Windows 2000에서 IPsec 및 L2TP 구현

기술 자료 번역 기술 자료 번역
기술 자료: 265112 - 이 문서가 적용되는 제품 보기.
모두 확대 | 모두 축소

이 페이지에서

요약

이 문서에서는 IP 프로토콜 보안 (IPsec) 및 Windows 2000 및 Windows Server 2003의 구현에 대해 설명합니다. IPsec 설명하고 계층 2 터널링 프로토콜(L2TP) 상호 운용을 타사 제품과 함께.

추가 정보

IPsec에 대한 설명

IPsec 수정 및 해석 데이터를 보호하는 두 컴퓨터 간에 전송되는 데이터를 암호화할 수 있도록 설계되었습니다. IPsec 내부, 개인 네트워크 및 외부 공격에 대비하는 주요 선입니다. 대부분의 네트워크 보안 전략은 조직 네트워크 외부의 공격으로부터 방지 맞추었습니다 있지만 상당한 양의 중요한 정보는 네트워크의 데이터를 해석하는 내부 공격을 통해 손실될 수 있습니다. 직원, 지원 직원, 또는 방문자가 꽂는 네트워크 및 복사 데이터를 나중에 분석할 수 있도록 네트워크를 통해 이동하는 경우 대부분의 데이터는 보호되지 않습니다. 이들은 또한 다른 컴퓨터에서 네트워크 수준 공격으로부터 탑재할 수 있습니다. IPsec을 사용하여 회사 데이터에 대한 보안을 상당히 제공하는 있으므로 방화벽은 이러한 내부 위협에 대한 없음 보호 기능을 제공합니다.

IPsec는 관리자는 트래픽을 모니터링할 주소를 검사하고 IP 데이터 패킷 프로그램 관계없이 다양한 보안 방법을 적용할 수 있게 서비스 데이터를 생성합니다 보안입니다.

IP 필터링을 사용하여 IPsec 주소, 포트 및 전송 프로토콜에 대한 모든 IP 패킷을 검사합니다. 로컬 또는 그룹 정책에 포함된 규칙을 무시하거나 주소 지정 및 프로토콜 정보에 따라 특정 패킷을 보안 IPsec 알려 줍니다.

Windows 2000 및 Windows Server 2003에서 IPsec 구현이

IPsec 및 IKE (인터넷 키 교환) 만 Windows 2000 및 Windows Server 2003에 포함되어 있습니다. 이러한 운영 체제를 첫 번째 릴리스 있습니다--일부 측면이 구현되지 않았습니다 RFC 아직도 만큼 IPsec RFC 제품군으로 (2401 +) 준수. 다른 여러 측면을 예: TCP/IP 스택 장치가 플러그 앤 플레이 서비스 인증서 및 암호화 모듈 (CAPIv2) 및 IPsec 정책 디렉터리 기반 배달에 대한 그룹 정책 어느 정도는 이러한 운영 체제를 함께 밀접하게 통합됩니다.

L2TP 전용 IPsec를 터널 중인 UDP 1701 IP 패킷을 보안하려면 기본적으로 사용합니다. IPsec는 Microsoft Windows 98에 포함되지 않습니다. IPsec 및 관련된 서비스를 Windows 2000 및 Windows Server 2003에서 공동으로 Microsoft와 Cisco Systems, Inc. 개발된 L2TP 구현 Microsoft에서 수행, 베타 2 후 IPSec을 사용하여 통합.

구성 요소

  • 모니터링하는 필터링하고 트래픽을 보안하는 IPSec 드라이버.
  • 인터넷 보안 연결 키 관리 프로토콜, 호스트 간의 보안 협상을 감독할 보안 알고리즘을 사용할 키를 제공하는 ISAKMP/Oakley 키 교환 및 관리 서비스.
  • 정책을 조회하고 IPsec 드라이버 및 ISAKMP 배달합니다 정책 에이전트.
  • IP 보안 정책 및 보안 연결을 있는 두 호스트의 통신에 보안 환경을 정의하는 이러한 정책이 파생됩니다.
  • IPsec 드라이버, ISAKMP, 정책 에이전트 간의 인터페이스를 제공하는 보안 연결 API.
  • 정책을 만든 관리 도구를 모니터링하는 IP 보안 통계 및 IP 보안 이벤트 로그.

구성 요소의 상호 작용

  • IP 패킷이 IP 일부인 IP 필터 일치하는 보안 정책을.
  • IP 보안 정책을 여러 선택적 보안 메서드를 가질 수 있습니다. IPsec 드라이버가 패킷을 보안하려면 사용할 방법을 알아야 합니다. ISAKMP 보안 방법 및 보안 키 협상하는 IPsec 드라이버를 요청합니다.
  • ISAKMP 보안 방법을 협상합니다 및 IPSec 드라이버에 보안 키를 사용하여 보냅니다.
  • 메서드 및 키를 IPsec 보안 연결 됩니다 (SA). IPsec 드라이버는 이 SA를 데이터베이스에 보관합니다.
  • 두 통신 호스트가 보안 할 또는 둘 다 알고 있는 SA 저장할 수 있으므로 보안되지 않은 IP 트래픽.

IP 보안 방법

IP 보안 메서드 않은 IP 패킷이 IPsec에 의해 적용되는 드라이버. 별도로 또는 unison에 사용할 수 있는 보안 방법을 두 가지 있습니다. 두 가지 방법은 다음과 같습니다.
  • 키 지정된 해시 (HMAC) 통해 데이터 및 주소 무결성
  • 데이터 무결성 및 암호화 통한 기밀성을

IPsec 정책 구성

Microsoft 관리 콘솔(MMC) 사용할 구성 '클라이언트 및 서버 또는 라우터의 작성된 정책' 사용하여 유니캐스트 IP 트래픽 보호를 높일 수 있습니다. 이 정책을 사용하거나 로컬로 (IP 보안 정책에서 스냅인을 로컬 컴퓨터) 구성할 수 있습니다 또는 Active Directory의 IP 보안 정책 Active Directory를 사용하여 도구. IPsec는 정책을 적용할 때 보안, 블록, 어떤 트래픽을 결정하거나 허용하는 패킷 필터를 사용합니다. IKE 트래픽을 보안하는 때 보안 설정을 협상하는 및 IPsec SA 설정 및 자동 새로 만드는 키에 및 암호화 키 교환을 수행하는 데 사용됩니다. IPsec 위의 IP 레이어 가능한 투명하게 작동합니다.

IPsec 정책을 지정하는 경우에는 IKE 인증서 배포 위한 요구 사항을 피하려면 컴퓨터 인증 위한 Windows Kerberos 5 보안 프로토콜을 사용할 수 있습니다. Windows 2000 및 Windows Server 2003 구현 Derrell Piper 초안이 이 문서의 뒷부분에 나오는 설명에 따라 것입니다. Kerberos만 IKE 키 IPsec 사용되는 주 모드 컴퓨터 인증. Kerberos 확장에 있는 티켓을 사용하는 사용자 또는 서비스 티켓을 아닌--MIT 호환성을 위해 운영 체제에서 구성할 때 작업할 합니다 컴퓨터 티켓을--수 있기 때문에 Kerberos 5 영역 구성원이 다른 컴퓨터와 Kerberos 5 모드. 자세한 내용은 다음 웹 사이트를 참조하십시오.
http://technet.microsoft.com/en-us/windowsserver/2000/bb735396.aspx
http://technet.microsoft.com/en-us/library/bb742432.aspx
http://www.ietf.org/
Microsoft는 타사 연락처 정보는 기술 지원을 받는 데 도움을 주기 위한 제공합니다. 이 연락처 정보는 예고 없이 변경될 수 있습니다. Microsoft는 이러한 타사 연락처 정보의 정확성을 보증하지 않습니다.

IPsec API 및 정책

Windows 2000 및 Windows Server 2003 IPsec API 및 정책 스키마 아직 게시되지 않았습니다 수 있습니다. IPsec 및 IKE ID를 - 모드 보호 (주 모드 및 빠른 모드) 자체를 프로그램 기반, 연결 지향 API 활용하여 작업을지 않습니다. 안전한 웹 데 일반적으로 사용되는 SSL/TLS 연결 지향 메서드에 대한 대체 IPsec 위한 통신.

Windows 2000 및 Windows Server 2003 정의 '정책' 배달된 후 호스트에 적용된 IPsec 특정 설정 집합입니다. '정책' 끝 - 이 설정은 받는 컴퓨터에 적용 지점 확인된 정적 설정/데이터를 의미합니다. 일반적인 IPsec 배포 도메인 관리자가 클라이언트, 서버 및 다른 특수 용도의 컴퓨터가 필요에 따라 Active Directory에서 IPsec 정책을 구성할 할당한 다음 그룹 정책 시스템을 사용하여 전달할 수 있습니다. 또한 완전히 IPsec 정책을 구성할 수 있습니다.

Microsoft Windows의 이후 릴리스에서 정책 저장 형식을 변경하려면 것으로. 따라서 Windows IPsec는 디렉터리 정책 및 로컬 레지스트리에 저장 형식을 Microsoft 개인, 게시되지 않은 데이터 구조가 간주됩니다.

여전히 배치 스크립트를 IPsec 정책 만들 수 있습니다. Microsoft Windows 2000 리소스 스크립트 정책 생성 사용할 수 있는 키트를 명령줄 도구에서 Ipsecpol.exe 것입니다 (설명서를 도구와 함께 포함되어 있습니다). CD-ROM 지원 도구 폴더가 netdiag.exe/test:ipsec/v/debug 명령을 필터링 등을 (정책이 할당된 사용자는 동일한 권한으로 로그온한 경우) IPsec 정책의 세부 정보를 볼 수 있습니다.

(다음 릴리스 필요는 없습니다)는 향후 릴리스, Microsoft 작업 API 허용 API에 배관하지 클라이언트가 필터링하고 엔진에 제공합니다. 타사 공급업체에 자세한 디자인 검토 후 Microsoft API를 사용할 수 있습니다. 정책 관리 솔루션을 자체 정책 형식 디자인 및 다음 이를 IPsec 시스템 API를 사용하여 연결할 수 있습니다.

작업 IPsec 정책 모델/스키마 제안서에 대한 관리 정책 지향 API 지원하지 중 첫 번째 초안으로 수행되는 것이. 그러나, 공급업체 및 알고 싶은 고객은 모델을 동작하지 않으면 크게 보려면 이 초안 검토 합니다. 자세한 내용은 다음 웹 사이트를 참조하십시오.
http://www.ietf.org/proceedings/01aug/slides/ipsp-3/
Microsoft는 타사 연락처 정보는 기술 지원을 받는 데 도움을 주기 위한 제공합니다. 이 연락처 정보는 예고 없이 변경될 수 있습니다. Microsoft는 이러한 타사 연락처 정보의 정확성을 보증하지 않습니다.

IPsec 상호 운용

가상 개인 네트워크 (VPN) 시나리오의 각 지점에 있는 고정 IP 주소 및 터널 사용하려면 필터와 함께 IPsec 규칙을 따라서 정적 최종 게이트웨이 간 시나리오 (VPN 원격 RFC 호환 터널 구현 때문에 및 IKECFG 또는 XAUTH 지원하지 않으므로 클라이언트 액세스) 및 - 게이트웨이 시나리오만 있는 L2TP/IPsec 작동하지 것입니다 에 대한 IPsec 터널을 구성하는 것이 좋습니다. Windows 2000 IPSec 터널링을 구성하는 방법에 대한 자세한 내용은 Microsoft 기술 자료의 다음 문서를 참조하십시오.
252735Windows 2000에서 IPsec 터널링을 구성하는 방법
기술적으로 구성할 수 있지만 정책 필터를 IPsec 터널은 프로토콜에 대해 제공할 수 및 정책 구성 도구는 매우 일반적인 없으므로 포트, 이러한 유형의 터널 Microsoft에서 지원되지 않습니다. IPsec 상호 운용성 명확하게 정의되어 있지 않습니다. 일부 공급업체는 자신의 프로그램을 실행하도록 결정했습니다. 다음 웹 사이트를 모두 상호 운용성 프로그램 테스트 수행 중인:
http://www.icsa.net
http://www.vpnc.org
Windows 2000 및 Windows Server 2003 중 하나를 아직 제출한지 않습니다. 고객 요구 및 IPsec을 어떻게 원하는 대 이러한 테스트 프로그램에서 사용되는 상호 운용 조건 검토 Microsoft 인증 이러한 프로그램에 대한 적용됩니다 여부를 결정합니다.

제안된 상호 운용성 수준

  • 호환 가능한 프로토콜:
    기술 사양을 IKE 기능 같은 지원되는 옵션 및 작업을, 인증 방법 (예: 인증서 공급업체 지원, 계층 구조, 키 크기) 및 보안 방법 모드를 보고 확인할 수 있습니다 (예: DES, MD5 및 PFS 3DES).
  • 상호 운용 가능한 프로토콜:
    엔지니어가 특정 버전의 데이터를 보내고 받을 수 있는 두 제품 구성할 수 있습니다. 낮은 버전의 어떤 공급업체 상호 운용성을 워크샵 때 테스트되는 되고 제품 테스트 팀이 수행할 때와 이 가장 높은 버전 됩니다.
    참고 운영성 워크샵 자주 정품 코드를 테스트하지 않습니다. Windows 2000을 최종 버전의 2195 빌드, 맨 마지막 작업장이 사용되었습니다. 작업장을 제품 개발 테스트 작업장 엔지니어링 수 있으므로 상호 운용 결과가 공용있지 않습니다. 결과 코드를 테스트 엔지니어는 의미가 있습니다.
  • 상호 운용 가능한 제품:
    (실제 작업을 수행하는) 특정 시나리오에서 구성하려면 고객이 원하는 방식으로 작동하며 "작동상 확인된" (안정성 및 관리 효율 요구 사항을 충족하는 및 실제 트래픽 로드를 수행하는). 공급업체의 테스트를 몇 가지 시나리오를 몇 가지 제품에 대해 적합하지 및 고객이 보안 및 운영 요구 사항에 고유한 경우가 종종 있으므로 테스트를 확인해야 합니다.

L2TP/IPsec 상호 운용

Windows 2000 및 Windows Server 2003 RFC 2661 호환 있습니다 ("계층 2 터널링 프로토콜"). RFC 2661 L2TP 트래픽의 IPSec을 사용하여 보안을 유지할 수 있지만 이 보안을 구현하는 방법에 대한 자세한 내용은 제공하지 않는 것을 나타냅니다. 인터넷 초안 문서를 사용하고 에 있는 작업 중인 IPsec으로 L2TP 트래픽에 보안을 세부 정보를 지정합니다. 인터넷 초안 문서를 문서 인터넷 엔지니어링 작업 강제 (IETF), 해당 영역 및 해당 작업 그룹이 작업하게 됩니다.

L2TP 보호를 사용하여 트래픽 때문에 IPsec 아직 (있을 경우 이를 없음 RFC) 표준 않았습니다. 그리고 L2TP/IPSec을 사용하여 이러한 Windows 운영 체제 상호 운용성 테스트해야 합니다.

타사 공급업체와 테스트할 때 Windows 2000 및 Windows Server 2003 IPsec 지침으로 사용하여 L2TP 트래픽 보호에 대한 기본 다음 정보를 사용하십시오.
  • 컴퓨터 인증에 인증서를 사용하는--테스트를 위해 미리 공유한 키를 사용할 수 있습니다.
  • IPsec 전송 모드 L2TP 보호하는 데 사용되는 트래픽.
  • 원본 및 대상 포트 UDP 포트 1701이 사용됩니다. 이 협상 않은 것입니다.
Microsoft 고객 요청 시 기반으로 다른 공급업체와 경우에만 IPsec 및 L2TP/IPsec 테스트하려면 계속합니다. 문제가 발견된 경우 Microsoft 기술 자료 문서는 게시됩니다. 상호 운용 정보를 최신 다음 Microsoft 웹 사이트를 방문하십시오.
http://support.microsoft.com
Microsoft는 해당 공급업체에 확인할 수 있는 기회를 많았습니다 있습니다 경우에도 일부 공급업체는 Windows 2000 및 Windows Server 2003 상호 운용을 클래임 것이 일반적입니다.

보안

Microsoft는 많은 디자인 품질을 위해 단계 수행한 다음 내부 및 외부 (개인) 디자인 및 코드 정보가 포함된 구현 검토. Microsoft 계속 적절한 사용 설명서 및 고객 위한 지침을 제공합니다. 모든 보안 도구를 같이, 사용자가 IPsec 및 사용법에 철저히 이해하고 온라인 도움말 및 리소스 키트 설명서를 읽는 것이 중요합니다. IPsec 및 IKE IETF RFC 표준에 따라 구현되지 않지만 아래에서 굵은 조사를 와서 악의적인 사용자의 공격에 의미합니다 업계에서 여전히 새로운 기술이 있습니다.

보안 환경을 유지하기 위해 다음 작업을 사용하는 것이 좋습니다.
  • IPsec을 사용할 것으로 예상되는 모든 컴퓨터에 대해 3DES 암호화 기능을 얻기 위해 강력한 암호화 업데이트 팩을 설치하십시오. 다음 Microsoft 웹 사이트에서 다운로드할 수 있습니다.
    http://windowsupdate.microsoft.com/
    .
  • IPsec 정책을 경우에만 IPsec 통신 위한 개인 정보를 필요한 곳에 3DES가 필요로 합니다. DES 암호화는 암호화 공격으로부터 충분하게 강력한 것으로 표시된 이미 있습니다. 3DES 하드웨어 가속에 대한 IPsec 보호 트래픽이 높은 처리량을 요구하는 컴퓨터에 대한 IPsec 가능 네트워크 어댑터를 사용하십시오.
  • 이러한 문제를 541 및 542 IPsec 관련 이벤트를 모니터링하는 및 보안 로그 로그온 및 로그오프 문제에 대한 감사를 사용하십시오.
  • IPsec 이벤트 시스템 로그에서 모니터링할 소스.
  • (놓을 때 최신 픽스 및 컴퓨터 구성 요소의 보안 업데이트를 얻으려면 최신 서비스 팩을 업그레이드하십시오. 최종 릴리스 전에 작동 확인 위한 실험실 환경) 에서 최신 서비스 팩을 사용할 수 있는 경우, 릴리스 후보 버전에 적용됩니다. 고객기술지원부 담당자에게 문제에 대한 즉시 문의하십시오.
  • IPsec 배포를 디자인할 경우 Microsoft 기술 자료 (http://support.microsoft.com/search ) 최신 구성 정보, 알려진된 문제 및 해결 방법을 참조하십시오.
  • Microsoft 보안 웹 사이트 (http://www.microsoft.com/technet/security) 모니터 보안 뉴스 및 패치에 대한 정보를 유지합니다.
  • 재현할 보안 취약점을 발견한 의심되는 경우 secure@microsoft.com을 문의하십시오. 조사 신속하게 위해 최대한 자세하게를 설명하십시오.

연락처 Microsoft 포인트

미디어 질문에 대해 Waggener Edstrom 425-637-9097 에 문의하십시오. IPsec 및 네트워크 보안에 대한 조회 있는지 확인하십시오. 해당 제품 관리 및 데 도움이 되는 기술 리소스에 연결할 수 있게 됩니다.

Windows 플랫폼에는 기술 같이 IPsec에 대한 ipsecreq@microsoft.com 위해 전자 메일 메시지를 보내 주십시오.

Microsoft 고객과 지원 계약 Windows 2000 지원 사용자를 Windows 2000 베타 주기에 과정을 통해 제품 팀과 함께 작업 중이던 전문가를 액세스해야 합니다. 이미 배포하거나 Windows 2000 또는 Windows Server 2003 IPsec 종단 간 또는 최종 라우터 시나리오 배포할 고객은 자신의 Microsoft 지원 담당자에게 직접 문의하십시오. Microsoft 지원 옵션에 대한 자세한 내용은 다음 Microsoft 웹 사이트를 방문하십시오.
http://support.microsoft.com/default.aspx?scid=fh;EN-US;CNTACTMS
Microsoft은 플랫폼 기능을 향상시키기 위해 고객 및 공급업체 의견을 합니다. 우리는 누가 사용하는지 알려면 및 방법, 및 사용자 경험. 고객 지원 채널을 통해 문제를 제기해야 경우 해당 최종 가장 유용합니다. IPsec 공급업체 특정 구현이나 상호 운용 질문이 있을 경우 우리의 연습 및 디버깅 활성화 방법에 대한 Microsoft 기술 자료 문서를 참조하십시오. 조사, 뒤에 별칭 상호 운용 테스트 사이트에서 전자 메일 메시지 보내기, 누가 무슨 일이, 수 및 등 설명하십시오.

내용이 같은 IPsec에 대한 온라인 도움말을 모두 Windows 2000 Professional 및 서버) 에 포함되어 있지만 내용 테이블에서 다르게 표시됩니다. 온라인 도움말을 다음 Microsoft 웹 사이트에서 사용할 수도 있습니다.
http://technet.microsoft.com/en-us/windowsserver/2000/bb735359.aspx
Windows 2000 Server 리소스 키트에 새 IPsec 수 있는 네트워크 및 서버 관리자에게 방향입니다. Windows 2000 리소스 키트에 대한 자세한 내용은 다음 Microsoft 웹 사이트를 참조하십시오.
http://www.microsoft.com/technet/prodtechnol/windows2000serv/reskit/default.mspx
IPsec을 사용하여 트래픽을 위해 종단 간 구현에 대한 자세한 정보를 보호하는 데에 대한 자세한 절차는 다음 Microsoft 웹 사이트에서 구할 수 있습니다.
http://www.microsoft.com/downloads/details.aspx?familyid=501a48d5-a3ee-4094-aeb4-16bbff098810
Windows 2000 네트워킹 뉴스 그룹 microsoft.public.win2000.networking 때 사용할 수 있습니다.자세한 내용은 Microsoft 기술 자료에 있는 문서를 보려면 다음 문서 번호를 클릭하시기 바랍니다:
257225IPsec Microsoft Windows 2000 Server 문제 해결
259335기본 L2TP/IPSec Windows 2000의 문제 해결
248750L2TP/IPSec 만든 IPSec 정책에 대한 설명
Windows 2000 기반 가상 개인 네트워크 및 VPN 상호 운용성 지원에 대한 자세한 내용은 다음 Microsoft 웹 사이트를 참조하십시오.
http://technet.microsoft.com/en-us/library/bb742565.aspx

속성

기술 자료: 265112 - 마지막 검토: 2007년 10월 12일 금요일 - 수정: 11.6
본 문서의 정보는 다음의 제품에 적용됩니다.
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Web Edition
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
키워드:?
kbmt kbinfo kbipsec kbnetwork KB265112 KbMtko
기계 번역된 문서
중요: 본 문서는 전문 번역가가 번역한 것이 아니라 Microsoft 기계 번역 소프트웨어로 번역한 것입니다. Microsoft는 번역가가 번역한 문서 및 기계 번역된 문서를 모두 제공하므로 Microsoft 기술 자료에 있는 모든 문서를 한글로 접할 수 있습니다. 그러나 기계 번역 문서가 항상 완벽한 것은 아닙니다. 따라서 기계 번역 문서에는 마치 외국인이 한국어로 말할 때 실수를 하는 것처럼 어휘, 구문 또는 문법에 오류가 있을 수 있습니다. Microsoft는 내용상의 오역 또는 Microsoft 고객이 이러한 오역을 사용함으로써 발생하는 부 정확성, 오류 또는 손해에 대해 책임을 지지 않습니다. Microsoft는 이러한 문제를 해결하기 위해 기계 번역 소프트웨어를 자주 업데이트하고 있습니다.

피드백 보내기

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com