반응형
Windows 2000에서 피어-투-피어 IPSec 구현하기
Topics on this Page
- 두 개의 IPSec 피어로 IPSec 구현하기
- 추가 정보
TCP/IP 프로토콜 스위트에서 인터넷 프로토콜 (IP) 부분은 기본 보안 메커니즘을 제공하지 않으므로, IP 패킷은 쉽게 읽고 수정하고 재생하거나 위조할 수 있습니다. 보안이 구현되어 있지 않으면, 공용 네트워크나 사설 네트워크 모두 허가 받지 않은 모니터링과 액세스에 노출되기 쉽습니다. 내부 공격은 인트라넷 보안이 제한적이거나 아예 없는 경우 발생하겠지만, 사설 네트워크 외부로부터 오는 위험은 인터넷과 엑스트라넷 연결 모두에서 비롯됩니다. 암호 기반의 사용자 액세스 제어만으로는 네트워크를 통해 전송되는 데이터를 안전하게 보호할 수 없습니다.
IPSec(Internet Protocol security)는 가장 장기적으로 보안 네트워킹을 구현하는 방법입니다. 사설 네트워크 및 인터넷 공격을 방어하는 핵심 라인을 제공하며, 강력한 보안과 사용의 편리성을 함께 도모합니다. IPSec는 두 가지 목표를 가지고 있습니다 :
1. IP 패킷의 내용을 보호한다
2. 패킷 필터링과 트러스트된 통신을 수행하여 네트워크 공격을 방어한다
암호화 기반 보호 서비스, 보안 프로토콜, 동적 키 관리를 통해 두 가지 목표를 모두 달성합니다. 사설 네트워크 컴퓨터와 도메인, 사이트, 원격 사이트, 엑스트라넷 그리고 전화접속 클라이언트 간의 통신을 보호하는 데 필요한 능력과 유연성을 제공하는 기반이 됩니다. 또한 특정 트래픽 유형의 수신과 전송을 차단하는 데 사용되기도 합니다.
피어-투-피어IPSec은 엔드-투-엔드 보안 모델에 기반하며, 원본 IP에서 대상 IP 주소까지 보안과 트러스트를 설정합니다. IP 주소 자체는 ID로 인식할 필요는 없지만, IP 주소에 해당하는 시스템은 인증 프로세스를 거치면서 ID를 확인 받아야 합니다. IPSec을 인식하는 컴퓨터만 발송과 수신이 가능합니다. 시스템 각자 보안을 구현하며, 통신이 이루어지는 매개체 자체는 안전하지 않은 것으로 가정합니다.
원본에서 대상으로 데이터를 발송하는 작업만 수행하는 컴퓨터는 IPSec을 지원할 필요가 없지만, 방화벽은 IPSec 트래픽을 전송하도록 구성해야 합니다. 이 모델에서는 아래의 기존 엔터프라이즈 시나리오에서 IPSec이 모두 성공적으로 구현되어야 합니다 :
· LAN(Local area network): 클라이언트/서버 및 피어-투-피어
· WAN(Wide area network): 라우터-투-라우터 (IPSec 터널 모드 사용).
· VPN(가상 사설 네트워크) 원격 액세스 : 인터넷을 통해 (IPSec와 L2TP(Layer Two Tunneling Protocol)가 결합된 형태를 사용하여) 사설 네트워크에 액세스
피어-투-피어IPSec에서는 IPSec 구성에서 (IPSec 정책) 두 시스템 간에 전송되는 트래픽 보안 방법과 일치하는 옵션과 액세스 제어를 양 시스템 모두에서 설정해야 합니다. Windows 2000에서 IPSec이 구현되는 방식은 IETF(Internet Engineering Task Force) IPSec 워크그룹에서 개발한 산업 표준을 기반으로 합니다.
Windows 2000 IPSec 정책 구성은 여러분의 보안 요건을 하나 이상의 IPSec 정책으로 변환한 것입니다—오직 하나만이 도메인, 사이트, 조직 단위 또는 로컬 단계에 할당됩니다. Windows 2000의 IPSec 정책은 다음 요소들로 구성되어 있습니다 :
· 정책 파라미터들
정책 이름, 정책 설명 그리고 Active Directory 기반 정책의 변경을 파악하는 폴링 간격 등이 포함됩니다.
· 주 모드 정책
암호화 키 수명 및 기타 설정과 같은 IKE(Internet Key Exchange) 파라미터들로 구성됩니다. 주 모드 정책은 인증 과정 동안 IPSec의 ID를 보호하는 보안 방법이 선호하는 순서대로 나열된 목록도 포함합니다.
· IPSec 규칙들
해당 정책을 IPSec가 수행하는 것과 관련된 하나 이상의 규칙들이 수록됩니다.
IPSec 규칙은 IKE 협상 파라미터를 하나 이상의 IP 필터와 연결하는 데 사용하는 정책 데이터의 일부입니다. 각 IPSec 규칙은 다음 정보를 포함합니다 :
· 선택된 필터 목록
미리 정의된 하나 또는 여러 필터들로서, 동작(허용, 차단, 보안)이 적용되는 IP 트래픽 유형을 설명합니다.
· 선택된 필터 동작
필터 목록과 일치하는 패킷에 대해 수행되는 동작(허용, 차단 또는 보안) 유형을 포함합니다. 보안 동작에서 협상 데이터는 IKE 협상 및 기타 IPSec 작업 설정에서 사용하는 하나 이상의 보안 방법들이 선호도 순으로 나열된 목록을 포함합니다. 각 보안 방법은 사용되는 보안 프로토콜, 특정 암호화 알고리즘, 세션 키 재생성 설정 등을 설명합니다.
· 선택된 인증 방법
IPSec 협상 과정에서 사용된 인증 방법들이 선호도 순으로 나열된 목록을 포함합니다. 사용 가능한 인증 방법은 Kerberos V5 프로토콜, 특정 인증 기관에서 발행한 인증서 사용, 또는 공유 키 방법입니다.
· 선택된 연결 유형
해당 규칙이 LAN 연결에만 적용될 것인지, 전화접속 연결에만 적용될 것인지 또는 양쪽 모두에 적용될 것인지에 대한 설정을 포함합니다.
· 선택된 터널 설정
트래픽이 터널을 거치는지, 그렇다면 터널 종점은 어디인지 결정하는 설정을 포함합니다.
두 개의 IPSec 피어로 IPSec 구현하기
보안 상의 위험 요소를 평가하고 IPSec을 구현하기 전에, 몇 가지 간단한 IPSec 정책을 구성하고 실제로 IPSec이 어떻게 구현되는지 살펴본다면 도움이 될 것입니다. 다음 예에서는 Windows 2000을 사용하면서 Active Directory 도메인이나 공용 키 인증 인프라를 필요로 하지 않는 시스템 두 대를 사용합니다. 첫번째 예는 컴퓨터 사이에서 트래픽을 보호하는 방법을 보여주며, 두번째 예는 포트 차단에 IPSec을 사용하는 방법을 설명합니다.
주 다음은 IPSec 보호 및 포트 차단 기능을 수행하는 IPSec 정책을 신속하게 마련하는 예입니다. 이 예들은 프로덕션 환경에서 권장되는 구성이 아닙니다. 일반적인 프로덕션 환경에서는 모든 트래픽을 보호하는 일반 규칙과, 특정 트래픽(기본 게이트웨이 주소로 가는 ICMP 트래픽이나 DNS 서버로 가는 DNS 트래픽, DHCP 서버로 가는 DHCP 트래픽 등)은 보호에서 제외하는 추가 규칙들로 정책을 구성합니다. 또는 특정 유형의 트래픽을 보호하는 규칙들로 정책을 구성할 수도 있습니다.
예제 1: 컴퓨터 간의 트래픽 보호하기
보안 트래픽을 확인하려면, Windows 2000에 내장된 Ping 명령어를 사용하면 됩니다.
IPSec 정책 이전 테스트 연결
컴퓨터 1에서 :
1. 시작을 클릭하고 프로그램, 보조 프로그램을 선택한 다음, 명령 프롬프트를 선택합니다.
2. 명령 프롬프트에서 컴퓨터 2의 IP 주소로 ping을 실행합니다. 성공적으로 응답한다고 화면에 표시됩니다.
3. 컴퓨터 1의 기본 게이트웨이 IP 주소로 ping을 실행합니다. 성공적으로 응답한다고 화면에 표시됩니다.
트래픽 보안을 위해 IPSec 정책 구성하기
컴퓨터 1과 2에서 :
1. 시작, 실행 을 선택하고 MMC를 입력한 다음 OK를 클릭합니다.
2. MMC에서 콘솔 을 클릭하고 스냅 인 추가 제거를 선택한 다음 추가를 클릭합니다.
3. IP 보안 정책 관리를 선택한 다음, 추가를 클릭합니다.
4. 이 컴퓨터를 클릭합니다.
5. 마침을 클릭하고, 닫기를 클릭한 다음 OK를 선택합니다.
6. 로컬 컴퓨터의 IP 보안 정책에서 마우스 오른쪽 버튼을 클릭하고, IP 보안 정책 생성을 선택하고 다음을 선택합니다.
7. IP 보안 정책 이름에서 Secure Traffic이라 입력하고 다음을 클릭합니다.
8. 보안 통신 요청에서 기본 응답 규칙 활성화 확인란을 비우고, 다음을 선택하고 마침을 클릭합니다.
9. 보안 트래픽 등록정보 대화상자의 규칙 탭에서, 추가, 다음을 클릭합니다.
10. 터널 종점에서 다음을 클릭합니다.
11. 네트워크 종류 에서 다음을 클릭합니다.
12. 인증 방법에서 이 키를 사용하여 키 교환(미리 공유한 키) 보호 (preshared key)를 클릭하고, 미리 공유한 키로 123456789 를 입력하고, 다음을 클릭합니다.
13. IP 필터 목록에서 모든 IP 트래픽 을 클릭하고 다음을 클릭합니다.
14. 필터 동작에서 보안 필요를 선택하고 다음을 클릭합니다.
15. 마침을 클릭하고, 닫기를 선택합니다
16. 컨텐츠 창에서 트래픽 보안에서 마우스 오른쪽 버튼을 클릭한 다음 지정을 선택합니다.
IPSec 정책 이후 테스트 연결
컴퓨터 1에서 :
1. 명령 프롬프트에서 컴퓨터 2의 IP 주소로 ping을 실행합니다. “IP 보안 교섭 중” 메시지들이 이어 표시됩니다.
2. 컴퓨터 2의 IP 주소로 ping을 다시 실행합니다. 성공적으로 응답한다고 화면에 표시됩니다. 이제 컴퓨터 1과 컴퓨터 2 사이의 트래픽이 IPSec 암호화를 통해 보호됩니다.
3. 컴퓨터 1의 기본 게이트웨이 IP 주소로 ping을 실행합니다. “IP 보안 교섭 중” 메시지들이 이어 표시됩니다.
4. 컴퓨터 1의 기본 게이트웨이 IP 주소로 다시 ping을 실행합니다. “IP 보안 교섭 중” 메시지들이 이어 표시됩니다. 컴퓨터 1과 기본 게이트웨이는 통신할 수 없습니다. 컴퓨터 1과 교섭하고 트래픽을 보안하는 데 사용한 IPSec 보안으로 동일하게 기본 게이트웨이가 구성되지 않았기 때문입니다.
5. 시작, 실행 을 선택하고 ipsecmon 을 입력한 다음 OK를 클릭합니다.
6. IP 보안 모니터를 사용하여 컴퓨터 2의 보안 연결과 컴퓨터 1과 2 사이의 보안 트래픽 통계를 확인합니다.
예 2: 포트 차단
포트 차단을 확인하기 위해, IPSec 필터 그리고 Windows 2000에 포함된 간단한 TCP/IP 서비스 옵션 네트워킹 구성 요소를 사용합니다.
간단한 TCP/IP 서비스 설치하기
컴퓨터 2에서 :
1. 시작, 설정, 제어판을 선택합니다.
2. 프로그램 추가/제거를 선택합니다.
3. Windows 구성 요소 추가/제거를 선택합니다.
4. 구성 요소에서 네트워킹 서비스를 클릭한 다음 자세히를 선택합니다.
5. 네트워킹 서비스 하위 구성 요소에서 간단한 TCP/IP 서비스를 선택한 다음 OK를 클릭합니다. 그리고 다음을 선택합니다.
6. 프롬프트에서 배포 파일 위치를 입력하고 OK를 클릭합니다.
7. Windows 구성 요소 마법사의 나머지 단계를 수행하고 마침을 클릭합니다.
간단한 TCP/IP 서비스 테스트
컴퓨터 1에서 :
1. 명령 프롬프트에서 telnet 컴퓨터 2 IP 주소 daytime 을 입력합니다. 날짜와 시간이 표시됩니다.
2. 명령 프롬프트에서 telnet 컴퓨터 2 IP 주소 quote 을 입력합니다. 따옴표가 표시됩니다.
날짜와 따옴표 서비스 포트를 차단하기 위해 로컬 IPSec 정책 재구성하기
컴퓨터 2에서 :
1. 로컬 컴퓨터의 IP 보안 정책이 포함된 MMC 콘솔에서, 보안 트래픽 정책에서 마우스 오른쪽 버튼을 클릭하고, 등록정보, 추가를 선택합니다.
2. 보안 규칙 마법사에서 다음을 클릭합니다.
3. 터널 종점에서 다음을 클릭합니다.
4. 네트워크 종류에서 다음을 클릭합니다.
5. 인증 방법에서 다음을 클릭합니다.
6. IP 필터 목록에서 추가를 클릭합니다.
7. IP 필터 목록 대화상자의 이름에서 Daytime and Quote protocols이라고 입력합니다.
8. IP 필터 목록 대화상자에서 추가를 클릭합니다.
9. IP 필터 마법사에서 다음을 클릭합니다.
10. IP 트래픽 원본의 원본 주소에서 모든 IP 주소 를 클릭하고 다음을 클릭합니다.
11. IP 트래픽 대상의 대상 주소에서 내 IP 주소를 클릭하고 다음을 클릭합니다.
12. IP 프로토콜 종류의 프로토콜 종류 선택에서 TCP를 클릭하고 다음을 클릭합니다.
13. IP 프로토콜 포트, IP 프로토콜 포트 설정에서 이 포트로에 13을 입력하고 다음을 클릭합니다.
14. 마침을 클릭합니다.
15. IP 필터 목록 대화상자에서 추가를 클릭합니다.
16. IP 필터 마법사에서 다음을 클릭합니다.
17. IP 트래픽 원본의 원본 주소에서 모든 IP 주소 를 클릭하고 다음을 클릭합니다.
18. IP 트래픽 대상의 대상 주소에서 내 IP 주소를 클릭하고 다음을 클릭합니다.
19. IP 프로토콜 종류의 프로토콜 종류 선택에서 TCP를 클릭하고 다음을 클릭합니다.
20. IP 프로토콜 포트, IP 프로토콜 포트 설정에서 이 포트로에 17을 입력하고 다음을 클릭합니다.
21. 마침을 클릭하고 OK를 선택합니다.
22. IP 필터 목록에서 Daytime and Quote protocols을 선택하고 다음을 클릭합니다.
23. 필터 동작에서 추가를 선택합니다.
24. 필터 동작 마법사에서 다음을 선택합니다.
25. 필터 동작 이름, 이름에 Blocking이라 입력하고 다음을 클릭합니다.
26. 필터 동작 일반 옵션에서 차단, 다음을 클릭하고 마침을 선택합니다.
27. 필터 동작에서 Blocking을 클릭하고 다음을 선택합니다.
28. 마침을 클릭하고 닫기를 선택합니다.
IPSec 정책 구성 이후 트래픽 전송하기
컴퓨터 1에서 :
1. 명령 프롬프트에서 telnet 컴퓨터 2 IP 주소 daytime 을 입력합니다 연결 실패 메시지가 표시됩니다.
2. 명령 프롬프트에서 telnet 컴퓨터 2 IP 주소 quote 를 입력합니다 연결 실패 메시지가 표시됩니다.
3. 명령 프롬프트에서 컴퓨터 2로 ping을 실행합니다. 성공적으로 응답한다고 화면에 표시됩니다.
컴퓨터 2의 지정된 IPSec 정책에 새 규칙을 추가하면, (daytime 서비스에 사용되는) TCP 포트 13으로 오고 가는 모든 트래픽이 차단됩니다. 그러나 다른 종류의 보안 트래픽도 허용됩니다.
네트워크 연결 복원하기
컴퓨터 1과 2에서 :
1. 로컬 컴퓨터의 IP 보안 정책이 포함된 MMC 콘솔에서, 보안 트래픽 정책에서 마우스 오른쪽 버튼을 클릭하고, 할당 안 함을 선택합니다.
보안 트래픽 정책을 할당하지 않으면, 컴퓨터 1과 2 그리고 다른 모든 네트워크 노드 간의 일반적 (비보안) 네트워크 연결을 복원합니다.
추가 정보
Windows 2000 IPSec에 대한 자세한 정보는 다음 리소스자료를 참조하십시오.:
· IP Security for Windows 2000 Server
· Step-by-Step Guide to Internet Protocol Security (IPSec)
· Microsoft Privacy Protected Network Access: Virtual Private Networking and Intranet Security
· Windows 2000 Server Documentation (네트워킹 서적, 인터넷 프로토콜 보안을 보시오)
· Windows 2000 Server Resource Kit Books, TCP/IP Core Networking Guide (제 8장: 인터넷 프로토콜 보안은 마이크로소프트 TechNet 구독으로 가능합니다. )
· Knowledge Base Search (Windows 2000 제품의 "Windows 2000 IPSec"에 대한 쿼리)
· Security Tools
· Windows 2000 Internet Server Security Configuration Tool for Internet Information Server 5 (IIS5)
그 외 질문이나 기타 전하실 말씀이 있으시면 마이크로소프트 TechNet(technet@microsoft.com)으로 메일을 보내시기 바랍니다.
Topics on this Page
- 두 개의 IPSec 피어로 IPSec 구현하기
- 추가 정보
TCP/IP 프로토콜 스위트에서 인터넷 프로토콜 (IP) 부분은 기본 보안 메커니즘을 제공하지 않으므로, IP 패킷은 쉽게 읽고 수정하고 재생하거나 위조할 수 있습니다. 보안이 구현되어 있지 않으면, 공용 네트워크나 사설 네트워크 모두 허가 받지 않은 모니터링과 액세스에 노출되기 쉽습니다. 내부 공격은 인트라넷 보안이 제한적이거나 아예 없는 경우 발생하겠지만, 사설 네트워크 외부로부터 오는 위험은 인터넷과 엑스트라넷 연결 모두에서 비롯됩니다. 암호 기반의 사용자 액세스 제어만으로는 네트워크를 통해 전송되는 데이터를 안전하게 보호할 수 없습니다.
IPSec(Internet Protocol security)는 가장 장기적으로 보안 네트워킹을 구현하는 방법입니다. 사설 네트워크 및 인터넷 공격을 방어하는 핵심 라인을 제공하며, 강력한 보안과 사용의 편리성을 함께 도모합니다. IPSec는 두 가지 목표를 가지고 있습니다 :
1. IP 패킷의 내용을 보호한다
2. 패킷 필터링과 트러스트된 통신을 수행하여 네트워크 공격을 방어한다
암호화 기반 보호 서비스, 보안 프로토콜, 동적 키 관리를 통해 두 가지 목표를 모두 달성합니다. 사설 네트워크 컴퓨터와 도메인, 사이트, 원격 사이트, 엑스트라넷 그리고 전화접속 클라이언트 간의 통신을 보호하는 데 필요한 능력과 유연성을 제공하는 기반이 됩니다. 또한 특정 트래픽 유형의 수신과 전송을 차단하는 데 사용되기도 합니다.
피어-투-피어IPSec은 엔드-투-엔드 보안 모델에 기반하며, 원본 IP에서 대상 IP 주소까지 보안과 트러스트를 설정합니다. IP 주소 자체는 ID로 인식할 필요는 없지만, IP 주소에 해당하는 시스템은 인증 프로세스를 거치면서 ID를 확인 받아야 합니다. IPSec을 인식하는 컴퓨터만 발송과 수신이 가능합니다. 시스템 각자 보안을 구현하며, 통신이 이루어지는 매개체 자체는 안전하지 않은 것으로 가정합니다.
원본에서 대상으로 데이터를 발송하는 작업만 수행하는 컴퓨터는 IPSec을 지원할 필요가 없지만, 방화벽은 IPSec 트래픽을 전송하도록 구성해야 합니다. 이 모델에서는 아래의 기존 엔터프라이즈 시나리오에서 IPSec이 모두 성공적으로 구현되어야 합니다 :
· LAN(Local area network): 클라이언트/서버 및 피어-투-피어
· WAN(Wide area network): 라우터-투-라우터 (IPSec 터널 모드 사용).
· VPN(가상 사설 네트워크) 원격 액세스 : 인터넷을 통해 (IPSec와 L2TP(Layer Two Tunneling Protocol)가 결합된 형태를 사용하여) 사설 네트워크에 액세스
피어-투-피어IPSec에서는 IPSec 구성에서 (IPSec 정책) 두 시스템 간에 전송되는 트래픽 보안 방법과 일치하는 옵션과 액세스 제어를 양 시스템 모두에서 설정해야 합니다. Windows 2000에서 IPSec이 구현되는 방식은 IETF(Internet Engineering Task Force) IPSec 워크그룹에서 개발한 산업 표준을 기반으로 합니다.
Windows 2000 IPSec 정책 구성은 여러분의 보안 요건을 하나 이상의 IPSec 정책으로 변환한 것입니다—오직 하나만이 도메인, 사이트, 조직 단위 또는 로컬 단계에 할당됩니다. Windows 2000의 IPSec 정책은 다음 요소들로 구성되어 있습니다 :
· 정책 파라미터들
정책 이름, 정책 설명 그리고 Active Directory 기반 정책의 변경을 파악하는 폴링 간격 등이 포함됩니다.
· 주 모드 정책
암호화 키 수명 및 기타 설정과 같은 IKE(Internet Key Exchange) 파라미터들로 구성됩니다. 주 모드 정책은 인증 과정 동안 IPSec의 ID를 보호하는 보안 방법이 선호하는 순서대로 나열된 목록도 포함합니다.
· IPSec 규칙들
해당 정책을 IPSec가 수행하는 것과 관련된 하나 이상의 규칙들이 수록됩니다.
IPSec 규칙은 IKE 협상 파라미터를 하나 이상의 IP 필터와 연결하는 데 사용하는 정책 데이터의 일부입니다. 각 IPSec 규칙은 다음 정보를 포함합니다 :
· 선택된 필터 목록
미리 정의된 하나 또는 여러 필터들로서, 동작(허용, 차단, 보안)이 적용되는 IP 트래픽 유형을 설명합니다.
· 선택된 필터 동작
필터 목록과 일치하는 패킷에 대해 수행되는 동작(허용, 차단 또는 보안) 유형을 포함합니다. 보안 동작에서 협상 데이터는 IKE 협상 및 기타 IPSec 작업 설정에서 사용하는 하나 이상의 보안 방법들이 선호도 순으로 나열된 목록을 포함합니다. 각 보안 방법은 사용되는 보안 프로토콜, 특정 암호화 알고리즘, 세션 키 재생성 설정 등을 설명합니다.
· 선택된 인증 방법
IPSec 협상 과정에서 사용된 인증 방법들이 선호도 순으로 나열된 목록을 포함합니다. 사용 가능한 인증 방법은 Kerberos V5 프로토콜, 특정 인증 기관에서 발행한 인증서 사용, 또는 공유 키 방법입니다.
· 선택된 연결 유형
해당 규칙이 LAN 연결에만 적용될 것인지, 전화접속 연결에만 적용될 것인지 또는 양쪽 모두에 적용될 것인지에 대한 설정을 포함합니다.
· 선택된 터널 설정
트래픽이 터널을 거치는지, 그렇다면 터널 종점은 어디인지 결정하는 설정을 포함합니다.
두 개의 IPSec 피어로 IPSec 구현하기
보안 상의 위험 요소를 평가하고 IPSec을 구현하기 전에, 몇 가지 간단한 IPSec 정책을 구성하고 실제로 IPSec이 어떻게 구현되는지 살펴본다면 도움이 될 것입니다. 다음 예에서는 Windows 2000을 사용하면서 Active Directory 도메인이나 공용 키 인증 인프라를 필요로 하지 않는 시스템 두 대를 사용합니다. 첫번째 예는 컴퓨터 사이에서 트래픽을 보호하는 방법을 보여주며, 두번째 예는 포트 차단에 IPSec을 사용하는 방법을 설명합니다.
주 다음은 IPSec 보호 및 포트 차단 기능을 수행하는 IPSec 정책을 신속하게 마련하는 예입니다. 이 예들은 프로덕션 환경에서 권장되는 구성이 아닙니다. 일반적인 프로덕션 환경에서는 모든 트래픽을 보호하는 일반 규칙과, 특정 트래픽(기본 게이트웨이 주소로 가는 ICMP 트래픽이나 DNS 서버로 가는 DNS 트래픽, DHCP 서버로 가는 DHCP 트래픽 등)은 보호에서 제외하는 추가 규칙들로 정책을 구성합니다. 또는 특정 유형의 트래픽을 보호하는 규칙들로 정책을 구성할 수도 있습니다.
예제 1: 컴퓨터 간의 트래픽 보호하기
보안 트래픽을 확인하려면, Windows 2000에 내장된 Ping 명령어를 사용하면 됩니다.
IPSec 정책 이전 테스트 연결
컴퓨터 1에서 :
1. 시작을 클릭하고 프로그램, 보조 프로그램을 선택한 다음, 명령 프롬프트를 선택합니다.
2. 명령 프롬프트에서 컴퓨터 2의 IP 주소로 ping을 실행합니다. 성공적으로 응답한다고 화면에 표시됩니다.
3. 컴퓨터 1의 기본 게이트웨이 IP 주소로 ping을 실행합니다. 성공적으로 응답한다고 화면에 표시됩니다.
트래픽 보안을 위해 IPSec 정책 구성하기
컴퓨터 1과 2에서 :
1. 시작, 실행 을 선택하고 MMC를 입력한 다음 OK를 클릭합니다.
2. MMC에서 콘솔 을 클릭하고 스냅 인 추가 제거를 선택한 다음 추가를 클릭합니다.
3. IP 보안 정책 관리를 선택한 다음, 추가를 클릭합니다.
4. 이 컴퓨터를 클릭합니다.
5. 마침을 클릭하고, 닫기를 클릭한 다음 OK를 선택합니다.
6. 로컬 컴퓨터의 IP 보안 정책에서 마우스 오른쪽 버튼을 클릭하고, IP 보안 정책 생성을 선택하고 다음을 선택합니다.
7. IP 보안 정책 이름에서 Secure Traffic이라 입력하고 다음을 클릭합니다.
8. 보안 통신 요청에서 기본 응답 규칙 활성화 확인란을 비우고, 다음을 선택하고 마침을 클릭합니다.
9. 보안 트래픽 등록정보 대화상자의 규칙 탭에서, 추가, 다음을 클릭합니다.
10. 터널 종점에서 다음을 클릭합니다.
11. 네트워크 종류 에서 다음을 클릭합니다.
12. 인증 방법에서 이 키를 사용하여 키 교환(미리 공유한 키) 보호 (preshared key)를 클릭하고, 미리 공유한 키로 123456789 를 입력하고, 다음을 클릭합니다.
13. IP 필터 목록에서 모든 IP 트래픽 을 클릭하고 다음을 클릭합니다.
14. 필터 동작에서 보안 필요를 선택하고 다음을 클릭합니다.
15. 마침을 클릭하고, 닫기를 선택합니다
16. 컨텐츠 창에서 트래픽 보안에서 마우스 오른쪽 버튼을 클릭한 다음 지정을 선택합니다.
IPSec 정책 이후 테스트 연결
컴퓨터 1에서 :
1. 명령 프롬프트에서 컴퓨터 2의 IP 주소로 ping을 실행합니다. “IP 보안 교섭 중” 메시지들이 이어 표시됩니다.
2. 컴퓨터 2의 IP 주소로 ping을 다시 실행합니다. 성공적으로 응답한다고 화면에 표시됩니다. 이제 컴퓨터 1과 컴퓨터 2 사이의 트래픽이 IPSec 암호화를 통해 보호됩니다.
3. 컴퓨터 1의 기본 게이트웨이 IP 주소로 ping을 실행합니다. “IP 보안 교섭 중” 메시지들이 이어 표시됩니다.
4. 컴퓨터 1의 기본 게이트웨이 IP 주소로 다시 ping을 실행합니다. “IP 보안 교섭 중” 메시지들이 이어 표시됩니다. 컴퓨터 1과 기본 게이트웨이는 통신할 수 없습니다. 컴퓨터 1과 교섭하고 트래픽을 보안하는 데 사용한 IPSec 보안으로 동일하게 기본 게이트웨이가 구성되지 않았기 때문입니다.
5. 시작, 실행 을 선택하고 ipsecmon 을 입력한 다음 OK를 클릭합니다.
6. IP 보안 모니터를 사용하여 컴퓨터 2의 보안 연결과 컴퓨터 1과 2 사이의 보안 트래픽 통계를 확인합니다.
예 2: 포트 차단
포트 차단을 확인하기 위해, IPSec 필터 그리고 Windows 2000에 포함된 간단한 TCP/IP 서비스 옵션 네트워킹 구성 요소를 사용합니다.
간단한 TCP/IP 서비스 설치하기
컴퓨터 2에서 :
1. 시작, 설정, 제어판을 선택합니다.
2. 프로그램 추가/제거를 선택합니다.
3. Windows 구성 요소 추가/제거를 선택합니다.
4. 구성 요소에서 네트워킹 서비스를 클릭한 다음 자세히를 선택합니다.
5. 네트워킹 서비스 하위 구성 요소에서 간단한 TCP/IP 서비스를 선택한 다음 OK를 클릭합니다. 그리고 다음을 선택합니다.
6. 프롬프트에서 배포 파일 위치를 입력하고 OK를 클릭합니다.
7. Windows 구성 요소 마법사의 나머지 단계를 수행하고 마침을 클릭합니다.
간단한 TCP/IP 서비스 테스트
컴퓨터 1에서 :
1. 명령 프롬프트에서 telnet 컴퓨터 2 IP 주소 daytime 을 입력합니다. 날짜와 시간이 표시됩니다.
2. 명령 프롬프트에서 telnet 컴퓨터 2 IP 주소 quote 을 입력합니다. 따옴표가 표시됩니다.
날짜와 따옴표 서비스 포트를 차단하기 위해 로컬 IPSec 정책 재구성하기
컴퓨터 2에서 :
1. 로컬 컴퓨터의 IP 보안 정책이 포함된 MMC 콘솔에서, 보안 트래픽 정책에서 마우스 오른쪽 버튼을 클릭하고, 등록정보, 추가를 선택합니다.
2. 보안 규칙 마법사에서 다음을 클릭합니다.
3. 터널 종점에서 다음을 클릭합니다.
4. 네트워크 종류에서 다음을 클릭합니다.
5. 인증 방법에서 다음을 클릭합니다.
6. IP 필터 목록에서 추가를 클릭합니다.
7. IP 필터 목록 대화상자의 이름에서 Daytime and Quote protocols이라고 입력합니다.
8. IP 필터 목록 대화상자에서 추가를 클릭합니다.
9. IP 필터 마법사에서 다음을 클릭합니다.
10. IP 트래픽 원본의 원본 주소에서 모든 IP 주소 를 클릭하고 다음을 클릭합니다.
11. IP 트래픽 대상의 대상 주소에서 내 IP 주소를 클릭하고 다음을 클릭합니다.
12. IP 프로토콜 종류의 프로토콜 종류 선택에서 TCP를 클릭하고 다음을 클릭합니다.
13. IP 프로토콜 포트, IP 프로토콜 포트 설정에서 이 포트로에 13을 입력하고 다음을 클릭합니다.
14. 마침을 클릭합니다.
15. IP 필터 목록 대화상자에서 추가를 클릭합니다.
16. IP 필터 마법사에서 다음을 클릭합니다.
17. IP 트래픽 원본의 원본 주소에서 모든 IP 주소 를 클릭하고 다음을 클릭합니다.
18. IP 트래픽 대상의 대상 주소에서 내 IP 주소를 클릭하고 다음을 클릭합니다.
19. IP 프로토콜 종류의 프로토콜 종류 선택에서 TCP를 클릭하고 다음을 클릭합니다.
20. IP 프로토콜 포트, IP 프로토콜 포트 설정에서 이 포트로에 17을 입력하고 다음을 클릭합니다.
21. 마침을 클릭하고 OK를 선택합니다.
22. IP 필터 목록에서 Daytime and Quote protocols을 선택하고 다음을 클릭합니다.
23. 필터 동작에서 추가를 선택합니다.
24. 필터 동작 마법사에서 다음을 선택합니다.
25. 필터 동작 이름, 이름에 Blocking이라 입력하고 다음을 클릭합니다.
26. 필터 동작 일반 옵션에서 차단, 다음을 클릭하고 마침을 선택합니다.
27. 필터 동작에서 Blocking을 클릭하고 다음을 선택합니다.
28. 마침을 클릭하고 닫기를 선택합니다.
IPSec 정책 구성 이후 트래픽 전송하기
컴퓨터 1에서 :
1. 명령 프롬프트에서 telnet 컴퓨터 2 IP 주소 daytime 을 입력합니다 연결 실패 메시지가 표시됩니다.
2. 명령 프롬프트에서 telnet 컴퓨터 2 IP 주소 quote 를 입력합니다 연결 실패 메시지가 표시됩니다.
3. 명령 프롬프트에서 컴퓨터 2로 ping을 실행합니다. 성공적으로 응답한다고 화면에 표시됩니다.
컴퓨터 2의 지정된 IPSec 정책에 새 규칙을 추가하면, (daytime 서비스에 사용되는) TCP 포트 13으로 오고 가는 모든 트래픽이 차단됩니다. 그러나 다른 종류의 보안 트래픽도 허용됩니다.
네트워크 연결 복원하기
컴퓨터 1과 2에서 :
1. 로컬 컴퓨터의 IP 보안 정책이 포함된 MMC 콘솔에서, 보안 트래픽 정책에서 마우스 오른쪽 버튼을 클릭하고, 할당 안 함을 선택합니다.
보안 트래픽 정책을 할당하지 않으면, 컴퓨터 1과 2 그리고 다른 모든 네트워크 노드 간의 일반적 (비보안) 네트워크 연결을 복원합니다.
추가 정보
Windows 2000 IPSec에 대한 자세한 정보는 다음 리소스자료를 참조하십시오.:
· IP Security for Windows 2000 Server
· Step-by-Step Guide to Internet Protocol Security (IPSec)
· Microsoft Privacy Protected Network Access: Virtual Private Networking and Intranet Security
· Windows 2000 Server Documentation (네트워킹 서적, 인터넷 프로토콜 보안을 보시오)
· Windows 2000 Server Resource Kit Books, TCP/IP Core Networking Guide (제 8장: 인터넷 프로토콜 보안은 마이크로소프트 TechNet 구독으로 가능합니다. )
· Knowledge Base Search (Windows 2000 제품의 "Windows 2000 IPSec"에 대한 쿼리)
· Security Tools
· Windows 2000 Internet Server Security Configuration Tool for Internet Information Server 5 (IIS5)
그 외 질문이나 기타 전하실 말씀이 있으시면 마이크로소프트 TechNet(technet@microsoft.com)으로 메일을 보내시기 바랍니다.
반응형
'윈도우즈' 카테고리의 다른 글
입력도구모음 없애기 (0) | 2007.07.24 |
---|---|
폴더의 파일아이콘 보이는 속도 향상 팁 (0) | 2007.07.24 |
컨트롤+알트+딜리시(Ctrl+Alt+Delete)를 눌렀을때 작업관리자가 안나올때... (0) | 2007.07.24 |
PC 해킹을 막으려면 다음에 주목 (0) | 2007.07.24 |
Windows Sever 2003설치 후 설정해야 할 것들 (0) | 2007.07.24 |
인터넷 사용중 광고성 메세지 삭제방법 (0) | 2007.07.24 |
프로그램에서 잘못된 연산을 수행하여 종료됩니다 할때는... (0) | 2007.07.24 |
익스 플로러에서 암호거는 방법 (0) | 2007.07.24 |
같은 창으로 폴더 여는 방법 (0) | 2007.07.24 |
정품 아닌 윈도우 XP에 서비스팩 설치하기~! (0) | 2007.07.24 |