IPSec 설정 구성
IPSec(Internet Protocol Security) 또는 IPsec은 인터넷 네트워크를 포함한 네트워크를 통해 전송되는 데이터를 암호화하는 프로토콜 집합입니다. TLS은 웹 브라우저나 이메일 응용 프로그램과 같은 특정 응용 프로그램에서 사용되는 데이터만 암호화하지만 IPSec은 IP 패킷 전체 또는 IP 패킷의 페이로드를 암호화하며, TLS보다 더 융통성 있는 보안 시스템을 제공합니다. 본 기기의 IPSec은 IP 패킷의 페이로드가 암호화되는 전송 모드에서 작동합니다. 이 기능을 통해 본 기기는 동일한 VPN(Virtual Private Network)에 있는 컴퓨터에 직접 연결할 수 있습니다. 기기를 구성하기 전에 컴퓨터에서 시스템 요구 사항을 확인하고 필요한 구성을 설정하십시오.
시스템 요구 사항
본 기기에서 지원하는 IPSec은 RFC2401, RFC2402, RFC2406 및 RFC4305를 준수합니다.
운영 체제 | Windows XP/Vista/7/8/8.1/Server 2003/Server 2008/Server 2012 |
연결 모드 | 전송 모드 |
키 교환 프로토콜 | IKEv1(기본 모드) |
인증 방법 | 사전 공유된 키 디지털 서명 |
해시 알고리즘 (및 키 길이) | HMAC-SHA1-96 HMAC-SHA2(256 비트 또는 384 비트)
|
암호화 알고리즘 (및 키 길이) | 3DES-CBC AES-CBC(128 비트, 192 비트 또는 256 비트)
|
키 교환 알고리즘/그룹(및 키 길이) | DH(Diffie-Hellman) 그룹 1(768 비트) 그룹 2(1024 비트)
그룹 14(2048 비트)
|
ESP | 해시 알고리즘 | HMAC-SHA1-96 |
암호화 알고리즘 (및 키 길이) | 3DES-CBC AES-CBC(128 비트, 192 비트 또는 256 비트)
|
해시 알고리즘/암호화 알고리즘(및 키 길이) | AES-GCM(128 비트, 192 비트 또는 256 비트) |
AH | 해시 알고리즘 | HMAC-SHA1-96 |
|
IPSec 기능 제한IPSec은 유니캐스트 주소(또는 단일 장치)와의 통신을 지원합니다. IPSec은 NAT 또는 IP 마스커레이드가 구현된 네트워크에서 사용할 수 없습니다.
IP 주소 필터에서 IPSec 사용IP 주소 필터 설정은 IPSec 정책보다 먼저 적용됩니다. |
IPSec 설정 구성
암호화된 통신에 IPSec을 사용하기 전에 보안 정책(SP)을 등록해야 합니다. 보안 정책은 아래 설명된 설정 그룹으로 구성됩니다. 최대 10개의 정책을 등록할 수 있습니다. 정책을 등록한 후에 적용되는 순서를 지정합니다.
셀렉터
셀렉터는 IPSec 통신을 적용할 IP 패킷의 조건을 정의합니다. 선택 가능한 조건에는 기기의 IP 주소와 포트 번호 및 통신할 장치가 포함됩니다.
IKE
IKE는 키 교환 프로토콜에 사용되는 IKEv1을 구성합니다. 내용은 선택한 인증 방법에 따라 다릅니다.
[사전 공유키 방식]
최대 24자의 영숫자 문자로 구성된 키를 다른 장치와 공유할 수 있습니다. 이 인증 방법을 지정하기 전에 리모트 UI에 대해 TLS을 활성화하십시오 (
리모트 UI에 TLS 암호화 통신 활성화).
[전자서명 방식]
본 기기와 다른 장치들은 각자의 디지털 서명을 상호 확인하는 방식으로 서로 인증합니다. 먼저 키 쌍을 생성하고 설치하십시오 (
키 쌍 및 디지털 인증서에 대한 설정 구성).
AH/ESP
IPSec 통신 중에 패킷에 추가되는 AH/ESP에 대한 설정을 지정합니다. AH와 ESP를 동시에 사용할 수 있습니다. 보안 강화를 위해 PFS를 활성화할지 여부를 선택할 수도 있습니다.
1
리모트 UI를 시작하고 시스템 관리자 모드로 로그온합니다.
리모트 UI 시작2
[설정/등록]을 클릭합니다.
3
[보안 설정]
[IPSec 설정]을 클릭합니다.
4
[편집...]을 클릭합니다.
5
[IPSec 사용] 확인란을 선택하고 [확인]을 클릭합니다.
기기가 아래 단계에서 정의하는 보안 정책 중 하나와 일치하는 패킷만 수신하도록 하려면 [폴리시외 패킷의 수신] 확인란의 선택을 해제합니다.
6
[신규 폴리시를 등록합니다...]를 클릭합니다.
7
정책 설정을 지정합니다.
1 | [폴리시명] 텍스트 상자에 정책을 식별하는 데 사용되는 이름으로 최대 24자의 영숫자 문자를 입력합니다. |
2 | [폴리시 유효] 확인란을 선택합니다. |
8
셀렉터 설정을 지정합니다.
[로컬 주소]
정책을 적용할 기기의 IP 주소 유형에 대해 라디오 버튼을 클릭합니다.
[모든 IP 주소] | 모든 IP 패킷에 대해 IPSec을 사용하려면 선택합니다. |
[IPv4 주소] | 기기의 IPv4 주소를 통해 송수신되는 모든 IP 패킷에 대해 IPSec을 사용하려면 선택합니다. |
[IPv6 주소] | 기기의 IPv6 주소를 통해 송수신되는 모든 IP 패킷에 대해 IPSec을 사용하려면 선택합니다. |
[리모트 주소]
정책을 적용할 다른 장치의 IP 주소 유형에 대해 라디오 버튼을 클릭합니다.
[모든 IP 주소] | 모든 IP 패킷에 대해 IPSec을 사용하려면 선택합니다. |
[모든 IPv4 주소] | 다른 장치의 IPv4 주소를 통해 송수신되는 모든 IP 패킷에 대해 IPSec을 사용하려면 선택합니다. |
[모든 IPv6 주소] | 다른 장치의 IPv6 주소를 통해 송수신되는 모든 IP 패킷에 대해 IPSec을 사용하려면 선택합니다. |
[IPv4 수동 설정] | IPSec을 적용할 단일 IPv4 주소 또는 IPv4 주소 범위를 지정하려면 선택합니다. [수동으로 설정할 주소] 텍스트 상자에 IPv4 주소(또는 범위)를 입력합니다. |
[IPv6 수동 설정] | IPSec을 적용할 단일 IPv6 주소 또는 IPv6 주소 범위를 지정하려면 선택합니다. [수동으로 설정할 주소] 텍스트 상자에 IPv6 주소(또는 범위)를 입력합니다. |
[주소 수동 설정]
[리모트 주소]에 대해 [IPv4 수동 설정] 또는 [IPv6 수동 설정]을 선택한 경우 정책을 적용할 IP 주소를 입력합니다. 주소 사이에 하이픈을 삽입하여 주소 범위를 입력할 수도 있습니다.
IP 주소 입력 | 설명 | 예 |
단일 주소 입력 | IPv4: 마침표로 숫자를 구분합니다. | 192.168.0.10 |
IPv6: 콜론으로 영숫자 문자를 구분합니다. | fe80::10 |
주소 범위 지정 | 주소 사이에 하이픈을 삽입합니다. | 192.168.0.10-192.168.0.20 |
프리픽스로 주소 범위 지정(IPv6만 해당) | 프리픽스 길이를 나타내는 숫자를 입력합니다. | 64 |
[서브넷 설정]
IPv4 주소를 수동으로 지정할 경우 서브넷 마스크를 사용하여 범위를 명시할 수 있습니다. 숫자를 구분하려면 마침표를 사용하여 서브넷 마스크를 입력합니다(예:"255.255.255.240").
[프리픽스 길이]
IPv6 주소의 범위를 수동으로 지정하기 위해서 프리픽스 길이를 사용해서 범위를 지정할 수도 있습니다. 프리픽스 길이는 0~128까지의 범위로 지정해 주십시오(예: "64").
[로컬 포트]/[리모트 포트]
HTTP 또는 SMTP 등의 각 프로토콜에 대해 개별 정책을 생성하려면 프로토콜에 대해 해당 포트 번호를 입력하여 IPSec을 사용할지 여부를 판별합니다.
IPSec은 다음 패킷에 적용되지 않습니다루프백, 멀티캐스트, 브로드캐스트 패킷
IKE 패킷(포트 500에서 UDP 사용)
ICMPv6 인접 요청 및 인접 광고 패킷
9
IKE 설정을 지정합니다.
[IKE 모드]
키 교환 프로토콜에 사용되는 모드가 표시됩니다. 본 기기는 적극적인 모드가 아니라 기본 모드를 지원합니다.
[인증방법]
기기 인증 시 사용되는 방법에 대해 [사전 공유키 방식] 또는 [전자서명 방식]을 선택합니다. [사전 공유키 방식](
리모트 UI에 TLS 암호화 통신 활성화)을 선택하기 전에 리모트 UI에 대해 TLS을 활성화해야 합니다. [전자서명 방식](
키 쌍 및 디지털 인증서에 대한 설정 구성)을 선택하기 전에 키 쌍을 생성하거나 설치해야 합니다.
[유효시간]
IKE SA(ISAKMP SA)에 대해 세션 지속 기간을 지정합니다. 분 단위로 시간을 입력합니다.
[인증]/[암호]/[DH 그룹]
드롭다운 목록에서 알고리즘을 선택합니다. 각 알고리즘은 키 교환에 사용됩니다.
[인증] | 해시 알고리즘을 선택합니다. |
[암호] | 암호화 알고리즘을 선택합니다. |
[DH 그룹] | 키 강도를 판별하는 Diffie-Hellman 그룹을 선택합니다. |
인증에 사전 공유키 사용
1 | [인증방법]에 대해 [사전 공유키 방식] 라디오 버튼을 클릭한 다음 [공유키 설정...]을 클릭합니다. |
2 | 사전 공유키에 대해 최대 24자의 영숫자 문자를 입력하고 [확인]을 클릭합니다. |
3 | [유효시간] 및 [인증]/[암호]/[DH 그룹] 설정을 지정합니다. |
인증에 키 쌍 및 사전 설치된 CA 인증서 사용
1 | [인증방법]에 대해 [전자서명 방식] 라디오 버튼을 클릭한 다음 [키 및 증명서...]를 클릭합니다. |
2 | 사용하려는 키 쌍 오른쪽에서 [사용키 등록]을 클릭합니다. 키 쌍 또는 인증서 세부 정보 보기[키 이름] 아래의 해당 텍스트 링크 또는 인증서 아이콘을 클릭하면 인증서 세부 정보를 확인하거나 인증서를 확인할 수 있습니다. 키 쌍, 장치 서명 키 및 인증서 확인 |
3 | [유효시간] 및 [인증]/[암호]/[DH 그룹] 설정을 지정합니다. |
10
IPSec 네트워크 설정을 지정합니다.
[PFS 사용]
IPSec 세션 키에 대해 PFS(Perfect Forward Secrecy)를 활성화하려면 확인란을 선택합니다. PFS를 활성화하면 보안이 강화되지만 통신에서 부하가 증가합니다. 다른 장치에 대해서도 PFS가 활성화되었는지 확인하십시오.
[시간으로 지정]/[크기로 지정]
IPSec SA에 대해 세션 종료 조건을 설정합니다. IPSec SA는 통신 터널로 사용됩니다. 필요에 따라 확인란 중 하나 또는 모두를 선택합니다. 두 확인란이 모두 선택된 경우 조건 중 하나라도 충족되면 IPSec SA 세션이 종료됩니다.
[시간으로 지정] | 세션이 지속되는 기간을 지정하려면 분 단위로 시간을 입력합니다. |
[크기로 지정] | 세션에서 전송되는 데이터 양을 지정하려면 메가바이트 단위로 크기를 입력합니다. |
[알고리즘 선택]
IPSec 헤더 및 사용된 알고리즘에 따라 [ESP], [ESP (AES-GCM)] 또는 [AH (SHA1)] 확인란을 선택합니다. AES-GCM은 인증 및 암호화 알고리즘입니다. [ESP]가 선택된 경우 [EPS 인증] 및 [EPS 암호] 드롭다운 목록에서 인증 및 암호화 알고리즘을 선택합니다.
[EPS 인증] | ESP 인증을 활성화하려면 해시 알고리즘에 대해 [SHA1]을 선택합니다. ESP 인증을 비활성화하려면 [사용안함]을 선택합니다. |
[EPS 암호] | ESP에 대해 암호화 알고리즘을 선택합니다. 알고리즘을 지정하지 않으려면 [NULL]을 선택하거나 ESP 암호화를 비활성화하려면 [사용안함]을 선택할 수 있습니다. |
[접속모드]
IPSec의 연결 모드가 표시됩니다. 본 기기는 IP 패킷의 페이로드를 암호화하는 전송 모드를 지원합니다. 전체 IP 패킷(헤더 및 페이로드)을 캡슐화하는 터널 모드는 사용할 수 없습니다.
11
[확인]을 클릭합니다.
보안 정책을 추가로 등록하려면 6단계로 돌아갑니다.
12
[등록된 IPSec 폴리시] 아래 나열되는 정책의 순서를 조정합니다.
가장 높은 위치의 정책부터 가장 낮은 위치의 정책 순서로 정책이 적용됩니다. 정책을 순서 위나 아래로 이동하려면 [Up] 또는 [Down]을 클릭합니다.
정책 편집
편집 화면에서 [폴리시명] 아래 해당 텍스트 링크를 클릭합니다.
정책 삭제
삭제하려는 정책 이름 오른쪽에서 [삭제]를 클릭
[확인]을 클릭합니다.
13
기기를 다시 시작합니다.
기기를 끄고 10초 이상 기다린 다음 다시 켜십시오.
|
<메뉴>에서 IPSec 통신을 활성화하거나 비활성화할 수 있습니다. IPSec 사용 |
링크