이 대화 상자에서는 데이터 무결성과 데이터 기밀성(암호화)을 모두 포함하며 빠른 모드 보안 연결을 협상할 때 사용할 수 있는 알고리즘을 구성할 수 있습니다. 네트워크 패킷의 데이터 무결성을 보호하는 데 사용되는 프로토콜과 알고리즘을 모두 지정해야 합니다.

IPsec(인터넷 프로토콜 보안)에서는 네트워크 패킷의 데이터에서 생성된 해시를 계산하여 무결성을 제공합니다. 그런 다음 해시는 암호화 방식으로 서명(암호화)되어 IP 패킷에 포함됩니다. 받는 컴퓨터에서는 동일한 알고리즘을 사용하여 해시를 계산하고 해당 결과를 받은 패킷에 포함된 해시와 비교합니다. 결과가 해시와 일치하면 받은 정보와 보낸 정보가 정확히 동일한 것이므로 해당 패킷이 승인됩니다. 결과가 해시와 일치하지 않으면 해당 패킷은 손실됩니다.

전송된 메시지의 암호화된 해시를 사용하면 메시지가 변경되었을 경우 결과와 해시가 반드시 불일치하게 됩니다. 이 기능은 인터넷과 같이 보안되지 않은 네트워크를 통해 데이터를 교환할 경우에 매우 중요하며 전송 중 메시지가 변경되지 않았는지를 알 수 있게 해 줍니다.

무결성 보호 외에도 이 대화 상자에서는 네트워크 패킷이 전송 중 가로채진 경우 데이터를 읽을 수 없도록 하는 암호화 알고리즘을 지정할 수 있습니다.

이 대화 상자를 표시하는 방법

  1. 고급 보안이 포함된 Windows 방화벽 MMC 스냅인 페이지의 개요에서 Windows 방화벽 속성을 클릭합니다.

  2. IPsec 설정 탭을 클릭합니다.

  3. IPsec 기본값에서 사용자 지정을 클릭합니다.

  4. 데이터 보호(빠른 모드)에서 고급을 선택하고 사용자 지정을 클릭합니다.

  5. 데이터 무결성 및 암호화의 목록에서 알고리즘 조합을 선택하고 편집 또는 추가를 클릭합니다.

프로토콜

IP 패킷에 무결성 및 암호화 정보를 포함하는 데 사용되는 프로토콜은 다음과 같습니다.

ESP(권장)

ESP(Encapsulating Security Payload)는 IP 페이로드에 대해 인증, 무결성 및 재생 차단 이외에 기밀성을 제공합니다. 전송 모드에서의 ESP는 패킷 전체를 서명하지 않습니다. IP 헤더가 아니라 IP 데이터 페이로드만 보호됩니다. ESP는 단독으로 사용하거나 AH(인증 헤더)와 함께 사용할 수 있습니다. ESP를 사용할 경우 해시 계산에는 ESP 헤더, 트레일러 및 페이로드만 포함됩니다. ESP는 지원되는 암호화 알고리즘 중 하나로 ESP 페이로드를 암호화하여 데이터 기밀성 서비스를 제공합니다. 패킷 재생 서비스는 각 패킷의 시퀀스 번호를 포함하여 제공됩니다.

ESP 및 AH

이 옵션은 ESP 프로토콜의 보안을 AH 프로토콜과 결합합니다. AH는 패킷 전체(패킷으로 전달되는 데이터 페이로드와 IP 헤더 모두)에 인증, 무결성 및 재생 차단을 제공합니다.

중요

NAT(Network Address Translation) 장치는 패킷 헤더의 정보를 변경해야 하므로 AH 프로토콜은 NAT와 호환되지 않습니다. IPsec 기반 트래픽이 NAT 장치를 통과할 수 있게 하려면 사용 중인 IPsec 피어 컴퓨터에서 NAT-T(NAT 통과)가 지원되도록 해야 합니다.

알고리즘

암호화 알고리즘

다음은 이 버전의 Windows를 실행하는 컴퓨터에서 사용할 수 있는 암호화 알고리즘입니다. 이전 버전의 Windows를 사용하는 컴퓨터에서는 이러한 알고리즘 중 일부를 사용할 수 없습니다. 이전 버전의 Windows를 실행하는 컴퓨터와 IPsec으로 보호되는 연결을 설정해야 하는 경우에는 이전 버전과 호환되는 알고리즘 옵션을 포함해야 합니다.

자세한 내용은 Windows에서 지원되는 IPsec 알고리즘 및 방법(페이지는 영문일 수 있음)(https://go.microsoft.com/fwlink/?LinkID=129230)을 참조하십시오.

  • AES-GCM 256

  • AES-GCM 192

  • AES-GCM 128

  • AES-CBC 256

  • AES-CBC 192

  • AES-CBC 128

  • 3DES

  • DES

보안 참고

DES는 사용하지 않는 것이 좋습니다. 이 알고리즘은 이전 버전과의 호환성을 위해서만 제공됩니다.

참고

암호화 알고리즘으로 AES-GCM을 지정할 경우 무결성 알고리즘도 동일하게 지정해야 합니다.

무결성 알고리즘

다음은 이 버전의 Windows를 실행하는 컴퓨터에서 사용할 수 있는 무결성 알고리즘입니다. 다른 버전의 Windows를 사용하는 컴퓨터에서는 이러한 알고리즘 중 일부를 사용할 수 없습니다. 이전 버전의 Windows를 실행하는 컴퓨터와 IPsec으로 보호되는 연결을 설정해야 하는 경우에는 이전 버전과 호환되는 알고리즘 옵션을 포함해야 합니다.

자세한 내용은 Windows에서 지원되는 IPsec 알고리즘 및 방법(페이지는 영문일 수 있음)(https://go.microsoft.com/fwlink/?LinkID=129230)을 참조하십시오.

  • AES-GCM 256

  • AES-GCM 192

  • AES-GCM 128

  • AES-GMAC 256

  • AES-GMAC 192

  • AES-GMAC 128

  • SHA-1

  • MD5

보안 참고

MD5는 사용하지 않는 것이 좋습니다. 이 알고리즘은 이전 버전과의 호환성을 위해서만 제공됩니다.

참고

무결성 알고리즘으로 AES-GCM을 지정할 경우 암호화 알고리즘도 동일하게 지정해야 합니다.

키 수명

수명 설정은 새 키를 생성하는 시간을 결정합니다. 키 수명을 사용하면 지정한 시간 간격이 지난 후 또는 지정한 양의 데이터가 전송된 후에 새 키를 생성하도록 강제할 수 있습니다. 예를 들어 통신하는 데 100분이 걸리는 경우 키 수명을 10분으로 지정하면 교환 프로세스에서 10분마다 하나씩 10개의 키가 생성됩니다. 여러 키를 사용하면 침입자가 어떻게 해서 통신의 한 요소에 대한 키를 획득하더라도 전체 통신이 손상되지 않도록 합니다.

참고

이러한 키 다시 생성은 빠른 모드 데이터 무결성 및 암호화를 위한 것이며 주 모드 키 교환의 키 수명 설정에는 영향을 주지 않습니다.

이 설정을 사용하여 빠른 모드 보안 연결에 사용되는 키가 유지되는 기간(분)을 구성할 수 있습니다. 이 간격이 지나면 키가 다시 생성됩니다. 후속 통신에서는 새 키가 사용됩니다.

최대 수명은 2,879분(48시간)이고 최소 수명은 5분입니다. 키 다시 생성 간격은 위험 분석에 필요한 빈도로만 설정하는 것이 좋습니다. 너무 자주 키를 다시 생성하면 성능에 영향을 줄 수 있습니다.

KB

이 설정을 사용하여 키를 통해 보내는 데이터의 양(KB)을 구성할 수 있습니다. 이 임계값에 도달하면 카운터가 다시 설정되고 키가 다시 생성됩니다. 후속 통신에서는 새 키가 사용됩니다.

최대 수명은 2,147,483,647KB이고 최소 수명은 20,480KB입니다. 키 다시 생성 간격은 위험 분석에 필요한 빈도로만 설정하는 것이 좋습니다. 너무 자주 키를 다시 생성하면 성능에 영향을 줄 수 있습니다.

참고 항목

목차