IPSec 사용

IP 보안 프로토콜(IPSec)을 사용하여 IP 네트워크를 통해 전송되고 수신되는 IP 패킷의 도청과 변조를 방지합니다. 이렇게 하면 IP 프로토콜 수준에서 암호화를 수행하여 애플리케이션 또는 네트워크 구성을 이용하지 않고 보안을 유지할 수 있습니다.

IPSec 적용 가능 조건 및 지원되는 모드

IPSec이 적용되지 않는 패킷
루프백, 멀티캐스트, 브로드캐스트 주소를 지정하는 패킷
UDP 포트 500에서 전송되는 IKE 패킷
ICMPv6 인접 라우터 요청 및 인접 라우터 알림 패킷
키 교환 프로토콜의 작동 모드(IKE 모드)
기기에서 지원되는 IKE 모드는 패킷을 암호화하는 데 사용되는 기본 모드뿐입니다. 암호화하지 않는 적극적인 모드는 지원되지 않습니다.
통신 모드
기기에서 지원되는 통신 모드는 IP 헤더를 제외한 부분만 암호화하는 전송 모드뿐입니다. 전체 IP 패킷을 암호화하는 터널 모드는 지원되지 않습니다.
IP 주소 필터링과 함께 IPSec 사용
IP 주소 필터 설정이 먼저 적용됩니다. 방화벽 설정

IPSec 정책 구성

기기에서 IPSec 통신을 수행하려면 인증 및 암호화의 적용 가능한 범위와 알고리즘을 포함하는 IPSec 정책을 생성해야 합니다. 이 정책은 주로 다음과 같은 항목으로 구성됩니다.
선택기
IPSec 통신을 적용할 IP 패킷을 지정합니다. 기기 및 통신 장치의 IP 주소를 지정할 뿐 아니라 포트 번호도 지정할 수 있습니다.
IKE
키 교환 프로토콜은 IKEv1(Internet Key Exchange 버전 1)을 지원합니다. 인증 방법에서 미리 공유한 키 방법 또는 디지털 서명 방법을 선택합니다.
미리 공유한 키:
이 인증 방법은 공유 키라는 공통 키 단어를 기기와 기타 장치 간의 통신에 사용합니다.
디지털 서명 방법
기기와 기타 장치는 디지털 서명을 상호 확인하여 서로를 인증합니다.
ESP/AH
IPSec 통신에 사용되는 프로토콜인 ESP/AH에 대한 설정을 지정합니다. ESP와 AH를 동시에 사용할 수 있습니다. 보안을 훨씬 더 강화하려면 PFS(Perfect Forward Secrecy)를 사용합니다.

IPSec 설정

IPSec 사용을 활성화한 다음, IPSec 정책을 생성하고 등록합니다. 여러 정책을 생성한 경우 정책이 적용되는 순서를 지정합니다.
이 단원에서는 컴퓨터에서 리모트 UI를 사용하여 설정을 구성하는 방법에 대해 설명합니다.
제어판의 [홈] 화면에서 [메뉴]를 선택한 다음 [환경 설정]을 선택하여 설정을 구성합니다. 하지만 제어판을 사용해서만 IPSec를 활성화하거나 비활성화할 수 있습니다. [IPSec 사용]
관리자 권한이 필요합니다. 설정을 적용하려면 기기를 다시 시작해야 합니다.
필요한 준비
기기와 동일한 VPN(가상 사설망)에 있는 컴퓨터에 기기를 직접 연결합니다. 작동 조건을 확인하고, 컴퓨터에서 설정을 미리 완료합니다. IPSec
IKE 인증 방법에 따라 다음을 준비합니다.
미리 공유한 키 방법을 사용하는 경우, 리모트 UI 통신에 대해 TLS를 활성화합니다. TLS 사용
디지털 서명 방법을 사용하는 경우, 사용할 키와 인증서를 준비합니다. 키와 인증서 관리 및 확인
PFS를 사용하는 경우, 통신 장치에서 PFS가 활성화되었는지 확인합니다.
1
시스템 관리자 모드에서 리모트 UI에 로그인합니다. 리모트 UI 시작
2
리모트 UI의 포털 페이지에서 [설정/등록]을 클릭합니다. 리모트 UI의 포털 페이지
3
[네트워크 설정] [IPSec 설정] [편집]을 클릭합니다.
[IPSec 설정 편집] 화면이 표시됩니다.
4
[IPSec 사용] 확인란을 선택하고 [확인]를 클릭합니다.
정책과 일치하는 패킷만 수신하려면 [폴리시외 패킷의 수신] 확인란을 선택을 취소합니다.
5
[신규 폴리시를 등록합니다]를 클릭합니다.
[신규 IPSec 폴리시 등록] 화면이 표시됩니다.
6
[폴리시 설정]에 정책 이름을 입력한 다음 [폴리시 유효] 확인란을 선택합니다.
정책 이름에 싱글 바이트 영숫자 문자를 사용하여 정책을 식별하기 위한 이름을 입력합니다.
7
[셀렉터 설정]에서 선택기를 설정합니다.
[로컬 주소 설정]
정책이 적용되는 기기의 IP 주소 유형을 선택합니다.
모든 IP 패킷에 IPSec을 적용하려면 [모든 IP 주소]를 선택합니다.
IPv4 또는 IPv6 주소를 사용하여 전송 및 수신 IP 패킷에 IPSec을 적용하려면 [IPv4 주소] 또는 [IPv6 주소]를 선택합니다.
[리모트 주소 설정]
정책이 적용되는 통신 장치의 IP 주소 유형을 선택합니다.
모든 IP 패킷에 IPSec을 적용하려면 [모든 IP 주소]를 선택합니다.
IPv4 또는 IPv6 주소를 사용하여 전송 및 수신 IP 패킷에 IPSec을 적용하려면 [모든 IPv4 주소] 또는 [모든 IPv6 주소]를 선택합니다.
IPSec이 적용되는 IPv4 또는 IPv6 주소를 지정하려면 [IPv4 수동 설정] 또는 [IPv6 수동 설정]을 선택합니다.
[주소 수동 설정]
[IPv4 수동 설정] 또는 [IPv6 수동 설정]을 선택한 경우 IP 주소를 입력합니다. 하이픈(-)을 사용하여 IP 주소 범위를 지정할 수도 있습니다.
입력 예:
IPv4 주소 하나
192.168.0.10
IPv6 주소 하나
fe80::10
범위 지정
192.168.0.10-192.168.0.20
[서브넷 설정]
[IPv4 수동 설정]을 선택한 경우 서브넷 마스크를 사용하여 IPv4 주소 범위를 지정할 수 있습니다.
입력 예:
255.255.255.240
[프리픽스 길이]
[IPv6 수동 설정]을 선택한 경우 접두사 길이를 사용하여 IPv6 주소 범위를 지정할 수 있습니다. 0~128 범위에서 접두사 길이를 입력합니다.
[포트 설정]
기기의 [로컬 포트]와 통신 장치의 [리모트 포트]에서 IPSec이 적용되는 포트를 설정합니다.
모든 포트 번호에 IPSec을 적용하려면 [모든 포트]를 선택합니다.
HTTP 또는 WSD와 같은 특정 프로토콜에 IPSec을 적용하려면 [단일 포트]을 선택하고 프로토콜의 포트 번호를 입력합니다.
8
[IKE 설정]에서 IKE를 설정합니다.
[IKE 모드]
기기는 기본 모드만 지원합니다.
[인증 방식]
기기의 인증 방법을 선택합니다.
[사전 공유키 방식]을 선택한 경우, [공유키 설정]을 선택 싱글 바이트 영숫자 문자를 사용하여 공유 키로 사용할 문자열을 입력 [확인]를 클릭합니다.
[전자 서명 방식]을 선택한 경우 사용할 키와 인증서의 오른쪽에서 [키 및 증명서] [사용키 등록]을 클릭합니다.
[유효기간]
제어 통신 경로로 사용할 IKE SA(ISAKMP SA)의 유효 기간을 분 단위로 입력합니다.
[인증/암호화 알고리즘]
키 교환에 사용할 알고리즘을 선택합니다.
9
[IPSec 네트워크 설정]에서 IPSec 네트워크 설정을 구성합니다.
[PFS 사용]
세션 키에 대한 PFS를 구성하려면 이 확인란을 선택합니다.
[유효기간]
데이터 통신 경로로 사용할 IPSec SA의 유효 기간을 시간별, 크기별 또는 모두로 지정합니다.
[시간으로 지정] 확인란을 선택한 경우 유효 기간을 분 단위로 입력합니다.
[크기로 지정] 확인란을 선택한 경우 유효 기간을 메가바이트 단위로 입력합니다.
둘 다 선택한 경우 지정된 값에 먼저 도달하는 항목이 적용됩니다.
[인증/암호화 알고리즘]
사용할 IPSec 헤더(ESP 및 AH)와 알고리즘에 따라 이 확인란을 선택합니다.
[ESP 인증]
[ESP]를 선택한 경우 인증 알고리즘을 선택합니다. ESP 인증을 수행하려면 [SHA1]을 선택합니다. 그렇지 않으면 [사용안함]을 선택합니다.
[ESP 암호화]
[ESP]를 선택한 경우 암호화 알고리즘을 선택합니다. 알고리즘을 선택하지 않으려는 경우 [NULL]을 선택합니다. 암호화를 비활성화하려면 [사용안함]을 선택합니다.
[접속모드]
기기는 전송 모드만 지원합니다.
10
[확인]를 클릭합니다.
새로 등록한 정책이 [IPSec 설정] 화면의 [등록된 IPSec 폴리시]에 추가됩니다.
여러 정책을 등록한 경우
정책 이름 오른쪽에서 [위로] 또는 [아래로]를 선택하여 우선 순위를 설정합니다. 더 높은 수준의 정책이 IPSec 통신에 우선적으로 적용됩니다.
11
기기를 다시 시작합니다. 기기 다시 시작
설정이 적용됩니다.
등록된 정책 편집
등록된 정보를 편집하려면 [IPSec 설정] 화면의 [등록된 IPSec 폴리시]에서 편집할 정책 이름을 클릭합니다.
9C22-059