필터 동작은 데이터 전송을 위한 보안 요구 사항을 정의합니다. 정책을 만들 때나 정책을 만들기 전에 필터 동작을 정의할 수 있습니다. 필터 목록은 모든 정책에서 사용할 수 있습니다. 필터 목록을 정의하려면 IP 보안 정책 노드를 마우스 오른쪽 단추로 클릭하고 필터 목록 및 필터 동작 관리를 선택합니다.
필터 동작은 다음과 같이 구성할 수 있습니다.
트래픽 허용
IPsec은 보안을 수정하거나 요구하지 않고 이 트래픽을 TCP/IP 드라이버와 주고 받습니다. IPSec을 사용할 수 없는 컴퓨터의 트래픽에 적합합니다. 이 필터 동작을 사용할 경우 반드시 IP 필터 목록을 최소 범위로 제한하여 트래픽이 보안되지 않도록 합니다.
문제 해결을 위해 ICMP 트래픽을 허용하십시오. 또한 컨설턴트의 컴퓨터처럼 해당 도메인에 있지 않은 컴퓨터에서 해당 도메인의 다른 컴퓨터에 액세스할 수 있도록 허용해야 할 수도 있습니다. 허용 필터 동작을 사용하여 이 액세스를 허용할 수 있습니다.
중요 | |
허용 필터 동작은 인증, 데이터 무결성 또는 암호화 없이 액세스를 허용합니다. 필터 목록에 지정된 IP 주소를 가진 컴퓨터를 사용하는 사람에게 액세스 권한이 부여됩니다. 컴퓨터 간의 모든 트래픽은 일반 텍스트로 진행되며 무결성 검사가 수행되지 않습니다. |
트래픽 차단
IPsec은 차단된 트래픽을 자동으로 버립니다. 차단 필터 동작을 사용할 때는 IP 주소의 올바른 범위를 정의하는 IP 필터 목록을 사용해야 합니다. 큰 범위를 사용하면 올바른 컴퓨터 간의 트래픽을 차단할 수 있는 가능성이 높아집니다.
보안 협상
보안되지 않은 통신을 받아들이지만 항상 IPSec을 사용하여 응답 옵션을 사용하면 IPSec에서 SA(보안 연결)와 IPSec으로 금지된 트래픽의 송신이나 수신을 협상하려고 합니다. 그러나 피어에서 IPsec을 사용할 수 없는 경우에는 IPsec 보호 없이 통신이 허용됩니다. 이 필터 동작을 선택하면 다음 사항도 구성할 수 있습니다.
- 보안 방법 및 순서 - 이 방법 목록은 방법을 사용하는 순서를 정의합니다. 성공적인 첫 번째 방법이 사용되고 나머지 방법은 시도되지 않습니다. 일반적으로 가장 안전한 방법이 사용되도록 가장 높은 보안부터 가장 낮은 보안의 순서로 목록이 정렬되어야 합니다.
- 처음 들어오는 보안되지 않은 트래픽 허용(보안되지 않은 통신을 받아들이지만 항상 IPSec을 사용하여 응답) - IPSec을 사용하여 구성된 필터 목록과 일치하는 들어오는 패킷이 보안되지 않도록(IPSec으로 보호되지 않도록) 할 수 있습니다. 그러나 들어오는 패킷에 대해 보내는 응답은 보호되어야 합니다. 이런 설정은 클라이언트에 기본 응답 규칙을 사용하고 있을 경우 유용합니다. 서버 그룹이 모든 IP 주소와의 통신을 보안하고 보안되지 않은 통신을 받아들이는 규칙으로 구성되어 있어 보안 통신만으로 응답할 경우 클라이언트 컴퓨터에서 기본 응답 규칙을 사용하면 클라이언트가 보안을 협상하는 서버 요청에 응답합니다. DoS(Denial-of-Service) 공격을 막으려면 인터넷에 연결된 보안 컴퓨터에서 이 옵션을 사용할 수 없도록 설정해야 합니다.
- IPsec을 사용할 수 없는 컴퓨터와 통신 사용(보안 연결을 만들 수 없는 경우 보안되지 않은 통신 허용) - IPsec은 필요할 경우 보안되지 않은 통신을 낮은 수준으로 보안 연결합니다. 다시 한 번 IP 필터 목록을 최소 범위로 제한해야 합니다. 그렇지 않으면 어떤 이유로 협상에 실패할 경우 이 필터 동작이 있는 규칙의 영향을 받는 통신에서 데이터를 보안하지 않은 상태로 전송하게 될 수도 있습니다. 보안되지 않은 통신이 걱정되면 이 설정을 사용하지 않는 것을 고려할 수 있습니다. 그러나 레거시 시스템과 같이 IPsec을 시작할 수 없는 컴퓨터와의 통신이 차단될 수 있습니다. DoS(Denial-of-Service) 공격을 막으려면 인터넷에 연결된 보안 컴퓨터에서 이 옵션을 사용할 수 없도록 설정해야 합니다.
- 새 주 모드 키 자료에서 빠른 모드 세션 키 생성(세션 키 전달 완전 보안(PFS)) - 세션 키 PFS를 사용하면 주 모드 마스터 키 키 자료를 사용하여 두 개 이상의 빠른 모드 세션 키를 생성할 수 없습니다. 빠른 모드 세션 키 PFS를 사용하면 새 Diffie-Hellman 키 교환을 수행하여 새 빠른 모드 세션 키를 생성하기 전에 새 주 모드 마스터 키 키 자료를 생성합니다. 세션 키(빠른 모드) PFS에서는 주 모드 재인증이 필요하지 않으며 마스터 키(주 모드) PFS보다 리소스도 적게 사용합니다.
IPsec 보안 방법
각 보안 방법은 연결된 규칙이 적용되는 통신의 보안 요구 사항을 정의합니다. 여러 보안 방법을 만들면 두 컴퓨터 사이에 공통적으로 적용되는 방법을 찾을 수 있는 가능성이 높아집니다. IKE(Internet Key Exchange) 구성 요소는 보안 방법 목록을 내림차순으로 읽어 허용되는 보안 방법 목록을 다른 피어 컴퓨터에 보냅니다. 일반적으로 적용되는 첫 번째 방법이 선택됩니다. 일반적으로 가장 높은 수준의 보안 방법은 목록의 맨 위에 표시되고 가장 낮은 수준의 보안 방법은 목록의 맨 아래에 표시됩니다.
미리 정의된 보안 방법
다음 보안 방법은 미리 정의되어 있습니다.
암호화 및 무결성
ESP 프로토콜을 사용하여 3DES(Triple DES) 알고리즘으로 데이터 기밀성(암호화)을 제공하고 SHA1(Secure Hash Algorithm 1) 무결성 알고리즘으로 데이터 무결성과 인증을 제공하며 기본 키 수명(100MB, 1시간)을 제공합니다. 데이터 및 주소 지정(IP 헤더) 보호가 둘 다 필요할 경우 사용자 지정 보안 방법을 만들 수 있습니다. 암호화가 필요하지 않으면 무결성만 사용합니다.
무결성만
ESP 프로토콜을 사용하여 SHA1 무결성 알고리즘으로 데이터 무결성과 인증을 제공하고 기본 키 수명(100MB, 1시간)을 제공합니다. 이 구성에서 ESP는 데이터 기밀성(암호화)을 제공하지 않습니다.
사용자 지정 보안 방법
미리 정의된 암호화 및 무결성 또는 무결성만 설정이 사용자의 보안 요구 사항을 충족시키지 못하면 사용자 지정 보안 방법을 지정할 수 있습니다. 예를 들어 암호화 및 주소 무결성, 더욱 강력한 알고리즘 또는 키 수명을 지정해야 할 경우 사용자 지정 방법을 사용할 수 있습니다. 사용자 지정 보안 방법을 구성할 경우 다음을 구성할 수 있습니다.
보안 프로토콜
IP 헤더 무결성 및 데이터 암호화가 필요하면 사용자 지정 보안 방법에서 AH(암호화되지 않은 데이터 및 주소 무결성)와 ESP(데이터 무결성 및 암호화)를 둘 다 사용할 수 있습니다. 둘 다 사용하도록 선택하면 ESP에 무결성 알고리즘을 지정할 필요가 없습니다.
참고 | |
AH 프로토콜은 헤더의 해시를 사용하므로 NAT(Network Address Translation) 장치로는 사용할 수 없습니다. NAT 장치는 헤더를 변경하므로 패킷이 제대로 인증되지 않습니다. |
무결성 알고리즘
128비트 키를 사용하는 MD5(Message Digest 5) - 이 알고리즘은 더 이상 안전하지 않으므로 상호 운용성을 위해 필요한 경우에만 사용해야 합니다.
160비트 키를 사용하는 SHA1 - SHA1은 MD5보다 강력한 해시이며 FIPS(Federal Information Processing Standard)를 따릅니다.
암호화 알고리즘
3DES는 DES 조합 중 가장 높은 수준의 보안이며 성능은 약간 낮습니다. 3DES는 고유한 56비트 키 3개를 사용하여 각 블록을 세 번씩 처리합니다.
DES는 단일 56비트 키를 사용하며 보안과 오버헤드가 높은 3DES가 필요하지 않을 때 사용합니다. 이 알고리즘은 더 이상 안전하지 않으므로 상호 운용성을 위해 필요한 경우에만 사용해야 합니다.
세션 키(빠른 모드) 설정은 새 키의 생성 방법이 아닌 생성 시기를 결정합니다. KB나 초 단위 또는 둘 다로 수명을 지정할 수 있습니다. 예를 들어 통신하는 데 10,000초가 걸리고 키 수명을 1,000초로 지정하면 통신을 완료하는 데 10개의 키가 생성됩니다. 이렇게 하면 공격자가 세션 키 하나를 알아내서 통신의 일부를 해독하더라도 전체 통신을 해독할 수는 없습니다. 기본적으로 새 빠른 모드 키는 100MB의 데이터마다 또는 매시간 생성됩니다. 키 수명에 도달할 때마다 키 새로 고침 또는 키 다시 생성뿐 아니라 SA도 다시 협상됩니다.
새 규칙 속성 대화 상자를 사용하여 필터 동작 만들기 |
속성 대화 상자에서 필터 동작을 만들려면 IP 보안 정책 속성 대화 상자의 규칙 탭에서 추가 마법사 사용 확인란 선택을 취소합니다. 마법사를 사용하려면 이 확인란을 선택한 상태로 둡니다. 추가를 클릭합니다. 다음은 대화 상자를 사용하여 필터 목록을 만드는 데 필요한 정보입니다.
규칙 속성 대화 상자의 필터 동작 탭에서 추가 마법사 사용 확인란 선택을 취소하고 추가를 클릭합니다.
보안 방법 탭에서 규칙에 사용할 방법(동작)을 선택합니다.
설명 탭에서 필터 동작에 대한 설명을 입력합니다(옵션). 이 설명을 사용하면 속성을 열지 않고 필터 동작을 빨리 식별하고 정렬할 수 있습니다.
확인을 클릭합니다.
목록에 필터 동작을 추가하려면 4-8단계를 반복합니다.
참고 규칙에서 필터 동작을 여러 개 나열할 수 있더라도 규칙당 사용할 수 있는 필터 동작은 하나뿐입니다.
필터 동작 탭에서 규칙에 대한 해당 필터 동작을 선택하고 확인을 클릭합니다.
필터 목록 및 필터 동작 관리 대화 상자를 사용하여 필터 동작 만들기 |
IP 보안 정책 노드를 마우스 오른쪽 단추로 클릭하고 IP 필터 목록 및 필터 동작 관리를 선택합니다.
속성 대화 상자를 사용하여 필터 동작을 만들려면 필터 동작 관리 탭에서 추가 마법사 사용 확인란 선택을 취소합니다. 마법사를 사용하려면 이 확인란을 선택한 상태로 둡니다. 추가를 클릭합니다. 다음은 대화 상자를 사용하여 필터 목록을 만드는 데 필요한 정보입니다. 아래 절차에서는 마법사를 사용하지 않습니다.
보안 방법 탭에서 방법을 선택하고 확인을 클릭합니다.
보안 협상 옵션을 선택한 경우 여러 방법을 추가하고 시도할 순서를 지정할 수 있습니다. 추가하려면 추가를 클릭합니다.
설명 탭에서 필터에 대한 설명을 입력합니다(옵션). 이 설명을 사용하면 속성을 열지 않고 필터를 빨리 식별하고 정렬할 수 있습니다.
확인을 클릭합니다.
목록에 필터 동작을 추가하려면 4-8단계를 반복합니다.