IPsec을 사용하여 두 서버 간의 네트워크 트래픽을 보호하는 방법

언어:

IPsec을 사용하여 두 서버 간의 네트워크 트래픽을 보호하는 방법

이 절차에서는 다음 설정을 가정합니다.

시스템에 정적 IP 주소가 지정되어 있고 네트워크 구성 프로파일 DefaultFixed가 실행 중입니다. netadm list 명령에서 Automatic을 반환하는 경우 자세한 내용은 netcfg(1M) 매뉴얼 페이지를 참조하십시오.
두 시스템의 이름은 enigma 및 partym입니다.
각 시스템에는 IP 주소가 있습니다. 이 주소는 IPv4 주소 또는 IPv6 주소 또는 둘 다 될 수 있습니다. 이 절차에서는 IPv4 주소를 사용합니다.
각 시스템은 전역 영역이나 배타적 IP 영역입니다. 자세한 내용은 IPsec 및 Oracle Solaris 영역을 참조하십시오.
각 시스템에서는 트래픽을 AES 알고리즘을 사용하여 암호화하고 SHA-2를 사용하여 인증합니다.

주 - 일부 사이트에서는 SHA-2 알고리즘이 필요할 수 있습니다.
각 시스템은 공유 보안 연관을 사용합니다.

공유 SA를 사용하여 두 시스템을 보호하는 데 한 쌍의 SA만 필요합니다.

주 - Trusted Extensions 시스템에서 레이블이 있는 IPsec를 사용하려면 Trusted Extensions 구성 및 관리 의 다중 레벨 Trusted Extensions 네트워크에서 IPsec 보호를 적용하는 방법을 참조하십시오.

시작하기 전에

특정 권한이 있는 사용자는 root가 아니어도 다음 명령을 실행할 수 있습니다.

구성 명령을 실행하려면 Network IPsec Management 권한 프로파일에 지정된 관리자여야 합니다.
이 관리 역할에서는 pfedit 명령을 사용하여 IPsec 관련 시스템 파일을 편집하고 키를 만들 수 있습니다.
hosts 파일을 편집하려면 root 역할이거나 해당 파일을 편집할 수 있는 명시적 권한이 있어야 합니다. Example 7–7을 참조하십시오.

자세한 내용은 Oracle Solaris 11.2의 사용자 및 프로세스 보안 의 지정된 관리 권한 사용을 참조하십시오.

원격으로 관리하는 경우 Example 7–1 및 Oracle Solaris 11.2의 보안 셸 액세스 관리 의 보안 셸을 사용하여 ZFS를 원격으로 관리하는 방법에서 보안 원격 로그인 지침을 참조하십시오.

각 시스템에서 호스트 항목을 /etc/inet/hosts 파일에 추가합니다.
이 단계를 사용하면 네트워크 이름 지정 서비스를 사용하지 않고도 로컬 이름 지정 서비스에서 시스템 이름을 IP 주소로 확인할 수 있습니다.
1. 이름이 partym인 시스템에서 hosts 파일에 다음을 입력합니다.
```
## Secure communication with enigma
192.168.116.16 enigma
```
2. 이름이 enigma인 시스템에서 hosts 파일에 다음을 입력합니다.
```
## Secure communication with partym
192.168.13.213 partym
```
각 시스템에서 IPsec 정책 파일을 만듭니다.
파일 이름은 /etc/inet/ipsecinit.conf입니다. 예는 /etc/inet/ipsecinit.sample 파일을 참조하십시오.
```
# pfedit /etc/inet/ipsecinit.conf
```

IPsec 정책 항목을 ipsecinit.conf 파일에 추가합니다.
IPsec 정책 항목의 구문과 몇 가지 예는 ipsecconf(1M) 매뉴얼 페이지를 참조하십시오.
1. enigma 시스템에서 다음 정책을 추가합니다.
```
{laddr enigma raddr partym} ipsec {encr_algs aes encr_auth_algs sha512 sa shared}
```
  dir 키워드를 사용하지 않았으므로 정책이 아웃바운드 및 인바운드 패킷 모두에 적용됩니다.
2. partym 시스템에서 동일한 정책을 추가합니다.
```
{laddr partym raddr enigma} ipsec {encr_algs aes encr_auth_algs sha512 sa shared}
```

각 시스템에서 IKE를 구성하여 IPsec SA를 관리합니다.
IKEv2 구성에 있는 구성 절차 중 하나를 따릅니다. IKE 구성 파일의 구문은 ikev2.config(4) 매뉴얼 페이지를 참조하십시오. IKEv1 프로토콜만 지원하는 시스템과 통신하는 경우 IKEv1 구성 및 ike.config(4) 매뉴얼 페이지를 참조하십시오.

주 - 키를 수동으로 생성하고 유지 관리해야 하는 경우 IPsec 키를 수동으로 만드는 방법을 참조하십시오.

IPsec 정책 파일의 구문을 확인합니다.
```
% pfbash
# /usr/sbin/ipsecconf -c /etc/inet/ipsecinit.conf
```
오류를 수정하고 파일의 구문을 확인한 다음 계속합니다.

IPsec 정책을 새로 고칩니다.
```
# svcadm refresh ipsec/policy:default
```
IPsec 정책은 기본적으로 사용으로 설정되므로 새로 고칩니다. IPsec 정책을 사용 안함으로 설정한 경우 사용으로 설정합니다.
```
# svcadm enable ipsec/policy:default
```

IPsec에 대한 키를 활성화합니다.
- ike 서비스가 사용으로 설정되지 않은 경우 사용으로 설정합니다.
  주 - IKEv1 프로토콜만 실행할 수 있는 시스템과 통신하는 경우에는 ike:default 인스턴스를 지정합니다.
```
# svcadm enable ipsec/ike:ikev2
```
- ike 서비스가 사용으로 설정된 경우 다시 시작합니다.
```
# svcadm restart ike:ikev2
```
Step 4에서 키를 수동으로 구성한 경우 IPsec 키를 수동으로 만드는 방법의 절차를 완료하여 키를 활성화합니다.

패킷이 보호되고 있는지 확인합니다.
절차는 IPsec로 패킷이 보호되는지 확인하는 방법을 참조하십시오.

예 7-1 ssh 연결을 사용하여 IPsec 정책을 원격으로 구성

이 예에서는 root 역할의 관리자가 두 시스템에서 ssh 명령으로 두번째 시스템에 연결하여 IPsec 정책 및 키를 구성합니다. 관리자는 두 시스템에서 동일하게 정의됩니다. 자세한 내용은 ssh(1) 매뉴얼 페이지를 참조하십시오.

관리자는 IPsec을 사용하여 두 서버 간의 네트워크 트래픽을 보호하는 방법의 Step 1 ~ Step 5를 수행하여 첫번째 시스템을 구성합니다.
다른 터미널 창에서 관리자는 동일하게 정의된 사용자 이름 및 ID를 사용하여 ssh 명령을 통해 원격으로 로그인합니다.
```
local-system % ssh -l jdoe other-system
other-system # su - root 
Enter password: xxxxxxxx
other-system #
```
ssh 세션의 터미널 창에서 관리자는 Step 1 ~ Step 7를 완료하여 두번째 시스템의 IPsec 정책 및 키를 구성합니다.

관리자는 ssh 세션을 종료합니다.

other-system # exit
local-system 
# exit

관리자는 Step 6 및 Step 7를 완료하여 첫번째 시스템에서 IPsec 정책을 사용으로 설정합니다.

다음에 ssh 연결을 사용하여 통신하는 경우를 비롯해 두 시스템이 통신할 때 통신이 IPsec으로 보호됩니다.

예 7-2 FIPS 140 모드로 실행하도록 IPsec 정책 구성

이 예제에서 관리자는 키 길이가 최소 192비트인 대칭적 알고리즘이 필요한 사이트 보안 정책을 따르도록 FIPS 140 사용 시스템에서 IPsec 정책을 구성합니다.

관리자는 두 가지 가능한 IPsec 정책을 지정합니다. 첫번째 정책은 암호화 및 인증을 위해 CCM 모드로 AES를 지정하고, 두번째 정책은 암호화를 위해 키 길이가 192비트 및 256비트인 AES를 지정하고 인증을 위해서는 SHA384를 지정합니다.

 {laddr machine1 raddr machine2} ipsec {encr_algs aes-ccm(192...) sa shared} or ipsec
 {laddr machine1 raddr machine2} ipsec {encr_algs aes(192...) encr_auth_algs sha2(384) sa shared}