IPsec 보안 연결 구성
ES PIC를 위한 수동 IPsec 보안 연결 구성
IPsec 보안 서비스를 사용하려면 호스트 간에 SA(보안 연결)를 생성합니다. SA는 두 호스트가 IPsec을 통해 서로 안전하게 통신할 수 있도록 하는 단순 연결입니다. SA에는 수동 및 동적의 두 가지 유형이 있습니다.
수동 SA는 협상이 필요하지 않습니다. 키를 포함한 모든 값은 정적이며 구성에 지정됩니다. 따라서 피어는 모두 동일한 구성 옵션을 공유할 때만 통신할 수 있습니다.
ES PIC에 대한 수동 IPsec SA를 구성하려면 edit security ipsec security-associationsa-name] 계층 수준에서 수동 명령문을 포함합니다.
[edit security ipsec security-association sa-name]
manual {
direction (inbound | outbound | bi-directional) {
authentication {
algorithm (hmac-md5-96 | hmac-sha1-96);
key (ascii-text key | hexadecimal key);
}
auxiliary-spiauxiliary-spi-value;
encryption {
algorithm (des-cbc | 3des-cbc);
key (ascii-text key | hexadecimal key);
}
protocol (ah | esp | bundle);
spi spi-value;
}
}
수동 SA를 구성하는 작업은 다음과 같습니다.
처리 방향 구성
direction 문은 인바운드 및 아웃바운드 IPsec 처리를 설정합니다. 각 방향에 대해 서로 다른 알고리즘, 키 또는 SPI(Security Parameter Index) 값을 정의하려면 인바운드 및 아웃바운드 옵션을 구성합니다. 양방향으로 동일한 속성을 원하면 양방향 옵션을 사용합니다.
IPsec 처리 방향을 구성하기 위해 direction 문을 포함하고 계층 수준에서 방향을 [ edit security ipsec security-association sa-name manual] 지정합니다.
[edit security ipsec security-association sa-name manual] direction (inbound | outbound | bidirectional);
다음 예제에서는 인바운드 및 아웃바운드 처리 방향에 대해 서로 다른 알고리즘, 키 및 보안 매개 변수 인덱스 값을 정의하는 방법을 보여 줍니다.
[edit security ipsec security-association sa-name]
manual {
direction inbound {
encryption {
algorithm 3des-cbc;
key ascii-text 23456789012345678901234;
}
protocol esp;
spi 16384;
}
direction outbound {
encryption {
algorithm 3des-cbc;
key ascii-text 12345678901234567890abcd;
}
protocol esp;
spi 24576;
}
}
다음 예제에서는 양방향 처리에 대해 동일한 알고리즘, 키 및 보안 매개 변수 인덱스 값을 정의하는 방법을 보여 줍니다.
[edit security ipsec security-association sa-name manual]
direction bidirectional {
authentication {
algorithm hmac-md5-96;
key ascii-text 123456789012abcd;
}
protocol ah;
spi 20001;
}
수동 SA에 대한 프로토콜 구성
IPsec은 IP 트래픽을 보호하기 위해 ESP(Encapsulating Security Payload)와 AH(Authentication Header)의 두 가지 프로토콜을 사용합니다. 전송 모드 SA의 경우 ESP와 AH가 모두 지원됩니다. AH 프로토콜은 강력한 인증에 사용됩니다. 번들 옵션은 AH 인증 및 ESP 암호화를 사용합니다. AH는 IP 패킷에 대한 더 강력한 인증을 제공하므로 ESP 인증을 사용하지 않습니다.
AH 프로토콜은 M 시리즈 라우터에서만 지원됩니다.
ES PIC에서 IPsec 프로토콜을 구성하려면 edit security ipsec security-association sa-name manual direction (inbound | outbound | bidirectional)] 계층 수준에서 프로토콜 문을 포함하고 ah, bundle 또는 esp 옵션을 지정합니다.
[edit security ipsec security-association sa-name manual direction (inbound | outbound | bi-directional)] protocol (ah | bundle | esp);
보안 매개 변수 인덱스 구성
SPI는 수신 호스트에서 사용할 SA를 고유하게 식별하는 임의의 값입니다. 송신 호스트는 SPI를 사용하여 모든 패킷을 보호하는 데 사용할 SA를 식별하고 선택합니다. 수신 호스트는 SPI를 사용하여 패킷 해독에 사용되는 암호화 알고리즘과 키를 식별하고 선택합니다.
각 수동 SA에는 고유한 SPI 및 프로토콜 조합이 있어야 합니다.
번들 옵션을 사용하도록 프로토콜 문을 구성할 때 보조 SPI를 사용합니다.
ES PIC에서 SPI를 구성하려면 spi 문을 포함하고 [edit security ipsec security-association sa-name manual direction (inbound | outbound | bi-directional] 계층 수준에서 값(256에서 16,639까지)을 지정합니다.
[edit security ipsec security-association sa-name manual direction (inbound | outbound | bidirectional)] spi spi-value;
보조 보안 매개변수 인덱스 구성
번들 옵션을 사용하도록 프로토콜 문을 구성하면 Junos OS는 ESP에 보조 SPI를, AH에 SPI를 사용합니다.
각 수동 SA에는 고유한 SPI 및 프로토콜 조합이 있어야 합니다.
보조 SPI를 구성하려면 [edit security ipsec security-association sa-name manual direction (inbound | outbound | bi-directional)] 계층 수준에서 auxiliary-spi 문을 포함하고 값을 256에서 16,639 사이의 정수로 설정합니다.
[edit security ipsec security-association sa-name manual direction (inbound | outbound | bidirectional)] auxiliary-spi auxiliary-spi-value;
인증 알고리즘 및 키 구성
인증 알고리즘 및 키를 구성하려면 [edit security ipsec security-association sa-name manual direction (inbound | outbound | bi-directional)] 계층 수준에서 인증 문을 포함합니다.
[edit security ipsec security-association sa-name manual direction (inbound | outbound | bidirectional)]
authentication {
algorithm (hmac-md5-96 | hmac-sha1-96);
key (ascii-text key | hexadecimal key);
}
알고리즘은 다음 중 하나일 수 있습니다.
hmac-md5-96—패킷 데이터를 인증하는 해시 알고리즘. 128비트 인증자 값과 96비트 다이제스트를 생성합니다.
hmac-sha1-96—패킷 데이터를 인증하는 해시 알고리즘. 160비트 인증자 값과 96비트 다이제스트를 생성합니다.
키는 다음 중 하나일 수 있습니다.
ASCII 텍스트 key- ASCII 텍스트 키. hmac-md5-96 옵션을 사용하면 키에 다음이 포함됩니다.
ASCII 문자 16자. hmac-sha1-96 옵션을 사용하면 키에 20개의 ASCII 문자가 포함됩니다.
16 진수 key- 16진수 키. hmac-md5-96 옵션을 사용하면 키에 32개의 16진수 문자가 포함됩니다. hmac-sha1-96 옵션을 사용하면 키에 40개의 16진수 문자가 포함됩니다.
암호화 알고리즘 및 키 구성
IPsec 암호화를 구성하려면 암호화 문을 포함하고 [edit security ipsec security-association sa-name manual direction (inbound | outbound | bi-directional)] 계층 수준에서 알고리즘과 키를 지정합니다.
[edit security ipsec security-association sa-name manual direction (inbound | outbound | bi-directional)]
encryption {
algorithm (des-cbc | 3des-cbc);
key (ascii-text key | hexadecimal key);
}
알고리즘은 다음 중 하나일 수 있습니다.
des-cbc—블록 크기가 8바이트인 암호화 알고리즘. 키 크기는 64비트입니다.
3des-cbc - 블록 크기가 24바이트인 암호화 알고리즘. 키 크기는 192비트입니다.
메모:DES(데이터 암호화 표준) 암호화 알고리즘 취약 키 및 준취약 키 목록은 RFC 2409를 참조하십시오. 3des-cbc의 경우 처음 8바이트는 두 번째 8바이트와 같지 않고 두 번째 8바이트는 세 번째 8바이트와 같아야 합니다.
키는 다음 중 하나일 수 있습니다.
ascii-text—ASCII 텍스트 키입니다. des-cbc 옵션을 사용하면 키에 8개의 ASCII 문자가 포함됩니다. 3des-cbc 옵션을 사용하면 키에 24개의 ASCII 문자가 포함됩니다.
hexadecimal - 16진수 키입니다. des-cbc 옵션을 사용하면 키에 16개의 16진수 문자가 포함됩니다. 3des-cbc 옵션을 사용하면 키에 48개의 16진수 문자가 포함됩니다.
메모:AH 프로토콜을 사용하는 경우 암호화를 구성할 수 없습니다.
또한보십시오
동적 IPsec 보안 연결 구성
보안 게이트웨이에서 협상하는 제안 세트로 동적 SA를 구성합니다. 키는 협상의 일부로 생성되며 구성에 지정할 필요가 없습니다. 동적 SA에는 하나 이상의 제안이 포함되어 있으므로 피어와 협상할 프로토콜 및 알고리즘 목록의 우선 순위를 지정할 수 있습니다.
동적 SA를 구성하려면 계층 수준에서 동적 명령문을 [ edit security ipsec security-association sa-name] 포함합니다. IPsec 정책 이름을 지정하고 필요에 따라 32패킷 또는 64패킷 재생 창 크기를 지정합니다.
[edit security ipsec security-association sa-name]
dynamic {
ipsec-policy policy-name;
replay-window-size (32 | 64);
}