네트워크 조정(작업 맵)

작업	설명	수행 방법
네트워크 경로 지정 데몬을 사용 안함으로 설정합니다.	잠재적인 네트워크 스니퍼에 의한 시스템 액세스를 제한합니다.	네트워크 경로 지정 데몬을 사용 안함으로 설정하는 방법
네트워크 토폴로지 정보에 대한 배포를 방지합니다.	패킷 브로드캐스트를 방지합니다.	브로드캐스트 패킷 전달을 사용 안함으로 설정하는 방법
네트워크 토폴로지 정보에 대한 배포를 방지합니다.	브로드캐스트 에코 요청 및 멀티캐스트 에코 요청에 대한 응답을 방지합니다.	에코 요청에 대한 응답을 사용 안함으로 설정하는 방법
다른 도메인에 대한 게이트웨이인 시스템(예: 방화벽 또는 VPN 노드)의 경우 엄격한 소스 및 대상 다중 홈 지정을 설정합니다.	헤더의 게이트웨이 주소를 포함하지 않는 패킷이 게이트웨이 외부로 이동하지 않도록 방지합니다.	엄격한 다중 홈 지정을 설정하는 방법
완전하지 않은 시스템 연결 개수를 제한하여 DOS 공격을 방지합니다.	TCP 리스너에 대해 완전하지 않은 TCP 연결의 허용 가능한 개수를 제한합니다.	완전하지 않은 TCP 연결의 최대 개수를 설정하는 방법
허용된 수신 연결 개수를 제한하여 DOS 공격을 방지합니다.	TCP 리스너에 대한 보류 중인 TCP 연결의 기본 최대 개수를 지정합니다.	보류 중인 TCP 연결의 최대 개수를 설정하는 방법
초기 TCP 연결에 대한 높은 수준의 난수를 생성합니다.	RFC 6528에 의해 지정된 시퀀스 번호 생성 값을 준수합니다.	초기 TCP 연결에 대한 높은 수준의 난수를 지정하는 방법
ICMP 재지정을 방지합니다.	네트워크 토폴로지의 표시기를 제거합니다.	ICMP 재지정을 방지하는 방법
네트워크 매개변수를 해당 보안 기본값으로 반환합니다.	관리 작업으로 줄어든 보안을 늘립니다.	네트워크 매개변수를 보안 값으로 재설정하는 방법

네트워크 경로 지정 데몬을 사용 안함으로 설정하는 방법

이 절차에 따라 기본 라우터를 지정하여 설치한 후 네트워크 경로 지정을 방지합니다. 그렇지 않으면 경로 지정을 수동으로 구성한 후 이 절차를 수행하십시오.

주 - 여러 네트워크 구성 절차에서는 경로 지정 데몬을 사용 안함으로 설정해야 합니다. 따라서 대규모 구성 절차에서는 이 데몬이 사용 안함으로 설정되었을 수 있습니다.

시작하기 전에

Network Management 권한 프로파일에 지정된 관리자여야 합니다. 자세한 내용은 Oracle Solaris 11.1 관리: 보안 서비스의 지정된 관리 권한을 사용하는 방법을 참조하십시오.

경로 지정 데몬이 실행 중인지 확인합니다.

# svcs -x svc:/network/routing/route:default
svc:/network/routing/route:default (in.routed network routing daemon)
 State: online since April 10, 2011 05:15:35 AM PDT
   See: in.routed(1M)
   See: /var/svc/log/network-routing-route:default.log
Impact: None.

서비스가 실행 중이 아니면 여기에서 중지할 수 있습니다.

경로 지정 데몬을 사용 안함으로 설정합니다.

# routeadm -d ipv4-forwarding -d ipv6-forwarding
# routeadm -d ipv4-routing -d ipv6-routing
# routeadm -u

경로 지정 데몬이 사용 안함으로 설정되어 있는지 확인합니다.

# svcs -x routing/route:default
svc:/network/routing/route:default (in.routed network routing daemon)
 State: disabled since April 11, 2011 10:10:10 AM PDT
Reason: Disabled by an administrator.
   See: http://support.oracle.com/msg/SMF-8000-05
   See: in.routed(1M)
Impact: This service is not running.

참조

routeadm(1M) 매뉴얼 페이지

브로드캐스트 패킷 전달을 사용 안함으로 설정하는 방법

기본적으로 Oracle Solaris는 브로드캐스트 패킷을 전달합니다. 사이트 보안 정책에 따라 브로드캐스트 범람 가능성을 줄여야 하는 경우 이 절차를 사용하여 기본값을 변경하십시오.

주 - _forward_directed_broadcasts 네트워크 등록 정보를 사용 안함으로 설정하면 브로드캐스트 핑이 사용 안함으로 설정됩니다.

시작하기 전에

IP 패킷에 대해 브로드캐스트 패킷 전달 등록 정보를 0으로 설정합니다.
```
# ipadm set-prop -p _forward_directed_broadcasts=0 ip
```

현재 값을 확인합니다.

# ipadm show-prop -p _forward_directed_broadcasts ip
PROTO  PROPERTY                     PERM CURRENT   PERSISTENT   DEFAULT   POSSIBLE
ip    _forward_directed_broadcasts  rw   0         --           0         0,1

참조

ipadm(1M) 매뉴얼 페이지

에코 요청에 대한 응답을 사용 안함으로 설정하는 방법

이 절차를 사용하여 네트워크 토폴로지에 대한 정보 배포를 방지합니다.

시작하기 전에

브로드캐스트 에코 요청 등록 정보에 대한 응답을 IP 패킷에 대해 0으로 설정하고 현재 값을 확인합니다.

# ipadm set-prop -p _respond_to_echo_broadcast=0 ip

# ipadm show-prop -p _respond_to_echo_broadcast ip
PROTO  PROPERTY                  PERM CURRENT   PERSISTENT   DEFAULT   POSSIBLE
ip    _respond_to_echo_broadcast rw   0         --           1         0,1

멀티캐스트 에코 요청 등록 정보에 대한 응답을 IP 패킷에 대해 0으로 설정하고 현재 값을 확인합니다.

# ipadm set-prop -p _respond_to_echo_multicast=0 ipv4
# ipadm set-prop -p _respond_to_echo_multicast=0 ipv6

# ipadm show-prop -p _respond_to_echo_multicast ipv4
PROTO  PROPERTY                  PERM CURRENT   PERSISTENT   DEFAULT   POSSIBLE
ipv4  _respond_to_echo_multicast rw   0         --           1         0,1
# ipadm show-prop -p _respond_to_echo_multicast ipv6
PROTO  PROPERTY                  PERM CURRENT   PERSISTENT   DEFAULT   POSSIBLE
ipv6  _respond_to_echo_multicast rw   0         --           1         0,1

참조

자세한 내용은 Oracle Solaris 11.1 조정 가능 매개변수 참조 설명서의 _respond_to_echo_broadcast 및 _respond_to_echo_multicast (ipv4 or ipv6) 및 ipadm(1M) 매뉴얼 페이지를 참조하십시오.

엄격한 다중 홈 지정을 설정하는 방법

다른 시스템에 대한 게이트웨이인 시스템(예: 방화벽 또는 VPN 노드)의 경우 이 절차를 사용하여 엄격한 다중 홈 지정을 설정합니다. hostmodel 등록 정보는 다중 홈 지정 시스템에 대한 IP 패킷의 전송 및 수신 동작을 제어합니다.

시작하기 전에

hostmodel 등록 정보를 IP 패킷에 대해 strong으로 설정합니다.

# ipadm set-prop -p hostmodel=strong ipv4
# ipadm set-prop -p hostmodel=strong ipv6

현재 값을 확인하고 가능한 값을 표시합니다.

# ipadm show-prop -p hostmodel ip
PROTO  PROPERTY    PERM CURRENT   PERSISTENT   DEFAULT   POSSIBLE
ipv6   hostmodel   rw   strong    strong       weak      strong,src-priority,weak
ipv4   hostmodel   rw   strong    strong       weak      strong,src-priority,weak

참조

자세한 내용은 Oracle Solaris 11.1 조정 가능 매개변수 참조 설명서의 hostmodel (ipv4 or ipv6) 및 ipadm(1M) 매뉴얼 페이지를 참조하십시오.

엄격한 다중 홈 지정 사용에 대한 자세한 내용은 터널 모드에서 IPsec를 사용하여 VPN을 보호하는 방법을 참조하십시오.

완전하지 않은 TCP 연결의 최대 개수를 설정하는 방법

이 절차에 따라 완전하지 않은 보류 중인 연결 개수를 제어하여 서비스 거부(DOS) 공격을 방지합니다.

시작하기 전에

수신 중인 연결의 최대 개수를 설정합니다.
```
# ipadm set-prop -p _conn_req_max_q0=4096 tcp
```

현재 값을 확인합니다.

# ipadm show-prop -p _conn_req_max_q0 tcp
PROTO  PROPERTY         PERM CURRENT   PERSISTENT   DEFAULT   POSSIBLE
tcp   _conn_req_max_q0  rw   4096      --           128       1-4294967295

참조

자세한 내용은 Oracle Solaris 11.1 조정 가능 매개변수 참조 설명서의 _conn_req_max_q0 및 ipadm(1M) 매뉴얼 페이지를 참조하십시오.

보류 중인 TCP 연결의 최대 개수를 설정하는 방법

이 절차에 따라 허용된 수신 중인 연결 개수를 제어하여 DOS 공격을 방지합니다.

시작하기 전에

수신 중인 연결의 최대 개수를 설정합니다.
```
# ipadm set-prop -p _conn_req_max_q=1024 tcp
```

현재 값을 확인합니다.

# ipadm show-prop -p _conn_req_max_q tcp
PROTO  PROPERTY         PERM CURRENT   PERSISTENT   DEFAULT   POSSIBLE
tcp   _conn_req_max_q   rw   1024      --           128       1-4294967295

참조

자세한 내용은 Oracle Solaris 11.1 조정 가능 매개변수 참조 설명서의 _conn_req_max_q 및 ipadm(1M) 매뉴얼 페이지를 참조하십시오.

초기 TCP 연결에 대한 높은 수준의 난수를 지정하는 방법

이 절차에서는 RFC 6528을 준수하는 TCP 초기 시퀀스 번호 생성 매개변수를 설정합니다.

시작하기 전에

solaris.admin.edit/etc.default/inetinit 권한 부여가 지정된 관리자여야 합니다. 기본적으로 root 역할에 이 권한 부여가 있습니다. 자세한 내용은 Oracle Solaris 11.1 관리: 보안 서비스의 지정된 관리 권한을 사용하는 방법을 참조하십시오.

TCP_STRONG_ISS 변수에 대한 기본값을 변경합니다.

# pfedit /etc/default/inetinit
# TCP_STRONG_ISS=1
TCP_STRONG_ISS=2

시스템을 재부트합니다.
```
# /usr/sbin/reboot
```

ICMP 재지정을 방지하는 방법

라우터는 ICMP 재지정 메시지를 사용하여 대상에 더 직접적인 경로를 호스트에 알립니다. 불법적인 ICMP 재지정 메시지는 중간 전달자의 공격을 초래할 수 있습니다.

시작하기 전에

IP 패킷에 대해 재지정 무시 등록 정보를 1로 설정한 후 현재 값을 확인하십시오.

ICMP 재지정 메시지는 호스트의 경로 테이블을 수정하며 인증되지 않습니다. 또한 재지정된 패킷을 처리하려면 시스템의 CPU가 더 많이 필요합니다.

# ipadm set-prop -p _ignore_redirect=1 ipv4
# ipadm set-prop -p _ignore_redirect=1 ipv6
# ipadm show-prop -p _ignore_redirect ipv4
PROTO  PROPERTY         PERM CURRENT   PERSISTENT   DEFAULT   POSSIBLE
ipv4  _ignore_redirect  rw   1         1            0         0,1
# ipadm show-prop -p _ignore_redirect ipv6
PROTO  PROPERTY         PERM CURRENT   PERSISTENT   DEFAULT   POSSIBLE
ipv6  _ignore_redirect  rw   1         1            0         0,1

ICMP 재지정 메시지를 보내지 않도록 방지합니다.

이러한 메시지에는 네트워크 토폴로지 부분을 노출시킬 수 있는 경로 테이블 정보가 포함되어 있습니다.

# ipadm set-prop -p _send_redirects=0 ipv4
# ipadm set-prop -p _send_redirects=0 ipv6
# ipadm show-prop -p _send_redirects ipv4
PROTO PROPERTY          PERM CURRENT  PERSISTENT   DEFAULT  POSSIBLE
ipv4  _send_redirects   rw   0        0            1        0,1

# ipadm show-prop -p _send_redirects ipv6
PROTO  PROPERTY        PERM CURRENT   PERSISTENT   DEFAULT  POSSIBLE
ipv6  _send_redirects  rw   0         0            1        0,1

자세한 내용은 Oracle Solaris 11.1 조정 가능 매개변수 참조 설명서의 _send_redirects (ipv4 or ipv6) 및 ipadm(1M) 매뉴얼 페이지를 참조하십시오.

네트워크 매개변수를 보안 값으로 재설정하는 방법

기본적으로 보안되는 여러 네트워크 매개변수는 조정 가능하며 기본값에서 변경되었을 수 있습니다. 사이트 조건에서 허용하는 경우 다음과 같은 튜닝 가능한 매개변수를 해당 기본값으로 반환합니다.

시작하기 전에

IP 패킷에 대해 소스 패킷 전달 등록 정보를 0으로 설정한 후 현재 값을 확인하십시오.

기본값은 허위로 제공된 패킷으로부터의 DOS 공격을 방지합니다.

# ipadm set-prop -p _forward_src_routed=0 ipv4
# ipadm set-prop -p _forward_src_routed=0 ipv6
# ipadm show-prop -p _forward_src_routed ipv4
PROTO  PROPERTY             PERM CURRENT   PERSISTENT   DEFAULT   POSSIBLE
ipv4  _forward_src_routed   rw   0         --           0         0,1
# ipadm show-prop -p _forward_src_routed ipv6
PROTO  PROPERTY             PERM CURRENT   PERSISTENT   DEFAULT   POSSIBLE
ipv6  _forward_src_routed   rw   0         --           0         0,1

자세한 내용은 Oracle Solaris 11.1 조정 가능 매개변수 참조 설명서의 forwarding (ipv4 or ipv6)을 참조하십시오.

IP 패킷에 대해 netmask 응답 등록 정보를 0으로 설정한 후 현재 값을 확인하십시오.

기본값은 네트워크 토폴로지 정보의 배포를 방지합니다.

# ipadm set-prop -p _respond_to_address_mask_broadcast=0 ip
# ipadm show-prop -p _respond_to_address_mask_broadcast ip
PROTO PROPERTY                           PERM CURRENT   PERSISTENT   DEFAULT   POSSIBLE
ip    _respond_to_address_mask_broadcast rw   0         --           0         0,1

IP 패킷에 대해 시간 기록 응답 등록 정보를 0으로 설정한 후 현재 값을 확인하십시오.

기본값은 시스템에서 추가 CPU 요구를 제거하고 네트워크 정보의 배포를 방지합니다.

# ipadm set-prop -p _respond_to_timestamp=0 ip
# ipadm show-prop -p _respond_to_timestamp ip
PROTO  PROPERTY                        PERM CURRENT   PERSISTENT   DEFAULT   POSSIBLE
ip    _respond_to_timestamp            rw   0         --           0         0,1

IP 패킷에 대해 브로드캐스트 시간 기록 응답 등록 정보를 0으로 설정한 후 현재 값을 확인하십시오.

기본값은 시스템에서 추가 CPU 요구를 제거하고 네트워크 정보의 배포를 방지합니다.

# ipadm set-prop -p _respond_to_timestamp_broadcast=0 ip
# ipadm show-prop -p _respond_to_timestamp_broadcast ip
PROTO  PROPERTY                        PERM CURRENT   PERSISTENT   DEFAULT   POSSIBLE
ip    _respond_to_timestamp_broadcast  rw   0         --           0         0,1

IP 소스 경로 지정을 방지합니다.
기본값은 패킷이 네트워크 보안 조치를 무시하지 못하도록 합니다. 소스 경로가 지정된 패킷의 경우 패킷 소스가 라우터에 구성된 경로와 다른 경로를 표시하도록 허용합니다.

주 - 진단을 위해 이 매개변수를 1로 설정할 수 있습니다. 진단이 완료되면 이 값을 0으로 되돌립니다.
```
# ipadm set-prop -p _rev_src_routes=0 tcp
# ipadm show-prop -p _rev_src_routes tcp
PROTO PROPERTY          PERM CURRENT  PERSISTENT  DEFAULT  POSSIBLE
tcp   _rev_src_routes   rw   0        --          0        0,1
```
자세한 내용은 Oracle Solaris 11.1 조정 가능 매개변수 참조 설명서의 _rev_src_routes를 참조하십시오.

참조

ipadm(1M) 매뉴얼 페이지

탐색 링크 건너뛰기
인쇄 보기 종료
	Oracle Solaris 11.1의 네트워크 보안 Oracle Solaris 11.1 Information Library (한국어)