NAP(네트워크 액세스 보호) IPsec(인터넷 프로토콜 보안) 적용은 클라이언트 컴퓨터가 네트워크 상태 요구 사항을 준수하도록 하기 위한 가장 강력하고 유연한 방법을 제공합니다.
IPsec 적용은 네트워크에서 규격 컴퓨터로 간주되며 상태 인증서를 획득한 컴퓨터로만 통신을 한정합니다. 이 NAP 적용 방법은 IPsec과 IPsec의 구성 유연성을 통해 IP 주소 또는 포트 번호를 기준으로 규격 클라이언트와의 보안 통신에 대한 요구 사항을 정의할 수 있도록 합니다. IPsec에 대한 자세한 내용은
IPsec 적용의 이점
IPsec 적용은 802.1X, DHCP 또는 VPN 적용이 제공하는 것보다 좀 더 강력한 적용 메커니즘을 원할 때 주로 사용됩니다. IPsec 적용의 이점은 다음과 같습니다.
변조 방지 적용
NAP 클라이언트를 다시 구성해도 IPsec 적용을 무시할 수 없습니다. NAP 클라이언트는 사용자에게 로컬 관리자 권한이 있는 경우에도 로컬 컴퓨터의 설정을 조작하여 상태 인증서를 받거나 규격 컴퓨터와의 통신을 시작할 수 없습니다. 또한 허브 또는 가상 컴퓨터 기술을 사용해도 IPsec 적용을 무시할 수 없습니다.
인프라 업그레이드가 필요하지 않음
IPsec 적용은 TCP/IP 프로토콜 집합의 인터넷 계층에서 작동하므로 허브, 스위치 및 라우터와 같은 실제 네트워크 인프라 구성 요소와는 별개입니다.
서버 또는 응용 프로그램 기준으로 제한된 네트워크 액세스
IPsec 적용을 사용할 경우 규격 클라이언트는 비규격 컴퓨터와의 통신을 시작할 수 있지만 비규격 컴퓨터는 규격 컴퓨터와의 통신을 시작할 수 없습니다. 관리자는 상태 인증서로 인증되고 IPsec 정책 설정을 통해 IPsec으로 보호되어야 하는 트래픽 유형을 정의합니다. IPsec 정책은 원본 IP 주소, 대상 IP 주소, IP 프로토콜 번호, 원본 및 대상 TCP 포트, 원본 및 대상 UDP 포트에 따라 트래픽을 정의할 수 있는 IP 필터를 만들 수 있도록 합니다. IPsec 정책 및 IP 필터 정의를 사용하면 서버 또는 응용 프로그램 기준으로 네트워크 액세스를 제한할 수 있습니다.
선택적 종단 간 암호화
IPsec 정책 설정을 지정하여 아주 중요한 트래픽의 경우 IPsec 피어 간 IP 트래픽을 암호화할 수 있습니다. 무선 클라이언트에서 무선 액세스 지점으로의 프레임만 암호화하는 IEEE 802.11 무선 LAN(Local Area Network)과 달리 IPsec 암호화는 IPsec 피어 컴퓨터 간에 적용됩니다.
IPsec 적용 및 논리 네트워크
IPsec 적용은 실제 네트워크를 세 개의 논리 네트워크로 나눕니다. 컴퓨터는 항상 하나의 논리 네트워크에만 구성원으로 속합니다. 논리 네트워크는 상태 인증서가 있는 컴퓨터와 들어오는 통신 시도에 대해 IPsec 인증을 요구하는 컴퓨터에 따라 정의됩니다. 논리 네트워크에서는 상태 요구 사항을 만족하지 않는 컴퓨터의 액세스를 제한할 수 있도록 하며 비규격 컴퓨터에 대한 보호 수준을 규격 컴퓨터에 제공합니다. IPsec 적용은 다음과 같은 논리 네트워크를 정의합니다.
-
보안 네트워크
보안 네트워크의 컴퓨터는 상태 인증서를 가지며 들어오는 통신이 이러한 인증서로 인증을 받도록 요구합니다. 이러한 컴퓨터는 IPsec 보호를 제공하기 위해 일반적인 IPsec 정책 설정 집합을 사용합니다. 예를 들어 Active Directory® 인프라의 구성원인 대부분의 서버 및 클라이언트 컴퓨터는 보안 네트워크에 있습니다. NAP 상태 정책 서버, AD CS(Active Directory 인증서 서비스)가 실행되는 서버 및 전자 메일 서버가 일반적으로 보안 네트워크에 있는 네트워크 구성 요소의 예입니다.
-
경계 네트워크
경계 네트워크의 컴퓨터는 상태 인증서를 갖지만 들어오는 통신 시도에 대해 IPsec 인증을 요구하지 않습니다. 경계 네트워크의 컴퓨터는 전체 네트워크의 컴퓨터에 액세스할 수 있어야 합니다. 이러한 유형의 컴퓨터는 NAP 클라이언트 상태를 평가 및 재구성하거나 HRA 서버, 바이러스 백신 업데이트 서버, 읽기 전용 도메인 컨트롤러 및 DNS 서버와 같은 제한된 네트워크의 컴퓨터에 네트워크 액세스를 제공하는 데 필요한 서버입니다. 경계 네트워크의 컴퓨터는 인증 및 보호된 통신을 요구하지 않으므로 보안 네트워크의 컴퓨터를 공격하는 데 사용되지 않도록 하기 위해 집중적으로 관리해야 합니다.
-
제한된 네트워크
제한된 네트워크의 컴퓨터는 상태 인증서를 갖지 않습니다. 이러한 컴퓨터는 상태 검사가 완료되지 않은 컴퓨터, 게스트 또는 NAP를 지원하지 않는 Windows 버전이 실행되는 컴퓨터, Apple Macintosh 컴퓨터 또는 UNIX 기반 컴퓨터와 같은 NAP 사용이 불가능한 컴퓨터입니다.
다음 그림에서는 IPsec 논리 네트워크의 예를 보여줍니다.