Extensions 레이블 – Oracle Solaris의 Trusted Extensions 기능으로 구성된 시스템에서는 레이블을 IPsec 패킷에 추가할 수 있습니다. 자세한 내용은 Trusted Extensions 구성 및 관리의 레이블이 있는 IPsec 관리를 참조하십시오.
IPv4 및 IPv6 주소 – 이 설명서의 IPsec 예에서는 IPv4 주소를 사용합니다. Oracle Solaris에서는 IPv6 주소도 지원합니다. IPv6 네트워크에 대해 IPsec를 구성하려면 예에서 IPv6 주소를 대체하십시오. IPsec를 사용하여 터널을 보호하는 경우 내부 및 외부 주소에 대해 IPv4 및 IPv6 주소를 혼합할 수 있습니다. 예를 들어, 이러한 구성을 사용하면 IPv4 네트워크를 통해 IPv6을 터널링할 수 있습니다.
다음 작업 맵에서는 하나 이상의 시스템 사이에 IPsec를 설정하는 절차를 안내합니다. ipsecconf(1M), ipseckey(1M) 및 ipadm(1M) 매뉴얼 페이지에서도 각 예제 절에서 유용한 절차를 설명합니다.
|
이 절차에서는 다음 설정을 가정합니다.
두 시스템의 이름은 enigma 및 partym입니다.
각 시스템에는 IP 주소가 있습니다. 이 주소는 IPv4 주소 또는 IPv6 주소 또는 둘 다 될 수 있습니다.
각 시스템에는 AES 알고리즘을 사용한 ESP 암호화(128비트의 키 필요) 및 SHA-2 메시지 다이제스트를 사용한 ESP 인증(512비트의 키 필요)이 필요합니다.
각 시스템은 공유 보안 연결을 사용합니다.
공유 SA를 사용하여 두 시스템을 보호하는 데 한 쌍의 SA만 필요합니다.
주 - Trusted Extensions 시스템에서 레이블이 있는 IPsec를 사용하려면 Trusted Extensions 구성 및 관리의 다중 레벨 Trusted Extensions 네트워크에서 IPsec 보호를 적용하는 방법을 참조하십시오.
시작하기 전에
IPsec 정책은 전역 영역 또는 배타적 IP 스택 영역에서 구성할 수 있습니다. 공유 IP 스택에 대한 정책은 전역 영역에서 구성해야 합니다. 배타적 IP 영역의 경우 비전역 영역에서 IPsec 정책을 구성합니다.
구성 명령을 실행하려면 Network IPsec Management 권한 프로파일에 지정된 관리자여야 합니다. 시스템 파일을 편집하고 키를 만들려면 root 역할이 있어야 합니다. 자세한 내용은 Oracle Solaris 11.1 관리: 보안 서비스의 지정된 관리 권한을 사용하는 방법을 참조하십시오.
원격으로 로그인할 경우 안전한 원격 로그인을 위해 ssh 명령을 사용합니다. 예는 예 7-1을 참조하십시오.
이 단계를 통해 SMF(서비스 관리 기능)에서 존재하지 않는 이름 지정 서비스에 의존하지 않고 시스템 이름을 사용할 수 있습니다. 자세한 내용은 smf(5) 매뉴얼 페이지를 참조하십시오.
# Secure communication with enigma 192.168.116.16 enigma
# Secure communication with partym 192.168.13.213 partym
파일 이름은 /etc/inet/ipsecinit.conf입니다. 예는 /etc/inet/ipsecinit.sample 파일을 참조하십시오.
{laddr enigma raddr partym} ipsec {encr_algs aes encr_auth_algs sha512 sa shared}
{laddr partym raddr enigma} ipsec {encr_algs aes encr_auth_algs sha512 sa shared}
IPsec 정책 항목의 구문은 ipsecconf(1M) 매뉴얼 페이지를 참조하십시오.
IKE 구성(작업 맵)의 구성 절차 중 하나에 따라 IKE를 구성합니다. IKE 구성 파일의 구문은 ike.config(4) 매뉴얼 페이지를 참조하십시오.
# ipsecconf -f -c /etc/inet/ipsecinit.conf
오류를 수정하고 파일의 구문을 확인한 다음 계속합니다.
# svcadm refresh svc:/network/ipsec/policy:default
IPsec 정책은 기본적으로 사용으로 설정되므로 새로 고칩니다. IPsec 정책을 사용 안함으로 설정한 경우 사용으로 설정합니다.
# svcadm enable svc:/network/ipsec/policy:default
# svcadm enable svc:/network/ipsec/ike:default
# svcadm restart svc:/network/ipsec/ike:default
단계 4에서 키를 수동으로 구성한 경우 IPsec 키를 수동으로 만드는 방법을 완료하여 키를 활성화합니다.
절차는 IPsec로 패킷이 보호되는지 확인하는 방법을 참조하십시오.
예 7-1 ssh 연결을 사용할 때 IPsec 정책 추가
이 예에서는 root 역할의 관리자가 ssh 명령을 사용하여 두번째 시스템에 접근한 다음 두 시스템에서 IPsec 정책 및 키를 구성합니다. 관리자는 두 시스템에서 동일하게 정의됩니다. 자세한 내용은 ssh(1) 매뉴얼 페이지를 참조하십시오.
그런 다음 다른 터미널 창에서 관리자는 동일하게 정의된 사용자 이름 및 ID를 사용하여 ssh 명령을 통해 원격으로 로그인합니다.
local-system $ ssh -l jdoe other-system other-system $ su - root Enter password: other-system #
ssh 세션의 터미널 창에서 관리자는 단계 1 ~ 단계 7을 완료하여 두번째 시스템의 IPsec 정책 및 키를 구성합니다.
그런 다음 관리자는 ssh 세션을 종료합니다.
other-system # exit local-system $ exit
마지막으로 관리자는 단계 6 및 단계 7를 완료하여 첫번째 시스템에서 IPsec 정책을 사용으로 설정합니다.
ssh 연결 사용을 포함하여 다음에 두 시스템이 통신할 때 통신이 IPsec로 보호됩니다.
보안 웹 서버를 통해 웹 클라이언트가 웹 서비스와 통신할 수 있습니다. 보안 웹 서버에서 웹 트래픽이 아닌 트래픽은 보안 검사를 통과해야 합니다. 다음 절차에는 웹 트래픽에 대한 우회가 포함됩니다. 또한 이 웹 서버는 비보안 DNS 클라이언트 요청을 할 수 있습니다. 기타 모든 트래픽에는 AES 및 SHA-2 알고리즘을 사용하는 ESP가 필요합니다.
시작하기 전에
IPsec 정책을 구성하려면 전역 영역에 있어야 합니다. 배타적 IP 영역의 경우 비전역 영역에서 IPsec 정책을 구성합니다.
IPsec를 사용하여 두 시스템 사이의 트래픽을 보호하는 방법을 완료했으므로 다음 조건이 적용됩니다.
두 시스템 사이의 통신이 IPsec로 보호됩니다.
키 입력 자료가 IKE에 의해 생성됩니다.
패킷이 보호되고 있는지 확인했습니다.
구성 명령을 실행하려면 Network IPsec Management 권한 프로파일에 지정된 관리자여야 합니다. 시스템 파일을 편집하려면 root 역할이 있어야 합니다. 자세한 내용은 Oracle Solaris 11.1 관리: 보안 서비스의 지정된 관리 권한을 사용하는 방법을 참조하십시오.
원격으로 로그인할 경우 안전한 원격 로그인을 위해 ssh 명령을 사용합니다. 예는 예 7-1을 참조하십시오.
웹 서버의 경우 이러한 서비스에는 TCP 포트 80(HTTP) 및 443(보안 HTTP)이 포함됩니다. 웹 서버에서 DNS 이름 조회를 제공하는 경우 TCP 및 UDP 모두에 대해 포트 53이 서버에 포함되어야 할 수도 있습니다.
다음 행을 /etc/inet/ipsecinit.conf 파일에 추가합니다.
# Web traffic that web server should bypass. {lport 80 ulp tcp dir both} bypass {} {lport 443 ulp tcp dir both} bypass {} # Outbound DNS lookups should also be bypassed. {rport 53 dir both} bypass {} # Require all other traffic to use ESP with AES and SHA-2. # Use a unique SA for outbound traffic from the port {} ipsec {encr_algs aes encr_auth_algs sha512 sa shared}
이 구성은 단계 1에서 설명한 우회 예외 사항과 함께 보안 트래픽만 시스템에 액세스할 수 있도록 허용합니다.
# ipsecconf -f -c /etc/inet/ipsecinit.conf
# svcadm refresh svc:/network/ipsec/policy:default
ike 서비스를 다시 시작합니다.
# svcadm restart svc:/network/ipsec/ike
키를 수동으로 구성한 경우 IPsec 키를 수동으로 만드는 방법의 지침을 따릅니다.
설정이 완료되었습니다. 선택적으로 단계 6을 수행할 수 있습니다.
다음 행을 원격 시스템의 /etc/inet/ipsecinit.conf 파일에 추가합니다.
# Communicate with web server about nonweb stuff # {laddr webserver} ipsec {encr_algs aes encr_auth_algs sha512 sa shared}
구문을 확인한 다음 IPsec 정책을 새로 고쳐 활성화합니다.
remote-system # ipsecconf -f -c /etc/inet/ipsecinit.conf remote-system # svcadm refresh svc:/network/ipsec/policy:default
원격 시스템은 시스템의 IPsec 정책이 일치할 경우에만 비웹 트래픽에 대해 웹 서버와 안전하게 통신할 수 있습니다.
ipsecconf 명령을 인수 없이 실행하면 시스템에서 구성된 정책을 볼 수 있습니다.
시작하기 전에
ipsecconf 명령은 전역 영역에서 실행해야 합니다. 배타적 IP 영역의 경우 비전역 영역에서 ipsecconf 명령을 실행합니다.
Network IPsec Management 권한 프로파일에 지정된 관리자여야 합니다. 자세한 내용은 Oracle Solaris 11.1 관리: 보안 서비스의 지정된 관리 권한을 사용하는 방법을 참조하십시오.