IPsec 보안 연결

IPsec SA(보안 연결)는 통신 호스트에서 인식할 수 있는 보안 등록 정보를 지정합니다. 단일 SA는 한 방향의 데이터를 보호합니다. 단일 호스트 또는 그룹(멀티캐스트) 주소에 대한 보호입니다. 대부분의 통신은 피어 투 피어 또는 클라이언트-서버이므로 양방향에서 트래픽을 보호하려면 두 SA가 존재해야 합니다.

다음 세 가지 요소는 IPsec SA를 고유하게 식별합니다.

• 보안 프로토콜(AH 또는 ESP)

• 대상 IP 주소

• SPI(보안 매개변수 색인)

임의의 32비트 값인 SPI는 AH 또는 ESP 패킷으로 전송됩니다. ipsecah(7P) 및 ipsecesp(7P) 매뉴얼 페이지에서 AH 및 ESP로 보호되는 보호의 범위를 설명합니다. 무결성 체크섬 값은 패킷을 인증하는 데 사용됩니다. 인증을 실패할 경우 패킷은 삭제됩니다.

보안 연결은 SADB(보안 연결 데이터베이스)에 저장됩니다. 소켓 기반 관리 인터페이스인 PF_KEY는 권한이 부여된 응용 프로그램이 데이터베이스를 관리하도록 합니다. 예를 들어, IKE 응용 프로그램 및 ipseckeys 명령은 PF_KEY 소켓 인터페이스를 사용합니다.

• IPsec SADB에 대한 자세한 설명은 IPsec에 대한 보안 연결 데이터베이스를 참조하십시오.

• SADB를 관리하는 방법에 대한 자세한 내용은 pf_key(7P) 매뉴얼 페이지를 참조하십시오.

IPsec에서 키 관리

SA(보안 연결)에는 인증 및 암호화를 위한 키 입력 자료가 필요합니다. 이 키 입력 자료 관리를 키 관리라고 합니다. IKE(Internet Key Exchange) 프로토콜은 키 관리를 자동으로 처리합니다. 또한 ipseckey 명령을 사용하여 수동으로 키를 관리할 수 있습니다.

IPv4 및 IPv6 소켓에 대한 SA에서는 이러한 두 가지 키 관리 방식을 사용할 수 있습니다. 수동 키 관리를 사용해야 하는 분명한 이유가 없다면 IKE를 사용하는 것이 좋습니다.

Oracle Solaris의 SMF(서비스 관리 기능) 기능은 IPsec에 대한 다음 키 관리 서비스를 제공합니다.

• svc:/network/ipsec/ike:default 서비스 – 자동 키 관리를 위한 SMF 서비스입니다. ike 서비스는 in.iked 데몬을 실행하여 자동 키 관리를 제공합니다. IKE에 대한 설명은 22 장Internet Key Exchange(개요)를 참조하십시오. in.iked 데몬에 대한 자세한 내용은 in.iked(1M) 매뉴얼 페이지를 참조하십시오. ike 서비스에 대한 자세한 내용은 IKE 서비스를 참조하십시오.

• svc:/network/ipsec/manual-key:default 서비스 – 수동 키 관리를 위한 SMF 서비스입니다. manual-key 서비스는 ipseckey 명령을 다양한 옵션과 함께 실행하여 키를 수동으로 관리합니다. ipseckey 명령에 대한 설명은 IPsec에서 SA 생성을 위한 유틸리티를 참조하십시오. ipseckey 명령 옵션에 대한 자세한 설명은 ipseckey(1M) 매뉴얼 페이지를 참조하십시오.

Solaris 10 4/09 이전 릴리스에서는 in.iked 및 ipseckey 명령으로 키 입력 자료가 관리됩니다.

• in.iked 데몬은 자동 키 관리를 제공합니다. IKE에 대한 설명은 22 장Internet Key Exchange(개요)를 참조하십시오. in.iked 데몬에 대한 자세한 내용은 in.iked(1M) 매뉴얼 페이지를 참조하십시오.

• ipseckey 명령은 수동 키 관리를 제공합니다. 명령에 대한 설명은 IPsec에서 SA 생성을 위한 유틸리티를 참조하십시오. ipseckey 명령 옵션에 대한 자세한 설명은 ipseckey(1M) 매뉴얼 페이지를 참조하십시오.