Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

header-navigation
keyboard_arrow_up
close
keyboard_arrow_left
보안 서비스 관리 가이드
Table of Contents Expand all
list Table of Contents

이 기계 번역이 도움이 되었습니까?

starstarstarstarstar
Go to English page
면책 조항:

이 페이지는 타사 기계 번역 소프트웨어를 사용해 번역됩니다. 주니퍼 네트웍스에서는 우수한 품질의 번역을 제공하기 위한 합리적인 수준의 노력을 기울이지만 해당 컨텐츠의 정확성을 보장할 수 없습니다. 본 번역에 포함된 정보의 정확성과 관련해 의문이 있는 경우 영문 버전을 참조하시기 바랍니다. 다운로드 가능한 PDF는 영어로만 제공됩니다.

FIPS 모드에 대한 IPsec 구성

date_range 24-Jun-24

FIPS 모드에서 Junos OS용 라우팅 엔진 간의 내부 통신을 활성화하기 위한 IPsec 구성

FIPS 모드의 Junos OS 환경에서, 두 개의 라우팅 엔진이 있는 라우터는 라우팅 엔진 간의 내부 통신을 위해 IPsec을 사용해야 합니다. FIPS 모드에서 Junos OS를 설치한 후 내부 IPsec을 구성합니다. 내부 IPsec을 구성하려면 암호화 책임자여야 합니다.

메모:

FIPS 모드의 Junos OS에서는 DES 기반 IPsec SA를 구성할 수 없습니다. 내부 IPsec SA는 HMAC-SHA1-96 인증 및 3DES-CBC 암호화를 사용합니다.

수동 SA는 협상이 필요하지 않습니다. 키를 포함한 모든 값은 정적이며 구성에 지정됩니다. 수동 SA는 사용할 SPI 값, 알고리즘 및 키를 정적으로 정의하며 터널의 양쪽 끝에서 일치하는 구성이 필요합니다. 통신을 수행하려면 각 피어에 동일한 구성 옵션이 있어야 합니다.

메모:

스위치가 FIPS 모드인 경우 각 라우팅 엔진에 IPsec SA를 설정할 때까지 명령을 사용할 commit synchronize 수 없습니다.

Crypto Officer는 계층 수준에서 다음 문을 사용하여 각 라우팅 엔진에 SA를 생성하여 라우팅 엔진 간의 통신을 위한 내부 IPsec SA를 [security] 구성합니다.

내부 IPsec을 구성하려면 계층 수준에서 문을 [security] 포함합니다security-association. 수동 IPsec SA를 적용해야 하는 방향, 수신 라우팅 엔진에서 사용할 SA를 고유하게 식별하는 SPI 값, 수동 IPsec SA에 대한 인증 및 암호화 키를 정의하는 IPsec 키와 같은 매개 변수를 구성할 수 있습니다.

content_copy zoom_out_map
[ security]
ipsec {
    internal {
        security-association {
            manual {
                direction (bidirectional | inbound | outbound) {
                    protocol esp;
                    spi spi-value;
                    encryption {
                        algorithm  (hmac-sha1-96 | hmac-sha2-256);
                        key (ascii-text ascii-text-string | hexadecimal hexadecimal-number);
                    }
                }
            }
        }
    }
}

Junos-FIPS를 위한 내부 IPsec 구성 작업은 다음과 같습니다. 수동 IPsec SA를 적용해야 하는 방향, 수신 라우팅 엔진에서 사용할 SA를 고유하게 식별하는 SPI 값, 수동 IPsec SA에 대한 인증 및 암호화 키를 정의하는 IPsec 키를 구성할 수 있습니다.

SA 방향 구성

IPsec 터널의 수동 SA를 적용해야 하는 IPsec SA 방향을 구성하려면 계층 수준에서 문을 [security ipsec internal security-association manual] 포함합니다direction.

content_copy zoom_out_map
direction (bidirectional | inbound | outbound);

값은 다음 중 하나일 수 있습니다.

  • bidirectional- 라우팅 엔진 간 양방향으로 동일한 SA 값을 적용합니다.

  • inbound- 이러한 SA 속성은 인바운드 IPsec 터널에만 적용합니다.

  • outbound- 이러한 SA 속성은 아웃바운드 IPsec 터널에만 적용합니다.

SA를 양방향으로 구성하지 않는 경우 인바운드 및 아웃바운드 방향 모두에서 IPsec 터널에 대한 SA 매개 변수를 구성해야 합니다. 다음 예에서는 인바운드 및 아웃바운드 IPsec 터널을 사용합니다.

메모:

FIPS 모드에서 Junos OS의 ASCII 키로 IPsec 키를 사용하지 않는 것이 좋습니다. 대신 최대 키 강도를 위해 IPsec 키를 16진수 키로 사용해야 합니다.

content_copy zoom_out_map
[security]
ipsec {
    internal { 
        security-association {
            manual {
                direction inbound {
                    protocol esp;
                    spi 512;
                    encryption {
                        algorithm 3des-cbc;
                        key hexadecimal 309fc4be20f04e53e011b00744642d3fe66c2c7c;
                    }
                }
                direction outbound {
                    protocol esp;
                    spi 513;
                    encryption {
                        algorithm 3des-cbc;
                        key hexadecimal b0344c61d8db38535ca8afceaf0bf12b881dc200c9833da7;
                    }
                }
            }
        }
    }
}

IPsec SPI 구성

보안 매개 변수 인덱스(SPI)는 한 쌍의 라우팅 엔진 간의 보안 컨텍스트를 식별하는 32비트 인덱스입니다. IPsec SPI 값을 구성하려면 계층 수준에서 문을 포함합니다spi.[security ipsec internal security-association manual direction]

content_copy zoom_out_map
spi value;

값은 256에서 16,639 사이여야 합니다.

IPsec 키 구성

메모:

FIPS 모드에서 Junos OS의 ASCII 키로 IPsec 키를 사용하지 않는 것이 좋습니다. 대신 최대 키 강도를 위해 IPsec 키를 16진수 키로 사용해야 합니다.

키의 배포 및 관리는 VPN을 성공적으로 사용하는 데 매우 중요합니다. 인증 및 암호화를 위해 ASCII 텍스트 키 값을 구성해야 합니다. ASCII 텍스트 키를 구성하려면 계층 수준에서 문을 포함합니다key.[security ipsec internal security-association manual direction encryption]

content_copy zoom_out_map
key  (ascii-text ascii-text-string | hexadecimal hexadecimal-string);

이 유형의 SA의 경우 두 키 모두 미리 공유된 16진수 값이어야 하며 각각 특정 암호화 알고리즘이 필요합니다.

  • 인증 알고리즘

    • HMAC-SHA1-96(40자)

    • HMAC-SHA2-256(64자)

  • 암호화 알고리즘

    • 3DES-CBC(48자)

키 16진수 값을 두 번 입력해야 하며 입력한 문자열이 일치해야 하며 그렇지 않으면 키가 설정되지 않습니다. 16진수 키는 일반 텍스트로 표시되지 않습니다. FIPS 모드에서 Junos OS의 ASCII 키가 아닌 최대 키 강도를 위해 IPsec 키를 16진수 키로 사용하는 것이 좋습니다.

예: 내부 IPsec 구성

SPI 값 512와 FIPS 140-2 규칙을 준수하는 키 값을 사용하여 양방향 IPsec SA를 구성합니다.

content_copy zoom_out_map
[edit security]
ipsec {
    internal {
        security-association {
            manual {
                direction bidirectional {
                    protocol esp;
                    spi 512;
                    encryption {
                        algorithm 3des-cbc;
                        key ascii-text “$ABC123”;
                    }
                }
            }
        }
    }
}
footer-navigation