기술 자료: 816514 - 마지막 검토: 2007년 12월 3일 월요일 - 수정: 6.2

HOWTO: Windows Server 2003에서 IPSec 터널링 구성

이 문서가 적용되는 제품 보기.

시스템 팁본 문서의 내용은 귀하가 사용하는 운영 체제와 다른 운영 체제에 해당합니다. 문서 내용 중 귀하와 관련 없는 부분은 표시되지 않습니다.

이 문서의 Microsoft Windows 2000 버전에 대한 내용은 252735? (http://support.microsoft.com/kb/252735/KO/ ) 를 참조하십시오.

위로 가기

작업 내용

요약
추가 정보
참조

터널 모드에서 IP 보안(IPSec)을 사용하여 인터넷 프로토콜(IP) 패킷을 캡슐화하고 선택적으로 암호화할 수 있습니다. Windows Server 2003에서"순수 IPSec 터널"이라고도 하는 IPSec 터널 모드를 사용하는 기본 목적은 계층 2 터널링 프로토콜(L2TP)/IPSec 또는 PPTP 가상 개인 네트워크(VPN) 터널링 기술을 지원하지 않는 타사 라우터나 게이트웨이와 상호 운용하는 데 있습니다.

맨 위로

위로 가기

Windows Server 2003은 두 터널 종점에서 모두 고정 IP 주소를 사용하는 경우를 위해 IPSec 터널링을 지원합니다. 이것은 기본적으로 게이트웨이 간 구현에 유용하지만 게이트웨이/라우터와 서버 사이의 특수한 네트워크 보안 시나리오에도 적용할 수 있습니다(예: 내부 Windows Server 2003 기반 컴퓨터가 외부 클라이언트에 서비스를 제공하는 내부 서버로 IPSec 터널을 설정하여 내부 경로를 보호할 때 Windows Server 2003 라우터가 외부 인터페이스에서 이 내부 Windows Server 2003 기반 컴퓨터로 트래픽을 라우팅하는 경우).

IETF(Internet Engineering Task Force) IPSec RFC(Requests for Comments)는 현재 클라이언트에서 게이트웨이로의 연결을 위한 인터넷 키 교환(IKE) 프로토콜에서 원격 액세스 솔루션을 제공하지 않기 때문에 클라이언트 원격 액세스 VPN 사용에는 Windows Server 2003 IPSec 터널링이 지원되지 않습니다. 계층 2 터널링 프로토콜(L2TP)을 위한 IETF RFC 2661은 클라이언트 원격 액세스 VPN 연결을 위해 Cisco, Microsoft 및 다른 업체들이 특별히 개발했습니다. Windows Server 2003에서는 L2TP 터널 형식을 선택한 경우 IPSec 터널 모드 대신 전송 모드를 사용하는 자동 생성된 IPSec 정책을 사용하여 클라이언트 원격 액세스 VPN 연결을 보호합니다.

Windows Server 2003 IPSec 터널링은 프로토콜 및 포트에 특정한 터널도 지원하지 않습니다. Microsoft Management Console(MMC) IPSec 정책 스냅인이 매우 일반적으로 사용되며 모든 종류의 필터를 터널에 연결할 수 있도록 하지만, 터널 규칙에 대한 필터 지정에 주소 정보만 사용하도록 하십시오.

IPSec과 IKE 프로토콜의 작동 방식에 대한 자세한 내용은 Microsoft Windows Server 2003 Resource Kit를 참조하십시오.

이 문서에서는 Windows Server 2003 게이트웨이에서 IPSec 터널을 구성하는 방법을 설명합니다. IPSec 터널은 사용자가 구성하는 IPSec 필터에 지정된 트래픽만을 보호하므로 이 문서에서는 터널 외부에서 트래픽을 수신하거나 전달하지 못하도록 라우팅 및 원격 액세스 서비스(RRAS)에서 필터를 구성하는 방법도 설명합니다. 이 문서에서는 구성 단계를 쉽게 따라할 수 있도록 아래와 같은 시나리오를 사용합니다.

표 축소표 확대

NetA-
WIN2003intIP-

-Windows Server 2003 게이트웨이-
-WIN2003extIP-

-인터넷-

-타사 게이트웨이-
-3rdExtIP-

-NetB
-3rdIntIP

NetA는 Windows Server 2003 게이트웨이 내부 네트워크의 네트워크 ID입니다.

WIN2003intIP는 Windows Server 2003 게이트웨이 내부 네트워크 어댑터에 할당된 IP 주소입니다.

WIN2003extIP는 Windows Server 2003 게이트웨이 외부 네트워크 어댑터에 할당된 IP 주소입니다.

3rdExtIP는 타사 게이트웨이 외부 네트워크 어댑터에 할당된 IP 주소입니다.

3rdIntIP는 타사 게이트웨이 내부 네트워크 어댑터에 할당된 IP 주소입니다.

NetB는 타사 게이트웨이 내부 네트워크의 네트워크 ID입니다.

이 시나리오의 목적은 NetA에서 NetB로 트래픽을 라우팅하거나 NetB에서 NetA로 트래픽을 라우팅해야 할 때 보안 세션을 통해 트래픽이 라우팅될 수 있도록 Windows Server 2003 게이트웨이와 타사 게이트웨이에서 IPSec 터널을 설정하는 것입니다.

IPSec 정책을 구성하려면 NetA에서 NetB로 가는 패킷을 일치시키는 필터(터널 1)와 NetB에서 NetA로 가는 패킷을 일치시키는 필터(터널 2)를 만들어야 합니다. 또한, 터널에 보안을 적용하는 방법을 지정하는 필터 동작을 구성해야 합니다. 터널은 규칙으로 표현되므로 규칙 두 개가 만들어집니다.

맨 위로

위로 가기

IPSec 정책 만들기

일반적으로 Windows Server 2003 게이트웨이는 도메인의 구성원이 아니므로 로컬 IPSec 정책이 만들어집니다. Windows Server 2003 게이트웨이가 기본적으로 도메인의 모든 구성원에 적용되는 IPSec 정책을 갖는 도메인의 구성원이면 Windows Server 2003 게이트웨이가 로컬 IPSec 정책을 가질 수 없습니다. 이 경우 Active Directory에서 조직 구성 단위를 만들고 Windows Server 2003 게이트웨이를 이 조직 구성 단위의 구성원으로 만든 다음 조직 구성 단위의 그룹 정책 개체(GPO)에 IPSec 정책을 할당할 수 있습니다. 자세한 내용은 Windows Server 2003 온라인 도움말에서 "IPSec 정책 만들기, 수정 및 할당"을 참조하십시오.

시작, 실행을 차례로 누른 다음 secpol.msc을 입력하여 IP 보안 정책 관리 스냅인을 시작합니다.
IP 보안 정책(위치: 로컬 컴퓨터)를 마우스 오른쪽 단추로 누른 다음 IP 보안 정책 만들기를 누릅니다.
다음을 누르고 정책의 이름(예: 타사 게이트웨이를 가진 IPSec 터널)을 입력합니다. 다음을 누릅니다.

참고 설명 입력란에 정보를 입력할 수도 있습니다.
기본 응답 규칙 활성화 확인란 선택을 취소하고 다음을 누릅니다.
속성 편집 확인란은 선택된 상태로 두고 마침을 누릅니다.

참고 IKE 주 모드에 대한 기본 설정을 가진 IPSec 정책이 만들어집니다. IPSec 터널은 두 가지 규칙으로 구성되고 각 규칙은 터널 종점을 지정합니다. 터널 종점이 둘이기 때문에 규칙이 두 개 있습니다. 각 규칙의 필터는 규칙의 터널 종점으로 보내는 IP 패킷에서 원본 및 대상 IP 주소를 나타내야 합니다.

맨 위로

위로 가기

NetA에서 NetB로 가는 필터 목록 만들기

새 정책 등록 정보에서 추가 마법사 사용 확인란 선택을 취소한 다음 추가를 눌러 새 규칙을 만듭니다.
IP 필터 목록 탭을 누른 다음 추가를 누릅니다.
필터 목록의 적절한 이름을 입력하고 추가 마법사 사용 확인란 선택을 취소한 다음 추가를 누릅니다.
원본 주소 상자에서 특정 IP 서브넷을 누른 다음 NetA의 IP 주소와 서브넷 마스크를 입력합니다.
대상 주소 상자에서 특정 IP 서브넷을 누른 다음 NetB의 IP 주소와 서브넷 마스크를 입력합니다.
미러됨 확인란 선택을 취소합니다.
프로토콜 탭을 누릅니다. IPSec 터널은 프로토콜에 특정하거나 포트에 특정한 필터를 지원하지 않으므로 프로토콜 종류를 모두로 설정해야 합니다.
필터에 대한 설명을 입력하려면 설명 탭을 누릅니다. 일반적으로 필터 목록에 사용한 것과 동일한 이름을 필터에 지정하는 것이 좋습니다. 필터 이름은 터널이 활성화되어 있을 때 IPSec 모니터에 표시됩니다.
확인을 누릅니다.

맨 위로

위로 가기

NetB에서 NetA로 가는 필터 목록 만들기

IP 필터 목록 탭을 누른 다음 추가를 누릅니다.
필터 목록의 적절한 이름을 입력하고 추가 마법사 사용 확인란 선택을 취소한 다음 추가를 누릅니다.
원본 주소 상자에서 특정 IP 서브넷을 누른 다음 NetB의 IP 주소와 서브넷 마스크를 입력합니다.
대상 주소 상자에서 특정 IP 서브넷을 누른 다음 NetA의 IP 주소와 서브넷 마스크를 입력합니다.
미러됨 확인란 선택을 취소합니다.
필터에 대한 설명을 입력하려면 설명 탭을 누릅니다.
확인을 누릅니다.

맨 위로

위로 가기

NetA에서 NetB로 가는 터널을 위한 규칙 구성

IP 필터 목록 탭을 누른 다음 만든 필터 목록을 선택합니다.
터널 설정 탭을 누르고 다음 IP 주소로 터널 종점 지정 상자를 누른 다음 3rdextip를 입력합니다(여기에서 3rdextip는 타사 게이트웨이 외부 네트워크 어댑터에 할당된 IP 주소).
연결 형식 탭을 누르고 모든 네트워크 연결을 누릅니다. 또는 WIN2003extIP가 ISDN, PPP 또는 직접 연결 직렬 연결이 아니면 LAN(Local Area Network)을 누릅니다.
기본 필터 동작은 들어오는 트래픽을 일반 텍스트로 허용하므로 필터 동작 탭을 누르고 추가 마법사 사용 확인란 선택을 취소한 다음 추가를 눌러 새 필터 동작을 만듭니다.
보안 협상 옵션은 설정된 상태로 두고 보안되지 않은 통신을 받아들이지만 항상 IPSec을 사용하여 응답 확인란 선택을 취소합니다. 작업의 보안을 위해 이 단계를 수행해야 합니다.

참고 터널 규칙에 적용할 필터 동작을 처음 구성할 때는 필터 동작 대화 상자 아래쪽의 확인란이 선택되어 있지 않습니다. 터널의 반대쪽 끝에서도 PFS를 사용하도록 구성된 경우 세션 키 전달 완전 보안(PFS) 사용 확인란만 터널에 유효한 설정입니다.
추가를 누르고 무결성 및 암호화 옵션은 선택된 상태로 둡니다. 또는 특정 알고리즘과 세션 키 동작 기간을 정의하려면 사용자 지정(전문가용) 옵션을 선택할 수 있습니다. ESP(Encapsulating Security Payload)는 두 IPSec 프로토콜 중 하나입니다.
확인을 누릅니다. 일반 탭을 누르고 새 필터 동작의 이름(예: IPSec 터널: ESP DES/MD5)을 입력한 다음 확인을 누릅니다.
방금 만든 필터 동작을 선택합니다.
인증 방법 탭을 누르고 원하는 인증 방법을 구성합니다. 테스트용이면 미리 공유한 키를 사용하고 아니면 인증서를 사용합니다. 터널의 양 끝이 모두 트러스트된 도메인에 있고 터널의 IKE 협상 동안(설정되기 전) 네트워크에서 터널의 양 끝이 각 트러스트된 도메인의 IP 주소(도메인 컨트롤러의 IP 주소)에 도달할 수 있으면 Kerberos가 기술적으로 가능합니다. 하지만 이것은 드문 경우입니다.
닫기를 누릅니다.

맨 위로

위로 가기

NetB에서 NetA로 가는 터널을 위한 규칙 구성

IPSec 정책 등록 정보에서 추가를 눌러 새 규칙을 만듭니다.
IP 필터 목록 탭을 누른 다음 만든 필터 목록을 선택합니다(NetB에서 NetA로 가는 필터 목록).
터널 설정 탭을 누르고 다음 IP 주소로 터널 종점 지정 상자를 누른 다음 WIN2003extIP를 입력합니다(여기에서 WIN2003extIP는 Windows Server 2003 게이트웨이 외부 네트워크 어댑터에 할당된 IP 주소).
연결 형식 탭을 누르고 모든 네트워크 연결을 누릅니다. 또는 WIN2003extIP가 ISDN, PPP 또는 직접 연결 직렬 연결이 아니면 LAN(Local Area Network)을 누릅니다. 필터와 일치하는 인터페이스 형식에서 모든 아웃바운드 트래픽은 규칙에 지정된 터널 종점으로 터널링되려고 합니다. 필터와 일치하는 인바운드 트래픽은 IPSec 터널로 보호되어 수신되어야 하기 때문에 버려집니다.
필터 동작 탭을 누른 다음 만든 필터 동작을 선택합니다.
인증 방법 탭을 누르고 첫 번째 규칙에 사용한 것과 동일한 방법을 구성합니다. 두 규칙에서 동일한 방법을 사용해야 합니다.
확인을 누르고 만든 두 규칙이 모두 정책에서 사용 가능하게 설정되어 있는지 확인한 다음 확인을 다시 누릅니다.

맨 위로

위로 가기

Windows Server 2003 게이트웨이에 IPSec 정책 새로 할당

로컬 컴퓨터 MMC 스냅인의 IP 보안 정책에서 새 정책을 마우스 오른쪽 단추로 누른 다음 할당을 누릅니다. 정책 옆의 폴더 아이콘에 녹색 화살표가 표시됩니다.

정책을 할당하고 나면 추가로 두 개의 활성 필터를 갖게 됩니다. 라우팅 및 원격 액세스가 자동으로 L2TP 트래픽을 위한 IPSec 필터를 만듭니다. 활성 필터를 보려면 명령 프롬프트에서 다음 명령을 입력하십시오.

netdiag /test:ipsec /debug

선택적으로 이 명령의 출력을 텍스트 파일로 보내 저장한 후 메모장 같은 텍스트 편집기에서 보려면 다음 명령을 입력하십시오.

netdiag /test:ipsec /debug > filename.txt

netdiag 명령은 Microsoft Windows Server 2003 Support Tools를 설치해야 사용할 수 있습니다. Microsoft Windows Server 2003 Support Tools를 설치하려면 Windows Server 2003 CD-ROM에서 Support\Tools 폴더를 찾아 Suptools.msi 파일을 마우스 오른쪽 단추로 누른 다음 설치를 누릅니다. 설치한 후에는 %SystemRoot%\Program Files\Support Tools 폴더에서 netdiag 명령을 실행해야 할 수도 있습니다. 여기에서 %SystemRoot%는 Windows Server 2003이 설치된 드라이브입니다.

터널 필터는 다음 예와 유사하게 나타납니다.

Local IPSec Policy Active: 'IPSec tunnel with {tunnel endpoint}' IP Security Policy Path:SOFTWARE\Policies\Microsoft\Windows\IPSec\Policy\Local\ipsecPolicy{-longnumber-}There are two filtersFrom NetA to NetBFilter ID: {-long number-}Policy ID: {-long number-}IPSEC_POLICY PolicyId = {-long number-}Flags: 0x0Tunnel Addr: 0.0.0.0PHASE 2 OFFERS Count = 1Offer #0:ESP[ DES MD5 HMAC]Rekey: 0 seconds / 0 bytes.AUTHENTICATION INFO Count = 1Method = Preshared key: -actual key-Src Addr: NetA Src Mask: -subnet mask- Dest Addr: NetB Dest Mask: -subnet mask-Tunnel Addr: 3rdExtIP Src Port: 0 Dest Port: 0Protocol: 0 TunnelFilter: YesFlags : OutboundFrom NetB to NetAFilter ID: {-long number-}Policy ID: {-long number-}IPSEC_POLICY PolicyId = {-long number-}Flags: 0x0Tunnel Addr: 0.0.0.0PHASE 2 OFFERS Count = 1Offer #0:ESP[ DES MD5 HMAC]Rekey: 0 seconds / 0 bytes.AUTHENTICATION INFO Count = 1Method = Preshared key: -actual key-Src Addr: NetB Src Mask: -subnet mask-Dest Addr: NetA Dest Mask: -subnet mask-Tunnel Addr: W2KextIP Src Port: 0 Dest Port: 0Protocol: 0 TunnelFilter: YesFlags: Inbound

맨 위로

위로 가기

라우팅 및 원격 액세스 필터링 구성

원본 또는 대상 주소가 NetA 또는 NetB와 일치하지 않는 트래픽을 방지하려면 라우팅 및 원격 액세스 MMC에서 외부 인터페이스에 대한 출력 필터를 만들어 NetA에서 NetB로 가는 패킷을 제외한 모든 트래픽을 버리도록 하고, 입력 필터를 만들어 NetB에서 NetA로 가는 패킷을 제외한 모든 트래픽을 버리도록 합니다. 또한 WIN2003extIP와 3rdExtIP의 트래픽을 허용하여 터널이 만들어지는 동안 IKE 협상이 가능하도록 해야 합니다. 라우팅 및 원격 액세스 필터링은 IPSec을 통해 수행됩니다. IPSec 프로토콜은 IP 패킷 필터 계층에 도달하지 않기 때문에 이 프로토콜을 허용할 필요는 없습니다. 아래 예제는 Windows Server 2003 TCP/IP 아키텍처를 매우 단순하게 표현한 것입니다.

응용 프로그램 계층 
전송 계층(TCP|UDP|ICMP|RAW) 
---- 네트워크 계층 시작 ---- 
IP 패킷 필터(NAT/라우팅 및 원격 액세스 필터링 수행) 
IPSec(IPSec 필터 구현) 
조각화/리어셈블리 
---- 네트워크 계층 끝 ------ 
NDIS 인터페이스 
데이터링크 계층 
실제 계층

라우팅 및 원격 액세스 서비스에서 필터를 구성하려면 라우팅 및 원격 액세스 MMC를 로드하고 다음과 같이 하십시오.

서버 트리를 확장하고 라우팅 및 원격 액세스에서 IP 라우팅 하위 트리를 확장한 다음 일반을 누릅니다.
WIN2003extIP를 마우스 오른쪽 단추로 누른 다음 속성을 누릅니다.
아웃바운드 필터를 누른 다음 새로 만들기를 누릅니다.
원본 네트워크 및 대상 네트워크 확인란을 선택합니다.
원본 네트워크 상자에서 NetA의 IP 주소와 서브넷 마스크를 입력합니다.
대상 네트워크 상자에서 NetB의 IP 주소와 서브넷 마스크를 입력합니다.
프로토콜을 모두로 설정된 상태로 두고 확인을 누릅니다.
새로 만들기를 누른 다음 원본 네트워크 및 대상 네트워크 확인란을 선택합니다.
원본 네트워크 상자에서 WIN2003extIP의 IP 주소와 서브넷 마스크를 입력합니다.
대상 네트워크 상자에 3rdExtIP의 IP 주소와 서브넷 마스크를 입력합니다. IKE 협상의 경우 서브넷 마스크 255.255.255.255를 사용합니다.
프로토콜을 모두로 설정된 상태로 두고 확인을 누릅니다.
아래 조건에 맞지 않는 모든 패킷 버리기 확인란을 선택한 다음 확인을 누릅니다.
입력 필터를 누르고 추가를 누른 다음 원본 네트워크 및 대상 네트워크 확인란을 선택합니다.
원본 네트워크 상자에서 NetB의 IP 주소와 서브넷 마스크를 입력합니다.
대상 네트워크 상자에서 NetA의 IP 주소와 서브넷 마스크를 입력합니다.
프로토콜을 모두로 설정된 상태로 두고 확인을 누릅니다.
새로 만들기를 누른 다음 원본 네트워크 및 대상 네트워크 확인란을 선택합니다.
원본 네트워크 상자에 3rdExtIP의 IP 주소와 서브넷 마스크를 입력합니다.
대상 네트워크 상자에 WIN2003extIP의 IP 주소와 서브넷 마스크를 입력합니다. IKE 협상의 경우 서브넷 마스크 255.255.255.255를 사용합니다.
프로토콜을 모두로 설정된 상태로 두고 확인을 누릅니다.
아래 조건에 맞지 않는 모든 패킷 버리기 확인란을 눌러 선택한 다음 확인을 두 번 누릅니다.

참고 라우팅 및 원격 액세스 서버에 인터넷에 연결된 인터페이스가 둘 이상 있거나 IPSec 터널이 여러 개 있으면 각 인터넷 인터페이스에 대한 IPSec 터널(원본 및 대상 IP 서브넷)마다 라우팅 및 원격 액세스 면제(exempt) 필터를 만드십시오.

맨 위로

위로 가기

라우팅 및 원격 액세스에서 고정 경로 구성

Windows Server 2003 게이트웨이는 NetB에 대한 경로 테이블에 경로를 갖고 있어야 합니다. 이 경로를 구성하려면 라우팅 및 원격 액세스 MMC에서 고정 경로를 추가해야 합니다. Windows Server 2003 게이트웨이가 동일한 외부 네트워크에서 네트워크 어댑터를 두 개 이상 사용하는 멀티홈이거나 대상 터널 IP 3rdExtIP에 도달할 수 있는 둘 이상의 네트워크를 갖고 있으면 다음과 같은 가능성이 있습니다.

한 인터페이스에서 아웃바운드 터널 트래픽을 전송하고 다른 인터페이스에서 인바운드 터널 트래픽을 받습니다. IPSec 오프로드 네트워크 어댑터를 사용하는 경우에도 아웃바운드 인터페이스만 보안 연결(SA)을 오프로드할 수 있기 때문에 아웃바운드 터널 트래픽이 전송되는 인터페이스가 아닌 다른 인터페이스에서 수신하는 경우 수신하는 네트워크 어댑터가 하드웨어에서 암호화를 처리할 수 없습니다.
터널 종점 IP 주소가 있는 인터페이스가 아닌 다른 인터페이스에서 아웃바운드 터널 트래픽이 전송됩니다. 터널링된 패킷의 원본 IP는 아웃바운드 인터페이스의 원본 IP입니다. 이 원본 IP가 반대쪽 끝에서 예상하는 원본 IP가 아니면 터널이 설정되지 않으며, 터널이 이미 설정된 경우에는 원격 종점에서 패킷을 버립니다.

잘못된 인터페이스에서 아웃바운드 터널 트래픽을 보내지 않으려면 NetB로 가는 트래픽을 적절한 외부 인터페이스에 바인딩하는 고정 경로를 정의합니다.

라우팅 및 원격 액세스 MMC에서 서버 트리, IP 라우팅 하위 트리를 차례로 확장하고 고정 경로를 마우스 오른쪽 단추로 누른 다음 새 고정 경로를 누릅니다.
인터페이스 상자에서 WIN2003extIP를 누릅니다(이것이 아웃바운드 터널 트래픽에 항상 사용하려는 인터페이스인 경우).
NetB에 대한 대상 네트워크와 네트워크 마스크를 입력합니다.
게이트웨이 상자에 3rdextip를 입력합니다.
메트릭 값을 기본값(1)으로 두고 확인을 누릅니다.

참고 잘못된 인터페이스에서 인바운드 터널 트래픽을 수신하는 문제를 해결하려면 라우팅 프로토콜을 사용하여 인터페이스의 IP 주소를 알리지 말고, 이 문서의 "라우팅 및 원격 액세스 필터링 구성" 절에서 설명하는 것처럼 NetA 또는 WIN2003extIP로 가는 패킷을 버리도록 라우팅 및 원격 액세스 서비스에서 필터를 구성하십시오.

맨 위로

위로 가기

IPSec 터널 테스트

NetA의 컴퓨터에서 NetB의 컴퓨터로(또는 NetB의 컴퓨터에서 NetA의 컴퓨터로) Ping을 수행하여 터널을 시작할 수 있습니다. 필터를 제대로 만들어 올바른 정책에 할당했으면 두 게이트웨이가 Ping 명령에서 암호화된 형식으로 ICMP 트래픽을 보낼 수 있도록 IPSec 터널을 설정할 수 있습니다. Ping 명령이 작동하더라도 게이트웨이 간에 ICMP 트래픽이 암호화된 형식으로 전송되었는지 확인해야 합니다. 이를 위해 다음과 같은 도구를 사용할 수 있습니다.

맨 위로

위로 가기

로그온 이벤트와 개체 액세스에 대한 감사를 사용 가능하게 설정

감사를 사용 가능하게 설정하면 보안 로그에 이벤트가 기록되고, IKE 보안 연결 협상이 시도되었는지 여부와 협상의 성공 여부를 알려줍니다.

그룹 정책 MMC 스냅인을 사용하여 로컬 컴퓨터 정책, 컴퓨터 구성, Windows 설정, 보안 설정, 로컬 정책을 차례로 확장한 다음 감사 정책을 누릅니다.
로그온 이벤트 감사와 개체 액세스 감사에 대해 성공 및 실패 감사를 사용 가능하게 설정합니다.

참고 Windows Server 2003 게이트웨이가 도메인의 구성원이고 감사를 위한 도메인 정책을 사용 중이면 도메인 정책이 로컬 정책을 덮어씁니다. 이런 경우에는 도메인 정책을 수정하십시오.

맨 위로

위로 가기

IP 보안 모니터

IP 보안 모니터 콘솔에는 IPSec 통계와 활성 보안 연결(SA)이 표시됩니다. Ping 명령을 사용하여 터널을 설정한 후 SA가 만들어졌는지 확인할 수 있습니다. 터널이 성공적으로 설정되었으면 SA가 표시됩니다. Ping 명령은 성공했지만 SA가 표시되지 않으면 IPSec에 의해 ICMP 트래픽이 보호되는 않은 것입니다. 이전에 없던 "소프트 연결"이 나타나면 IPSec이 이 트래픽을 암호화하지 않은 일반 데이터로 전송하도록 허용한 것입니다. "소프트 연결"에 대한 자세한 내용은 Microsoft 기술 자료의 다음 문서를 참조하십시오.

234580? (http://support.microsoft.com/kb/234580/KO/ ) IPSec을 사용하는 컴퓨터와 IPSec을 사용하지 않는 컴퓨터 간의 "소프트 연결"

참고 Microsoft Windows XP와 Windows Server 2003 제품군에서 IP 보안 모니터는 Microsoft Management Console(MMC) 콘솔로 구현되어 있습니다. IP 보안 모니터 스냅인을 추가하려면 다음과 같이 하십시오.

시작을 누르고 실행을 누른 다음 MMC를 입력하고 확인을 누릅니다.
파일, 스냅인 추가/제거를 차례로 누른 다음 추가를 누릅니다.
IP 보안 모니터를 누른 다음 추가를 누릅니다.
닫기를 누른 다음 확인을 누릅니다.

맨 위로

위로 가기

네트워크 모니터

컴퓨터에 Ping 명령을 시도할 때 네트워크 모니터를 사용하여 WIN2003extIP 인터페이스를 통과하는 트래픽을 캡처할 수 있습니다. Ping을 시도하는 컴퓨터 및 핑의 대상이 되는 컴퓨터의 IP 주소와 상응하는 원본 및 대상 IP 주소를 가진 ICMP 패킷이 캡처 파일에 나타나면 IPSec이 트래픽을 보호하지 않는 것입니다. 이 ICMP 트래픽은 나타나지 않지만 대신 ISAKMP 및 ESP 패킷이 나타나면 IPSec이 트래픽을 보호하고 있는 것입니다. AH(인증 헤더) IPSec 프로토콜만 사용하고 있으면 ISAKMP 트래픽이 나타나고 이어서 ICMP 패킷이 나타납니다. ISAKMP 패킷에서 실제 IKE 협상이 이루어지며 ESP 패킷은 IPSec 프로토콜로 암호화된 페이로드 데이터입니다.

네트워크 모니터를 설치하려면 다음과 같이 하십시오.

시작, 제어판, 프로그램 추가/제거를 차례로 누른 다음 Windows 구성 요소 추가/제거를 누릅니다.
Windows 구성 요소 마법사에서 관리 및 모니터링 도구를 누른 다음 자세히를 누릅니다.
관리 및 모니터링 도구의 하위 구성 요소에서 네트워크 모니터 도구 확인란을 선택한 다음 확인을 누릅니다.
추가 파일을 요청하는 메시지가 나타나면 사용 중인 운영 체제의 설치 CD를 넣거나 네트워크에서 파일이 있는 위치의 경로를 입력합니다.

맨 위로

위로 가기

실제 테스트

한 서브넷의 컴퓨터에서 다른 서브넷(NetA 또는 NetB)으로 Ping을 시도하기 전에 명령 프롬프트에서 ipconfig를 입력합니다. TCP/IP 스택에서 초기화된 네트워크 인터페이스가 표시됩니다.
IP 보안 모니터 도구를 시작합니다.
네트워크 모니터를 시작한 다음 캡처 메뉴에서 네트워크를 누릅니다. WIN2003extIP 인터페이스를 누른 다음 확인을 누릅니다.
컴퓨터에 Ping을 시도합니다. IPSec 터널을 만드는 동안 첫 번째 ICMP 에코 패킷(Echo Packet)은 시간이 초과될 수 있습니다. Ping이 성공적이지 않으면 보안 로그와 시스템 로그를 확인합니다.
Ping이 성공적이면 네트워크 모니터 캡처를 중지하고 ICMP 트래픽이 일반 데이터로 전송되었는지 또는 ISAKMP 및 IPSec 프로토콜 패킷이 나타나는지 알아봅니다. IP 보안 모니터를 검사하여 NetA에서 NetB로 가는 필터를 사용하여 SA가 만들어졌는지 확인합니다. 또한 보안 로그도 확인합니다. 이벤트 ID 541(IKE 보안 연결 설정)이 표시될 것입니다.
명령 프롬프트에서 다시 ipconfig를 입력하여 터널을 사용하는 동안 추가 TCP/IP 인터페이스가 없는 것을 확인합니다. 추가 TCP/IP 인터페이스가 없는 것은 IPSec이 실제 인터페이스(WIN2003extIP)를 통과하는 트래픽을 보호하기 때문입니다.

원격 게이트웨이도 Windows Server 2003 노드이면 다음 사항에 유의해야 합니다.
- NetA에서 클라이언트의 기본 게이트웨이는 WIN2003extIP이고, NetB에서 클라이언트의 기본 게이트웨이는 3rdIntIP입니다.
- IPSec 터널은 Windows Server 2003 게이트웨이에서 트래픽이 라우팅되는 방식을 변경하지 않습니다. 이 게이트웨이는 라우팅 및 원격 액세스에서 라우팅이 사용 가능하게 설정되어 있기 때문에 패킷을 라우팅할 수 있습니다. 실제 LAN 또는 WAN 인터페이스 메트릭은 계속 사용됩니다.

맨 위로

위로 가기

참조

라우팅 및 원격 액세스 서비스에 대한 자세한 내용은 Windows Server 2003 온라인 도움말을 참조하십시오.

Windows Server 2003 Resource Kit와 다른 기술 문서를 보려면 다음 Microsoft 웹 사이트를 방문하십시오.

http://www.microsoft.com/korea/windowsserver2003/ (http://www.microsoft.com/korea/windowsserver2003/)

IETF 표준 정보를 보려면 다음 사이트를 방문하십시오.

IPSec
http://www.ietf.org/html.charters/OLD/ipsec-charter.html (http://www.ietf.org/html.charters/OLD/ipsec-charter.html)
L2TP
http://www.ietf.org/html.charters/pppext-charter.html (http://www.ietf.org/html.charters/pppext-charter.html)
ftp://ftp.isi.edu/in-notes/rfc2661.txt (ftp://ftp.isi.edu/in-notes/rfc2661.txt)
http://www.ietf.org/html.charters/l2tpext-charter.html (http://www.ietf.org/html.charters/l2tpext-charter.html)

이 문서에 포함된 다른 공급업체의 연락처 정보는 기술 지원을 받는 데 도움을 주기 위한 것입니다. 이 연락처 정보는 예고 없이 변경될 수 있습니다. Microsoft는 이러한 다른 공급업체 연락처 정보의 정확성을 보증하지 않습니다.

Microsoft 제품 관련 기술 전문가들과 온라인으로 정보를 교환하시려면 Microsoft 뉴스 그룹 (http://support.microsoft.com/newsgroups/default.aspx) 에 참여하시기 바랍니다.

위로 가기

본 문서의 정보는 다음의 제품에 적용됩니다.

Microsoft Windows Server 2003, Standard Edition (32-bit x86)
Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
Microsoft Windows Small Business Server 2003 Standard Edition
Microsoft Windows Small Business Server 2003 Premium Edition

위로 가기

kbhowtomaster KB816514

위로 가기

추가 리소스

추가 지원 사이트

커뮤니티

This site in other countries/regions:

HOWTO: Windows Server 2003에서 IPSec 터널링 구성

작업 내용

이 페이지에서

요약

IPSec 정책 만들기

NetA에서 NetB로 가는 필터 목록 만들기

NetB에서 NetA로 가는 필터 목록 만들기

NetA에서 NetB로 가는 터널을 위한 규칙 구성

NetB에서 NetA로 가는 터널을 위한 규칙 구성

Windows Server 2003 게이트웨이에 IPSec 정책 새로 할당

라우팅 및 원격 액세스 필터링 구성

라우팅 및 원격 액세스에서 고정 경로 구성

IPSec 터널 테스트

로그온 이벤트와 개체 액세스에 대한 감사를 사용 가능하게 설정

IP 보안 모니터

네트워크 모니터

실제 테스트

참조

본 문서의 정보는 다음의 제품에 적용됩니다.

키워드:?

추가 지원 사이트

커뮤니티

도움 받기

기술 자료 번역

관련 솔루션 센터

Get Help Now