HOWTO: 인터넷 프로토콜 보안을 사용하여 두 호스트 간의 네트워크 소통 보호

기술 자료 번역 기술 자료 번역
기술 자료: 301284 - 이 문서가 적용되는 제품 보기.
이 문서는 이전에 다음 ID로 출판되었음: KR301284
모두 확대 | 모두 축소

이 페이지에서

요약

이 문서에 제공되는 단계별 지침을 통해 고급 사용자들은 두 호스트 컴퓨터 간의 통신을 보호할 수 있는 인터넷 프로토콜 보안(IPSec)을 구성할 수 있습니다.

IPSec 관련 용어

다음에 나오는 지침을 수행하기 전에 아래 용어의 의미를 알고 있어야 합니다.
  • 인증: 컴퓨터의 ID가 올바른지 확인하는 프로세스. Windows 2000 IPSec은 Kerberos, 인증서 및 미리 공유한 키 등의 세 가지 인증 유형을 지원합니다. Kerberos 인증은 두 종점(컴퓨터)이 같은 Windows 2000 도메인에 있을 때만 사용할 수 있습니다. 이 인증 유형이 선호되는 인증 방법입니다. 컴퓨터가 모두 다른 도메인에 있거나 그 중 한 대라도 같은 도메인에 없으면 인증서나 미리 공유한 키를 사용해야 합니다. 인증서는 다른 종점이 신뢰하는 기관에서 서명한 인증서가 각 종점에 있을 때만 사용할 수 있습니다. 미리 공유한 키는 암호와 같은 문제를 갖고 있습니다. 즉, 오랫 동안 비밀을 유지할 수 없습니다. 종점이 같은 도메인에 있지 않고 인증서를 얻을 수도 없다면 미리 공유한 키가 유일한 인증 옵션입니다.
  • 암호화: 두 종점 간에 전송을 준비하기 위한 단계로 데이터를 알아볼 수 없게 만드는 프로세스. 각 종점은 잘 짜여진 알고리즘을 사용하여 암호화 키를 구성하고 교환합니다. 이 프로세스는 양 종점만이 키를 알고 있도록 보장하므로, 키 교환 순서가 가로채이더라도 가로챈 사람은 이 값을 알 수 없습니다.
  • 필터: IPSec 보안 연결 설정을 시작할 수 있는 인터넷 프로토콜(IP) 주소와 프로토콜에 대한 설명.
  • 필터 동작: 소통이 필터 목록의 필터와 일치할 때 활성화될 수 있는 보안 요구 사항.
  • 필터 목록: 필터 모음.
  • 인터넷 프로토콜 보안 정책: 컴퓨터 간의 통신을 보호하는 방법을 규정하는 규칙 모음.
  • 규칙: 필터 목록과 필터 동작 사이의 링크. 소통이 필터 목록과 일치하면 해당 필터 동작이 시작될 수 있습니다. 한 IPSec 정책에 여러 규칙이 포함될 수 있습니다.
  • 보안 연결 정보: 종점들이 보안 세션을 설정하기 위해 협상하는 인증 및 암호 메서드 모음.

Microsoft Management Console에서 IPSec 찾기

MMC(Microsoft Management Console)를 사용하여 IPSec을 구성합니다. Windows 2000은 설치 프로세스 동안 IPSec 스냅인을 사용하여 MMC를 만듭니다. IPSec을 찾으려면 시작을 누르고 프로그램, 관리 도구를 차례로 가리킨 다음 로컬 보안 정책을 누릅니다. MMC가 열리면 왼쪽 창에서 로컬 컴퓨터의 IP 보안 정책을 누릅니다. 그러면 MMC 오른쪽 창에 기존 기본 정책이 표시됩니다.

IP 주소, 컴퓨터 이름 및 사용자 이름 변경

예를 들어, Alice는 IP 주소 172.16.98.231이 할당된 "Alicepc" 컴퓨터의 사용자이고 Bob은 IP 주소 172.31.67.244가 할당된 "Bobslap" 컴퓨터의 사용자라고 가정합니다. 이 둘은 Abczz 프로그램을 사용하여 각자의 컴퓨터를 연결합니다.

Alice와 Bob은 Abczz 프로그램을 사용하여 서로의 컴퓨터에 직접 연결할 때 소통이 암호화되도록 보장해야 합니다. Abczz를 통해 연결되면 연결을 시작한 컴퓨터가 자체의 임의 상위 포트를 사용하여 6667/TCP 또는 6668/TCP(전송 제어 프로토콜) 포트에서 대상 컴퓨터에 연결됩니다. 일반적으로 이러한 포트는 IRC(인터넷 릴레이 채트) 용으로 사용됩니다. Alice나 Bob이 연결을 시작할 수 있기 때문에 양 종점에 정책이 있어야 합니다.

필터 목록 만들기

IPSec 정책을 만드는 데 사용되는 메뉴는 MMC 콘솔에서 IP 보안 정책을 마우스 오른쪽 단추로 누르면 액세스할 수 있습니다. 첫 번째 메뉴 항목은 "IP 보안 정책 만들기"입니다. 보안 정책을 우성적으로 만들어야 할 수도 있지만, 꼭 그렇지는 않습니다. 정책과 관련 규칙을 만들기 전에 IPSec 정책의 필요한 구성 요소인 필터 목록과 필터 동작을 정의해야 합니다. IP 필터 목록 및 필터 동작 관리를 누르면 작업이 시작됩니다.

표시되는 대화 상자에는 필터 목록 관리 탭과 필터 동작 관리 탭이 있습니다. 먼저 IP 필터 목록 관리 탭이 열립니다. 미리 정의된 필터 목록 두 개가 이미 있습니다. 이 목록을 사용하는 대신, 연결할 다른 컴퓨터에 해당하는 특정 필터 목록을 만들 수 있습니다.

Alice에 속하는 컴퓨터에서 정책을 만든다고 가정합니다.
  1. 추가를 눌러 필터 목록을 새로 만듭니다. 목록에 "Abczz to Bob's PC"라는 이름을 지정합니다.
  2. 추가를 눌러 필터를 새로 만듭니다. 마법사가 시작됩니다.
  3. 원본 주소로 내 IP 주소를 누릅니다.
  4. 대상 주소로 특정 IP 주소를 누른 다음 Bob에 속해 있는 컴퓨터의 IP 주소 172.31.67.244를 입력합니다. 또는 Bob에 속해 있는 컴퓨터가 DNS(도메인 이름 시스템)나 WINS(Windows Internet Name Service)에 등록된 경우에는 특정 DNS 이름을 선택한 다음 Bob에 속해 있는 컴퓨터의 이름인 "Bobslap"를 대신 입력할 수 있습니다.
  5. Abczz는 통신에 TCP를 사용하므로 프로토콜 종류로 TCP를 누릅니다.
  6. IP 프로토콜 포트의 경우 아무 포트에서를 누릅니다. 이 포트로를 누르고 6667을 입력한 다음 마침을 눌러 마법사를 완료합니다.
  7. 앞의 단계를 반복하지만 이 번에는 포트 번호로 6668을 입력한 다음 닫기를 누릅니다.
필터 목록에 두 개의 필터가 있는데, 하나는 포트 6667(Bob에 속함)에 대한 Alice에서 Bob으로의 통신용 필터이고 다른 하나는 포트 6668(Bob에 속함)에 대한 필터입니다. (Bob은 컴퓨터에서 포트 6667 및 6668을 모두 설정했는데, 한 포트는 나가는 통신용이고 다른 포트는 들어오는 통신용입니다.) 이들 필터는 미러링되는데, 일반적으로 IPSec 필터를 만들 때마다 필요합니다. 미러링되는 모든 필터에 대해 목록은 원본 및 대상 주소가 순서가 바뀐 반대편 필터를 포함할 수 있지만 표시하지는 않습니다. 미러링된 필터가 없으면 IPSec 통신은 대개 실패합니다.

필터 동작 만들기

지금까지 보호해야 할 소통의 유형을 정의했습니다. 이제 보안 메커니즘을 지정해야 합니다. 필터 동작 관리 탭을 누르십시오. 세 개의 기본값이 나열되어 있습니다. 보안 필요 동작을 사용하기 보다는 더 엄격한 동작을 새로 만들어야 합니다.

동작을 새로 만들려면 다음과 같이 하십시오.
  1. 추가를 눌러 필터 동작을 새로 만듭니다. 마법사가 시작됩니다. 동작에 "Encrypt Abczz"라는 이름을 지정합니다.
  2. 일반 옵션에 대해 보안 협상을 누른 다음 IPSec을 지원하지 않는 컴퓨터와 통신 안함을 누릅니다.
  3. IP 소통 보안 페이지에서 높음 옵션을 누른 다음 마침을 눌러 마법사를 닫습니다.
  4. 앞에서 "Encrypt Abczz"라는 이름을 지정한 새 필터 동작을 두 번 누릅니다.
  5. 보안되지 않은 통신을 허용하지만 항상 IPSec을 사용하여 응답 확인란을 선택 취소합니다. 이 단계는 Abczz 패킷을 보내기 전에 컴퓨터가 IPSec을 협상해도록 합니다.
  6. 세션 키 전달 완전 보안을 눌러 키 자료가 재사용되지 않게 하고, 확인을 누른 다음 닫기를 누릅니다.

IPSec 정책 만들기

지금까지 정책 요소를 알아 보았습니다. 이제 정책을 만들 수 있습니다. MMC의 오른쪽 창을 마우스 오른쪽 단추로 누른 다음 IP 보안 정책 만들기를 누릅니다. 마법사가 시작되면 다음 작업을 수행합니다.
  1. 정책에 "Alice's IPSec"이라는 이름을 지정합니다.
  2. 기본 응답 규칙 활성화 확인란을 선택 취소합니다.
  3. 등록 정보 편집 확인란을 선택한 다음 마법사를 마칩니다. 정책의 등록 정보 대화 상자가 열립니다.
IPSec 정책이 작동하려면 필터 목록을 필터 동작에 링크하는 규칙이 적어도 하나는 있어야 합니다.

등록 정보 대화 상자에서 규칙을 지정하려면 다음과 같이 하십시오.
  1. 추가를 눌러 규칙을 새로 만듭니다. 마법사가 시작되면 이 규칙에서는 터널 지정 안함을 누릅니다.
  2. 네트워크 종류에 대해 LAN(Local Area Network)을 누릅니다.
  3. Alice와 Bob의 컴퓨터가 모두 같은 Windows 2000 도메인에 있으면 인증 방법에 대해 Windows 2000 기본값(Kerberos V5 프로토콜)을 누릅니다. 같은 도메인에 있지 않으면 다음 문자열을 사용하여 키 교환(미리 공유한 키) 보호를 누른 다음 문자열을 입력합니다. 이 때 기억할 수 있으며 실수하지 않고 입력할 수 있는 가장 긴 문자열을 사용합니다.
  4. 앞에서 만든 필터 목록을 선택합니다. 이 예에서 필터 목록은 "Abczz to Bob's PC"입니다. 그런 다음 앞에서 만든 필터 동작을 선택합니다. 이 예에서 필터 동작은 "Encrypt Abczz"입니다.
  5. 마법사를 마친 다음 닫기를 누릅니다.

다른 종점 구성

Bob에 속해 있는 컴퓨터에 대해 앞에서 Alice에 속해 있는 컴퓨터에 적용했던 절차를 모두 반복하십시오. 필요한 변경은 간단합니다. 예를 들어, "Abczz to Bob's PC"를 "Abczz to Alice's PC"로 변경해야 합니다.

정책 할당

지금까지 양 종점에서 정책을 정의하였습니다. 이제 정책을 할당해야 합니다.
  1. 로컬 보안 설정 MMC에서 정책(이 예에서는 Abczz)을 마우스 오른쪽 단추로 누릅니다.
  2. 할당을 누릅니다.
한 번에 IPSec 정책을 하나만 할당할 수 있지만, 단일 정책은 필요한 만큼의 규칙을 가질 수 있습니다. 예를 들어, Alice에게 Eve와도 다른 프로토콜을 사용하는 보안 통신이 필요한 경우 적절한 필터 목록과 필터 동작을 만든 다음 특정 필터 목록과 필터 동작을 함께 링크하는 IPSec(Alice에 속함)에 규칙을 추가해야 합니다. Use a different shared key for this rule을 누릅니다. 이제 Alice의 정책은 Bob과의 Abczz 통신에 대한 규칙과 Eve와의 통신에 대한 규칙을 갖고 있습니다. Bob과 Eve는 서로 안전하게 통신할 필요가 없으므로 Bob의 정책에는 아무 것도 추가할 필요가 없으며 Eve의 정책에는 Alice와의 통신에 대한 단일 규칙만 포함되어 있습니다.

문제 해결

IPSecMon을 사용하여 정책 테스트

Windows 2000에는 IPSec 보안 연결이 성공적으로 설정되었는지 테스트하는 데 사용할 수 있는 유틸리티(IPSecMon.exe)가 포함되어 있습니다. IPSecMon을 시작하려면 다음과 같이 하십시오.
  1. 시작을 누르고 실행을 누릅니다.
  2. ipsecmon을 입력한 다음 Enter 키를 누릅니다.
  3. 옵션을 누릅니다.
  4. 새로 고침 간격을 1로 변경합니다.
종점 간의 통신을 설정해야 합니다. 종점이 암호화 정보를 교환하고 보안 연결을 완료하는 데 몇 초가 걸리므로 약간 지연될 수 있습니다. IPSecMon에서 이러한 문제가 나타날 수 있습니다. 종점이 각각 자신의 보안 연결을 설정하면 IPSecMon에서 보안 연결이 설정되었음을 표시하는 항목을 볼 수 있습니다.

보안 연결이 설정될 것으로 예상했지만 아무 일도 발생하지 않으면 이전 단계로 되돌아가서 각 종점의 필터 목록을 검토하십시오. 원본 주소와 대상 주소 또는 포트를 쉽게 역으로 추적할(Reverse) 수 있으므로 사용하는 프로토콜에 대해 올바른 정의를 받았는지 확인하십시오. 모든 소통을 지정하는 필터 목록을 새로 만들 수도 있습니다. 또한 이 필터 목록을 사용하는 정책에 새 규칙을 추가한 다음 기존 규칙을 비활성화할 수 있습니다. 양 종점에서 이러한 단계를 수행하십시오. 그러면 ping 명령을 사용하여 연결을 테스트할 수 있습니다. ping 명령은 보안 연결 단계 동안에는 "Negotiating IP security"를 표시하고 보안 연결이 설정되면 정상적인 결과를 표시할 수 있습니다.

NAT와 IPSec이 호환되지 않는 경우

두 종점 사이에 NAT(네트워크 주소 변환)가 있으면 IPSec이 작동하지 않습니다. IPSec은 페이로드의 일부로 종점 주소를 포함하고 있습니다. IPSec은 또한 회선에 패킷을 놓기 전에 패킷 검사값을 계산할 때 원본 주소를 사용합니다. NAT는 아웃바운드 패킷의 원본 주소를 변경하고, 대상 컴퓨터는 자신의 검사값을 계산할 때 헤더의 주소를 사용합니다. 패킷을 통해 전달되는 원래 원본 계산 검사값이 대상 계산 검사값과 일치하지 않으면 대상 컴퓨터가 해당 패킷을 삭제할 수 있습니다. 어떤 NAT 장치 종류에서도 IPSec을 사용할 수 없습니다.

참조

Windows 2000의 IPSec에 관한 백서와 자세한 기술 정보는 다음 Microsoft 웹 사이트를 참조하십시오.
http://www.microsoft.com/windows2000/technologies/security/default.asp

속성

기술 자료: 301284 - 마지막 검토: 2004년 3월 19일 금요일 - 수정: 3.0
본 문서의 정보는 다음의 제품에 적용됩니다.
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional Edition
키워드:?
kbhowtomaster KB301284

피드백 보내기

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com