이 절차에서는 다음 조건을 처리하기 위해 두 Trusted Extensions 시스템에서 IPsec를 구성합니다.
enigma 및 partym의 두 시스템이 다중 레벨 네트워크에서 작동하는 다중 레벨 Trusted Extensions 시스템입니다.
응용 프로그램 데이터가 암호화되고 네트워크 내에서 무단 변경을 막도록 보호되어 있습니다.
데이터의 보안 레이블은 enigma 및 partym 시스템 사이의 경로에 있는 다중 레벨 라우터 및 보안 장치에서 사용하도록 CALIPSO 또는 CIPSO IP 옵션의 형태로 표시됩니다.
enigma 및 partym이 교환하는 보안 레이블은 무단 변경을 막도록 보호됩니다.
시작하기 전에
전역 영역에서 root 역할을 가진 사용자입니다.
호스트 및 네트워크 레이블 지정의 절차를 따릅니다. cipso 호스트 유형의 템플리트를 사용합니다.
절차는 Oracle Solaris 11.2의 네트워크 보안 의 IPsec을 사용하여 두 서버 간의 네트워크 트래픽을 보호하는 방법을 참조하십시오. 다음 단계에 설명된 대로 키 관리를 위해 IKE를 사용합니다.
Oracle Solaris 11.2의 네트워크 보안 의 미리 공유한 키로 IKEv2를 구성하는 방법에 나온 절차를 따른 다음 ike/config 파일을 다음과 같이 수정합니다.
결과 파일은 다음과 유사하게 나타납니다. 레이블 추가는 강조 표시되어 있습니다.
### ike/config file on enigma, 192.168.116.16
## Global parameters
#
## Use IKE to exchange security labels.
label_aware
#
## Defaults that individual rules can override.
p1_xform
{ auth_method preshared oakley_group 5 auth_alg sha encr_alg 3des }
p2_pfs 2
#
## The rule to communicate with partym
# Label must be unique
{ label "enigma-partym"
local_addr 192.168.116.16
remote_addr 192.168.13.213
multi_label
wire_label inner
p1_xform
{ auth_method preshared oakley_group 5 auth_alg sha1 encr_alg aes }
p2_pfs 5
}
### ike/config file on partym, 192.168.13.213
## Global Parameters
#
## Use IKE to exchange security labels.
label_aware
#
p1_xform
{ auth_method preshared oakley_group 5 auth_alg sha encr_alg 3des }
p2_pfs 2
## The rule to communicate with enigma
# Label must be unique
{ label "partym-enigma"
local_addr 192.168.13.213
remote_addr 192.168.116.16
multi_label
wire_label inner
p1_xform
{ auth_method preshared oakley_group 5 auth_alg sha1 encr_alg aes }
p2_pfs 5
}
/etc/inet/ipsecinit.conf 파일의 auth_algs 대신 encr_auth_algs를 사용하여 인증을 처리하십시오. ESP 인증은 IP 헤더 및 IP 옵션을 포함하지 않지만, ESP 헤더 이후의 모든 정보를 인증합니다.
{laddr enigma raddr partym} ipsec {encr_algs any encr_auth_algs any sa shared}