이 대화 상자를 사용하여 주 모드 협상 중 키 교환에 사용할 수 있는 알고리즘 조합에 대해 추가, 편집, 우선 순위 변경 또는 제거 작업을 수행할 수 있습니다. 둘 이상의 알고리즘 조합을 지정할 수 있으며 조합이 시도되는 순서를 지정할 수 있습니다. 목록에서 두 피어와 모두 호환되는 첫 번째 조합이 사용됩니다.

참고

보안 수준이 높은 알고리즘 조합부터 낮은 알고리즘 조합의 순서로 나열하는 것이 가장 좋습니다. 이렇게 하면 협상 중인 두 컴퓨터 간에 공통적으로 보안 수준이 가장 높은 알고리즘이 사용됩니다. 이전 버전과의 호환성을 위해 보안 수준이 낮은 알고리즘이 사용될 수 있습니다.

이 대화 상자를 표시하는 방법
  1. 고급 보안이 포함된 Windows 방화벽 MMC 스냅인 페이지의 개요에서 Windows 방화벽 속성을 클릭합니다.

  2. IPsec 설정 탭을 클릭합니다.

  3. IPsec 기본값에서 사용자 지정을 클릭합니다.

  4. 키 교환(주 모드)에서 고급을 선택하고 사용자 지정을 클릭합니다.

보안 방법

보안 방법은 키 교환을 보호하는 무결성 알고리즘과 암호화 알고리즘의 조합입니다. 필요한 만큼 조합을 만들어 목록에 원하는 순서대로 배열할 수 있습니다. 조합은 표시된 순서대로 시도됩니다. 두 피어 컴퓨터에서 모두 동의하는 첫 번째 집합이 사용됩니다. 피어 컴퓨터에서 정의된 조합 중 어느 것도 사용할 수 없으면 연결 시도가 실패합니다.

일부 알고리즘은 이 버전의 Windows를 실행하는 컴퓨터에서만 지원됩니다. 자세한 내용은 Windows에서 지원되는 IPsec 알고리즘 및 방법(페이지는 영문일 수 있음)(https://go.microsoft.com/fwlink/?LinkID=129230)을 참조하십시오.

목록에 조합을 추가하려면 추가를 클릭한 후 보안 방법 추가 대화 상자를 사용합니다.

목록을 다시 정렬하려면 조합을 선택하고 위쪽 또는 아래쪽 화살표를 클릭합니다.

참고

보안 수준이 높은 조합부터 낮은 조합의 순서로 정렬하는 것이 가장 좋습니다. 이렇게 하면 두 피어에서 모두 지원할 수 있는 가장 안전한 방법이 사용됩니다.

키 수명

수명 설정은 새 키를 생성하는 시간을 결정합니다. 키 수명을 사용하면 지정한 시간 간격이 지난 후 또는 현재 키를 사용하여 보호된 세션이 지정한 수에 도달한 후에 새 키를 생성하도록 강제할 수 있습니다. 여러 키를 사용하면 공격자가 한 키에 액세스할 수 있게 되더라도 새 키가 생성되기 전까지에 해당되는 적은 양의 정보만 노출되므로 네트워크 트래픽이 한 번 더 보호됩니다. 분과 세션 수 둘 다로 수명을 지정할 수 있습니다. 도달한 첫 번째 임계값이 사용되며 키가 다시 생성됩니다.

참고

이 키 다시 생성 기능은 주 모드 키교환용으로만 사용합니다. 이러한 설정은 빠른 모드 데이터 보호의 키 수명 설정에 영향을 주지 않습니다.

이 설정을 사용하여 주 모드 보안 연결에 사용되는 키가 유지되는 기간(분)을 구성할 수 있습니다. 이 간격이 지나면 새 키가 생성됩니다. 후속 주 모드 세션에서는 새 키가 사용됩니다.

최대 수명은 2,879분(48시간)이고 최소 수명은 1분입니다. 키 다시 생성 간격은 위험 분석에 필요한 빈도로만 설정하는 것이 좋습니다. 너무 자주 키를 다시 생성하면 성능에 영향을 줄 수 있습니다.

세션

세션은 빠른 모드 SA로 보호되는 개별 메시지 또는 메시지 집합입니다. 이 설정은 동일한 주 모드 키 정보를 사용하여 보호할 수 있는 빠른 모드 키 생성 세션의 수를 지정합니다. 이 임계값에 도달하면 카운터가 다시 설정되고 새 키가 생성됩니다. 후속 통신에서는 새 키가 사용됩니다. 최대값은 2,147,483,647개 세션이며 최소값은 0개 세션입니다.

세션 한계가 0이면 키 수명(분) 설정으로만 새 키 생성이 결정됩니다.

주 모드 키와 빠른 모드 키의 키 수명을 많이 다르게 설정할 때는 주의해야 합니다. 예를 들어 주 모드 키 수명을 8시간으로 설정하고 빠른 모드 키 수명을 2시간으로 설정하면 주 모드 SA가 만료된 후 거의 2시간 동안은 빠른 모드 SA가 유효하게 남아 있을 수 있습니다. 이러한 상황은 주 모드 SA가 만료되기 바로 전에 빠른 모드 SA가 생성될 때 발생합니다.

중요

주 모드 키당 허용되는 세션 수가 많을수록 주 모드 키가 검색될 가능성이 높아집니다. 이 재사용 횟수를 제한하려면 빠른 모드 키 제한을 지정합니다.

보안 참고

주 모드 PFS(Perfect Forward Secrecy)를 구성하려면 키 수명(세션)을 1로 설정합니다. 이 구성을 사용하면 보호 수준이 매우 높아지지만 컴퓨터 및 네트워크 성능은 매우 낮아집니다. 새로운 모든 빠른 모드 세션에서는 주 모드 키 자료를 다시 생성하며 그러면 두 컴퓨터는 인증을 다시 수행하게 됩니다. IPsec 트래픽이 IPsec에서 제공되는 강력한 암호화 보호 기능을 손상시키려고 하는 정교한 공격자에게 노출될 수 있는 환경에서만 PFS를 사용하는 것이 좋습니다.

키 교환 옵션

보안 강화를 위해 Diffie-Hellman 사용

Windows Vista와 이후 버전의 Windows에서는 나머지 IPsec 매개 변수가 협상되는 초기 보안 연결을 설정하는 데 IKE(Internet Key Exchange)뿐 아니라 AuthIP(인증된 IP)도 지원됩니다. IKE에서는 Diffie-Hellman 교환만 사용합니다. AuthIP가 사용되는 경우에는 Diffie-Hellman 키 교환 프로토콜이 필요하지 않습니다. 대신, Kerberos 버전 5 인증이 요청될 때 Kerberos 버전 5 서비스 티켓 암호가 Diffie-Hellman 값 대신 사용됩니다. 인증서 인증이나 NTLM 인증이 요청되면 TLS(전송 수준 보안)가 설정되고 해당 암호가 Diffie-Hellman 값 대신 사용됩니다.

이 확인란을 선택하면 선택된 인증 종류에 관계없이 Diffie-Hellman 교환이 수행되고 나머지 IPsec 협상을 보호하는 데는 Diffie-Hellman 암호가 사용됩니다. 규제 요구 사항에 따라 Diffie-Hellman 교환을 반드시 사용해야 하는 경우에 이 확인란을 사용합니다.

참고 항목


목차