IPSec 사용

IP 보안 프로토콜(IPSec)을 사용하여 IP 네트워크를 통해 전송되고 수신되는 IP 패킷의 도청과 변조를 방지합니다. 이렇게 하면 IP 프로토콜 수준에서 암호화를 수행하여 애플리케이션 또는 네트워크 구성을 이용하지 않고 보안을 유지할 수 있습니다.

IPSec 적용 가능 조건 및 지원되는 모드

IPSec이 적용되지 않는 패킷

루프백, 멀티캐스트, 브로드캐스트 주소를 지정하는 패킷

UDP 포트 500에서 전송되는 IKE 패킷

ICMPv6 인접 라우터 요청 및 인접 라우터 알림 패킷

키 교환 프로토콜의 작동 모드(IKE 모드)

기기에서 지원되는 IKE 모드는 패킷 암호화에 사용되는 메인 모드와 암호화하지 않는 어그레시브 모드입니다.

IPSec 통신 모드

기기에서 지원되는 통신 모드는 IP 헤더를 제외한 부분만 암호화하는 전송 모드뿐입니다. 전체 IP 패킷을 암호화하는 터널 모드는 지원되지 않습니다.

FIPS 140 준수

IPSec 통신 중에는 [비밀번호 방식을 FIPS 140에 준거함] 설정과 상관없이 FIPS 140 인증을 획득한 암호화 모듈이 항상 사용됩니다. [비밀번호 방식을 FIPS 140에 준거함]

IPSec 통신이 FIPS 140을 준수하도록 하려면 기기가 속한 네트워크 환경에서 IPSec 통신을 위한 DH 및 RSA 키의 키 길이를 2048비트 이상으로 설정해야 합니다.

* 기기에서 DH 키만 키 길이를 지정할 수 있습니다. 기기에 RSA 키는 설정이 없으므로 환경을 구축할 때 이 점을 고려해야 합니다.

IP 주소 필터링과 함께 IPSec 사용

패킷이 전송되면 IP 주소 필터 설정이 먼저 적용됩니다. 방화벽 설치

패킷이 수신되면 IPSec 설정이 먼저 적용됩니다.

IPSec 폴리시 구성

기기에서 IPSec 통신을 수행하려면 인증 및 암호화의 적용 가능한 범위와 알고리즘을 포함하는 IPSec 폴리시를 생성해야 합니다. 이 폴리시는 주로 다음과 같은 항목으로 구성됩니다:

셀렉터

IPSec 통신을 적용할 IP 패킷을 지정합니다. 기기 및 통신 장치의 IP 주소를 지정할 뿐 아니라 포트 번호도 지정할 수 있습니다.

키 교환 프로토콜의 작동 모드(IKE 모드)

키 교환 프로토콜은 IKEv1(Internet Key Exchange 버전 1)을 지원합니다. 인증 방법에서 사전공유키 방식 또는 전자서명 방식을 선택합니다.

사전공유키 방식:
이 인증 방법은 공유 키라는 공통 키 단어를 기기와 기타 디바이스 간의 통신에 사용합니다.

전자서명 방식
기기와 기타 디바이스는 전자서명을 상호 확인하여 서로를 인증합니다.

* SNTP 사용을 활성화하도록 설정을 구성해야 합니다.

ESP/AH

IPSec 통신에 ESP 또는 AH 프로토콜을 사용하도록 설정을 구성합니다. PFS(Perfect Forward Secrecy)를 사용하여 보안 수준을 높입니다.

IPSec 구성

IPSec 사용을 활성화한 다음, IPSec 폴리시를 생성하고 등록합니다. 여러 폴리시를 생성한 경우 폴리시가 적용되는 순서를 지정합니다. 최대 10개 폴리시를 만들 수 있습니다.

이 단원에서는 컴퓨터에서 리모트 UI를 사용하여 설정을 구성하는 방법을 설명합니다.
제어판의 [홈] 화면이나 다른 화면에서 [

설정/등록]을 선택한 다음 [환경 설정]을 선택하여 설정을 구성합니다. [IPSec 설정]
관리자 또는 네트워크 관리자 권한이 필요합니다.

필요한 준비

기기와 동일한 VPN(가상 사설망)에 있는 컴퓨터에 기기를 직접 연결합니다. 작동 조건을 확인하고, 컴퓨터에서 설정을 미리 완료합니다. IPSec

IKE 인증 방법에 따라 다음을 준비합니다:

사전공유키 방식을 사용하는 경우, 리모트 UI 통신에 대해 TLS를 활성화합니다. TLS 사용

전자서명 방식을 사용하는 경우 사용할 키와 인증서를 준비하고 SNTP 사용을 활성화하도록 설정을 구성합니다.

키와 인증서 관리 및 확인

SNTP 구성

PFS를 사용하는 경우, 통신 장치에서 PFS가 활성화되었는지 확인합니다.

관리자로 리모트 UI에 로그인합니다. 리모트 UI 시작

리모트 UI의 포털 페이지에서 [설정/등록]을 클릭합니다. 리모트 UI 포털 페이지

[네트워크 설정]을 클릭합니다.

네트워크 설정 화면이 표시됩니다.

[IPSec 설정]을 클릭합니다.

[IPSec 설정] 화면이 표시됩니다.

[IPSec 사용] 확인란을 선택합니다.

폴리시를 충족하는 패킷만 수신하려면 [폴리시외 패킷의 수신]의 [거부]를 선택합니다.

[확인]을 클릭합니다.

네트워크 설정 화면이 다시 표시됩니다.

[IPSec 폴리시 리스트]를 클릭합니다.

[IPSec 폴리시 리스트] 화면이 표시됩니다.

[신규 IPSec 폴리시 등록]을 클릭합니다.

[폴리시(방침) 등록] 화면이 표시됩니다.

폴리시명을 지정하고 [폴리시 설정/해제]에서 [설정]을 선택합니다.

폴리시명에 영숫자 문자를 사용하여 폴리시를 식별하기 위한 이름을 입력합니다.

필요에 따라 AES 키 길이를 제한합니다.

CC 인증 표준을 충족해야 할 때처럼 AES 키 길이를 256비트로 제한하려면 [AES 키의 길이를 256-bit로 제한] 확인란을 선택합니다.

* Canon 복합기는 AES 암호화 방법에 128비트와 256비트의 두 가지 키 길이를 지원합니다.

셀렉터를 설정합니다.

[셀렉터 설정]을 클릭합니다.

[셀렉터] 화면이 표시됩니다.

셀렉터를 설정합니다.

[로컬 주소 설정] 및 [리모트 주소 설정]

IPSec 통신을 적용할 IP 주소를 설정합니다. [로컬 주소 설정]에서 기기의 IP 주소를 지정하고 [리모트 주소 설정]에서 통신 장치의 IP 주소를 지정합니다.

[모든 IP 주소]

모든 IP 패킷에 IPSec을 적용하려면 이것을 선택합니다.

[IPv4 주소] 또는 [모든 IPv4 주소]

IPv4 주소를 사용하여 송수신되는 IP 패킷에 IPSec 통신을 적용하려면 이것을 선택합니다.

[IPv6 주소] 또는 [모든 IPv6 주소]

IPv6 주소를 사용하여 송수신되는 IP 패킷에 IPSec 통신을 적용하려면 이것을 선택합니다.

[IPv4 수동 설정]

IPSec 통신을 적용할 IPv4 주소를 지정하려면 이것을 선택합니다. 다음 방법 중 하나를 사용하여 설정을 적용할 IPv4 주소를 지정합니다.

단일 IPv4 주소를 지정하는 경우
[단일 주소]를 선택하고 [시작 주소]에 IPv4 주소를 입력합니다.

IPv4 주소 범위를 지정하는 경우
[범위 주소]를 선택하고 [시작 주소] 및 [종료 주소]에 IPv4 주소를 입력합니다.

서브넷 마스크를 사용하여 IPv4 주소 범위를 지정하는 경우
[서브넷 설정]을 선택하고, [시작 주소]에 IPv4 주소를 입력하고, [서브넷 설정]에 서브넷 마스크를 입력합니다.

[IPv6 수동설정]

IPSec 통신을 적용할 IPv6 주소를 지정하려면 이것을 선택합니다. 다음 방법 중 하나를 사용하여 설정을 적용할 IPv6 주소를 지정합니다.

단일 IPv6 주소를 지정하는 경우
[단일 주소]를 선택하고 [시작 주소]에 IPv6 주소를 입력합니다.

IPv6 주소 범위를 지정하는 경우
[범위 주소]를 선택하고 [시작 주소] 및 [종료 주소]에 IPv6 주소를 입력합니다.

프리픽스를 사용하여 IPv6 주소 범위를 지정하는 경우
[프리픽스 주소]를 선택하고, [시작 주소]에 IPv6 주소를 입력하고, [프리픽스 길이]에 프리픽스 길이를 입력합니다.

[포트 설정]

IPSec 통신을 적용할 포트를 설정합니다.

[포트번호로 지정]

IPSec 통신이 적용될 포트를 지정하는 경우 포트번호를 사용하려면 이것을 선택합니다. [로컬 포트]에서 기기의 포트번호를 지정하고, [리모트 포트]에서 통신 장치의 포트번호를 지정합니다.

모든 포트 번호에 IPSec 통신을 적용하려면 [모든 포트]를 선택합니다.

특정 포트번호에 IPSec 통신을 적용하려면 [단일 포트]를 누르고 포트번호를 입력합니다.

[서비스명으로 지정]

IPSec 통신이 적용될 포트를 지정하는 경우에 서비스명을 사용하려면 이것을 선택합니다. IPSec 통신을 적용할 서비스의 확인란을 선택합니다.

[확인]을 클릭합니다.

[폴리시(방침) 등록] 화면이 표시됩니다.

IKE 설정을 구성합니다.

[IKE 설정]을 클릭합니다.

[IKE] 화면이 표시됩니다.

IKE 설정을 구성합니다.

[IKE 모드]

키 교환 프로토콜의 작동 모드를 선택합니다. [메인]을 선택하면 IKE 세션 자체가 암호화되므로 보안이 향상되지만, 암호화를 수행하지 않는 [어그레시브]에 비해 통신 속도가 느려집니다.

[유효기간]

제어 통신 경로로 사용할 IKE SA(ISAKMP SA)의 유효 기간을 분 단위로 입력합니다.

[인증방법]

기기의 인증 방법을 선택합니다.

[사전공유키 방식]을 선택하는 경우, [공유키 설정]을 클릭하고

영숫자를 사용하여 공유키로 사용할 문자열을 입력하고

[확인]을 클릭합니다.

[전자서명 방식]을 선택하는 경우, [키와 증명서]

사용할 키와 인증서의 [사용함]을 클릭합니다.

[인증/암호화 알고리즘]

IKE 1단계의 인증과 암호화 알고리즘을 구성합니다.

이 기기와 통신 장치 모두 사용할 수 있는 알고리즘을 자동으로 설정하려면 [자동]을 선택합니다.

특정 알고리즘을 지정하려면 [수동 설정]을 선택하고, [인증], [암호화], [DH 그룹] 설정을 구성합니다.

[인증]: 해시 알고리즘을 선택합니다.

[암호화]: 암호화 알고리즘을 선택합니다.

[DH 그룹]: 키 강도를 결정하는 데 사용되는 Diffie-Hellman 그룹을 선택합니다.

[IKE 모드]가 [메인]으로 설정되고 [인증방법]이 [사전공유키 방식]으로 설정된 경우

셀렉터 설정에서 [리모트 주소 설정]에 둘 이상의 주소를 지정하는 경우 여러 폴리시를 만들 때 다음과 같은 제한이 적용됩니다:

둘 이상의 주소가 지정된 폴리시는 모든 공유키를 동일한 문자열로 설정해야 합니다.

둘 이상의 주소가 지정된 폴리시는 하나의 주소만 지정된 폴리시보다 높은 우선순위로 설정할 수 없습니다.

[확인]을 클릭합니다.

[폴리시(방침) 등록] 화면이 다시 표시됩니다.

IPSec 네트워크 설정을 구성합니다.

[IPSec 네트워크 설정]을 클릭합니다.

[IPSec 네트워크] 화면이 표시됩니다.

IPSec 네트워크 설정을 구성합니다.

[유효기간]

데이터 통신 경로로 사용할 IPSec SA의 유효 기간을 시간별, 크기별 또는 모두로 지정합니다.

[시간] 확인란을 선택한 경우 유효 기간을 분 단위로 입력합니다.

[크기] 확인란을 선택한 경우 유효 기간을 메가바이트 단위로 입력합니다.

둘 다 선택한 경우 지정된 값에 먼저 도달하는 항목이 적용됩니다.

[PFS]

세션 키에 대한 PFS를 구성하려면 이 확인란을 선택합니다.

[인증/암호화 알고리즘]

IKE 2단계의 인증과 암호화 알고리즘을 설정합니다.

ESP 인증과 암호화 알고리즘을 자동으로 설정하려면 [자동]을 선택합니다.

특정 인증 방법을 지정하려면 [수동 설정]을 선택하고, 다음 인증 방법 중 하나를 선택합니다.

[ESP]:
인증과 암호화가 모두 실행됩니다.
[ESP 인증] 및 [EPS 암호]에서 알고리즘을 선택합니다. 알고리즘을 설정하지 않으려면 [NULL]을 선택합니다.

[ESP (AES-GCM)]:
인증과 암호화가 모두 실행됩니다.
AES-GCM이 알고리즘으로 사용됩니다.

[AH (SHA1)]:
인증이 실행되지만 데이터는 암호화되지 않습니다.
알고리즘으로 SHA1이 사용됩니다.

[접속모드]

기기는 전송 모드만 지원합니다.

[확인]을 클릭합니다.

[폴리시(방침) 등록] 화면이 다시 표시됩니다.

[확인]을 클릭합니다.

생성된 폴리시가 [IPSec 폴리시 리스트] 화면에 추가됩니다.

여러 정책을 등록한 경우

폴리시를 선택하고 [우선순위위로] 또는 [우선순위아래로]를 클릭하여 우선순위를 변경합니다. IPSec 통신에 적용될 때 상위 폴리시에 우선순위가 갑니다.

[설정 반영]

[확인]을 클릭합니다.

설정이 적용됩니다.

리모트 UI에서 로그아웃합니다.

참고

등록된 정책 편집

등록된 정보를 편집하려면 [IPSec 폴리시 리스트] 화면에서 편집할 폴리시명을 클릭합니다.