탐색 링크 건너뛰기 | |
인쇄 보기 종료 | |
Oracle Solaris 11.1의 네트워크 보안 Oracle Solaris 11.1 Information Library (한국어) |
링크 보호를 사용하려면 링크의 protection 등록 정보를 설정합니다. 보호 유형이 다른 구성 파일과 작동(예: ip-nospoof는 allowed-ips 또는 dhcp-nospoof는 allowed-dhcp-cids)하는 경우 두 가지 일반 작업을 수행합니다. 우선 링크 보호를 사용으로 설정합니다. 그런 다음 구성 파일을 사용자 정의하여 통과하도록 허용할 기타 패킷을 식별합니다.
주 - 전역 영역에 링크 보호를 구성해야 합니다.
다음 작업 맵에서는 Oracle Solaris 시스템에서 링크 보호를 구성하기 위한 절차를 안내합니다.
|
이 절차에서는 나가는 패킷 유형을 제한하고 링크 스푸핑을 방지합니다.
시작하기 전에
Network Link Security 권한 프로파일에 지정된 관리자여야 합니다. 자세한 내용은 Oracle Solaris 11.1 관리: 보안 서비스의 지정된 관리 권한을 사용하는 방법을 참조하십시오.
# dladm show-linkprop -p protection LINK PROPERTY PERM VALUE DEFAULT POSSIBLE vnic0 protection rw -- -- mac-nospoof, restricted, ip-nospoof, dhcp-nospoof
# dladm set-linkprop -p protection=value[,value,...] link
다음 예에서는 vnic0 링크에서 네 개의 모든 링크 보호가 사용으로 설정되어 있습니다.
# dladm set-linkprop \ -p protection=mac-nospoof,restricted,ip-nospoof,dhcp-nospoof vnic0
# dladm show-linkprop -p protection vnic0 LINK PROPERTY PERM VALUE DEFAULT POSSIBLE vnic0 protection rw mac-nospoof -- mac-nospoof, restricted restricted, ip-nospoof ip-nospoof, dhcp-nospoof dhcp-nospoof
VALUE 아래의 링크 보호 유형은 해당 보호가 사용으로 설정되어 있음을 나타냅니다.
이 절차에서는 링크 보호를 기본값인 링크 보호 안함으로 재설정합니다.
시작하기 전에
Network Link Security 권한 프로파일에 지정된 관리자여야 합니다. 자세한 내용은 Oracle Solaris 11.1 관리: 보안 서비스의 지정된 관리 권한을 사용하는 방법을 참조하십시오.
# dladm reset-linkprop -p protection link
# dladm show-linkprop -p protection vnic0 LINK PROPERTY PERM VALUE DEFAULT POSSIBLE vnic0 protection rw -- -- mac-nospoof, restricted, ip-nospoof, dhcp-nospoof
VALUE 아래 목록에 링크 보호 유형이 없으면 해당 링크 보호가 사용 안함으로 설정되어 있음을 나타냅니다.
시작하기 전에
링크 보호를 사용으로 설정하는 방법에 나온 대로 ip-nospoof 보호 유형이 사용으로 설정되어 있습니다.
Network Link Security 권한 프로파일에 지정된 관리자여야 합니다. 자세한 내용은 Oracle Solaris 11.1 관리: 보안 서비스의 지정된 관리 권한을 사용하는 방법을 참조하십시오.
# dladm show-linkprop -p protection link LINK PROPERTY PERM VALUE DEFAULT POSSIBLE link protection rw ... ip-nospoof ip-nospoof
VALUE 아래 ip-nospoof 목록은 이 보호 유형이 사용으로 설정되어 있음을 나타냅니다.
# dladm set-linkprop -p allowed-ips=IP-addr[,IP-addr,...] link
다음 예에서는 vnic0 링크의 allowed-ips 등록 정보에 IP 주소 10.0.0.1 및 10.0.0.2를 추가하는 방법을 보여 줍니다.
# dladm set-linkprop -p allowed-ips=10.0.0.1,10.0.0.2 vnic0
자세한 내용은 dladm(1M) 매뉴얼 페이지를 참조하십시오.
시작하기 전에
링크 보호를 사용으로 설정하는 방법에 나온 대로 dhcp-nospoof 보호 유형이 사용으로 설정되어 있습니다.
Network Link Security 권한 프로파일에 지정된 관리자여야 합니다. 자세한 내용은 Oracle Solaris 11.1 관리: 보안 서비스의 지정된 관리 권한을 사용하는 방법을 참조하십시오.
# dladm show-linkprop -p protection link LINK PROPERTY PERM VALUE DEFAULT POSSIBLE link protection rw ... dhcp-nospoof dhcp-nospoof
VALUE 아래 dhcp-nospoof 목록은 이 보호 유형이 사용으로 설정되어 있음을 나타냅니다.
# dladm set-linkprop -p allowed-dhcp-cids=CID-or-DUID[,CID-or-DUID,...] link
다음 예에서는 hello 문자열을 vnic0 링크의 allowed-dhcp-cids 등록 정보 값으로 지정하는 방법을 보여 줍니다.
# dladm set-linkprop -p allowed-dhcp-cids=hello vnic0
자세한 내용은 dladm(1M) 매뉴얼 페이지를 참조하십시오.
시작하기 전에
Network Link Security 권한 프로파일에 지정된 관리자여야 합니다. 자세한 내용은 Oracle Solaris 11.1 관리: 보안 서비스의 지정된 관리 권한을 사용하는 방법을 참조하십시오.
# dladm show-linkprop -p protection,allowed-ips,allowed-dhcp-cids link
다음 예에서는 vnic0 링크의 protection, allowed-ips 및 allowed-dhcp-cids 등록 정보 값을 보여 줍니다.
# dladm show-linkprop -p protection,allowed-ips,allowed-dhcp-cids vnic0 LINK PROPERTY PERM VALUE DEFAULT POSSIBLE vnic0 protection rw mac-nospoof -- mac-nospoof, restricted restricted, ip-nospoof ip-nospoof, dhcp-nospoof dhcp-nospoof vnic0 allowed-ips rw 10.0.0.1, -- -- 10.0.0.2 vnic0 allowed-dhcp-cids rw hello -- --
주 - allowed-ips 등록 정보는 VALUE 아래 나열된 것과 같이 ip-nospoof가 사용으로 설정되어 있는 경우에만 사용됩니다. allowed-dhcp-cids 등록 정보는 dhcp-nospoof가 사용으로 설정되어 있는 경우에만 사용됩니다.
dlstat 명령의 출력은 커밋되므로 이 명령은 스크립트에 적합합니다.
# dlstat -A ... vnic0 mac_misc_stat multircv 0 brdcstrcv 0 multixmt 0 brdcstxmt 0 multircvbytes 0 bcstrcvbytes 0 multixmtbytes 0 bcstxmtbytes 0 txerrors 0 macspoofed 0 <---------- ipspoofed 0 <---------- dhcpspoofed 0 <---------- restricted 0 <---------- ipackets 3 rbytes 182 ...
출력은 스푸핑되거나 제한된 패킷이 통과를 시도하지 않았음을 나타냅니다.
kstat 명령을 사용할 수 있지만 해당 출력은 커밋되지 않습니다. 예를 들어, 다음 명령은 dhcpspoofed 통계를 찾습니다.
# kstat vnic0:0:link:dhcpspoofed module: vnic0 instance: 0 name: link class: vnic dhcpspoofed 0
자세한 내용은 dlstat(1M) 및 kstat(1M) 매뉴얼 페이지를 참조하십시오.