일부 시나리오에서 IPSec 기본 면제를 사용하여 IPSec 보호를 무시할 수 있다

기술 자료 번역 기술 자료 번역
기술 자료: 811832 - 이 문서가 적용되는 제품 보기.
중요: 이 문서에서는 레지스트리 수정에 대한 정보를 다룹니다. 레지스트리를 수정하기 전에 해당 레지스트리를 백업하고 문제 발생 시 이를 복원하는 방법을 이해해야 합니다. 레지스트리 백업, 복원 및 편집 방법은 Microsoft 기술 자료의 다음 문서를 참조하십시오.
256986 Microsoft Windows 레지스트리 설명
모두 확대 | 모두 축소

이 페이지에서

요약

Windows 2000, Windows XP 및 Windows Server 2003의 인터넷 프로토콜 보안(IPSec) 기능은 모든 기능을 갖춘 호스트 기반 방화벽으로 설계되지 않았습니다. 이 기능은 네트워크 패킷의 주소, 프로토콜 및 포트 정보를 사용하여 기본적인 허용 필터링 및 차단 필터링을 제공하도록 설계되었습니다. 또한 IPSec은 프로그램에 투명하게 나타나는 방식으로 통신의 보안을 향상시키는 관리 도구로 설계되었습니다. 따라서 주로 Kerberos 서비스로부터 시스템 트러스트를 사용할 수 있는 인트라넷 환경에 대해서나 공개 키 구조(PKI) 디지털 인증서를 사용할 수 있는 인터넷의 특정 경로에 대해 IPSec 전송 모드나 IPSec 터널 모드의 보안을 협상하는 데 필요한 트래픽 필터링을 제공합니다.

IPSec 정책 필터에 대한 기본 면제는 Microsoft Windows 2000 및 Microsoft Windows XP 온라인 설명서에서 설명합니다. 이러한 필터를 사용하면 인터넷 키 교환(IKE) 및 Kerberos를 작동할 수 있습니다. 또한 IPSec 기능을 통해 데이터 트래픽을 보안할 때와 멀티캐스트 및 브로드캐스트 트래픽 같이 IPSec으로 보안할 수 없는 트래픽에 대해 네트워크 QoS(Quality of Service) 신호를 받을 수 있습니다(RSVP). 이러한 필터에 대한 자세한 내용은 Microsoft 기술 자료의 다음 문서를 참조하십시오.
253169 IPSec에서 보안할 수 있는 트래픽과 보안할 수 없는 트래픽

추가 정보

IPSec 기능이 기본 호스트 방화벽 패킷 필터링에 점점 더 사용되면서, 특히 인터넷 노출 시나리오에서 이러한 기본 면제가 미치는 영향이 완전히 파악되지 않았습니다. 이로 인해 일부 IPSec 관리자가 안전하다고 생각하지만 실제로 기본 면제를 사용하는 인바운드 공격에 대해 안전하지 않은 IPSec 정책을 만들 수 있습니다.

따라서 네트워크 관리자는 본 문서의 단계를 수행하여 IPSec에 대한 기본 면제를 제거하는 것이 좋습니다. 방화벽과 유사한 기능을 사용하여 공격자가 컴퓨터에 대한 네트워크 액세스 권한을 얻지 못하도록 해야 하는 시나리오에서 IPSec을 사용하는 경우에는 특히 그렇습니다. Kerberos에 대한 기본 면제를 제거하여 특정 IPSec 정책 구성에 대해 IPSec이 제공하려는 보호 기능을 공격자가 훼손하지 못하게 합니다. 면제를 제거한 후 제대로 작동하도록 기존 보안 정책을 변경해야 할 수 있습니다.

관리자는 모든 Windows 2000 기반 컴퓨터 및 Windows XP 기반 컴퓨터에서
NoDefaultExempt=1
레지스트리 키를 사용하여 모든 기존의 IPSec과 새로운 IPSec 배포에 대해 이러한 변경 계획을 시작할 수 있습니다. 이 레지스트리 키의 목적은 본 문서의 뒷부분에서 설명합니다.

IPSec 기본 면제에 대한 정의

다음 표는 IPSec 필터링에 대한 모든 기본 면제가 설정되어 있는 경우(기본값) 또는
NoDefaultExempt
0으로 설정되어 있는 경우 실행되는 해당 필터를 요약한 것입니다. 이러한 필터 정의에서는 다른 IPSec 정책 필터에 관계없이 트래픽을 허용하도록 IPSec 드라이버에 적용되는 기본 면제를 설명합니다. IPSec 정책 필터 세부 정보를 나타내도록 설계된 도구는 이러한 면제를 결과에 표시하지 않습니다.

NoDefaultExempt=0
의 해당 필터:
표 축소표 확대
원본 주소대상 주소프로토콜원본 포트대상 포트필터 동작
내 IP 주소모든 IP 주소UDP모든 포트88허용
모든 IP 주소내 IP 주소UDP88모든 포트 허용
모든 IP 주소내 IP 주소UDP모든 포트 88허용
내 IP 주소모든 IP 주소UDP88모든 포트 허용
내 IP 주소모든 IP 주소TCP모든 포트 88허용
모든 IP 주소내 IP 주소TCP88모든 포트 허용
모든 IP 주소내 IP 주소TCP모든 포트 88허용
내 IP 주소모든 IP 주소TCP88모든 포트 허용
내 IP 주소모든 IP 주소UDP500500 (1)허용
모든 IP 주소내 IP 주소UDP500500허용
내 IP 주소모든 주소46(RSVP)허용
모든 IP 주소내 IP 주소46(RSVP)허용
모든 IP 주소<멀티캐스트> (2)허용
내 IP 주소<멀티캐스트>허용
모든 IP 주소<브로드캐스트>(3) 허용
내 IP 주소<브로드캐스트>허용
<모든 IPv6 프로토콜 트래픽> (5)<모든 IPv6 프로토콜 트래픽>(4)허용
IP 주소가 지정되면 서브넷 마스크는 255.255.255.255입니다. IP 주소가 지정되지 않으면 서브넷 마스크는 0.0.0.0입니다.
  1. IPSec 터널 모드 SA를 통해 IPSec 전송 모드를 협상하기 위해 먼저 IPSec 터널을 통과해야 하는 경우 ISAKMP 트래픽이 면제되지 않습니다.
  2. 멀티캐스트 트래픽은 서브넷 마스크가 240.0.0.0인 대상 주소 범위 224.0.0.0을 포함하는 클래스 D 범위로 정의됩니다. 이 범위에는 224.0.0.0부터 239.255.255.255까지의 IP 주소 범위가 포함됩니다.
  3. 브로드캐스트 트래픽은 대상 주소가 255.255.255.255인 제한된 브로드캐스트 주소나, IP 주소의 호스트 ID 부분이 모두 1로 설정된 서브넷 브로드캐스트 주소로 정의됩니다.
  4. IPv6 패킷이 IPv4 헤더와 함께 IP 프로토콜 41로 캡슐화되는 경우만 제외하고 IPSec은 IP 버전 6(IPv6) 패킷에 대한 필터링을 지원하지 않습니다. Windows에서 IPv6 지원에 대한 자세한 내용은 다음 Microsoft 웹 사이트를 방문하십시오.
    인터넷 프로토콜 버전 6

NoDefaultExempt에 대한 운영 체제 지원

다음 표에서는 Windows 2000 및 Windows XP의 다양한 릴리스에서 기본 면제 동작에 대해 설명합니다.
표 축소표 확대
일반 정품 버전SP1SP2SP3SP4
Windows 2000기본 면제 지원,
NoDefaultExempt
키 지원 안 됨
기본 면제 지원,
NoDefaultExempt
키가 지원되지 않으며 값은 0 또는 1
기본 면제 지원,
NoDefaultExempt
키가 지원되며 값은 0 또는 1
기본 면제 지원,
NoDefaultExempt
키가 지원되며 값은 0 또는 1
(*) Kerb 및 RSVP 면제를 제거하는 기본값,
NoDefaultExempt=1
변경
Windows XP기본 면제 지원,
NoDefaultExempt
키가 지원되며 값은 0 또는 1
기본 면제 지원,
NoDefaultExempt
키가 지원되며 값은 0 또는 1
(*) Kerb 및 RSVP 면제를 제거하는 기본값,
NoDefaultExempt=1
변경
(*) 이 서비스 팩은 개발 중에 있습니다. 이 서비스 팩의 베타 버전에는 표시된 대로 동작의 변경이 포함됩니다.

참고 Windows 2000 및 Windows XP에서 IPSec은 브로드캐스트 트래픽이나 멀티캐스트 트래픽 필터링을 지원하지 않습니다.

기본 면제 제거

다음 레지스트리 키는 IPSec에 대한 기본 면제의 종류를 제어합니다.
NoDefaultExempt

데이터 형식: REG_DWORD
범위: 다양함:
Windows 2000: 0-1만 지원
Windows XP: 0-1만 지원
Windows Server 2003: 0-3만 지원
기본 동작(Windows 2000 및Windows XP): 0
기본 동작(Windows Server 2003): 3
기본적으로 제공: 안 됨
가능한 값에 대한 설명:
  • 0은 멀티캐스트, 브로드캐스트, RSVP, Kerberos 및 IKE (ISAKMP) 트래픽이 IPSec 필터링에서 면제되도록 지정합니다. 이것은 Windows 2000 및 Windows XP의 기본 필터링 동작입니다. 기존 IPSec 정책이나 Windows 2000 및 Windows XP 동작과의 호환성을 위해 필요한 경우에만 이 설정을 사용하십시오.
  • 1은 Kerberos 및 RSVP 트래픽은 IPSec 필터링에서 면제되지 않도록 지정하고 멀티캐스트, 브로드캐스트 및 IKE 트래픽은 면제되도록 지정합니다. 이 값은 Windows 2000 및 Windows XP의 권장 값입니다.
  • 2는 멀티캐스트 및 브로드캐스트 트래픽은 IPSec 필터링에서 면제되지 않도록 지정하지만 RSVP, Kerberos 및 IKE 트래픽은 면제되도록 지정합니다. Windows Server 2003에서만 지원됩니다.
  • 3은 IKE 트래픽만 IPSec 필터링에서 면제되도록 지정합니다. Windows Server 2003에서만 지원됩니다. Windows Server 2003에는 해당 레지스트리 키가 기본적으로 존재하지 않아도 이 기본 동작이 포함되어 있습니다.
경고: 레지스트리 편집기를 잘못 사용하면 심각한 문제가 발생할 수 있으며 문제를 해결하기 위해 운영 체제를 다시 설치해야 할 수도 있습니다. Microsoft는 레지스트리 편집기를 잘못 사용함으로써 발생하는 문제에 대해 해결을 보증하지 않습니다. 레지스트리 편집기의 사용에 따른 모든 책임은 사용자에게 있습니다. 이 레지스트리 키를 구성하려면 다음을 수행합니다.
  1. 시작, 실행을 차례로 누르고 regedit를 입력한 다음 확인을 누릅니다.
  2. 다음 레지스트리 키를 누릅니다.
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IPSEC
  3. IPSEC을 마우스 오른쪽 단추로 누르고 새로 만들기를 가리킨 다음 DWORD 값을 누릅니다.
  4. 이 새 항목의 이름을 NoDefaultExempt로 지정합니다.
  5. NoDefaultExempt
    키의 값을 0에서 1로 변경합니다. 다른 값이 해당 환경에 가장 알맞는 경우 원한다면 1 이외의 값을 사용할 수 있습니다.
  6. 레지스트리 편집기를 끝냅니다.
  7. Windows XP에서 시작, 제어판을 차례로 누른 다음 관리 도구를 두 번 누릅니다. Windows 2000에서 시작, 설정, 제어판을 차례로 누른 다음 관리 도구를 두 번 누릅니다.
  8. 서비스를 두 번 누릅니다.
  9. IPSec Services 서비스를 중지한 다음 다시 시작합니다. Windows XP에서는 이렇게 한 후 컴퓨터를 다시 시작해야 합니다.

기본 면제의 영향

다음 예에서는 단방향 차단 필터로 구성된 Windows 2000 또는 Windows XP IPSec 정책을 보여 줍니다. 이러한 규칙에 차단 필터를 적용하면 모든 인바운드 트래픽이 차단됩니다. 다음 필터 규칙은 이 규칙에 대한 IPSec 면제의 영향을 설명하기 위해서만 제공됩니다.
원본 주소:		모든 원본 주소 
원본 마스크:		0.0.0.0 
대상 주소:		내 IP 주소(10.10.1.2) 
대상 마스크:		(255.255.255.255) 
프로토콜:		모든 프로토콜 
원본 포트:		모든 원본 포트 
대상 포트:		모든 대상 포트 
미러링:			안 됨
이 예제에서 관리자의 목적은 10.10.1.2 IP 주소로 이동될 모든 인바운드 유니캐스트 트래픽을 차단하는 것입니다. 다음 절에서는 기본 면제가 이러한 필터에 적용될 때의 영향에 대해 설명합니다.

IKE 면제의 영향

IKE 면제는 원본 포트 및 대상 포트 UDP 500에 국한됩니다. 기본 IKE 면제로 인해 IKE는 항상 모든 원본 주소로부터 이러한 종류의 패킷을 받습니다. 공격자가 IKE 포트를 사용하여 IKE 자체를 공격할 수 있으며 문제를 유발할 수 있습니다. 그러나 IKE 포트는 열려 있는 다른 UDP 또는 TCP 포트를 공격하는 데 사용될 수 없습니다. IKE는 IPSec 정책 조회를 수행하여 들어오는 패킷에 응답해야 하는지 확인합니다. IKE는 두 개의 IPSec 호스트 간의 보안 설정을 협상하는 데 사용되고 IPSec 필터는 트래픽 제어를 허용 및 차단하는 데만 사용되기 때문에 IKE는 일치하는 보안 정책을 찾지 못하고 들어오는 요청에 응답하지 않게 됩니다.

IKE는 다양한 DoS(Denial of Service) 방지 방법을 사용합니다. Windows 2000 서비스 팩 3 및 Windows XP는 IKE 대량 공격에 대해 향상된 DoS 방지 방법을 제공합니다. IKE는 IPSec 서비스 및 IPSec 드라이버에서 독립적으로 해제할 수 없습니다. IPSec 필터링도 해제하는 IPSec 서비스를 중지해야만 IKE를 해제할 수 있습니다.

IKE가 인터넷으로부터 공격받고 있고 IKE는 필요하지 않지만 IPSec 필터링은 필요한 경우 여러 가지 옵션을 사용할 수 있습니다.
  • UDP 500 트래픽 차단 필터를 기본 게이트웨이나 방화벽에 사용할 수 있습니다.
  • 인터넷 인터페이스에서 TCP/IP 고급 속성 필터를 구성합니다. 다음만 허용을 사용한 다음 UDP 500 이외에 필요한 UDP 포트를 추가합니다. 이 옵션을 사용하는 방법에 대한 자세한 내용은 Microsoft 기술 자료의 다음 문서를 참조하십시오.
    309798 HOWTO: Windows 2000에서 TCP/IP 필터링 구성
    netstat ?a 명령을 사용하여 열려 있는 UDP 포트를 봅니다.
  • Windows XP에서 인터넷 연결 방화벽(ICF)을 인터넷 인터페이스에 설정하여 모든 들어오는 트래픽을 차단할 수 있습니다. 특정 홀을 UDP 500 이외의 UDP 포트에 대해 구성할 수 있습니다. ICF에 대한 자세한 내용은 Microsoft 기술 자료의 다음 문서를 참조하십시오.
    283673 HOWTO: Windows XP에서 인터넷 연결 방화벽 설정 또는 해제

Kerberos 기본 면제의 영향

모든 단방향 인바운드 트래픽을 차단하는 이 예에서는 이러한 필터 일치로부터 모든 인바운드 또는 아웃바운드 유니캐스트 Kerberos 트래픽이 면제됩니다. 이로 인해 공격자는 원본 포트 88을 사용하는 유니캐스트 UDP 또는 TCP 패킷을 구성하여 10.10.1.2의 열려 있는 포트에 액세스할 수 있습니다. 이렇게 하면 차단 필터가 있더라도 UDP 및 TCP 포트 검색을 설정할 수 있습니다. 관리자가 공격을 막으려면
NoDefaultExempt
레지스트리 키를 설정해야 합니다. 필터링 라우터 또는 방화벽을 사용 중인 경우 Kerberos 포트를 사용 중인 트래픽을 처리하는 방법에 따라 공격자의 이러한 트래픽을 허용하거나 허용하지 못할 수도 있습니다.

참고 열려 있는 포트를 검사할 때 이러한 도구를 사용하여 원본 포트를 88로 설정할 수 없기 때문에 대부분의 포트 검색 도구는 이 문제를 감지하지 못합니다. 또한 대부분의 포트 검색 도구는 열려 있지 않은 TCP 또는 UDP 포트에 보낸 검색에 대한 응답으로 ICMP 메시지를 기대합니다. IPSec이 ICMP 트래픽을 차단 중이면 검색 도구는 포트가 열려 있다고 잘못 보고할 수 있습니다. 네트워크 모니터 도구로 네트워크 추적을 사용하여 트래픽이 전송되고 있고 네트워크에서 수신되고 있는지 확인합니다.

Kerberos 면제를 제거하고, IKE에서 Kerberos 인증을 통해 트래픽을 보안하는 데 IPSec도 사용하고 있는 경우 다음과 같은 IPSec 정책 디자인 고려 사항을 따라야 합니다.
  • NoDefaultExempt=1
    인 IKE Kerberos 인증을 사용 중인 컴퓨터는 IKE Kerberos 인증을 사용 중인 피어 컴퓨터에 같은 레지스트리 키 값이 없을 경우 이 컴퓨터와 통신할 수 없습니다. 이러한 통신이 필요할 경우 Kerberos 대신 IKE의 인증서를 사용합니다.
  • 관련된 모든 DC IP 주소에(서) Kerberos 및 UDP 389 트래픽의 명시적 면제는 IPSec 정책에서 지정해야 합니다. 2003년 3월부터 Microsoft는 도메인 구성원에서 해당 도메인 컨트롤러로의 IPSec 보안 트래픽을 지원하지 않기 때문에 도메인 컨트롤러 IP 주소에 대해 모든 트래픽을 명시적으로 허용하려면 IPSec 정책에 필터를 추가하십시오. DC가 많으면 허용 필터가 많이 필요할 수 있습니다. DC에 DC IP 주소를 영구적으로 할당해야 합니다(정적 IP 주소). IP 주소의 최신 목록을 포함하도록 관리자는 도메인에 있는 모든 DC의 필터 목록을 수동으로 유지 관리해야 합니다. 새 필터를 만드는 동안 필터에서 도메인의 DNS 이름을 원본 주소나 대상 주소로 지정하면 관리자가 이 목록을 좀더 쉽게 업데이트할 수 있습니다. 이렇게 하면 DNS를 바탕으로 도메인 이름이 해당 도메인에 있는 모든 현재 IP 주소로 확인된 다음 개별 IP에 대해 필터가 만들어집니다. 프로덕션 환경에서 필터를 사용하기 전에 IP 주소 목록을 만드십시오. 새 DC를 추가하려면 이 필터 목록에 새 필터를 추가해야 합니다. 하나의 필터 목록을 특정 도메인에 있는 모든 DC에 대해 사용한 다음 IPSec 정책 규칙에서 공유하는 것이 좋습니다. 쉽게 참조할 수 있도록 필터 목록 이름이 IP 주소 목록의 마지막 업데이트 시간을 나타내야 합니다.
도메인 컨트롤러 간의 통신에 대한 자세한 내용은 Microsoft 기술 자료의 다음 문서를 참조하십시오.
254949 클라이언트-도메인 컨트롤러 및 도메인 컨트롤러-도메인 컨트롤러 IPSec 지원

RSVP 면제의 영향

RSVP를 사용하는 컴퓨터의 경우 공격자가 거짓되거나 악의 있는 RSVP 패킷을 대량으로 10.10.1.2에 보내 서비스 거부를 유발할 수 있습니다. 이 주소는 앞의 예에서 사용한 IP 주소이며 이 공격은 이 예에서 설명한 단방향 인바운드 차단 IPSec 필터를 무시합니다.

RSVP 프로토콜은 IP 프로토콜 46이며 프로그램 트래픽을 위해 라우터 대역폭을 예약하는 데 사용하는 신호 프로토콜입니다.

Windows 2000의 RSVP

Windows 2000에서는 다음과 같은 경우에 RSVP 프로토콜을 사용합니다.
  • QoS 허용 제어 서비스가 설치되어 있습니다. 이것은 Windows 2000 Server 컴퓨터의 선택적 네트워킹 구성 요소입니다. 이 서비스가 설치되어 있으면 RSVP 트래픽을 주고 받을 수 있습니다.
  • QoS(Quality of Service) RSVP 서비스가 실행 중입니다. 기본적으로 이 서비스는 자동 시작 서비스로 설치되고 구성됩니다. 이 서비스가 시작되면 RSVP 프로토콜을 사용하는 Rsvp.exe 프로그램을 로드한 다음 RSVP 신호가 필요한 트래픽이 없는 경우 이 프로그램을 언로드합니다. QoS 서비스가 필요하면 동적으로 Rsvp.exe 프로그램을 로드합니다.
  • 프로그램이 GQoS 소켓 옵션으로 소켓을 엽니다. Rsvp.exe 프로그램이 소켓 트래픽 신호를 관리하기 위해 지속적으로 실행됩니다.
  • pathping ?r 명령은 RSVP 프로토콜을 사용하여 라우터에 RSVP가 설정되어 있는지 확인합니다.
RSVP 프로토콜 신호를 해제하는 방법에 대한 자세한 내용은 Microsoft 기술 자료의 다음 문서를 참조하십시오.
247103 RSVP 신호 해제 방법
이 신호를 해제하면 QoS RSVP 서비스가 지정된 인터페이스에 대해 RSVP 신호를 보내지 않습니다.

Windows XP의 RSVP

Windows XP에서는 RSVP 프로토콜을 사용하지 않습니다. QoS(Quality of Service) RSVP 서비스는 기본적으로 설치되긴 하지만 수동으로 시작하도록 구성됩니다. 이 서비스는 받은 RSVP 프로토콜 메시지를 보내거나 처리하지 않습니다. RSVP 프로토콜을 계속 등록하므로 TCPIP 스택이 IP 프로토콜 46 형식 패킷을 수신하게 됩니다. 그러나 수신 후 이러한 인바운드 패킷은 버려집니다. QoS RSVP 서비스가 시작되지 않으면 TCP/IP 프로토콜 스택은 들어오는 RSVP 패킷을 삭제한 다음 응답으로 ICMP "Destination Unreachable" 패킷을 보냅니다.

Windows XP에서는 pathping ?r 명령이 라우터에 RSVP가 설정되어 있는지 확인할 때만 RSVP 프로토콜을 사용합니다.

RSVP 공격 막기

RSVP 프로토콜을 사용하여 잠재적 공격을 막는 데 IPSec를 사용하려면 관리자는 IPSec에서 RSVP 면제를 해제하도록
NoDefaultExempt=1
레지스트리 키를 설정해야 합니다. 또는 QoS RSVP 서비스를 해제하거나 RSVP를 프로토콜로 사용하지 않도록 해제할 수 있습니다. 이렇게 하는 방법에 대한 자세한 내용은 Microsoft 기술 자료의 다음 문서를 참조하십시오.
247103 RSVP 신호 해제 방법
RSVP 프로토콜 작업이 필요한 경우 해당 원본 주소와 대상 주소에 IP 프로토콜 46을 허용하도록 IPSec 정책에서 명시적 허용 필터를 정의할 수 있습니다. RSVP는 기본적으로 라우터와 통신하려고 하므로 RSVP의 보안을 협상하는 데 IPSec를 사용하지 않는 것이 좋습니다. RSVP는 IPSec에 의해 필터링될 수 없는 멀티캐스트 주소를 사용할 수도 있습니다. 이 항목에 대한 자세한 내용은 Microsoft 기술 자료의 다음 문서를 참조하십시오.
278517 자원 예약 설정 프로토콜 패킷이 로컬 멀티캐스트 주소를 사용한다

브로드캐스트 및 멀티캐스트 면제의 영향

예제 인바운드 필터의 대상 주소가 특정 유니캐스트 IP 주소(10.10.1.2)이므로 멀티캐스트와 브로드캐스트 대상 주소를 포함하는 패킷에는 예제 인바운드 필터를 적용할 수 없습니다. Windows 2000 및 Windows XP IPSec 필터링을 통해서는 멀티캐스트나 브로드캐스트 트래픽을 필터링할 수 없습니다.

공격자가 멀티캐스트나 브로드캐스트 패킷을 구성하고 네트워크에서 이러한 패킷 수신을 허용하면 공격자는 이전 예에서 사용된 IPSec 필터를 무시할 수 있습니다. 기본 게이트웨이 라우터 구성은 원하지 않는 인바운드 멀티캐스트나 브로드캐스트 트래픽을 전달하지 않으므로 일반적으로 공격자는 로컬 서브넷에 있어야만 이러한 트래픽을 사용하여 공격할 수 있습니다. “IPSec을 인식하지 않는 컴퓨터와 보안되지 않은 통신 허용" 필터 옵션을 사용하는 일부 IPSec 정책 디자인에서 공격자는 멀티캐스트나 브로드캐스트 트래픽 인바운드를 사용하여 대상 컴퓨터에서 유니캐스트 응답을 보내도록 할 수 있습니다. 그러면 Soft SA 패킷을 만들고 공격자가 연결하려는 경로를 여는 IKE 협상 아웃바운드가 트리거됩니다. 공격자는 IPSec 필터를 무시하기 위해 멀티캐스트 또는 브로드캐스트 대상 주소를 사용하여 유효하지 않은 TCP 패킷을 만들 수도 있습니다. 멀티캐스트나 브로드캐스트 패킷을 받도록 요청하는 프로그램이나 프로토콜이 실행 중인 경우 공격자와 프로그램 모두 브로드캐스트 및 멀티캐스트 트래픽만 사용한다면 공격자가 해당 프로그램과 통신할 수 있습니다.

IPSec 관리자는 네트워크 관리자와 라우터 및 방화벽 구성에 대해 논의하여 현재 IPSec 정책에 기반을 둔 이러한 공격의 가능성에 대해 좀더 자세히 조사하는 것이 좋습니다.

TCP 기반 통신에는 유니캐스트 IP 트래픽을 사용하는 세 방향 핸드셰이크가 필요하므로 멀티캐스트나 브로드캐스트 트래픽 형식을 사용할 수 없습니다. Windows 2000 및 Windows XP에서 UDP 및 원시 소켓을 사용하는 프로그램과 서비스는 기본적으로 브로드캐스트 트래픽이 해당 프로그램에서 열어 놓은 포트로 전송되는 경우 이 트래픽을 수신합니다. 기본적으로 RFC 2644에서는 전달된 브로드캐스트 트래픽이 라우터에 의해 전송되어서는 안된다는 것을 나타냅니다. 로컬 링크에서 사용할 수 있는 브로드캐스트 트래픽에는 또 다른 두 가지 형식이 있습니다.
  • 제한된 브로드캐스트 주소 - 대상 IP 주소가 255.255.255.255인 경우
  • 네트워크 접두사 전달 브로드캐스트 - 대상 IP 주소가 해당 서브넷 마스크를 포함한 x.y.255.255이거나 x.y.z.255인 경우
프로그램은 대개 이러한 트래픽을 사용하여 자신의 통신 모델을 정의합니다. 멀티캐스트와 브로드캐스트 트래픽은 대개 서비스를 처음 알리고 발견하는 데 사용합니다. 그런 다음 원본 및 대상 컴퓨터는 해당 IP 주소 간에 유니캐스트 IP 트래픽을 사용하여 계속 통신합니다.

기본적으로 브로드캐스트 트래픽을 수신하는 UDP 프로그램을 보려면 netstat 명령을 사용합니다.
  • Windows 2000: netstat -a -p UDP 이러한 포트를 연 프로그램을 나타낼 수 있는 방법은 없습니다.
  • Windows XP: netstat -ao -p UDP-ao 스위치는 열려 있는 포트를 사용 중인 프로그램을 식별하도록 도와주는 프로세스 ID를 나타냅니다.

멀티캐스트 트래픽을 수신할 수 있는 프로그램


프로그램은 인바운드 멀티캐스트 트래픽을 수신할 수 있도록 TCPIP 스택에 명시적으로 등록해야 합니다. 프로그램이 이러한 형식의 트래픽을 수신하도록 등록되지 않은 경우 인바운드 멀티캐스트 패킷이 삭제됩니다. 그러나 멀티캐스트 패킷은 네트워크 어댑터(가장 일반적), 미니포트, IP 계층 또는 UDP 계층에서 삭제될 수 있습니다. 관리자는 멀티캐스트 트래픽이 컴퓨터를 공격하는 데 사용될 수 있는지 잘 판단할 수 있도록 네트워크를 통해 라우팅할 수 있는 멀티캐스트 트래픽 형식을 확인해야 합니다. 프로그램에 의해 조인된 멀티캐스트 그룹을 확인하려면 다음을 수행합니다.
  • Windows 2000: 사용 가능한 방법 없음
  • Windows XP:
    1. 시작, 실행을 차례로 누르고 cmd를 입력한 다음 확인을 누릅니다.
    2. netsh interface ip show joins를 입력한 다음 Enter 키를 누릅니다.

인터넷 연결 방화벽에서 IPSec 사용

Windows XP의 경우 인터넷 연결 방화벽(ICF)이 트래픽 필터링에 필요한 보안 요구 사항에 좀더 적합할 수 있습니다. ICF는 Windows XP SP1에서 인바운드 멀티캐스트 및 브로드캐스트 트래픽을 필터링하고 차단할 수 있습니다. 그러나 ICF는 전송 모드나 터널 모드에서 IPSec AH 또는 ESP에 의해 보호되는 트래픽을 인식하지 못합니다. IPSec은 ICF 아래의 네트워크 계층에 위치합니다. IKE는 ICF 위에 위치합니다. 이 때문에 ICF는 IKE(UDP 포트 500) 인바운드를 정적으로 허용해야 하며 IPSec AH 또는 ESP 프로토콜은 인식하지 못하지만 수신 처리 과정에서 IPSec을 통해 캡슐화가 해제된 TCP 트래픽이나 UDP 트래픽은 인식합니다. IPSec이 트래픽을 차단하면 ICF 삭제 패킷 로그에 IPSec이 삭제한 패킷은 포함되지 않습니다.

IPSec 기능을 ICF 필터링과 함께 결합하여 고급 필터링 동작을 수행할 수 있습니다. ICF은 IP 주소에 대해 TCP 포트 445만 열도록 구성할 수 있으며 IPSec 필터를 사용하여 원본 주소로 내부 서브넷을 포함하는 패킷에만 이러한 구성을 적용할 수도 있습니다. 또한 IPSec은 모든 트래픽에 대해 보안을 협상하도록 구성할 수 있지만 ICF 구성은 인바운드 IKE(UDP 포트 500)와 SMB 파일 공유(TCP 포트 445)만 허용하여, 받아들이도록 허용될 인바운드 연결을 제한할 수 있습니다.

참조

TCP/IP 구현에 대한 자세한 내용은 Windows 2000의 TCP/IP 구현 세부 내용 백서를 참조하십시오. 이 내용을 참조하려면 다음 Microsoft 웹 사이트를 방문하십시오.
http://www.microsoft.com/korea/windows2000/techinfo/howitworks/communications/networkbasics/tcpip_implement.asp
IP 보안에 대한 자세한 내용은 Microsoft 기술 자료의 다음 문서를 참조하십시오.
253169 IPSec에서 보안할 수 있는 트래픽과 보안할 수 없는 트래픽
254728 IPSec이 도메인 컨트롤러 간의 Kerberos 트래픽을 보호하지 않는다
308127 Windows XP에서 인터넷 연결 방화벽에 있는 포트를 수동으로 여는 방법
810207 IPSec 기본 면제가 Windows Server 2003에서 제거된다




Microsoft 제품 관련 기술 전문가들과 온라인으로 정보를 교환하시려면 Microsoft 뉴스 그룹에 참여하시기 바랍니다.

속성

기술 자료: 811832 - 마지막 검토: 2004년 2월 19일 목요일 - 수정: 2.0
본 문서의 정보는 다음의 제품에 적용됩니다.
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Datacenter Server
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows XP Professional
키워드:?
kbinfo kbprb KB811832

피드백 보내기

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com