IPSec 설정 구성하기

IPSec을 사용하면, IP 네트워크를 통해 전송되는 IP 패킷을 제3자가 가로채거나 조작하는 것을 방지할 수 있습니다. IPSec은 인터넷에 사용되는 기본 프로토콜 슈트인 IP에 보안 기능을 추가하므로, 응용 프로그램이나 네트워크 구성으로부터 독립적인 보안을 제공할 수 있습니다. 본 기기로 IPSec 통신을 실행하려면 인증 및 암호화용 알고리즘과 응용 프로그램 매개변수와 같은 설정을 반드시 구성해야 합니다. 이와 같은 설정을 구성하려면, 관리자 또는 네트워크 관리자 권한이 필요합니다.
통신 모드
본 기기는 IPSec 통신용 전송 모드만을 지원합니다. 따라서, 인증 및 암호화는 IP 패킷의 데이터 부분에만 적용됩니다.
키 교환 프로토콜
본 기기는 ISAKMP(Internet Security Association and Key Management Protocol)에 근거한 키 교환에 IKEv1(Internet Key Exchange version 1)을 지원합니다. 인증 방식으로 사전 공유키 방식 또는 디지털 서명 방식 중 한 가지를 설정하십시오.
사전 공유키 방식을 설정할 경우, 본 기기와 IPSec 통신 피어 간에 사용될 암호 문자열(사전 공유키)을 먼저 정해야 합니다.
디지털 서명 방식을 설정할 경우, 기기와 IPSec 통신 피어 간의 상호 인증 실행을 위해 CA 인증서, PKCS#12 형식 키 및 인증서를 사용하십시오. CA 인증서 또는 키/인증서의 신규 등록에 대한 자세한 정보는 네트워크 통신용 키 및 인증서 등록하기를 참고하십시오. 이 방식을 사용하기 전에 기기에 반드시 SNTP를 먼저 구성해야 합니다. SNTP 설정 구성
IPSec 통신에 <FIPS 140-2 규격 암호화 방법>을 설정했는지 여부에 상관 없이 이미 FIPS140-2 인증을 획득한 암호화 모듈이 사용됩니다.
IPSec 통신이 FIPS 140-2를 준수하도록 하기 위해 기기가 속한 네트워크 환경에서 IPSec 통신의 DH 및 RSA 키 길이를 반드시 2048비트 이상으로 설정해야 합니다.
기기에서는 DH의 키 길이만 지정할 수 있습니다.
기기에 RSA의 설정이 없기 때문에 환경을 구성할 때 염두에 두십시오.
최대 10개의 보안 정책을 등록할 수 있습니다.
1
(설정/등록)을 누릅니다.
2
<환경 설정>  <네트워크>  <TCP/IP 설정>  <IPSec 설정>을 누릅니다.
3
<IPSec 사용>을 <설정>으로 설정하고 <등록>을 누릅니다.
4
정책 이름을 지정합니다.
<폴리시명>을 누르고 이름을 입력한 다음 <확인>를 누르십시오.
Canon 다기능 프린터는 AES 암호화 방법의 두 가지 핵심 길이인 128비트와 256비트를 지원합니다. 키 길이를 256비트로 제한하고 CC 인증 표준을 충족하려면 <AES 키의 길이를 256-bit로 제한>을 <설정>으로 구성합니다.
5
IPSec 응용 프로그램 매개변수를 구성합니다.
1
<셀렉터 설정>을 누릅니다.
2
IPSec 정책에 적용할 IP 주소를 지정합니다.
<로컬 주소>에 본 기기의 IP 주소를 지정하고 <리모트 주소>에 통신 피어의 IP 주소를 지정합니다.

<모든 IP 주소>
IPSec이 전체 송신/수신 IP 패킷에 적용됩니다.
<IPv4 주소>
본 기기의 IPv4 주소로 송수신된 IP 패킷에 IPSec이 적용됩니다.
<IPv6 주소>
본 기기의 IPv6 주소로 송수신된 IP 패킷에 IPSec이 적용됩니다.
<모든 IPv4 주소>
통신 피어의 IPv4 주소로 송수신된 IP 패킷에 IPSec이 적용됩니다.
<모든 IPv6 주소>
통신 피어의 IPv6 주소로 송수신된 IP 패킷에 IPSec이 적용됩니다.
<IPv4 수동 설정>
IPSec에 적용할 IPv4 주소를 지정합니다.
<단일 주소>를 선택하여 개별 IPv4 주소를 입력합니다.
IPv4 주소 범위를 지정하려면 <주소 범위>를 선택합니다. <시작 주소>및 <종료 주소>에 대한 주소를 각각 입력하십시오.
서브넷 마스크를 사용하여 IPv4 주소 범위를 지정하려면 <서브넷 설정>을 선택합니다. <주소> 및 <서브넷 마스크>에 대한 값을 각각 입력하십시오.
<IPv6 수동 설정>
IPSec에 적용할 IPv6 주소를 지정합니다.
<단일 주소>를 선택하여 개별 IPv6 주소를 입력합니다.
IPv6 주소 범위를 지정하려면 <주소 범위>를 선택합니다. <시작 주소>및 <종료 주소>에 대한 주소를 각각 입력하십시오.
프리픽스를 사용하여 IPv6 주소 범위를 지정하려면 <프리픽스 지정>을 선택합니다. <주소>및 <프리픽스 길이>에 대한 값을 각각 입력하십시오.
3
IPSec을 적용할 포트를 지정합니다.
IPSec을 적용할 포트를 지정할 때 포트 번호를 사용하려면 <포트 번호로 지정>를 누릅니다. IPSec을 모든 포트 번호에 적용하려면 <모든 포트>을 선택합니다. IPSec을 특정 포트 번호에 적용하려면 <단일 포트>를 누르고 포트 번호를 입력합니다. 포트를 지정한 후, <확인>을 누릅니다. 본 기기의 포트는 <로컬 포트>에 지정하고 통신 피어의 포트는 <리모트 포트>에 지정합니다.
IPSec을 적용할 포트를 지정할 때 서비스 이름을 사용하려면 <서비스명으로 지정>을 누릅니다. 목록에서 서비스를 선택하고 <서비스 설정/해제>를 눌러 <설정>으로 설정한 후, <확인>을 누릅니다.
4
<확인>을 누릅니다.
6
인증 및 암호화 설정을 구성합니다.
1
<IKE 설정>을 누릅니다.
2
필요한 설정을 구성합니다.
<IKE 모드>
키 교환 프로토콜의 작동 모드를 선택합니다. 작동 모드를 <메인>으로 설정하면 IKE 세션 자체가 암호화되므로 보안이 향상되지만, 암호화를 수행하지 않는 <어그레시브>에 비해 통신에 더 많은 부담이 됩니다.
<유효기간>
생성된 IKE SA의 만료 기간을 설정합니다.
<인증방법>
아래에 설명된 인증 방식 중 한 가지를 선택하십시오.
<사전공유키 방식>
통신 피어 설정과 동일한 암호 문자열(사전 공유키)을 설정합니다. <공유키>를 누르고 공유 키로 사용할 문자열을 입력한 후, <확인>을 누릅니다.
<전자서명 방식>
통신 피어와의 상호 인증에 사용할 키 및 인증서를 설정합니다. <키와 인증서>를 누르고 사용할 키와 인증서를 선택한 후, <사용키로 설정>  <예>  <확인>을 누릅니다.
<인증/암호화 알고리즘>
IKE phase 1에 사용할 인증 및 암호화 알고리즘을 지정하는 방법을 <자동> 또는 <수동 설정>으로 선택합니다. <자동>을 선택하면 본 기기와 통신 피어에서 사용할 수 있는 알고리즘이 자동 설정됩니다. 특정 알고리즘을 지정하려면 <수동 설정>을 선택하여 아래의 설정을 구성합니다.
<인증>
해시 알고리즘을 선택합니다.
<암호화>
암호화 알고리즘을 선택합니다.
<DH그룹>
키 강도를 설정하는 Diffie-Hellman 키 교환 방식을 사용할 그룹을 선택합니다.
3
<확인>을 누릅니다.
<IKE 모드>가 <IKE 설정>의 <메인>으로 설정되어 있고 <인증방법>이 <사전공유키 방식>으로 설정되어 있는 경우 여러 보안 정책을 등록할 때 다음의 제한사항이 적용됩니다.
사전 공유키 방식: 보안 정책이 적용될 여러 리모트 IP 주소를 지정할 경우 해당 보안 정책에 대한 모든 공유키는 동일합니다(단일 주소를 지정할 경우에는 적용되지 않습니다).
우선 순위: 보안 정책이 적용될 여러 리모트 IP 주소를 지정할 경우 해당 보안 정책의 우선 순위는 단일 주소의 지정에 대한 보안 정책보다 낮습니다.
7
IPSec 통신 설정을 구성합니다.
1
<IPSec 네트워크 설정>을 누릅니다.
2
필요한 설정을 구성합니다.
<유효기간>
생성된 IPSec SA의 만료 기간을 설정합니다. <시간> 또는 <크기>를 설정해야 합니다. 둘 다 설정하면 값에 먼저 도달하는 설정이 적용됩니다.
<PFS>
Perfect Forward Secrecy (PFS) 기능을 <설정>으로 설정하면 암호화 키의 비밀성이 향상되지만 통신 속도는 느려집니다. 또한, 통신 피어 장치의 PFS 기능을 반드시 활성화해야 합니다.
<인증/암호화 알고리즘>
IKE phase 2에 사용할 인증 및 암호화 알고리즘 지정 방법을 <자동> 또는 <수동 설정>중에서 선택합니다. <자동>을 선택하면, ESP 인증 및 암호화 알고리즘이 자동 설정됩니다. 특정 알고리즘 방식을 지정하려면 <수동 설정>을 누르고 아래의 인증 방식 중 한 가지를 선택합니다.
<ESP>
인증과 암호화가 모두 실행됩니다. <EPS인증> 및 <EPS암호>용 알고리즘을 선택합니다. 인증 또는 암호화 알고리즘을 설정하지 않으려면 <NULL>을 선택합니다.
<ESP (AES-GCM)>
ESP 알고리즘으로 AES-GCM이 사용되며 인증 및 암호화가 모두 실행됩니다.
<AH (SHA1)>
인증이 실행되지만 데이터는 암호화되지 않습니다. 알고리즘으로 SHA1이 사용됩니다.
3
<확인>  <확인>을 누릅니다.
8
등록된 정책을 활성화하고 우선 순위를 확인합니다.
목록에서 등록된 정책을 선택하고 <폴리시 설정/해제>를 눌러 <설정>으로 전환합니다.
정책은 목록에 나와있는 순서대로 위에서부터 적용됩니다. 정책의 우선순위를 변경하려면 목록에서 정책을 선택하고 <우선순위 위로> 또는 <우선순위 아래로>를 누릅니다.
정책에 해당되지 않는 패킷의 송수신을 원하지 않으면 <폴리시외 패킷의 수신>을 <거부>로 선택합니다.
9
<확인>을 누릅니다.
10
(설정/등록)  (설정/등록) <설정 반영>  <예>를 누릅니다.
IPSec 정책 관리하기
3단계 화면에서 정책을 편집할 수 있습니다.
정책 세부사항을 편집하려면 목록에서 정책을 선택하고 <편집>을 누릅니다.
정책을 비활성화 하려면 목록에서 정책을 선택하고 <폴리시 설정/해제>를 누릅니다.
정책을 삭제하려면 목록에서 정책을 선택하고 <삭제>  <예>를 누릅니다.
AHA2-0E5