| 탐색 링크 건너뛰기 | |
| 인쇄 보기 종료 | |
|
Oracle Solaris 관리: IP 서비스 Oracle Solaris 10 1/13 Information Library (한국어) |
| 탐색 링크 건너뛰기 | |
| 인쇄 보기 종료 | |
|
|
Oracle Solaris 관리: IP 서비스 Oracle Solaris 10 1/13 Information Library (한국어) |
1. Oracle Solaris TCP/IP 프로토콜 제품군(개요)
5. TCP/IP 네트워크 서비스 구성 및 IPv4 주소 지정(작업)
10. TCP/IP 및 IPv4에 대한 자세한 정보(참조)
Sun Crypto Accelerator 1000 보드를 찾도록 IKE를 구성하는 방법
Sun Crypto Accelerator 4000 보드를 찾도록 IKE를 구성하는 방법
Sun Crypto Accelerator 6000 보드를 찾도록 IKE를 구성하는 방법
Phase 1 IKE 키 협상 지속 시간을 변경하는 방법
미리 공유한 키는 가장 간단한 IKE 인증 방법입니다. IKE를 사용하도록 두 시스템을 구성 중이며 두 시스템의 관리자라면 미리 공유한 키를 사용하는 것이 좋습니다. 단, 공개 키 인증서와 달리 미리 공유한 키는 특정 IP 주소와 연관되어 있습니다. 미리 공유한 키는 모바일 시스템 또는 번호가 재지정될 수 있는 시스템에서 사용할 수 없습니다.
IKE 구현은 키 길이가 다양한 알고리즘을 제공합니다. 키 길이는 사이트 보안에 따라 선택할 수 있습니다. 일반적으로 길이가 긴 키는 길이가 짧은 키에 비해 더 강력한 보안을 제공합니다.
이 절차에서는 enigma 및 partym 시스템 이름을 사용합니다. enigma 및 partym 이름을 사용자의 현재 시스템 이름으로 대체하십시오.
기본 관리자 역할에는 기본 관리자 프로파일이 포함됩니다. 역할을 만들어 사용자에게 지정하려면 Oracle Solaris 관리: 기본 관리의 2 장, Solaris Management Console 작업(작업)을 참조하십시오.
주 - 원격으로 로그인하면 보안이 중요한 트래픽이 도청될 수 있습니다. 원격 로그인을 보호해도 시스템의 보안은 원격 로그인 세션 보안으로 약해집니다. 원격 로그인을 보호하려면 ssh 명령을 사용하십시오.
이 파일의 규칙 및 전역 매개변수는 시스템의 ipsecinit.conf 파일에 설정되어 있는 IPsec 정책이 성공하도록 허용해야 합니다. 다음 ike/config 예는 IPsec를 사용하여 두 시스템 사이의 트래픽을 보호하는 방법의 ipsecinit.conf 예와 함께 작동합니다.
### ike/config file on enigma, 192.168.116.16
## Global parameters
#
## Phase 1 transform defaults
p1_lifetime_secs 14400
p1_nonce_len 40
#
## Defaults that individual rules can override.
p1_xform
{ auth_method preshared oakley_group 5 auth_alg sha encr_alg 3des }
p2_pfs 2
#
## The rule to communicate with partym
# Label must be unique
{ label "enigma-partym"
local_addr 192.168.116.16
remote_addr 192.168.13.213
p1_xform
{ auth_method preshared oakley_group 5 auth_alg sha1 encr_alg aes }
p2_pfs 5
}### ike/config file on partym, 192.168.13.213
## Global Parameters
#
p1_lifetime_secs 14400
p1_nonce_len 40
#
p1_xform
{ auth_method preshared oakley_group 5 auth_alg sha encr_alg 3des }
p2_pfs 2
## The rule to communicate with enigma
# Label must be unique
{ label "partym-enigma"
local_addr 192.168.13.213
remote_addr 192.168.116.16
p1_xform
{ auth_method preshared oakley_group 5 auth_alg sha1 encr_alg aes }
p2_pfs 5
}# /usr/lib/inet/in.iked -c -f /etc/inet/ike/config
사이트에 난수 생성기가 있는 경우 생성기를 사용합니다. Oracle Solaris 10 시스템에서 od 명령을 사용할 수 있습니다. 예를 들어, 다음 명령은 두 라인의 16진수를 출력합니다.
% od -X -A n /dev/random | head -2
f47cb0f4 32e14480 951095f8 2b735ba8
0a9467d0 8f92c880 68b6a40e 0efe067dod 명령에 대한 설명은 Oracle Solaris 시스템에서 난수를 생성하는 방법 및 od(1) 매뉴얼 페이지를 참조하십시오.
f47cb0f432e14480951095f82b735ba80a9467d08f92c88068b6a40e
이 절차의 인증 알고리즘은 단계 3과 같이 SHA–1입니다. 해시 크기, 즉 인증 알고리즘의 출력 크기에 따라 미리 공유한 키의 최소 권장 크기가 결정됩니다. SHA–1 알고리즘의 출력은 160비트 또는 40자입니다. 예에서의 키 길이는 56자이며 IKE에서 사용할 추가 키 입력 자료를 제공합니다.
각 파일에 미리 공유한 키를 삽입합니다.
# ike.preshared on enigma, 192.168.116.16
#…
{ localidtype IP
localid 192.168.116.16
remoteidtype IP
remoteid 192.168.13.213
# enigma and partym's shared key in hex (192 bits)
key f47cb0f432e14480951095f82b735ba80a9467d08f92c88068b6a40e
}# ike.preshared on partym, 192.168.13.213
#…
{ localidtype IP
localid 192.168.13.213
remoteidtype IP
remoteid 192.168.116.16
# partym and enigma's shared key in hex (192 bits)
key f47cb0f432e14480951095f82b735ba80a9467d08f92c88068b6a40e
}주 - 각 시스템의 미리 공유한 키는 동일해야 합니다.
예 23-1 운영 체제가 다른 두 시스템에 대해 동일한 키 입력 자료 생성
Oracle Solaris의 IPsec 기능은 다른 운영 체제의 IPsec과 상호 운용됩니다. 시스템이 ASCII 미리 공유한 키가 필요한 시스템과 통신하는 경우 16진수와 ASCII 두 가지 형식으로 된 키 하나를 생성해야 합니다.
이 예에서 Oracle Solaris 시스템 관리자는 56자의 키 입력 자료가 필요합니다. 관리자는 다음 명령을 사용하여 ASCII 문장암호에서 16진수 키를 생성합니다. -tx1 옵션은 모든 Oracle Solaris 시스템에서 한 번에 하나씩 바이트를 출력합니다.
# /bin/echo "papiermache with cashews and\c" | od -tx1 | cut -c 8-55 | \
tr -d '\n' | tr -d ' ' | awk '{print}'
7061706965726d616368652077697468206361736865777320616e64
오프셋을 제거하고 16진수 출력을 연결하면 Oracle Solaris 시스템의 16진수 키는 7061706965726d616368652077697468206361736865777320616e64입니다. 관리자는 이 값을 Oracle Solaris 시스템의 ike.preshared 파일에 지정합니다.
# Shared key in hex (192 bits) key 7061706965726d616368652077697468206361736865777320616e64
ASCII 미리 공유한 키가 필요한 시스템에서 문장암호는 미리 공유한 키입니다. Oracle Solaris 시스템 관리자는 문장암호 papiermache with cashews and를 소유한 다른 관리자에게 전화를 겁니다.
이 절차에서는 미리 공유된 기존 키를 사용자가 정기적으로 바꾸려고 한다고 가정합니다.
기본 관리자 역할에는 기본 관리자 프로파일이 포함됩니다. 역할을 만들어 사용자에게 지정하려면 Oracle Solaris 관리: 기본 관리의 2 장, Solaris Management Console 작업(작업)을 참조하십시오.
주 - 원격으로 로그인하면 보안이 중요한 트래픽이 도청될 수 있습니다. 원격 로그인을 보호해도 시스템의 보안은 원격 로그인 세션 보안으로 약해집니다. 원격 로그인을 보호하려면 ssh 명령을 사용하십시오.
자세한 내용은 Oracle Solaris 시스템에서 난수를 생성하는 방법을 참조하십시오. Oracle Solaris용 미리 공유한 키를 생성하는 경우 ASCII가 필요한 운영 체제와 통신하는 시스템에 대해서는 예 23-1을 참조하십시오.
예를 들어, enigma 및 partym 호스트에서 /etc/inet/secret/ike.preshared 파일의 key 값을 같은 길이의 새 숫자로 바꿉니다.
# svcadm enable ike
# /usr/sbin/ikeadm get priv Current privilege level is 0x0, base privileges enabled
명령이 0x1 또는 0x2 권한 레벨을 반환한 경우 키 입력 자료를 변경할 수 있습니다. 레벨이 0x0인 경우에는 키 입력 자료를 수정하거나 볼 수 없습니다. 기본적으로 in.iked 데몬은 0x0 권한 레벨에서 실행됩니다.
데몬을 다시 시작하면 새 버전의 ike.preshared 파일을 읽습니다.
# pkill in.iked # /usr/lib/inet/in.iked
# ikeadm read preshared
기본적으로 ikeadm 명령은 Phase 1 SA의 덤프에서 실제 키를 보지 못하도록 합니다. 디버깅 중에는 키를 보는 것이 유용합니다.
실제 키를 보려면 데몬의 권한 레벨을 향상시켜야 합니다. 권한 레벨에 대한 설명은 ikeadm 명령을 참조하십시오.
시작하기 전에
IKE가 구성되고 ike 서비스가 실행 중입니다.
# ikeadm ikeadm> dump preshared
# svcprop -p config/admin_privilege ike base # svccfg -s ike setprop config/admin_privilege=keymat
# svcadm refresh ike ; svcadm restart ike
# svcprop -p config/admin_privilege ike keymat
# svccfg -s ike setprop config/admin_privilege=base
# svcadm refresh ike ; svcadm restart ike
예 23-2 Solaris 10 4/09 이전 릴리스에서 IKE 미리 공유한 키 확인
다음 예에서 관리자는 현재 Oracle Solaris 10 릴리스에서 실행되고 있지 않은 Solaris 시스템의 키를 보고 있습니다. 관리자는 이 시스템의 키가 통신 시스템의 키와 동일한지 확인하려고 합니다. 두 시스템의 키가 동일한지 확인한 후 관리자는 권한 레벨을 0으로 복원합니다.
먼저 관리자는 in.iked 데몬의 권한 레벨을 확인합니다.
adm1 # /usr/sbin/ikeadm get priv Current privilege level is 0x0, base privileges enabled
권한 레벨이 0x1 또는 0x2가 아니므로 관리자는 in.iked 데몬을 중지한 후 권한 레벨을 2로 향상시킵니다.
adm1 # pkill in.iked adm1 # /usr/lib/inet/in.iked -p 2 Setting privilege level to 2
관리자가 키를 표시합니다.
adm1 # ikeadm dump preshared PSKEY: Preshared key (24 bytes): f47cb…/192 LOCIP: AF_INET: port 0, 192.168.116.16 (adm1). REMIP: AF_INET: port 0, 192.168.13.213 (com1).
관리자는 원격으로 통신 시스템에 로그인하여 키가 동일한지 확인합니다.
그런 다음 기본 권한 레벨을 복원합니다.
# ikeadm set priv base
같은 피어 간의 작업 구성에 IPsec 정책 항목을 추가할 경우에는 IPsec 정책 서비스를 새로 고쳐야 합니다. IKE는 재구성하거나 다시 시작하지 않아도 됩니다.
IPsec 정책에 새 피어를 추가할 경우 IPsec 변경 외에 IKE 구성도 수정해야 합니다.
시작하기 전에
ipsecinit.conf 파일을 업데이트했으며 피어 시스템에 대한 IPsec 정책을 새로 고쳤습니다.
기본 관리자 역할에는 기본 관리자 프로파일이 포함됩니다. 역할을 만들어 사용자에게 지정하려면 Oracle Solaris 관리: 기본 관리의 2 장, Solaris Management Console 작업(작업)을 참조하십시오.
주 - 원격으로 로그인하면 보안이 중요한 트래픽이 도청될 수 있습니다. 원격 로그인을 보호해도 시스템의 보안은 원격 로그인 세션 보안으로 약해집니다. 원격 로그인을 보호하려면 ssh 명령을 사용하십시오.
자세한 내용은 Oracle Solaris 시스템에서 난수를 생성하는 방법을 참조하십시오. Oracle Solaris용 미리 공유한 키를 생성하는 경우 ASCII가 필요한 운영 체제와 통신하는 시스템에 대해서는 예 23-1을 참조하십시오.
두 사람 모두 동일한 미리 공유한 키를 동시에 추가해야 합니다. 키의 보안은 전송 방식의 보안에 따라 달라집니다. 등록된 메일 또는 보호된 팩스와 같은 대역 외 방식이 가장 좋습니다. 또한 ssh 세션을 사용하여 두 시스템을 관리할 수도 있습니다.
### ike/config file on enigma, 192.168.116.16
## The rule to communicate with ada
{label "enigma-to-ada"
local_addr 192.168.116.16
remote_addr 192.168.15.7
p1_xform
{auth_method preshared oakley_group 5 auth_alg sha1 encr_alg blowfish}
p2_pfs 5
}### ike/config file on ada, 192.168.15.7
## The rule to communicate with enigma
{label "ada-to-enigma"
local_addr 192.168.15.7
remote_addr 192.168.116.16
p1_xform
{auth_method preshared oakley_group 5 auth_alg sha1 encr_alg blowfish}
p2_pfs 5
}# ike.preshared on enigma for the ada interface
#
{ localidtype IP
localid 192.168.116.16
remoteidtype IP
remoteid 192.168.15.7
# enigma and ada's shared key in hex (32 - 448 bits required)
key 8d1fb4ee500e2bea071deb2e781cb48374411af5a9671714672bb1749ad9364d
}# ike.preshared on ada for the enigma interface
#
{ localidtype IP
localid 192.168.15.7
remoteidtype IP
remoteid 192.168.116.16
# ada and enigma's shared key in hex (32 - 448 bits required)
key 8d1fb4ee500e2bea071deb2e781cb48374411af5a9671714672bb1749ad9364d
}# svcadm refresh ike
IKE 미리 공유한 키가 동일한지 확인하는 방법을 참조하십시오.
예 23-3 새 IPsec 정책 항목에 대해 IKE 미리 공유한 키 추가
다음 예에서 관리자는 현재 Oracle Solaris 10 릴리스에서 실행되고 있지 않은 Solaris 시스템에 미리 공유한 키를 추가하고 있습니다. 관리자는 앞의 절차에 따라 ike/config 및 ike.preshared 파일을 수정하고, 키를 생성하고, 원격 시스템에 연결합니다.
새 키를 생성하기 전에 관리자는 in.iked 데몬의 권한 레벨을 2로 설정합니다.
# pkill in.iked # /usr/lib/inet/in.iked -p 2 Setting privilege level to 2
키를 다른 시스템으로 보내고 시스템에 새 키를 추가한 후 관리자는 권한 레벨을 내립니다.
# ikeadm set priv base
마지막으로 관리자는 새 IKE 규칙을 커널로 읽습니다.
# ikeadm read rules
다음 순서
IPsec 정책 설정을 완료하지 않았으면 IPsec 정책을 사용으로 설정하거나 새로 고치는 IPsec 절차로 돌아가십시오.
통신 시스템에서 미리 공유한 키가 동일하지 않은 경우 시스템을 인증할 수 없습니다.
시작하기 전에
IPsec가 구성되고 테스트 중인 두 시스템 간에 사용으로 설정됩니다. 현재 Oracle Solaris 10 릴리스가 실행 중입니다.
기본 관리자 역할에는 기본 관리자 프로파일이 포함됩니다. 역할을 만들어 사용자에게 지정하려면 Oracle Solaris 관리: 기본 관리의 2 장, Solaris Management Console 작업(작업)을 참조하십시오.
주 - 원격으로 로그인하면 보안이 중요한 트래픽이 도청될 수 있습니다. 원격 로그인을 보호해도 시스템의 보안은 원격 로그인 세션 보안으로 약해집니다. 원격 로그인을 보호하려면 ssh 명령을 사용하십시오.
# svcprop -p config/admin_privilege ike base
ike 서비스를 새로 고치고 다시 시작합니다.
# svccfg -s ike setprop config/admin_privilege=keymat # svcadm refresh ike ; svcadm restart ike # svcprop -p config/admin_privilege ike keymat
# ikeadm dump preshared PSKEY: Preshared key (24 bytes): f47cb…/192 LOCIP: AF_INET: port 0, 192.168.116.16 (enigma). REMIP: AF_INET: port 0, 192.168.13.213 (partym).
미리 공유한 키가 동일하지 않으면 한 키를 /etc/inet/secret/ike.preshared 파일의 다른 키로 바꿉니다.
# svccfg -s ike setprop config/admin_privilege=base # svcadm restart ike
|