ipsecinit.conf 파일

Oracle Solaris를 시작할 때 IPsec 보안 정책을 사용으로 설정하려면 구성 파일을 만들어 특정 IPsec 정책 항목으로 IPsec를 초기화합니다. 이 파일에 대한 기본 이름은 /etc/inet/ipsecinit.conf입니다. 정책 항목 및 해당 형식에 대한 자세한 내용은 ipsecconf(1M) 매뉴얼 페이지를 참조하십시오. 정책이 구성된 다음 ipsecconf 명령을 사용하여 기존 구성을 보거나 수정할 수 있습니다. Solaris 10 4/09 릴리스부터 기존 구성을 수정하려면 policy 서비스를 새로 고칩니다.

샘플 ipsecinit.conf 파일

Oracle Solaris 소프트웨어에는 샘플 IPsec 정책 파일 ipsecinit.sample이 포함되어 있습니다. 이 파일을 템플리트로 사용하여 자신의 ipsecinit.conf 파일을 만들 수 있습니다. ipsecinit.sample 파일에는 다음 예가 포함되어 있습니다.

#
# For example,
#
#     {rport 23} ipsec {encr_algs des encr_auth_algs md5}
#
# will protect the telnet traffic originating from the host with ESP using
# DES and MD5. Also:
#
#     {raddr 10.5.5.0/24} ipsec {auth_algs any}
#
# will protect traffic to or from the 10.5.5.0 subnet with AH 
# using any available algorithm.
#
#
# To do basic filtering, a drop rule may be used. For example:
#
#     {lport 23 dir in} drop {}
#     {lport 23 dir out} drop {}
# will disallow any remote system from telnetting in.
#
# If you are using IPv6, it may be useful to bypass neighbor discovery
# to allow in.iked to work properly with on-link neighbors. To do that,
# add the following lines:
#
#        {ulp ipv6-icmp type 133-137 dir both } pass { }
#
# This will allow neighbor discovery to work normally.

ipsecinit.conf 및 ipsecconf에 대한 보안 고려 사항

네트워크에서 ipsecinit.conf 파일의 복사본을 전송할 때는 특히 주의하십시오. 공격자는 파일이 읽혀질 때 네트워크 마운트 파일을 읽을 수 있습니다. 예를 들어, /etc/inet/ipsecinit.conf 파일을 액세스하거나 NFS로 마운트된 파일 시스템에서 복사할 경우, 공격자가 파일에 포함된 정책을 변경할 수 있습니다.

IPsec 정책은 설정된 연결에 대해 변경할 수 없습니다. 정책을 변경할 수 없는 소켓을 잠긴 소켓이라고 합니다. 새 정책 항목은 이미 잠긴 소켓을 보호하지 않습니다. 자세한 내용은 connect(3SOCKET) 및 accept(3SOCKET) 매뉴얼 페이지를 참조하십시오. 의심스러운 경우 연결을 다시 시작하십시오.

이름 지정 시스템을 보호합니다. 다음 두 조건이 충족될 경우 호스트 이름을 더 이상 신뢰할 수 없습니다.

• 소스 주소가 네트워크를 통해 조회할 수 있는 호스트입니다.

• 이름 지정 시스템이 침해되었습니다.

보안 취약성은 실제 도구가 도구의 오용으로 인해 발생하기도 합니다. ipsecconf 명령을 사용할 때는 주의해야 합니다. 가장 안전한 작업 모드를 위해서는 콘솔 또는 기타 하드 연결된 TTY를 사용합니다.