IPSec 설정 구성
IPSec(Internet Protocol Security) 또는 IPsec은 인터넷 네트워크를 비롯하여, 네트워크를 통해 전송되는 데이터를 암호화하는 프로토콜 집합입니다. TLS가 웹 브라우저나 이메일 응용 프로그램과 같은 특정 응용 프로그램에서 사용되는 데이터만 암호화하는 반면, IPSec은 IP 패킷 전체 또는 IP 패킷의 페이로드를 암호화하여, SSL보다 더욱 다양한 보안 시스템을 제공합니다. 본 기기의 IPSec은 IP 패킷의 페이로드가 암호화되는 전송 모드에서 작동합니다. 이 기능을 통해, 기기에서 동일한 VPN(Virtual Private Network)에 있는 컴퓨터에 직접 연결할 수 있습니다. 기기를 구성하기 전에 시스템 요구 사항을 확인하고 컴퓨터에 필요한 구성을 설정하십시오.
시스템 요구 사항
본 기기에서 지원하는 IPSec은 RFC4301, RFC4302, RFC4303, 및 RFC4305를 준수합니다.
|
통신 파트너 지원 운영체제
|
Windows Vista/7/8/10/Server 2003/Server 2008/Server 2012
|
|
|
연결 모드
|
전송 모드
|
|
|
키 교환 프로토콜
|
IKEv1
|
|
|
인쇄 모드
|
기본 모드
공격 모드
|
|
|
인증 방법
|
사전 공유된 키
디지털 서명
|
|
|
해시 알고리즘
|
HMAC-MD5-96
HMAC-SHA1-96
|
|
|
암호화 알고리즘
(및 키 길이) |
3DES-CBC
AES-CBC(128 비트, 192 비트 또는 256 비트)
|
|
|
키 교환 알고리즘/그룹(및 키 길이)
|
DH(Diffie-Hellman)
그룹 1(768 비트)
그룹 2(1024 비트)
그룹 14(2048 비트)
|
|
|
ESP(Encapsulating Security Payload)
|
해시 알고리즘
|
HMAC-MD5-96
HMAC-SHA1-96
|
|
암호화 알고리즘
(및 키 길이) |
3DES-CBC
AES-CBC(128 비트, 192 비트 또는 256 비트)
|
|
|
AH(인증 헤더)
|
해시 알고리즘
|
HMAC-MD5-96
HMAC-SHA1-96
|
 |
IPSec 통신 설정을 구성하기 전에기기가 통신할 운영 시스템의 IPSec 설정을 확인하십시오. 운영 시스템 설정과 기기 설정이 맞지 않을 경우, IPSec 통신을 사용할 수 없게됩니다.
|
 |
IPSec 기능 제한IPSec은 유니캐스트 주소(또는 단일 장치)와의 통신을 지원합니다.
본 기기는 IPSec와 DHCPv6을 동시에 사용할 수 없습니다.
IPSec은 NAT 또는 IP 마스커레이드가 실행되는 네트워크에서는 사용할 수 없습니다.
IKEv1의 1단계에서는, PFS가 지원되지 않습니다.
IP 주소 필터에서 IPSec 사용패킷 전송 시에는 IP 주소 설정이 IPSec 설정 전에 적용되는 반면, 패킷 수신 시에는 IPSec 설정이 IP 주소 필터 설정보다 먼저 적용됩니다. 방화벽에 대한 IP 주소 지정 규칙
|
보안 정책 등록하기
암호화된 통신으로 IPSec을 사용하려면, IPSec 설정을 활성화하기 전에 보안 정책(SP)을 등록해야 합니다(IPSec 통신 활성화하기). 보안 정책은 아래 기술된 설정 그룹으로 구성됩니다. 최대 10개까지 정책을 등록할 수 있습니다. IP 주소와 포트 번호 조합에 따라 여러 개의 정책을 등록할 수 있습니다. 정책을 등록하고 나면, 적용 순서를 지정합니다.
셀렉터
셀렉터는 IPSec 통신을 적용할 IP 패킷의 조건을 정의합니다. 선택 가능한 조건에는 기기의 IP 주소와 포트 번호 및 통신할 장치가 포함됩니다.
IKE
IKE는 키 교환 프로토콜에 사용되는 IKEv1을 구성합니다. 내용은 선택한 인증 방법에 따라 다릅니다.
[사전 공유 키 방식]
최대 24자의 영숫자 문자로 구성된 키를 다른 장치와 공유할 수 있습니다. 리모트 UI에 대한 TLS를 먼저 활성화하십시오(암호화 통신에 TLS 사용하기).
최대 24자의 영숫자 문자로 구성된 키를 다른 장치와 공유할 수 있습니다. 리모트 UI에 대한 TLS를 먼저 활성화하십시오(암호화 통신에 TLS 사용하기).
[디지털 서명 방식]
본 기기와 다른 장치들은 각자의 디지털 서명을 상호 확인하는 방식으로 서로 인증합니다. 키 쌍을 생성하여 사용 준비를 마치십시오(CA에서 발급한 키 쌍 및 디지털 인증서 사용).
본 기기와 다른 장치들은 각자의 디지털 서명을 상호 확인하는 방식으로 서로 인증합니다. 키 쌍을 생성하여 사용 준비를 마치십시오(CA에서 발급한 키 쌍 및 디지털 인증서 사용).
프로토콜 및 옵션 설정하기
IPSec 통신 시 패킷에 추가되는 ESP 및 AH에 대한 설정을 지정합니다. ESP와 AH는 동시에 사용할 수 없습니다. 또한, 보안 강화를 위해 PFS를 활성화할지를 선택할 수 있습니다.
1
리모트 UI 를 실행하여 관리자 모드로 로그온합니다.리모트 UI 시작
2
[설정/등록]을 클릭합니다.
3
[보안] 
[IPSec 설정]을 클릭합니다.
[IPSec 설정]을 클릭합니다.
4
[IPSec 정책 리스트]을 클릭합니다.
5
[IPSec 정책 등록]을 클릭합니다.
6
[정책명] 에 정책 이름을 입력하고, [정책 사용] 확인란을 선택합니다.
[정책명]
정책을 식별하는 데 사용되는 이름으로 최대 24자의 영숫자 문자를 입력합니다.
정책을 식별하는 데 사용되는 이름으로 최대 24자의 영숫자 문자를 입력합니다.
[정책 사용]
정책을 활성화하려면 확인란을 선택합니다. 정책을 사용하지 않을 경우 확인란 선택을 해제합니다.
정책을 활성화하려면 확인란을 선택합니다. 정책을 사용하지 않을 경우 확인란 선택을 해제합니다.
7
선택기 설정을 지정합니다.
[로컬 주소]
기기의 IP 주소 유형을 선택하여 다음 목록의 정책을 적용하십시오.
기기의 IP 주소 유형을 선택하여 다음 목록의 정책을 적용하십시오.
|
[모든 IP 주소]
|
모든 IP 패킷에 대해 IPSec을 사용하려면 선택합니다.
|
|
[IPv4 주소]
|
기기의 IPv4 주소를 통해 송수신되는 모든 IP 패킷에 대해 IPSec을 사용하려면 선택합니다.
|
|
[IPv6 주소]
|
기기의 IPv6 주소를 통해 송수신되는 모든 IP 패킷에 대해 IPSec을 사용하려면 선택합니다.
|
|
[IPv4 수동 설정]
|
IPSec을 적용할 단일 IPv4 주소 또는 IPv4 주소 범위를 지정하려면 선택합니다. [수동으로 설정할 주소] 텍스트 상자에 IPv4 주소(또는 범위)를 입력합니다.
|
|
[IPv6 수동 설정]
|
IPSec을 적용할 단일 IPv6 주소 또는 IPv6 주소 범위를 지정하려면 선택합니다. [수동으로 설정할 주소] 텍스트 상자에 IPv6 주소(또는 범위)를 입력합니다.
|
[수동으로 설정할 주소]
[IPv4 수동 설정] 또는 [IPv6 수동 설정] 이 [로컬 주소] 로 설정된 경우, IP 주소를 입력하여 정책을 적용하십시오.
[IPv4 수동 설정] 또는 [IPv6 수동 설정] 이 [로컬 주소] 로 설정된 경우, IP 주소를 입력하여 정책을 적용하십시오.
[서브넷 설정]
IPv4 주소를 수동으로 지정할 경우 서브넷 마스크를 사용하여 범위를 나타낼 수 있습니다. 숫자를 구분하려면 마침표를 사용하여 서브넷 마스크를 입력합니다(예:"255.255.255.240").
IPv4 주소를 수동으로 지정할 경우 서브넷 마스크를 사용하여 범위를 나타낼 수 있습니다. 숫자를 구분하려면 마침표를 사용하여 서브넷 마스크를 입력합니다(예:"255.255.255.240").
[리모트 주소]
기타 장치의 IP 주소 유형을 선택하여 다음 목록의 정책을 적용하십시오.
기타 장치의 IP 주소 유형을 선택하여 다음 목록의 정책을 적용하십시오.
|
[모든 IP 주소]
|
모든 IP 패킷에 대해 IPSec을 사용하려면 선택합니다.
|
|
[모든 IPv4 주소]
|
IPv4 주소를 통해 송수신되는 모든 IP 패킷에 IPSec을 사용하려면 선택합니다.
|
|
[모든 IPv6 주소]
|
IPv6 주소를 통해 송수신되는 모든 IP 패킷에 IPSec을 사용하려면 선택합니다.
|
|
[IPv4 수동 설정]
|
IPSec을 적용할 단일 IPv4 주소 또는 IPv4 주소 범위를 지정하려면 선택합니다. [수동으로 설정할 주소] 텍스트 상자에 IPv4 주소(또는 범위)를 입력합니다.
|
|
[IPv6 수동 설정]
|
IPSec을 적용할 단일 IPv6 주소 또는 IPv6 주소 범위를 지정하려면 선택합니다. [수동으로 설정할 주소] 텍스트 상자에 IPv6 주소(또는 범위)를 입력합니다.
|
[수동으로 설정할 주소]
[IPv4 수동 설정] 또는 [IPv6 수동 설정] 이 [리모트 주소] 로 설정된 경우, IP 주소를 입력하여 정책을 적용하십시오.
[IPv4 수동 설정] 또는 [IPv6 수동 설정] 이 [리모트 주소] 로 설정된 경우, IP 주소를 입력하여 정책을 적용하십시오.
[서브넷 설정]
IPv4 주소를 수동으로 지정할 경우 서브넷 마스크를 사용하여 범위를 나타낼 수 있습니다. 숫자를 구분하려면 마침표를 사용하여 서브넷 마스크를 입력합니다(예:"255.255.255.240").
IPv4 주소를 수동으로 지정할 경우 서브넷 마스크를 사용하여 범위를 나타낼 수 있습니다. 숫자를 구분하려면 마침표를 사용하여 서브넷 마스크를 입력합니다(예:"255.255.255.240").
[로컬 포트]/[리모트 포트]
HTTP 또는 SMTP 등의 각 프로토콜에 대해 개별 정책을 생성하려면 프로토콜에 대해 해당 포트 번호를 입력하여 IPSec을 사용할지 여부를 판별합니다.
HTTP 또는 SMTP 등의 각 프로토콜에 대해 개별 정책을 생성하려면 프로토콜에 대해 해당 포트 번호를 입력하여 IPSec을 사용할지 여부를 판별합니다.
특정 멀티캐스트 또는 브로드캐스트 주소를 가진 패킷에는 IPSec이 적용되지 않습니다.
8
IKE 설정을 지정합니다.
[IKE 모드]
키 교환 프로토콜에 사용되는 모드가 표시됩니다. 주로 기본 모드를 선택합니다.
IP 주소가 고정되지 않은 경우 공격 모드를 선택합니다. 기본 모드보다 공격 모드의 보안이 낮음에 유의합니다.
[인증 방식]
기기 인증 시 사용되는 방법에 대해 [사전 공유 키 방식] 또는 [디지털 서명 방식] 을 선택합니다.
기기 인증 시 사용되는 방법에 대해 [사전 공유 키 방식] 또는 [디지털 서명 방식] 을 선택합니다.
[IKE 모드] 에서 공격 모드가 선택된 경우에는, [사전 공유 키 방식] 설정이 공유 키를 암호화하지 않습니다.
[인증/암호화 알고리즘]
키 교환에 사용되는 알고리즘을 자동으로 설정하려면 [자동] 확인란을 선택합니다. 확인란을 선택하면, 알고리즘이 아래와 같이 설정됩니다.
키 교환에 사용되는 알고리즘을 자동으로 설정하려면 [자동] 확인란을 선택합니다. 확인란을 선택하면, 알고리즘이 아래와 같이 설정됩니다.
|
[인증]
|
[SHA1 및 MD5]
|
|
[암호화]
|
[3DES-CBC 및 AES-CBC]
|
|
[DH 그룹]
|
[그룹 2 (1024)]
|
알고리즘을 수동으로 설정하려면 확인란의 선택을 해제하고 알고리즘을 선택합니다.
|
[인증]
|
해시 알고리즘을 선택합니다.
|
|
[암호화]
|
암호화 알고리즘을 선택합니다.
|
|
[DH 그룹]
|
키 강도를 판별하는 Diffie-Hellman 그룹을 선택합니다.
|
인증에 [사전 공유 키 방식] 사용하기
|
1
|
[사전 공유 키 방식]을 [인증 방식]에 선택하고 [공유 키 설정]을 클릭합니다.
|
|
2
|
사전 공유키로 24자의 영숫자 문자를 입력하고 [확인]을 클릭합니다.
 |
인증에 [디지털 서명 방식] 사용하기
|
1
|
[디지털 서명 방식]을 [인증 방식]에 선택하고 [키 및 증명서]을 클릭합니다.
|
|
2
|
사용하려는 키 쌍을 선택하고 [사용키 설정] 을 클릭합니다.
 키 쌍 또는 인증서 세부 정보 보기
[키 이름] 아래의 해당 텍스트 링크 또는 인증서 아이콘을 클릭하면 인증서 세부 정보를 확인하거나 인증서를 확인할 수 있습니다. 키 쌍 및 디지털 인증서 확인
|
9
IPSec 네트워크 설정을 지정합니다.
[PFS 사용]
PFS(Perfect Forward Secrecy)를 IPSec 세션 키에 활성화하려면 확인란을 선택합니다. PFS를 활성화하면 통신에서 부하가 증가하는 동안 보안이 강화됩니다. PFS가 다른 장치에서도 활성화되었는지 확인하십시오. PFS를 사용하지 않을 경우 확인란 선택을 해제합니다.
[유효기간]
SA를 통신 터널로 사용하는 기간을 지정합니다. [시간별 지정] 또는 [크기별 지정] 확인란을 선택하거나, 필요한 경우 둘 다 선택합니다. 확인란을 둘 다 선택하면, 둘 중 하나의 조건이 만족될 경우 IPSec SA 세션이 종료됩니다.
SA를 통신 터널로 사용하는 기간을 지정합니다. [시간별 지정] 또는 [크기별 지정] 확인란을 선택하거나, 필요한 경우 둘 다 선택합니다. 확인란을 둘 다 선택하면, 둘 중 하나의 조건이 만족될 경우 IPSec SA 세션이 종료됩니다.
|
[시간별 지정]
|
세션이 지속되는 기간을 지정하려면 분 단위로 시간을 입력합니다. 입력된 시간은 IPSec SA 및 IKE SA 모두에 적용됩니다.
|
|
[크기별 지정]
|
세션에서 전송되는 데이터 양을 지정하려면 메가바이트 단위로 크기를 입력합니다. 입력된 크기는 IPSec SA에만 적용됩니다.
|
[크기별 지정] 확인란만 선택한 경우
The IKE SA 유효기간은 크기로 지정될 수 없으므로 [시간별 지정] 의 초기값(480분)이 적용됩니다.
[인증/암호화 알고리즘]
IPSec 통신에 사용할 프로토콜 및 알고리즘을 선택합니다.
IPSec 통신에 사용할 프로토콜 및 알고리즘을 선택합니다.
연결 자동 설치[자동]를 선택합니다.
|
[ESP 인증]
|
ESP가 활성화되며 인증 알고리즘이 [SHA1 및 MD5] 로 설정됩니다.
|
|
[ESP 암호화]
|
ESP가 활성화되며 암호화 알고리즘이 [3DES-CBC 및 AES-CBC] 로 설정됩니다.
|
ESP 사용하기[ESP] 를 고르고 인증 알고리즘 및 암호화 알고리즘을 선택합니다.
|
[ESP 인증]
|
ESP 인증에 사용할 해시 알고리즘을 선택합니다.
|
|
[ESP 암호화]
|
ESP에 사용할 암호화 알고리즘을 선택합니다.
|
AH 사용하기[AH] 를 선택하고 [AH 인증] 에서 AH 인증에 사용할 해시 알고리즘을 선택합니다.
[연결 모드]
IPSec의 연결 모드가 표시됩니다. 본 기기는 IP 패킷의 페이로드를 암호화하는 전송 모드를 지원합니다. 전체 IP 패킷(헤더 및 페이로드)을 캡슐화하는 터널 모드는 사용할 수 없습니다.
IPSec의 연결 모드가 표시됩니다. 본 기기는 IP 패킷의 페이로드를 암호화하는 전송 모드를 지원합니다. 전체 IP 패킷(헤더 및 페이로드)을 캡슐화하는 터널 모드는 사용할 수 없습니다.
10
[확인]을 클릭합니다.
보안 정책을 추가로 등록하려면 5단계로 돌아갑니다.
11
[IPSec 정책 리스트] 아래 나열되는 정책의 순서를 조정합니다.
가장 높은 위치의 정책부터 가장 낮은 위치의 정책 순서로 정책이 적용됩니다. 정책을 순서 위나 아래로 이동하려면 [우선순위 증가] 또는 [우선순위 감소]을 클릭합니다.
정책 편집하기
[정책명] 의 텍스트 링크를 클릭하여 설정을 편집할 수 있습니다.
정책 삭제하기
삭제하려는 정책의 오른쪽의 [삭제] 를 클릭합니다.
12
하드 리셋을 수행합니다.
[디바이스 제어] 를 클릭하고, [하드 리셋] 을 선택한 후 [실행] 을 클릭합니다.
하드 리셋이 실행된 후 설정이 활성화됩니다.
IPSec 통신 활성화하기
보안 정책 등록 완료 후, IPSec 통신을 활성화합니다.
1
리모트 UI 를 실행하여 관리자 모드로 로그온합니다.리모트 UI 시작
2
[설정/등록]을 클릭합니다.
3
[보안] [IPSec 설정]을 클릭합니다.
[IPSec 설정]을 클릭합니다.4
[편집]을 클릭합니다.
5
[IPSec 사용] 확인란을 선택하고 [확인]을 클릭합니다.
[IPSec 사용]
기기에서 IPSec를 사용하는 경우 확인란을 선택합니다. 사용하지 않는 경우에는 확인란 선택을 해제합니다.
[비정책 패킷 수신 허가]
IPSec을 사용하는 경우 확인란을 선택했다면. 등록된 정책에 사용되지 않는 패킷도 송수신됩니다. 등록된 정책에 사용되지 않는 패킷 송수신을 비활성화 시키려면 확인란의 선택을 해제합니다.
IPSec을 사용하는 경우 확인란을 선택했다면. 등록된 정책에 사용되지 않는 패킷도 송수신됩니다. 등록된 정책에 사용되지 않는 패킷 송수신을 비활성화 시키려면 확인란의 선택을 해제합니다.
6
하드 리셋을 수행합니다.
[디바이스 제어] 를 클릭하고, [하드 리셋] 을 선택한 후 [실행] 을 클릭합니다.
하드 리셋이 실행된 후, 설정이 활성화 됩니다.
|
|
조작 패널 사용조작 패널의 설정 메뉴에서도 IPSec 통신을 활성화 또는 비활성화 할 수 있습니다. IPSec
|