IPSec 설정
IPSec은 도난, 개조 및 사칭 등의 위협으로부터 보호함으로써 IP 네트워크를 통해 송/수신되는 IP 패킷에 대한 보안을 유지하기 위한 프로토콜입니다. IPSec은 TCP 패킷, UDP(User Datagram Protocol) 패킷 및 ICMP(Internet Control Message Protocol) 패킷에 대해 적용됩니다. IPSec이 다른 보안 프로토콜보다 우수한 이유는 인터넷의 기본 프로토콜인 IP에 보안 기능을 추가하므로 응용 프로그램 소프트웨어 및 네트워크 구성에 의존하지 않기 때문입니다.
이 절에서는 기기의 조작 패널을 사용하여 IPSec 통신을 설정하기 위해 보안 폴리시를 작성하는 절차에 대해 설명합니다. 보안 폴리시는 IPSec을 사용하여 처리할 패킷, 인증 및 암호화에 사용할 알고리즘 등 IPSec 관련 설정을 등록합니다. IPSec 보안 폴리시에 따라 협상을 수행함으로써 트래픽에 대해 설정되는 논리 연결을 IPSec SA(Security Association)라고 합니다.
기기에서 사용되는 IPSec의 기능은 다음과 같습니다.
통신모드
기기의 IPSec은 전송 모드만 지원하므로 인증 및 암호화는 IP 패킷의 데이터 부분에만 적용됩니다.
인증 및 암호화 방법
기기에 대해 하나 이상의 다음 방법을 설정해야 합니다. 두 가지 방법을 동시에 설정할 수 없습니다.
AH(Authentication Header)
IP 헤더 등 통신 데이터에 대한 변경 여부를 감지하여 인증을 증명하는 프로토콜입니다. 전달된 데이터는 암호화되지 않습니다.
ESP(Encapsulating Security Payload)
전달된 데이터의 페이로드 부분에 대해서만 무결성 및 인증을 증명하는 한편, 암호화를 통해 기밀성을 제공하는 프로토콜입니다.
Key Exchange Protocol
ISAKMP(Internet Security Association and Key Management Protocol)에 따라 키를 교환하기 위해 ISIKEv1(Internet Key Exchange 버전 1)을 지원합니다. IKE에는 두 가지 단계가 포함되는데, 1단계에서는 IKE에 사용되는 SA(IKE SA)가 생성되고 2단계에서는 IPSec에 사용되는 SA(IPSec SA)가 생성됩니다.
사전 공유된 키 방법으로 인증을 설정하려면 두 기기의 데이터 송/수신에 사용되는 키워드인 사전 공유 키를 미리 결정해야 합니다. 기기의 조작 패널을 사용하여 IPSec 통신을 수행할 대상과 동일한 사전 공유 키를 설정하고 사전 공유 키 방법으로 인증을 수행합니다.
전자 서명을 사용한 인증을 선택하려면 IPSec 대상에 대한 양측 인증을 위해 CA 증명서(X.509 증명서)를 등록해야 합니다. 리모트 UI를 사용하여 CA 인증서 파일 설치에 대한 사항은
"CA 증명서 파일 설치."를 참고하십시오. 설치된 CA 인증서 파일 등록에 대한 사항은
"CA 증명서 파일 등록/편집."을 참고하십시오.
전자 서명 방법과 함께 인증에 사용할 수 있는 키 페어 및 증명서 종류는 다음과 같습니다.
RSA(Rivest Shamir Adleman) 알고리즘
PKCS#12 형식의 키 페어
중요
|
IKE 설정 화면에서 사전 공유 키 인증과 메인 모드를 설정할 때 여러 보안 폴리시를 등록하려는 경우 다음 제한이 적용됩니다.
사전 공유 키 방법 키: 보안 폴리시가 적용될 여러 리모트 IP 주소를 지정하는 경우 해당 보안 폴리시에 대한 모든 공유 키가 동일합니다(단일 주소가 지정된 경우에는 해당되지 않음).
우선 순위: 보안 폴리시가 적용될 여러 리모트 IP 주소를 지정하는 경우 해당 보안 폴리시의 우선 순위는 단일 주소가 지정된 보안 폴리시보다 아래입니다.
|