IPSec 설정 구성

IPSec(Internet Protocol Security) 또는 IPsec은 인터넷 네트워크를 포함하여, 네트워크를 통해 전송되는 데이터를 암호화하는 프로토콜 집합입니다. TLS는 웹 브라우저나 이메일 응용 프로그램과 같은 특정 응용 프로그램에서 사용되는 데이터만 암호화하지만 IPSec은 IP 패킷 전체 또는 IP 패킷의 페이로드를 암호화하며, 더 융통성 있는 보안 시스템을 제공합니다. 본 기기의 IPSec은 IP 패킷의 페이로드가 암호화되는 전송 모드에서 작동합니다. 이 기능을 통해 기기는 동일한 VPN(Virtual Private Network)에 있는 컴퓨터에 직접 연결할 수 있습니다. 기기를 구성하기 전에 시스템 요구 사항(관리 기능)을 확인하고 컴퓨터에서 필요한 구성을 설정하십시오.
IP 주소 필터에서 IPSec 사용
IP 주소 필터 설정은 IPSec 정책보다 먼저 적용됩니다. 방화벽 설정을 위한 IP 주소 지정

IPSec 설정 구성

암호화된 통신에 IPSec을 사용하기 전에 보안 정책(SP)을 등록해야 합니다. 보안 정책은 아래에 기술된 설정 그룹으로 구성됩니다. 정책을 등록한 후에 정책이 적용될 순서를 지정합니다.
셀렉터
선택기는 IPSec 통신을 적용할 IP 패킷의 조건을 정의합니다. 선택 가능한 조건에는 기기의 IP 주소와 포트 번호 및 통신할 장치가 포함됩니다.
IKE
IKE는 키 교환 프로토콜에 사용되는 IKEv1을 구성합니다. 지침은 선택한 인증 방식에 따라 다릅니다.
[사전 공유키 방식]
이 인증 방식은 기기와 다른 장치 간의 통신에 공유키라고 불리는 공통의 키워드를 사용합니다. 이 인증 방식을 지정하기 전에 리모트 UI에 대해 TLS를 활성화하십시오( TLS용 키 및 인증서 구성).
[전자 서명 방식]
본 기기와 다른 장치들은 각자의 디지털 서명을 상호 확인하는 방식으로 서로 인증합니다. 키와 인증서를 먼저 생성하거나 설치하십시오(네트워크 통신용 키 및 인증서 등록하기).
AH/ESP
IPSec 통신 시 패킷에 추가되는 AH/ESP에 대한 설정을 지정합니다. AH와 ESP를 동시에 사용할 수 있습니다. 보안 강화를 위해 PFS를 활성화할지 여부도 선택할 수 있습니다.
 
리모트 UI에서 기기를 설정할 때 실행해야 하는 기본 작업에 대한 자세한 내용은 리모트 UI에서 메뉴 옵션 설정을 참조하십시오.
1
리모트 UI를 시작하고 시스템 관리자 모드로 로그인합니다. 리모트 UI 시작
2
포털 페이지에서 [설정/등록]을 클릭합니다. 리모트 UI 화면
3
[네트워크 설정]  [IPSec 설정]을 선택합니다.
4
[편집]을 클릭합니다.
5
[IPSec 사용] 확인란을 선택하고 [확인]을 클릭합니다.
기기가 아래 단계에서 정의하는 보안 정책 중 하나와 일치하는 패킷만 수신하도록 하려면 [폴리시외 패킷의 수신] 확인란의 선택을 해제합니다.
6
[신규 폴리시를 등록합니다]을 클릭합니다.
7
정책 설정을 지정합니다.
1
[폴리시명] 텍스트 상자에서, 정책 식별에 사용되는 이름으로 영숫자 문자를 입력합니다.
2
[폴리시 유효] 확인란을 선택합니다.
8
셀렉터 설정을 지정합니다.
[로컬 주소]
정책을 적용할 기기의 IP 주소 유형에 대해 라디오 버튼을 클릭합니다.
[모든 IP 주소]
모든 IP 패킷에 대해 IPSec을 사용하려면 선택합니다.
[IPv4 주소]
기기의 IPv4 주소를 통해 송수신되는 모든 IP 패킷에 대해 IPSec을 사용하려면 선택합니다.
[IPv6 주소]
기기의 IPv6 주소를 통해 송수신되는 모든 IP 패킷에 대해 IPSec을 사용하려면 선택합니다.
[리모트 주소]
정책을 적용할 다른 장치의 IP 주소 유형에 대해 라디오 버튼을 클릭합니다.
[모든 IP 주소]
모든 IP 패킷에 대해 IPSec을 사용하려면 선택합니다.
[모든 IPv4 주소]
다른 장치의 IPv4 주소를 통해 송수신되는 모든 IP 패킷에 대해 IPSec을 사용하려면 선택합니다.
[모든 IPv6 주소]
다른 장치의 IPv6 주소를 통해 송수신되는 모든 IP 패킷에 대해 IPSec을 사용하려면 선택합니다.
[IPv4 수동 설정]
선택하여 IPSec을 적용할 단일 IPv4 주소 또는 IPv4 주소 범위를 지정합니다. [주소 수동 설정] 텍스트 상자에 IPv4 주소(또는 범위)를 입력합니다.
[IPv6 수동 설정]
선택하여 IPSec을 적용할 단일 IPv6 주소 또는 IPv6 주소 범위를 지정합니다. [주소 수동 설정] 텍스트 상자에 IPv6 주소(또는 범위)를 입력합니다.
[주소 수동 설정]
[IPv4 수동 설정] 또는 [IPv6 수동 설정]이 [리모트 주소]로 선택된 경우에는 정책을 적용할 IP 주소를 입력합니다. 주소 사이에 하이픈을 삽입하여 주소 범위를 입력할 수도 있습니다.
IP 주소 입력
설명
단일 주소 입력
IPv4:
마침표로 숫자를 구분합니다.
192.168.0.10
IPv6:
콜론으로 영숫자 문자를 구분합니다.
fe80::10
주소 범위 지정
주소 사이에 하이픈을 삽입합니다.
192.168.0.10-192.168.0.20
[서브넷 설정]
IPv4 주소를 수동으로 지정할 경우 서브넷 마스크를 사용하여 범위를 명시할 수 있습니다. 숫자를 구분하려면 마침표를 사용하여 서브넷 마스크를 입력합니다(예:"255.255.255.240").
[프리픽스 길이]
IPv6 주소 범위를 수동으로 지정하면 접두 번호를 사용하는 범위를 지정할 수도 있습니다. 접두 번호 길이로 0~128 사이의 범위를 입력합니다.
[로컬 포트]/[리모트 포트]
HTTP 또는 WSD 등의 각 프로토콜에 대해 개별 폴리시를 생성하려는 경우 [단일 포트] 라디오 버튼을 클릭하고 프로토콜에 해당 포트 번호를 입력하여 IPSec을 사용할지 여부를 결정합니다.
IPSec은 다음 패킷에 적용되지 않습니다
루프백, 멀티캐스트, 브로드캐스트 패킷
IKE 패킷(포트 500에서 UDP 사용)
ICMPv6 인접 요청 및 인접 광고 패킷
9
IKE 설정을 지정합니다.
[IKE 모드]
키 교환 프로토콜에 사용되는 모드가 표시됩니다. 본 기기는 aggressive mode가 아니라 기본 모드를 지원합니다.
[인증 방식]
기기 인증 시 사용되는 방법에 대해 [사전 공유키 방식] 또는 [전자 서명 방식]을 선택합니다. [사전 공유키 방식]을 선택하기 전에 리모트 UI에 대해 TLS를 활성화해야 합니다. [전자 서명 방식]을 선택하기 전에 키와 인증서를 생성하거나 설치해야 합니다. TLS용 키 및 인증서 구성
[유효시간]
IKE SA(ISAKMP SA)에 대해 세션 지속 기간을 지정합니다. 분 단위로 시간을 입력합니다.
[인증]/[암호]/[DH 그룹]
드롭다운 목록에서 알고리즘을 선택합니다. 각 알고리즘은 키 교환에 사용됩니다.
[인증]
해시 알고리즘을 선택합니다.
[암호]
암호화 알고리즘을 선택합니다.
[DH 그룹]
키 강도를 판별하는 Diffie-Hellman 그룹을 선택합니다.
 사전 공유 키를 사용하여 기기 인증
1
[인증 방식]에 대해 [사전 공유키 방식] 라디오 버튼을 클릭한 다음 [공유키 설정]을 클릭합니다.
2
사전 공유키에 대해 영숫자 문자를 입력하고 [확인]을 클릭합니다.
3
[유효시간] 및 [인증]/[암호]/[DH 그룹] 설정을 지정합니다.
 디지털 서명 방법을 사용하여 기기 인증
1
[인증 방식]에 대해 [전자 서명 방식] 라디오 버튼을 클릭한 다음 [키 및 증명서]을 클릭합니다.
2
사용하려는 키 및 인증서 오른쪽에서 [사용키 등록]을 클릭합니다.
인증서 세부 정보 보기
[키 이름] 아래의 해당 텍스트 링크 또는 인증서 아이콘을 클릭하면 인증서 세부 정보를 확인하거나 인증서를 확인할 수 있습니다.
3
[유효시간] 및 [인증]/[암호]/[DH 그룹] 설정을 지정합니다.
10
IPSec 네트워크 설정을 지정합니다.
[PFS 사용]
IPSec 세션 키에 대해 PFS(Perfect Forward Secrecy)를 활성화하려면 확인란을 선택합니다. PFS를 활성화하면 보안이 강화되지만 통신에서 부하가 증가합니다. 다른 장치에 대해서도 PFS가 활성화되었는지 확인하십시오.
[시간으로 지정]/[크기로 지정]
IPSec SA에 대해 세션 종료 조건을 설정합니다. IPSec SA는 통신 터널로 사용됩니다. 필요에 따라 확인란 중 하나 또는 모두를 선택합니다. 두 확인란이 모두 선택된 경우 어느 한 쪽의 조건이 충족되면 IPSec SA 세션이 종료됩니다.
[시간으로 지정]
세션이 지속되는 기간을 지정하려면 분 단위로 시간을 입력합니다.
[크기로 지정]
세션에서 전송되는 데이터 양을 지정하려면 메가바이트 단위로 크기를 입력합니다.
[알고리즘 선택]
사용된 IPSec 헤더와 알고리즘에 따라 [ESP], [ESP (AES-GCM)] 또는 [AH (SHA1)] 확인란을 선택합니다. AES-GCM은 인증 및 암호화 알고리즘입니다. [ESP]가 선택된 경우 [ESP 인증] 및 [ESP 암호화] 드롭다운 목록에서 인증 및 암호화 알고리즘을 선택합니다.
[ESP 인증]
ESP 인증을 활성화하려면 해시 알고리즘에 대해 [SHA1]을 선택합니다. ESP 인증을 비활성화하려면 [사용안함]을 선택합니다.
[ESP 암호화]
ESP에 대해 암호화 알고리즘을 선택합니다. 알고리즘을 지정하지 않으려면 [NULL]을 선택하고, ESP 암호화를 비활성화하려면 [사용안함]을 선택합니다.
[접속모드]
IPSec의 연결 모드가 표시됩니다. 본 기기는 IP 패킷의 페이로드를 암호화하는 전송 모드를 지원합니다. 전체 IP 패킷(헤더 및 페이로드)을 압축하는 터널 모드는 사용할 수 없습니다.
11
[확인]을 클릭합니다.
보안 정책을 추가로 등록하려면 6단계로 돌아갑니다.
12
[등록된 IPSec 폴리시] 아래 나열되는 정책의 순서를 조정합니다.
정책은 맨 위에 있는 정책에서부터 낮은 순서로 적용됩니다. 정책 순서를 위아래로 이동하려면 [위로] 또는 [아래로]를 클릭합니다.
정책 편집
편집 화면에서 [폴리시명] 아래 대응하는 텍스트 링크를 클릭합니다.
정책 삭제
삭제하려는 정책 이름 오른쪽에서 [삭제]를 클릭  [확인]을 클릭합니다.
 
13
기기를 다시 시작합니다.
기기를 끄고 10초 이상 기다린 다음 다시 켜십시오.
조작 패널 사용
<메뉴> 화면의홈에서도 IPSec 통신을 활성화하거나 비활성화할 수 있습니다.<IPSec 사용>
2R14-04H