- play_arrow 포트 보안
- play_arrow 포트 보안 개요
-
- play_arrow IPSec (영문)
- play_arrow IPsec 및 보안 연결 이해
- play_arrow IPsec 구성 및 예
- play_arrow IPsec 보안 연결 구성
- play_arrow IPsec에 디지털 인증서 사용
- play_arrow 추가 IPsec 옵션
- play_arrow IPsec 동적 엔드포인트 구성
- play_arrow 추가 ES 및 AS PIC 구성 예
-
- play_arrow Trusted Platform Module
- play_arrow MACsec
- play_arrow MAC 제한 및 이동 제한
- play_arrow DHCP 보호
- play_arrow DHCPv4 및 DHCPv6
- play_arrow DHCP 스누핑
- play_arrow DHCP 옵션 82
- play_arrow DAI(Dynamic ARP Inspection)
-
- play_arrow IP Source Guard
- play_arrow IP Source Guard 이해
- play_arrow IP Source Guard의 예
- 예: 음성 VLAN과 인터페이스를 공유하는 데이터 VLAN에서 IP Source Guard 구성
- 예: 신뢰할 수 없는 액세스 인터페이스에 대한 주소 스푸핑 공격을 완화하기 위해 다른 EX 시리즈 스위치 기능과 함께 IP Source Guard 구성
- 예: IP 스푸핑 및 ARP 스푸핑으로부터 스위치를 보호하기 위한 IP 소스 가드 및 동적 ARP 검사 구성
- 예: IPv6 주소 스푸핑으로부터 스위치 보호를 위한 IPv6 소스 가드 및 Neighbor Discovery 검사 구성
- 소스 IP 주소 스푸핑 및 소스 MAC 주소 스푸핑의 영향을 완화하기 위한 IP Source Guard 구성
- 예: 지정된 브리지 도메인에서 IP 소스 가드 및 동적 ARP 검사를 구성하여 공격으로부터 디바이스 보호
- 예: IPv6 주소 스푸핑으로부터 스위치 보호를 위한 IPv6 소스 가드 및 Neighbor Discovery 검사 구성
-
- play_arrow IPv6 액세스 보안
- play_arrow Neighbor Discovery 프로토콜
- play_arrow SLAAC 스누핑
- play_arrow 라우터 광고 가드
-
- play_arrow 컨트롤 플레인 디도스(DDoS) 공격 방어 및 플로우 탐지
- play_arrow 컨트롤 플레인 DDoS 방어
- play_arrow 플로우 감지 및 원인 플로우
-
- play_arrow 유니캐스트 포워딩
- play_arrow 유니캐스트 역방향 경로 전달
- play_arrow 알 수 없는 유니캐스트 포워딩
-
- play_arrow 스톰 컨트롤
- play_arrow 스톰 컨트롤의 이해 및 사용
-
- play_arrow 멀웨어 차단
- play_arrow 주니퍼 멀웨어 제거 도구
-
- play_arrow 구성 명령문 및 작동 명령
FIPS 모드에 대한 IPsec 구성
FIPS 모드에서 Junos OS용 라우팅 엔진 간의 내부 통신을 활성화하기 위한 IPsec 구성
FIPS 모드의 Junos OS 환경에서, 두 개의 라우팅 엔진이 있는 라우터는 라우팅 엔진 간의 내부 통신을 위해 IPsec을 사용해야 합니다. FIPS 모드에서 Junos OS를 설치한 후 내부 IPsec을 구성합니다. 내부 IPsec을 구성하려면 암호화 책임자여야 합니다.
FIPS 모드의 Junos OS에서는 DES 기반 IPsec SA를 구성할 수 없습니다. 내부 IPsec SA는 HMAC-SHA1-96 인증 및 3DES-CBC 암호화를 사용합니다.
수동 SA는 협상이 필요하지 않습니다. 키를 포함한 모든 값은 정적이며 구성에 지정됩니다. 수동 SA는 사용할 SPI 값, 알고리즘 및 키를 정적으로 정의하며 터널의 양쪽 끝에서 일치하는 구성이 필요합니다. 통신을 수행하려면 각 피어에 동일한 구성 옵션이 있어야 합니다.
스위치가 FIPS 모드인 경우 각 라우팅 엔진에 IPsec SA를 설정할 때까지 명령을 사용할 commit synchronize
수 없습니다.
Crypto Officer는 계층 수준에서 다음 문을 사용하여 각 라우팅 엔진에 SA를 생성하여 라우팅 엔진 간의 통신을 위한 내부 IPsec SA를 [security]
구성합니다.
내부 IPsec을 구성하려면 계층 수준에서 문을 [security]
포함합니다security-association
. 수동 IPsec SA를 적용해야 하는 방향, 수신 라우팅 엔진에서 사용할 SA를 고유하게 식별하는 SPI 값, 수동 IPsec SA에 대한 인증 및 암호화 키를 정의하는 IPsec 키와 같은 매개 변수를 구성할 수 있습니다.
[ security] ipsec { internal { security-association { manual { direction (bidirectional | inbound | outbound) { protocol esp; spi spi-value; encryption { algorithm (hmac-sha1-96 | hmac-sha2-256); key (ascii-text ascii-text-string | hexadecimal hexadecimal-number); } } } } } }
Junos-FIPS를 위한 내부 IPsec 구성 작업은 다음과 같습니다. 수동 IPsec SA를 적용해야 하는 방향, 수신 라우팅 엔진에서 사용할 SA를 고유하게 식별하는 SPI 값, 수동 IPsec SA에 대한 인증 및 암호화 키를 정의하는 IPsec 키를 구성할 수 있습니다.
SA 방향 구성
IPsec 터널의 수동 SA를 적용해야 하는 IPsec SA 방향을 구성하려면 계층 수준에서 문을 [security ipsec internal security-association manual]
포함합니다direction
.
direction (bidirectional | inbound | outbound);
값은 다음 중 하나일 수 있습니다.
bidirectional
- 라우팅 엔진 간 양방향으로 동일한 SA 값을 적용합니다.inbound
- 이러한 SA 속성은 인바운드 IPsec 터널에만 적용합니다.outbound
- 이러한 SA 속성은 아웃바운드 IPsec 터널에만 적용합니다.
SA를 양방향으로 구성하지 않는 경우 인바운드 및 아웃바운드 방향 모두에서 IPsec 터널에 대한 SA 매개 변수를 구성해야 합니다. 다음 예에서는 인바운드 및 아웃바운드 IPsec 터널을 사용합니다.
FIPS 모드에서 Junos OS의 ASCII 키로 IPsec 키를 사용하지 않는 것이 좋습니다. 대신 최대 키 강도를 위해 IPsec 키를 16진수 키로 사용해야 합니다.
[security] ipsec { internal { security-association { manual { direction inbound { protocol esp; spi 512; encryption { algorithm 3des-cbc; key hexadecimal 309fc4be20f04e53e011b00744642d3fe66c2c7c; } } direction outbound { protocol esp; spi 513; encryption { algorithm 3des-cbc; key hexadecimal b0344c61d8db38535ca8afceaf0bf12b881dc200c9833da7; } } } } } }
IPsec SPI 구성
보안 매개 변수 인덱스(SPI)는 한 쌍의 라우팅 엔진 간의 보안 컨텍스트를 식별하는 32비트 인덱스입니다. IPsec SPI 값을 구성하려면 계층 수준에서 문을 포함합니다spi
.[security ipsec internal security-association manual direction]
spi value;
값은 256에서 16,639 사이여야 합니다.
IPsec 키 구성
FIPS 모드에서 Junos OS의 ASCII 키로 IPsec 키를 사용하지 않는 것이 좋습니다. 대신 최대 키 강도를 위해 IPsec 키를 16진수 키로 사용해야 합니다.
키의 배포 및 관리는 VPN을 성공적으로 사용하는 데 매우 중요합니다. 인증 및 암호화를 위해 ASCII 텍스트 키 값을 구성해야 합니다. ASCII 텍스트 키를 구성하려면 계층 수준에서 문을 포함합니다key
.[security ipsec internal security-association manual direction encryption]
key (ascii-text ascii-text-string | hexadecimal hexadecimal-string);
이 유형의 SA의 경우 두 키 모두 미리 공유된 16진수 값이어야 하며 각각 특정 암호화 알고리즘이 필요합니다.
인증 알고리즘
HMAC-SHA1-96(40자)
HMAC-SHA2-256(64자)
암호화 알고리즘
3DES-CBC(48자)
키 16진수 값을 두 번 입력해야 하며 입력한 문자열이 일치해야 하며 그렇지 않으면 키가 설정되지 않습니다. 16진수 키는 일반 텍스트로 표시되지 않습니다. FIPS 모드에서 Junos OS의 ASCII 키가 아닌 최대 키 강도를 위해 IPsec 키를 16진수 키로 사용하는 것이 좋습니다.