레이블이 있는 IPsec 구성(작업 맵)

다음 작업 맵에서는 레이블을 IPsec 보호에 추가하는 데 사용되는 작업을 설명합니다.

작업	설명	수행 방법
Trusted Extensions와 함께 IPsec를 사용합니다.	레이블을 IPsec 보호에 추가합니다.	다중 레벨 Trusted Extensions 네트워크에서 IPsec 보호를 적용하는 방법
신뢰할 수 없는 네트워크에서 Trusted Extensions와 함께 IPsec를 사용합니다.	레이블이 없는 네트워크에서 레이블이 있는 IPsec 패킷을 터널링합니다.	신뢰할 수 없는 네트워크에서 터널을 구성하는 방법

다중 레벨 Trusted Extensions 네트워크에서 IPsec 보호를 적용하는 방법

이 절차에서는 다음 조건을 처리하기 위해 두 Trusted Extensions 시스템에서 IPsec를 구성합니다.

enigma 및 partym의 두 시스템이 다중 레벨 네트워크에서 작동하는 다중 레벨 Trusted Extensions 시스템입니다.
응용 프로그램 데이터가 암호화되고 네트워크 내에서 무단 변경을 막도록 보호되어 있습니다.
데이터의 보안 레이블은 enigma 및 partym 시스템 사이의 경로에 있는 다중 레벨 라우터 및 보안 장치에서 사용하도록 CALIPSO 또는 CIPSO IP 옵션의 형태로 표시됩니다.
enigma 및 partym이 교환하는 보안 레이블은 무단 변경을 막도록 보호됩니다.

시작하기 전에

전역 영역에서 root 역할을 가진 사용자입니다.

enigma 및 partym 호스트를 cipso 보안 템플리트에 추가합니다.
호스트 및 네트워크 레이블 지정(작업)의 절차를 따릅니다. cipso 호스트 유형의 템플리트를 사용합니다.
enigma 및 partym 시스템에 대해 IPsec를 구성합니다.
절차는 Oracle Solaris 11.1의 네트워크 보안의 IPsec를 사용하여 두 시스템 사이의 트래픽을 보호하는 방법을 참조하십시오. 다음 단계에 설명된 대로 키 관리를 위해 IKE를 사용합니다.

레이블을 IKE 협상에 추가합니다.

Oracle Solaris 11.1의 네트워크 보안의 미리 공유한 키로 IKE를 구성하는 방법에 나온 절차를 따른 다음 ike/config 파일을 다음과 같이 수정합니다.

label_aware, multi_label 및 wire_label inner 키워드를 enigma 시스템의 /etc/inet/ike/config 파일에 추가합니다.

결과 파일은 다음과 유사하게 나타납니다. 레이블 추가는 강조 표시되어 있습니다.

    ### ike/config file on enigma, 192.168.116.16
    ## Global parameters
    #
## Use IKE to exchange security labels.
    label_aware
  #
        ## Defaults that individual rules can override.
    p1_xform
          { auth_method preshared oakley_group 5 auth_alg sha encr_alg 3des }
    p2_pfs 2
    #
  ## The rule to communicate with partym
      # Label must be unique
    { label "enigma-partym"
          local_addr 192.168.116.16
          remote_addr 192.168.13.213
          multi_label
          wire_label inner
          p1_xform
           { auth_method preshared oakley_group 5 auth_alg sha1 encr_alg aes }
          p2_pfs 5
    }

동일한 키워드를 partym 시스템의 ike/config 파일에 추가합니다.

    ### ike/config file on partym, 192.168.13.213
    ## Global Parameters
    #
## Use IKE to exchange security labels.
    label_aware
    #
        p1_xform
          { auth_method preshared oakley_group 5 auth_alg sha encr_alg 3des }
    p2_pfs 2
    ## The rule to communicate with enigma
    # Label must be unique
    { label "partym-enigma"
          local_addr 192.168.13.213
          remote_addr 192.168.116.16
          multi_label
          wire_label inner
    p1_xform
           { auth_method preshared oakley_group 5 auth_alg sha1 encr_alg aes }
        p2_pfs 5
    }

CALIPSO 또는 CIPSO IP 옵션의 AH 보호를 네트워크에서 사용할 수 없는 경우 ESP 인증을 사용합니다.
/etc/inet/ipsecinit.conf 파일의 auth_algs 대신 encr_auth_algs를 사용하여 인증을 처리하십시오. ESP 인증은 IP 헤더 및 IP 옵션을 포함하지 않지만, ESP 헤더 이후의 모든 정보를 인증합니다.
```
{laddr enigma raddr partym} ipsec {encr_algs any encr_auth_algs any sa shared}
```
주 - 인증서로 보호되는 시스템에 레이블을 추가할 수도 있습니다. 공개 키 인증서는 Trusted Extensions 시스템의 전역 영역에서 관리됩니다. Oracle Solaris 11.1의 네트워크 보안의 공개 키 인증서로 IKE 구성에 나온 절차를 완료할 때 ike/config 파일을 유사하게 수정합니다.

신뢰할 수 없는 네트워크에서 터널을 구성하는 방법

이 절차에서는 두 Trusted Extensions VPN 게이트웨이 시스템 사이의 공용 네트워크에서 IPsec 터널을 구성합니다. 이 절차에서 사용된 예는 Oracle Solaris 11.1의 네트워크 보안의 VPN을 보호하기 위한 IPsec 작업에 대한 네트워크 토폴로지 설명에 나온 구성을 기준으로 합니다.

이 구성에서 다음과 같은 수정 사항이 있습니다.

10 서브넷은 다중 레벨 신뢰할 수 있는 네트워크입니다. CALIPSO 또는 CIPSO IP 옵션 보안 레이블을 이러한 LAN에서 볼 수 있습니다.
192.168 서브넷은 PUBLIC 레이블에서 작동하는 단일 레이블 신뢰할 수 없는 네트워크입니다. 이러한 네트워크는 CALIPSO 또는 CIPSO IP 옵션을 지원하지 않습니다.
euro-vpn 및 calif-vpn 간의 레이블이 있는 트래픽은 무단 변경으로부터 보호됩니다.

시작하기 전에

전역 영역에서 root 역할을 가진 사용자입니다.

호스트 및 네트워크 레이블 지정(작업)의 절차에 따라 다음을 정의합니다.
1. 10.0.0.0/8 IP 주소를 레이블이 있는 보안 템플리트에 추가합니다.
  cipso 호스트 유형의 템플리트를 사용합니다. ADMIN_LOW ~ ADMIN_HIGH의 기본 레이블 범위를 유지합니다.
2. 192.168.0.0/16 IP 주소를 PUBLIC 레이블에서 레이블이 없는 보안 템플리트에 추가합니다.
  레이블이 없는 호스트 유형의 템플리트를 사용합니다. 기본 레이블을 PUBLIC으로 설정합니다. ADMIN_LOW ~ ADMIN_HIGH의 기본 레이블 범위를 유지합니다.
3. Calif-vpn 및 Euro-vpn 인터넷 연결 주소인 192.168.13.213 및 192.168.116.16을 cipso 템플리트에 추가합니다.
  기본 레이블 범위를 유지합니다.
IPsec 터널을 만듭니다.
Oracle Solaris 11.1의 네트워크 보안의 터널 모드에서 IPsec를 사용하여 VPN을 보호하는 방법에 나온 절차를 따릅니다. 다음 단계에 설명된 대로 키 관리를 위해 IKE를 사용합니다.

레이블을 IKE 협상에 추가합니다.

Oracle Solaris 11.1의 네트워크 보안의 미리 공유한 키로 IKE를 구성하는 방법에 나온 절차를 따른 다음 ike/config 파일을 다음과 같이 수정합니다.

label_aware, multi_label 및 wire_label none PUBLIC 키워드를 euro-vpn 시스템의 /etc/inet/ike/config 파일에 추가합니다.

결과 파일은 다음과 유사하게 나타납니다. 레이블 추가는 강조 표시되어 있습니다.

        ### ike/config file on euro-vpn, 192.168.116.16
    ## Global parameters
    #
## Use IKE to exchange security labels.
    label_aware
    #
        ## Defaults that individual rules can override.
    p1_xform
          { auth_method preshared oakley_group 5 auth_alg sha encr_alg 3des }
    p2_pfs 2
    #
   ## The rule to communicate with calif-vpn
       # Label must be unique
    { label "eurovpn-califvpn"
          local_addr 192.168.116.16
          remote_addr 192.168.13.213
          multi_label
          wire_label none PUBLIC
          p1_xform
           { auth_method preshared oakley_group 5 auth_alg sha1 encr_alg aes }
          p2_pfs 5
        }

동일한 키워드를 calif-vpn 시스템의 ike/config 파일에 추가합니다.

    ### ike/config file on calif-vpn, 192.168.13.213
    ## Global Parameters
    #
## Use IKE to exchange security labels.
    label_aware
    #
        p1_xform
          { auth_method preshared oakley_group 5 auth_alg sha encr_alg 3des }
    p2_pfs 2
    ## The rule to communicate with euro-vpn
    # Label must be unique
    { label "califvpn-eurovpn"
          local_addr 192.168.13.213
          remote_addr 192.168.116.16
          multi_label
          wire_label none PUBLIC
    p1_xform
           { auth_method preshared oakley_group 5 auth_alg sha1 encr_alg aes }
        p2_pfs 5
    }

주 - 인증서로 보호되는 시스템에 레이블을 추가할 수도 있습니다. Oracle Solaris 11.1의 네트워크 보안의 공개 키 인증서로 IKE 구성에 나온 절차를 완료할 때 ike/config 파일을 유사하게 수정합니다.

탐색 링크 건너뛰기
인쇄 보기 종료
	Trusted Extensions 구성 및 관리 Oracle Solaris 11.1 Information Library (한국어)