인터넷 프로토콜 보안(IPSec)에 대한 단계별 가이드
인터넷 보안 프로토콜(IPSec)은 Windows 2000 운영 체제에 대해 기타 네트워크 액세스 보호와 더불어 IP 네트워크 소통에 대해 응용 프로그램에 투명한 암호화 서비스를 제공합니다. 이 가이드는 IPSec 전송 모드를 사용하여 클라이언트와 서버 간의 응용 프로그램 소통을 확보하는 가장 빠른 방법에 대해 설명합니다. Windows 2000 도메인에 속한 두 개의 Windows 2000 기반의 시스템 간에 IPSec를 사용하여 보안 기본 정책을 어떻게 설정하는지에 대해 증명합니다. 두 컴퓨터가 도메인을 조인한 경우에는 30분 이내에 기본 정책을 나타내도록 작업의 첫 부분을 완료해야 합니다. IPSec가 아닌 클라이언트가 서버와 통신할 수 있도록 하는 방법에 대한 참고 사항도 포함되어 있으며, 인증서를 사용하는 방법이나 직접 사용자 정의 정책을 작성하여 고도의 상호 운용성 테스트를 수행하는 방법, Windows 2000 도메인을 사용할 수 없을 때 IPSec를 증명하는 방법 등에 대한 단계도 제공되어 있습니다. 목차 인터넷 보안 프로토콜(IPSec)을 사용하면 다음 시나리오에서 네트워크 소통에 대해 데이터 개인 정보, 통합성, 신뢰성, 반재생 보호 등을 제공할 수 있습니다. IPSec는 L2TP/IPSec 터널이나 순수한 IPSec 터널 모드를 사용하여 외부 발주된 개인 WAN(광역 네트워크)이나 인터넷 기반의 연결에 대해 보안 게이트웨이-게이트웨이 연결을 제공합니다. IPSec 터널 모드는 가상 개인 네트워크(VPN) 원격 액세스에 사용하도록 설계된 것이 아닙니다. Windows 2000 Server 운영 체제는 강력한 IP 보안(IPSec)을 구현한 Windows 2000 IP 보안을 통해 네트워크 보안의 구축과 관리를 간단히 수행하도록 합니다. IETF(Internet Engineering Task Force)에서 인터넷 프로토콜(IP)에 대한 보안 아키텍처로서 설계한 IPSec는 IP 패킷 형식과 관련 인프라를 정의하여 강력한 종단 간 인증과 반재생, 네트워크 소통에 대한 기밀성 등을 제공합니다. IETF에서 정의한 인터넷 키 교환(IKE), RFC 2409를 사용하여 필요 시 보안 협상과 자동 키 관리 서비스 등도 제공합니다. IPSec와 Windows 2000의 관련 서비스는 Microsoft 및 Cisco Systems, Inc.에서 개발했습니다. Windows 2000 IP 보안은 Windows 2000 도메인과 Active Directory 서비스를 통합함으로써 IETF IPSec 아키텍처 위에 구현됩니다. Active Directory는 그룹 정책을 사용하여 정책 기반의 디렉터리를 사용하는 네트워킹을 제공함으로써 Windows 2000 도메인 구성원에 대한 IPSec 정책 할당과 배포를 제공합니다. IKE의 구현을 통해 컴퓨터 간 트러스트를 연결하는 세 가지 IETF 표준 기반의 인증 방법이 제공됩니다. 피어 컴퓨터가 서로를 인증한 경우에는 응용 프로그램 데이터 패킷을 암호화할 목적으로 일괄 암호화 키를 생성합니다. 이러한 키는 두 컴퓨터에만 알려지므로 네트워크에 들어 올 수도 있는 침입자가 함부로 수정하거나 해석하지 못하도록 데이터가 잘 보호됩니다. 각 사용자는 IKE를 사용하여 어떤 유형과 강도의 키를 사용할 것인지 협상하고 응용 프로그램 소통을 보호할 보안의 유형에 대해서도 협상할 수 있습니다. 이러한 키는 관리자의 제어 아래 일관된 보호를 제공하도록 한 IPSec 정책 설정에 따라 자동으로 새로 고쳐집니다. Windows 2000의 인터넷 보안 프로토콜(IPSec)은 네트워크 관리자가 구축하도록 설계되어 있으므로 사용자의 응용 프로그램 데이터가 투명하게 확보될 수 있습니다. 모든 경우에 Kerberos 인증과 도메인 트러스트를 사용하는 것이 구축에 있어서 가장 쉬운 선택입니다. 트러스트되지 않은 도메인이나 타사 제공의 상호 운용성에 대해서는 인증서나 미리 공유된 키 등을 사용할 수 있습니다. 그룹 정책을 사용하여 IPSec 보안이라는 IPSec 구성을 여러 클라이언트와 서버에 구현할 수 있습니다. 보안 서버 모든 유니캐스트 IP 소통에 대한 IPSec 보안은 요청되었으나 선택 사항인 경우이거나 요청되었으며 필수인 경우로서, 서버의 관리자 구성에 의해 설정됩니다. 이 모델을 사용하는 경우, 클라이언트는 서버로부터 보안 요청에 응답하는 방법에 대한 기본 정책만 있으면 됩니다. IPSec 보안 연결(각 방향으로 하나)이 클라이언트와 서버 간에 설정되고 최종 패킷이 둘 사이에 보내진 이후 한 시간 동안 유효한 상태로 남게 됩니다. 한 시간 이후에는 클라이언트가 해당 보안 연결을 완전히 정리하고 초기의 "응답 전용" 상태로 돌아갑니다. 클라이언트에서 보안되지 않은 패킷을 동일한 서버에 다시 보내는 경우에는 서버에서 IPSec 보안을 다시 설정합니다. 이 방법은 적용하기 매우 쉬운 방법으로서, 응용 프로그램에 의해 서버에 보낸 첫째 패킷에 중요한 데이터가 들어 있지 않은 경우와 서버에서 보안되지 않은 일반 텍스트 패킷을 클라이언트로부터 받도록 되어 있는 경우에 한하여 매우 안전하게 수행될 수 있습니다. 주의 이 서버 쪽 구성은 내부 네트워크 서버의 경우에만 적합합니다. 이유는 IPSec 정책으로 구성된 서버가 들어 오는 일반 텍스트의 보안되지 않은 패킷을 허용하도록 되어 있기 때문입니다. 서버가 인터넷에 있을 때는 이 구성을 취해선 안되는데, 이는 서버의 기능을 이용하여 보안되지 않은 패킷을 받을 수 있는 서비스 개시를 거부할 수 있기 때문입니다. 잠근 서버 인터넷에서 서버를 직접 액세스할 수 있거나 첫 클라이언트 패킷에 중요한 데이터가 들어 있을 때는, 클라이언트가 서버에 데이터를 보내려는 경우 IPSec 정책을 받아 소통에 대해 IPSec 보안을 요청해야 합니다. 여기에 이 구성이 예시되어 있지는 않지만 IPSec 필터 작업 구성 단원에 설명되어 있는 단계를 사용하여 쉽게 사용할 수 있습니다. 클라이언트와 서버는 허용, 블록화, 특정 네트워크 패킷만 보안화(프로토콜 또는 포트별) 등을 수행하기 위해 고유한 규칙을 갖습니다. 이러한 접근법은 구성하기도 어렵고 오류가 발생할 경향도 큰데, 이는 응용 프로그램이 보내고 받는 네트워크 소통의 유형에 대한 이해가 깊어야 하고, 클라이언트와 서버가 호환될 수 있는 정책을 보유하도록 관리 상의 조정이 필요하기 때문입니다. 이 가이드는 네트워크와 시스템 관리자가 Windows 2000 IPSec의 작업을 이해하고 파악하도록 하는 랩의 역할을 위해 만들어졌습니다. 각 컴퓨터에 로컬로 IP 보안 정책을 구성한 다음, 이 정책을 구현하고 결과를 테스트하여 보안 네트워크 통신을 볼 수 있습니다. 이 작업을 완료하려면 다음 하드웨어가 있어야 합니다. 이 가이드에서 전제하고 있는 공통 인프라에 대해서는 "Step-by-Step Guide to a Common Infrastructure for Windows 2000 Server Deployment" (Part 1 및 Part 2 )에 설명되어 있습니다. 공통 인프라를 사용하지 않을 경우에는 이 인프라 설정을 적당히 바꿔야 합니다. 이 문서에 나타난 컴퓨터의 이름은 공통 인프라를 기본으로 한 것입니다. 고급 단원에는 인증 기관(CA) 서버와 연락할 수 있는 기능이 있어야 합니다. 네트워크에 CA 서버를 설치하려면 Step by Step Guide to Setting Up a Certificate Authority 를 참조하십시오. MIT 호환 Kerberos v5 서버를 보유하고 있으며 Kerberos 트러스트를 사용하여 Windows 2000 IPSec를 테스트하려는 경우에는 Step-by-Step Guide to Kerberos 5 Interoperability 를 참조하십시오. 두 도메인 구성원이 기본으로 제공된 정책을 사용하도록 해야 합니다. 이는 해당 도메인 컨트롤러에서 제공한 Kerberos 인증이 필요하기 때문입니다. 또한, 두 컴퓨터가 도메인 구성원이 아닌 경우에도, IP 보안을 사용할 수 있습니다. 이렇게 하려면 사용자 정의 정책 작성에 대한 단원을 참조하십시오. 이 작업은 완료한 다음에는 다음을 수행할 수 있게 됩니다. 두 대의 테스트 컴퓨터에 대해 다음 정보가 있어야 합니다. 관리 권한이 있는 사용자로서 첫째 테스트 컴퓨터에 로그온하십시오. 이 예제에서는 이 컴퓨터의 이름이 HQ-RES-WRK-01입니다. 참고 이 설명서의 나머지 부분에서, HQ-RES-WRK-01은 첫째 테스트 컴퓨터이고, HQ-RES-WRK-02는 둘째 테스트 컴퓨터를 나타냅니다. 여러분이 사용하는 컴퓨터의 이름이 다를 때는, 해당하는 이름을 사용하여 각 단계를 수행하십시오. 사용자 정의 MMC 콘솔 만들기 다음 단계에서는 IPSec가 통신에 포함될 때 이벤트가 기록되도록 감사를 구성하게 됩니다. 나중에는 IPSec가 정확하게 작업하고 있는지 확인하는 유용한 방법이 됩니다. 감사 정책을 사용하는 방법 그림 1 IPSec 콘솔의 감사 정책으로 이동 IPSec 정책이 만들어 내는 보안 연결을 모니터링하려면 IP 보안 모니터 도구를 사용하십시오. 정책을 만들기 전에 먼저 도구를 시작하고 구성합니다. IP 보안 모니터를 시작하고 구성하는 방법 아이콘으로 표시된 이 도구를 사용하여 이 연습 후반부에 정책을 모니터링하게 됩니다. 이 단원(사용자 콘솔 만들기)의 처음으로 돌아가서 둘째 컴퓨터(이 예제에서는 이름이 HQ-RES-WRK-02인 컴퓨터)에 대해 모든 단계를 반복하십시오. 이 예제에서는 기본 제공 IPSec 정책 중 하나를 실행하여 두 컴퓨터 간의 소통을 확보하게 됩니다. 기본 정책은 Kerberos를 초기 인증 방법으로 사용합니다. 두 컴퓨터가 모두 Windows 2000 도메인의 구성원이기 때문에 최소한의 구성만 있으면 됩니다. HQ-RES-WRK-01에서 정책을 실행하는 방법 이제 한 컴퓨터(HQ-RES-WRK-01)는 보안 서버로 실행되도록 만들고, 다른 컴퓨터(HQ-RES-WRK-02)는 클라이언트로 실행되도록 했습니다. 클라이언트가 초기에 보호되지 않은 ICMP Echo 패킷(ping 유틸리티 사용)을 서버에 보내지만, 서버에서는 클라이언트로부터 보안을 요청함으로써 이후에 나머지 통신이 보안됩니다. 서버에서 ping을 초기화하려고 한 경우에는 서버가 네트워크에서 이를 허용하기 전에 ping이 클라이언트에 대해 보안되어야 합니다. 클라이언트 컴퓨터에서도 보안 서버 정책을 갖고 있을 때는, 보호되지 않은 ping이나 기타 소통을 보내지 않고, 그 대신 응용 프로그램 데이터를 보내기 전에 IPSec 보호를 요청하게 됩니다. 두 컴퓨터에 클라이언트 정책이 모두 있을 때는, 어느 쪽도 보안을 요청하지 않으므로 데이터가 보호되지 않습니다. 그림 2 IP 보안 협상을 나타내는 Ping 그림 3 성공한 ping 응답 두 컴퓨터 간에 IP 보안이 성공적으로 구성되어 사용되고 있습니다. 성공적으로 협상할 수 있는 IPSec 클라이언트만 보안 서버 컴퓨터와 통신할 수 있습니다. 또한, IPSec를 사용하여 소통이 보안되지 않는 경우에는 보안 서버가 DNS(Domain Name System) 등의 다른 시스템과 대화할 수 없습니다. 서버에서 백그라운드로 여러 서비스가 실행 중이기 때문에 통신과 이벤트 로그 메시지를 만드는 데 실패하게 됩니다. 이러한 문제는 정상적인 것으로서, 기본 보안 서버 정책이 매우 엄격하여 네트워크로 IP 패킷을 보내기 전에 먼저 보안 처리하려고 하기 때문입니다. 제품 환경에서 실제로 사용하기 위해서는 보안 요구 사항과 네트워크 토폴로지, 특정 서버 응용 프로그램 사용 등에 따라 수행하도록 사용자 정의 정책을 만들어야 합니다. IPSec가 아닌 클라이언트도 통신하도록 하려면 보안 서버 대신 서버 정책을 할당해야 합니다. 이는 항상 보안을 요청하지만, 클라이언트에서 IKE 협상 요청에 응답하지 않는 경우에 일반 텍스트로 다시 보냄으로써 클라이언트와의 보안되지 않은 통신을 허용합니다. 클라이언트가 응답할 때는 언제라도 협상이 진행되어 완전히 성공해야 합니다. 협상이 실패하면 1분 간 통신이 차단되고 이후 다른 협상이 시도됩니다. 이 작동을 제어하는 데 사용할 설정에 대한 설명은 IPSec 필터 동작 구성 단원을 참조하십시오. 왼쪽 창의 로컬 컴퓨터에 있는 IP 보안 정책 아래에서 오른쪽 창의 보안 서버나 서버 및 클라이언트 정책을 선택하고 마우스 오른쪽 단추를 누른 다음, 할당 안함을 눌러 해당 정책의 할당을 해제하고 컴퓨터가 이전 상태로 돌아가도록 합니다. 이전 단원에서는 두 도메인 구성원 간에 소통을 보안 처리하기 위해 기본 제공 IPSec 정책을 사용했습니다. 도메인 구성원이 아닌 두 컴퓨터 간에 소통을 보안하려면 사용자 정의 정책을 만들어야 하는데, 이는 기본 제공 정책에서는 도메인 컨트롤러에 의해 제공된 Kerberos 인증이 있어야 하기 때문입니다. 사용자 정의 정책을 만들어야 하는 또 다른 이유도 있습니다. 즉, 네트워크 주소를 기본으로 하는 소통을 보안하려는 경우입니다. 이 단원에서는 사용자 정의 IPSec 정책을 만들되, 먼저 보안 규칙을 정의하고 필터 목록을 정의한 다음 마지막으로 필터 동작을 지정합니다. IPSec 인증 방법이나 필터 목록, 협상 방법 등을 구성하기 전에 먼저 새로운 정책을 만들어야 합니다. IPSec 정책을 만드는 방법 IKE 인증 방법 구성 다음으로, 컴퓨터가 자신을 인증하는 방법을 지정함으로써 서로 어떻게 트러스트되는지 지정하거나, 보안 연결을 설정하려는 경우 서로에게 신분을 증명하도록 합니다. IKE for Windows 2000에서는 컴퓨터 간 트러스트를 연결하는 세 가지 인증 방법을 제공합니다. 이 예제에서는 미리 공유된 키 인증을 사용합니다. 이 인증은 발신기와 수신기의 두 컴퓨터가 서로 트러스트되도록 서로를 인식하는 텍스트 단어나 구문입니다. IPSec 통신의 양쪽은 이 값을 알고 있어야 합니다. 이는 응용 프로그램 데이터를 암호화하는 데 사용되는 것이 아니고, 협상 도중 두 컴퓨터가 서로를 트러스트하는지 여부를 확인하는 데에만 사용됩니다. IKE 협상은 이 값을 사용하지만, 네트워크에서 이 값을 전달하지는 않습니다. 그러나, 이 인증 키는 IPSec 정책 내에 일반 텍스트 형식으로 저장됩니다. 컴퓨터에 대해 관리 액세스 권한을 갖는 사람이면 누구나(또는 Active Directory에 IPSec 정책이 저장되어 있는 도메인의 구성원인 컴퓨터에 대한 유효 도메인 사용자라면 누구나) 이 인증 키 값을 볼 수 있습니다. 도메인 관리자는 디렉터리 IPSec 정책에 대한 사용자 정의 액세스 제어를 설정하여 보통 사용자들이 IPSec 정책을 읽지 못하도록 해야 합니다. 따라서, 테스트 목적이나 타사 공급업체의 IPSec 구현으로 인해 상호 운용성이 필요한 경우를 제외하고는 IPSec 인증에 대해 미리 공유된 키를 사용하지 않는 것이 좋습니다. 그 대신, Kerberos 또는 인증서 방법을 사용하는 것이 권장됩니다. 규칙에 대한 인증 방법 구성 참고 인증에 대해 인증서를 사용하려면, 인터넷에서 사용할 수 있는 인증서 서버를 사용하여 Microsoft에서 테스트용 인증서를 구하기 위한 지침을 참조하십시오. IPSec 필터 목록 구성 IP 보안은 주고 받는 IP 패킷을 주고 받을 때 해당 IP 패킷에 적용됩니다. 패킷은 전송(아웃바운드)될 때 일반 텍스트로 보안이나 차단, 통과 등이 수행되는지를 확인하도록 필터를 적용합니다. 또한, 수신(인바운드)될 때도 보안이나 차단, 시스템으로 허용 등이 수행되는지 확인하도록 필터를 적용합니다. 필터에는 IPSec 전송 모드 보안을 제어하는 필터와 IPSec 터널 모드 보안을 제어하는 필터가 있습니다. 우선 IPSec 터널 필터가 모든 패킷에 적용됩니다. 그리고 나서, 일치되는 것이 없으면 IPSec 전송 코드 필터가 검색됩니다. IP 소통의 일부 유형은 Windows 2000의 IPSec 전송 필터의 디자인으로 보안될 수 없으며, 그러한 유형에는 다음이 포함됩니다. 이러한 예제는 IPSec 전송 모드 필터에 적용됩니다. 전송 모드 필터는 패킷을 보내는 컴퓨터의 원본 주소나 패킷을 받는 컴퓨터의 대상 주소가 있는 호스트 패킷에 적용됩니다. IPSec 터널은 유니캐스트 IP 소통만 보안할 수 있습니다. IPSec 터널에 대해 사용된 필터는 주소만을 기본으로 해야 하며 프로토콜과 포트 필드를 사용하지 않습니다. 터널 필터가 프로토콜이나 포트에 따라 다른 경우에는, 원래 패킷의 조각이 터널을 통해 운반되고 원래의 전체 IP 패킷은 손실될 수 있습니다. 유니캐스트 Kerberos나 IKE, RSVP 등의 패킷을 하나의 인터페이스에서 받고 다른 인터페이스에서 라우팅(패킷 전달이나 라우팅 및 원격 액세스 서비스를 사용)하면, IPSec 터널 모드 필터에서 제외되고 터널 내부로 전달될 수 있습니다. IPSec 터널 모드 필터는 멀티캐스트 패킷이나 브로드캐스트 패킷을 필터링할 수 없으므로, 이들은 모두 IPSec 터널 내부로 전달되지 않습니다. 개별 필터 규정은 필터 목록으로 그룹화되어 복잡한 소통 패턴을 Building 7 File Servers나 All blocked traffic와 같은 이름을 붙여 하나의 필터 목록으로 그룹화하고 관리할 수 있도록 합니다. 필터 목록은 동일한 정책에서 서로 다른 IPSec 간이나 서로 다른 IPSec 정책 간에 필요에 따라 공유될 수 있습니다. 보안되어야 할 소통에 대한 IP 필터를 구성할 때는 항상 필터를 미러해야 합니다. 필터를 미러링하면 인바운드 필터와 아웃바운드 필터가 자동으로 구성됩니다. 컴퓨터와 파트너의 컴퓨터 간에 필터를 구성하게 됩니다. 원본 주소로서 사용자의 IP 주소를 지정하고 대상 주소로서 파트너를 지정함으로써 아웃바운드 필터를 구성해야 합니다. 이렇게 하면 미러 처리 구성을 통해 파트너의 컴퓨터를 원본 주소로서 지정하고 사용자의 컴퓨터 IP 주소를 대상으로 지정하는 인바운드 필터가 자동으로 구성됩니다. 이렇게 단순한 경우에는 필터 목록에 미러된 필터 규정이 하나만 나타납니다. 동일한 필터 목록은 두 컴퓨터 모두에 정의되어야 합니다. IP 필터 목록을 구성하려면 다음을 수행하십시오. 그림 4 파트너 필터 선택 먼저 다음 단원을 읽고 필터 동작의 구성에 관련된 단계를 수행하십시오. IPSec 필터 동작 구성 이제까지 TCP/IP 패킷에 일치하는 입력 필터와 출력 필터를 모두 구성했습니다. 다음 단계로서 해당 패킷에 대해 취할 동작을 구성해야 합니다. 필터에 맞는 패킷을 허용하거나 차단하거나 보안할 수 있습니다. 소통을 보안하려면 두 컴퓨터에 호환 가능 협상 정책이 구성되도록 해야 합니다. 기본 제공 기본값은 서로 다른 기능을 시험적으로 사용하는 데 유용합니다. 특정 기능을 사용하여 실험하려면 새로운 필터 동작을 직접 만들어야 합니다. 다음 두 방법을 사용하면 IPSec를 수행할 수 없는 컴퓨터와 통신할 수 있습니다. 필터 동작을 구성하는 방법 그림 5 추가 마법사 사용 확인란을 선택 이제 파트너와 협상 도중 사용할 필터 동작을 구성했습니다. 다른 정책에서 이 필터 동작을 다시 사용할 수 있습니다. 먼저 HQ-RES-WRK-02에서 이 프로시저의 단계를 모두 반복한 다음 계속 진행합니다. IPSec 정책을 작성했으므로 네트워크에서 적용하기 전에 이를 테스트해야 합니다. 사용자 정의 IPSec 정책을 테스트하는 방법 Windows 2000 IPSec 구현에서는 인증서를 사용하여 IKE 중 컴퓨터를 인증하는 기능을 제공합니다. 모든 인증서 확인은 CAPI(Cryptographic API)에서 수행합니다. IKE는 단순히 어떤 인증서를 사용할 것인지 협상하는 역할을 수행하고 인증서 자격 증명의 교환에 대한 보안을 제공합니다. IPSec 정책은 사용할 특정 인증서를 지정하는 것이 아니라 어떤 루트 인증 기관(CA)을 사용할 것인지를 지정합니다. 양쪽 모두 IPSec 정책 구성에 공통 루트 CA를 갖습니다. IPSec에 사용될 인증서에 대한 요구 사항은 다음과 같습니다. 이러한 요건은 매우 기본적인 내용입니다. 기존 인증 기관에서 IPSec 유형의 인증서를 발급하지 않기 때문에 IPSec에서는 컴퓨터의 인증서가 반드시 IPSec 유형이 되어야 하는 것으로 요구하지는 않습니다. 먼저 인증서 서버로부터 유효한 인증서를 얻어야 합니다. 다른 인증서를 사용하려는 경우에도, 먼저 테스트용 Microsoft 인증서를 얻어야 합니다. 유효한 컴퓨터 인증서라면 무엇이나 사용될 수 있지만, 사용자 기반의 인증서는 사용할 수 없습니다. 이제까지 Microsoft, Entrust, VeriSign, Netscape 등 여러 인증서 시스템과의 호환성을 테스트해 왔습니다. 참고 모든 인증서 서버가 자동으로 사용자의 컴퓨터에 인증서를 등록하는 것은 아닙니다. 인증서는 개인 인증서 아래 로컬 컴퓨터에 나타나야 하며, 트러스트된 루트 인증 기관 저장소에 루트 CA 인증서를 보유하고 있어야 합니다. Microsoft가 아닌 인증서 서버로부터 컴퓨터 인증서를 얻는 방법에 대한 자세한 내용은 Windows 2000 단계별 가이드 웹 사이트에서 인증 기관의 단계별 가이드를 참조하십시오. 인증서를 얻는 방법 http://sectestca1.rte.microsoft.com 이 사이트에서는 네 가지 인증 기관에 액세스할 수 있도록 합니다. 이 프로시저에서는 독립 실행형 루트 CA(sectestca3)에서 발급한 인증서를 사용합니다. 고급 인증서 요청 양식에 다음 내용을 입력합니다. 이 필드에서는 인증서의 키 용도 확장 필드를 설정합니다. 표준 그룹에서 개발 중인 규정을 지원할 IPSec 인증서 필드도 있습니다. 이 유형이 필요한 기타 IPSec 구현과 함께 상호 운용하려는 경우, 이 유형을 사용할 수 있습니다. 그러나, Windows 2000 IPSec 인증 기관에서는 컴퓨터 계정에서 유효한 인증서를 사용하며, 이는 키 용도 확장을 가능하게 하는 설정을 의미합니다. IPSec 정책에서 IPSec 인증서만 사용하도록 제한할 방법은 없습니다. 로컬 컴퓨터의 개인 인증서 폴더에 여러 개의 컴퓨터 인증서가 있다면 하나만 선택됩니다. 먼저 규칙의 인증 방법에서 루트 CA로 시작함으로써, 선택된 인증서는 해당 루트 CA로 트러스트 경로를 되돌리도록 처음 발견된 인증서가 됩니다. Microsoft Enhanced Cryptographic Provider를 선택한 경우에는 키 크기를 크게 선택할 수 있습니다. 그러나, Windows 2000 버전에 Strong Cryptography Pack이 설치되어 있지 않으므로 등록 요청이 실패할 수 있습니다. 이 인증서를 기타 IPSec 구현과 상호 운용을 위해 사용할 경우에는, 타사의 IPSec 제품이 1024보다 큰 키 크기로 서명을 처리할 수 있는지 확인해야 합니다. 일부 타사 제품은 사용되는 키 크기에 대해 IPSec 정책에 제한을 두기도 합니다. 참고 이 설정을 통해 개인 키가 무슨 작업을 하도록 사용(데이터 암호화를 하거나 서명만 수행)될 수 있는지 결정됩니다. IKE의 현재 구현에서는 서명에 대해서만 인증서 개인 키를 사용합니다. 따라서, 교환(데이터 암호화를 위한)에 대해 제한된 용도로 발급된 인증서는 작동되지 않습니다. 두 용도가 모두 있는 인증서만 작동됩니다. 인증서 등록이 이루어졌는지 확인하십시오. 참고 컴퓨터 인증서 등록 정보에서 "사용자가 이 인증서와 일치하는 개인 키를 갖고 있지 않습니다."라고 할 때는, 등록이 실패한 것으로서 인증서가 IPSec IKE 인증에 대해 작동하지 않습니다. 컴퓨터 인증서의 공개 키와 일치하는 개인 키를 얻어야 합니다. 참고 인증서를 Microsoft 인증서 서버에서 얻을 때 옵션 설정이 강력한 개인 키 보호로 되어 있으면, IKE 협상에서 데이터를 서명하는 데 개인 키가 사용될 때마다 사용자가 해당 개인 키를 액세스하기 위해 PIN 번호를 입력해야 합니다. IKE 협상은 시스템 서비스의 백그라운드로 진행되기 때문에, 사용자에게 프롬프트하도록 서비스에 사용할 창이 나타나지 않습니다. 따라서, 이 옵션으로 얻은 인증서는 IKE 인증에 대해 작동되지 않습니다. 새 규칙을 만드는 경우에는, 사용할 인증 기관에 대해 찾아 볼 수 있습니다. 이 인증 기관의 목록은 트러스트된 루트 인증 기관 폴더에 있는 것으로서, 컴퓨터 개인 인증서의 목록이 아닙니다. IPSec 규칙의 이 루트 CA 규정은 두 가지 목적을 수행합니다. 먼저, IKE에 트러스트할 루트 CA를 제공합니다. 컴퓨터의 IKE는 이 루트 CA에서 다른 컴퓨터로 유효한 인증서에 대한 요청을 보냅니다. 또 하나의 목적은 사용자의 컴퓨터가 피어로부터 받은 요청에 응답을 제공하고자 자체 개인 인증서를 찾는 데 사용할 루트 CA의 이름을 CA 규정에서 제공한다는 것입니다. 주의 컴퓨터 인증서에서 뒤로 연결할 인증 기관 루트를 선택해야 합니다. 즉, 사용자 컴퓨터의 개인 저장소에서 컴퓨터 인증서의 인증서 경로 중 최고 수준의 CA를 선택해야 합니다. 그림 6 인증서 선택 IPSec 규칙 편집기를 사용하면 사용자의 컴퓨터에서 IKE 협상 중 피어 컴퓨터에게 요청으로 보낼 인증 기관의 목록을 순서대로 작성할 수 있습니다. 피어 컴퓨터에는 사용자의 목록에서 하나의 루트 CA가 발급한 개인 인증서가 인증이 수행될 순서대로 있어야 합니다. 원하는 대로 인증 기관을 추가하고 배열할 수 있습니다. 인증 방법의 목록에서 먼저 인증서를 지정한 다음 Kerberos나 미리 공유된 키를 지정하도록 할 수 있습니다. 그러나, 중간에 인증서가 아닌 방법을 추가하여 인증서 목록을 파괴할 수는 없습니다. 다른 루트 CA를 추가함으로써, 트러스트할 루트 CA의 목록을 작성할 수 있고, 이 목록은 사용자의 컴퓨터 인증서를 발급한 목록보다 큽니다. 이는 여러 엔터프라이즈 시나리오에서 상호 운용성을 위해 필요합니다. IPSec 정책에 지정한 루트 CA의 목록에 루트 CA를 포함하거나 포함하지 않은 대상 피어로부터 사용자의 컴퓨터가 인증서 요청을 받을 수도 있다는 점을 이해해야 합니다. 양쪽이 각각 어떤 루트 CA를 사용할 것인가를 협의하기 위해 대상의 관리자와 공동 작업하는 것이 필요합니다. 대부분의 인증서 서버는 CRL(인증서 해지 목록) 배포 지점(경우에 따라 모두 약어 CDP 사용)을 갖는 인증서를 발급합니다. 컴퓨터에서 인증서를 완전히 확인하도록 하려면 발급자가 해지하지 않은 인증서인지 확인해야 합니다. 이러한 검사에 대한 표준을 개발하고 있으며, 여러 인증서 서버와 PKI 시스템이 이미 사용 중에 있으나, 모든 인증서 시스템에서 CRL 검사에 동일한 방법과 기능을 지원하고 있지는 않습니다. 따라서, CRL 검사는 기본적으로 사용할 수 없는 상태입니다. CRL 검사를 사용하기에 앞서, 인증서를 사용하여 완전히 인증되었는지 확인하고 Oakley .log 추적 파일을 검토하여 해당 로그에 어떻게 표시되어 있는지 확인하도록 해야 합니다. (아래의 3단계는 이 파일을 어디에서 찾을 것인지 알려 줍니다.) IKE에서는 확인할 인증서를 요청할 때, CAPI에 CRL 검사를 처리하는 방법을 지정합니다. CRL 검사를 사용하려면 컴퓨터 관리자가 아래의 레지스트리 키 값을 바꾸어야 합니다. 이 값을 제대로 설정하려면 IPSec 정책 관리자와 인증서 서버 관리자가 확인해야 합니다. IKE에 의한 CRL 검사를 사용하는 방법 그림 7 레지스트리에 키 추가 값을 입력하되 다음과 같이 사용할 동작에 따라 1 또는 2 중 하나만 입력하십시오 . 참고 시스템이 L2TP/IPSec에 대한 VPN 서버로 구성되어 있는 경우에는 Windows 2000을 다시 시작해야 합니다. CRL 검사를 사용하지 못하도록 하려면 Oakley 키 아래의 StrongCRLCheck 값을 삭제하고 필요에 따라 서비스나 Windows 2000을 다시 시작합니다. 이 단원은 IKE 협상 동작의 세부 내용에 대해 자세히 알고 싶어 하는 사용자를 위해 제공된 것으로서, 이 가이드의 단계를 완료하는 데 필수적인 부분은 아닙니다. IPSec의 자세한 설명과 IKE 및 기타 구현 측면에 대해서는 Windows 2000 Server 및 Professional 버전의 온라인 도움말을 참조할 수 있습니다. (Professional 및 Server에 사용되는 목차는 달라도 모두 동일한 도움말 목차가 제공됩니다. IPSec 정책 관리 스냅인을 바로 시작하여 도움말을 선택하십시오.) IKE의 실패 및 성공은 실패의 경우 그 사유와 함께 보안 이벤트 로그에 감사된 이벤트입니다. 감사를 사용할 프로시저는 이 실습이 시작 부분에 제공된소개
IPSec 종단 간 사용을 위한 시나리오
전제 조건
정보 수집
테스트 준비
사용자 정의 콘솔 만들기
컴퓨터에 대한 감사 정책 사용
IP 보안 모니터 구성
기본 제공 IPSec 정책 사용
IKE security association established
Mode:
Data Protection Mode (Quick Mode)
Peer Identity:
Kerberos based Identity:hq-res-wrk-01$@RESKIT.COM
Peer IP Address:10.10.1.5
Filter:
Source IP Address 10.10.1.6
Source IP Address Mask 255.255.255.255
Destination IP Address 10.10.1.5
Destination IP Address Mask 255.255.255.255
Protocol 0
Source Port 0
Destination Port 0
Parameters:
ESP Algorithm DES CBC
HMAC Algorithm SHA
AH Algorithm None
Encapsulation Transport Mode
InboundSpi 1128617882
OutBountSpi 865899841
Lifetime (sec) 900
Lifetime (kb) 100000 컴퓨터에 대한 보안 서버 정책의 영향
IPSec가 아닌 클라이언트와 서버 간의 대화 허용
사용자 정의 IPSec 정책 작성
IPSec 정책 구성
사용자 정의 IPSec 정책 테스트
인증서 사용
테스트용 Microsoft 인증서 얻기
규칙에 대한 인증서 구성
인증서 해지 목록 검사
IKE 협상의 이해(고급 사용자)
'[IT Trend] > Security' 카테고리의 다른 글
Heap Overflow - free/malloc (3) | 2006.03.10 |
---|---|
tdimon (0) | 2005.09.07 |
[펌] [cisa] 요점정리-2 (0) | 2005.04.26 |
[펌] [cisa] 요점정리-3 (0) | 2005.04.26 |
[펌] [cisa] 요점정리-1 (0) | 2005.04.26 |