이 대화 상자에서는 빠른 모드 보안 연결을 협상할 때 사용할 수 있는 데이터 무결성 알고리즘을 구성할 수 있습니다. 네트워크 패킷의 데이터 무결성을 보호하는 데 사용되는 프로토콜과 알고리즘을 모두 지정해야 합니다.

IPsec(인터넷 프로토콜 보안)에서는 네트워크 패킷의 데이터에서 생성된 해시를 계산하여 무결성을 제공합니다. 그런 다음 해시는 암호화 방식으로 서명(암호화)되어 IP 패킷에 포함됩니다. 받는 컴퓨터에서는 동일한 알고리즘을 사용하여 해시를 계산하고 해당 결과를 받은 패킷에 포함된 해시와 비교합니다. 결과가 해시와 일치하면 받은 정보와 보낸 정보가 정확히 동일한 것이므로 해당 패킷이 승인됩니다. 결과가 해시와 일치하지 않으면 해당 패킷은 손실됩니다.

전송된 메시지의 암호화된 해시를 사용하면 메시지가 변경되었을 경우 해시가 반드시 불일치하게 됩니다. 이 기능은 인터넷과 같이 보안되지 않은 네트워크를 통해 데이터를 교환할 경우 전송 중 메시지가 변경되지 않았는지를 알 수 있게 해 주므로 매우 중요합니다.

이 대화 상자를 표시하는 방법
  1. 고급 보안이 포함된 Windows 방화벽 MMC 스냅인 페이지의 개요에서 Windows 방화벽 속성을 클릭합니다.

  2. IPsec 설정 탭을 클릭합니다.

  3. IPsec 기본값에서 사용자 지정을 클릭합니다.

  4. 데이터 보호(빠른 모드)에서 고급을 선택하고 사용자 지정을 클릭합니다.

  5. 데이터 무결성의 목록에서 알고리즘 조합을 선택하고 편집 또는 추가를 클릭합니다.

프로토콜

IP 패킷에 무결성 정보를 포함하는 데 사용되는 프로토콜은 다음과 같습니다.

ESP(권장)

ESP는 IP 페이로드에 대해 인증, 무결성 및 재생 차단 보호 기능을 제공합니다. 전송 모드에서 사용되는 ESP는 패킷 전체를 서명하지 않습니다. IP 헤더가 아니라 IP 페이로드만 보호됩니다. ESP는 단독으로 사용되거나 AH와 조합하여 사용할 수 있습니다. ESP를 사용할 경우 해시 계산에는 ESP 헤더, 트레일러 및 페이로드만 포함됩니다. ESP는 필요할 경우 지원되는 몇 가지 암호화 알고리즘 중 하나로 ESP 페이로드를 암호화하여 데이터 기밀성 서비스를 제공합니다. 패킷 재생 서비스는 각 패킷의 시퀀스 번호를 포함하여 제공됩니다.

AH

AH는 패킷 전체(패킷으로 전달되는 데이터 페이로드와 IP 헤더 모두)에 인증, 무결성 및 재생 차단을 제공합니다. 이 모드는 기밀성을 제공하지 않으며 이것은 데이터를 암호화하지 않는다는 의미입니다. 데이터는 읽을 수는 있지만 수정할 수 없도록 보호됩니다. 전송할 때 변경할 수 있는 일부 필드는 해시 계산에서 제외됩니다. 패킷 재생 서비스는 각 패킷의 시퀀스 번호를 포함하여 제공됩니다.

중요

NAT(Network Address Translation) 장치는 무결성 해시에 포함된 일부 패킷 헤더의 정보를 변경하므로 AH 프로토콜은 NAT와 호환되지 않습니다. IPsec 기반 트래픽이 NAT 장치를 통과할 수 있게 하려면 ESP를 사용하고 IPsec 피어 컴퓨터에서 NAT-T(NAT 통과)를 사용하도록 설정해야 합니다.

Null 캡슐화

네트워크 트래픽에 대한 무결성 또는 암호화 보호 기능을 사용하지 않도록 지정하려면 Null 캡슐화를 사용합니다. 인증은 연결 보안 규칙에서 요구하는 대로 여전히 수행되지만 이 보안 연결을 통해 교환되는 네트워크 패킷에 다른 보호 기능은 제공되지 않습니다.

보안 참고

이 옵션은 어떤 종류의 무결성 또는 기밀성 보호 기능도 제공하지 않으므로 ESP 또는 AH와 호환되지 않는 소프트웨어 또는 네트워크 장비를 지원해야 하는 경우에만 이 옵션을 사용하는 것이 좋습니다.

알고리즘

다음은 이 버전의 Windows를 실행하는 컴퓨터에서 사용할 수 있는 무결성 알고리즘입니다. 다른 버전의 Windows를 사용하는 컴퓨터에서는 이러한 알고리즘 중 일부를 사용할 수 없습니다. 이전 버전의 Windows를 실행하는 컴퓨터와 IPsec으로 보호되는 연결을 설정해야 하는 경우에는 이전 버전과 호환되는 알고리즘 옵션을 포함해야 합니다.

자세한 내용은 Windows에서 지원되는 IPsec 알고리즘 및 방법(페이지는 영문일 수 있음)(https://go.microsoft.com/fwlink/?LinkID=129230)을 참조하십시오.

  • AES-GMAC 256

  • AES-GMAC 192

  • AES-GMAC 128

  • SHA-1

  • MD5

    주의

    이제 MD5는 안전하지 않으므로 원격 컴퓨터에서 보다 안전한 알고리즘을 사용할 수 없는 경우나 테스트 목적으로만 사용해야 합니다. 이 알고리즘은 이전 버전과의 호환성을 위해서만 제공됩니다.

키 수명

수명 설정은 새 키를 생성하는 시간을 결정합니다. 키 수명을 사용하면 지정한 시간 간격이 지난 후 또는 지정한 양의 데이터가 전송된 후에 새 키를 생성하도록 강제할 수 있습니다. 예를 들어 통신하는 데 100분이 걸리는 경우 키 수명을 10분으로 지정하면 교환 프로세스에서 10분마다 하나씩 10개의 키가 생성됩니다. 여러 키를 사용하면 침입자가 어떻게 해서 통신의 한 요소에 대한 키를 획득하더라도 전체 통신이 손상되지 않도록 합니다.

참고

이 키 다시 생성 기능은 빠른 모드 데이터 무결성용으로만 사용합니다. 이러한 설정은 주 모드 키 교환의 키 수명 설정에 영향을 주지 않습니다.

이 설정을 사용하여 빠른 모드 보안 연결에 사용되는 키가 유지되는 기간(분)을 구성할 수 있습니다. 이 간격이 지나면 새 키가 생성됩니다. 후속 통신에서는 새 키가 사용됩니다.

최대 수명은 2,879분(48시간)이고 최소 수명은 5분입니다. 키 다시 생성 간격은 위험 분석에 필요한 빈도로만 설정하는 것이 좋습니다. 너무 자주 키를 다시 생성하면 성능에 영향을 줄 수 있습니다.

KB

이 설정을 사용하여 키를 통해 보내는 데이터의 양(KB)을 구성할 수 있습니다. 이 임계값에 도달하면 카운터가 다시 설정되고 키가 다시 생성됩니다. 후속 통신에서는 새 키가 사용됩니다.

최대 수명은 2,147,483,647KB이고 최소 수명은 20,480KB입니다. 키 다시 생성 간격은 위험 분석에 필요한 빈도로만 설정하는 것이 좋습니다. 너무 자주 키를 다시 생성하면 성능에 영향을 줄 수 있습니다.

참고 항목


목차