컴퓨터보안학원, MCSE 가상개인네트워킹 및 인트라넷 보안 ORJMCSE 가상개인네트워킹 및 인트라넷 보안
☆ MCSE 가상개인네트워킹 및 인트라넷 보안 ☆
Microsoft ?? Windows?? 운영 체제에는 개인 및 공용 네트워크에서의 통신을 보호하기 위한 기술이 포함되어 있습니다. 현재 Microsoft 제품은 링크 및 전송 계층에서의 보안 서비스는 물론 전자 메일을 위한 응용 프로그램 계층 보안도 제공합니다. 링크 계층 보안은 원격 액세스 세션 내에서 뿐만 아니라 분기 네트워크 연결 내에서 전송 중인 데이터를 암호화합니다. 전송 계층 보안은 World Wide Web 세션을 포함하여 TCP 기반 프로토콜을 보호할 수 있게 합니다. 또한 Windows 2000은 내부 네트워크에 보안 서비스를 적용할 수 있게 하는 인터넷 프로토콜(IP) 보안, 즉 IPSec을 통해 종단간 네트워크 계층 보안 서비스를 제공합니다.
이 백서에는 링크 계층과 종단간 보안을 중점적으로 설명합니다. 이 백서에는 다양한 고객 요구 사항을 충족하기 위해 지점간 터널링 프로토콜(PPTP), 계층 2 터널링 프로토콜(L2TP) 및 IPSec 프로토콜 지원을 위한 Microsoft의 약속에 대해 설명합니다. 또한 Windows 운영 체제에 이러한 프로토콜을 구현하기 위한 Microsoft의 계획도 자세히 설명합니다.
소개
네트워크 보안은 규모가 크든 작든 모든 회사에서 그 중요성이 커지고 있습니다. 원격 액세스 세션, 분기 네트워크 연결 또는 내부 네트워크에서 전송 중인 정보를 보호하려면 이런 보안 형태의 솔루션이 필수적입니다. 일반적으로 보안은 단일 제품이나 기술로 이루어지지 않으며, 허용할 수 있는 수준의 위험과 보호 사이의 균형을 조정하는 관리 정책과 더불어 몇 가지 기술이 통합되어 이루어집니다. Microsoft는 보안의 중요성을 깊이 인식하고 고객에게 보안 정책을 쉽게 정의하고 관리할 수 있는 기술과 도구를 제공하기 위해 많은 방법을 개발 중입니다.
보안 서비스에는 기밀성, 무결성 보호, 인증, 권한 확인 및 재생 보호가 포함됩니다. 이러한 도구 중에는 공용 네트워크와 개인 관리 네트워크를 통한 중요한 정보의 전송과 관련된 위험을 최소화하는 데 도움이 되는 네트워크 암호화 서비스가 있습니다. 또한 Microsoft는 총 소유 비용의 중요성을 인식하고 Windows 플랫폼을 사용하여 통신 상호 운용성과 융통성을 최대화하는 표준 기반 솔루션 제공에 최선을 다하고 있습니다.
네트워크 보안을 위한 세 가지 주요 모델이 있으며 Microsoft는 이 모델을 모두 지원합니다.
- 요즘 HTTPS, SOCK 또는 SSL 같은 전송 계층 보안 기술을 이용하여 보안된 공용 및 개인 관리 네트워크를 통해 액세스하도록 호스트된 응용 프로그램이 많습니다. SSL/TLS에 의해 전송 계층 보안이 제공됨에 따라 특별히 이러한 보안 서비스를 사용하는 TCP 기반 응용 프로그램을 만들 수 있게 되었습니다. Microsoft는 자사의 제품에서 확장적으로 SSL/TLS을 지원합니다. 그러나 이 서비스는 페이지 단위로 적용되는 경우가 많기 때문에 중앙 집중식 관리에는 SSL/TLS 응용 프로그램이 적합하지 않습니다. SOCKS는 들어오는 세션과 나가는 세션 모두에 확장 가능한 인증은 물론 세분된 권한을 제공하는 인증된 방화벽 통과 프로토콜입니다. Microsoft가 지원하지 않는 SOCKS V는 TCP와 UDP 기반 프로토콜에 모두 적용되며 중앙 집중식 관리에 적합합니다. 결과적으로 SSL/TLS 기술과 SOCKS 기술은 상호 보완적이며 가상 개인 네트워크와 엑스트라넷 내에서 전송 계층 보안을 제공하기 위해 함께 사용될 수 있습니다.
- 많은 회사는 물리적 보안 덕택에 어느 정도의 프라이버시를 제공하는 내부 케이블 플랜트, 외부 공급 케이블 플랜트 및 WAN을 포함하여 개인 네트워크나 신뢰성 있는 네트워크 인프라를 사용합니다. 이러한 네트워크는 그 자체만으로는 네트워크를 통과하는 정보가 우발적으로 또는 고의로 노출되는 것을 막을 수 없습니다. 대부분의 보안 침해가 회사 네트워크 내부에서 발생하는 점을 고려하면 정보를 도난과 공격으로부터 보호하기 위한 또 다른 기술이 필요합니다.
- 종단간 네트워크 보안은 응용 프로그램 인식이 필요한 통신을 투명하게 보안하는 보안 기술과 프로토콜로 구성됩니다. 이 보안을 달성하기 위해서는 세심한 네트워크 설계와 구성이 요구됩니다. 이러한 도구는 대개 관리 정책을 통해 관리되므로 관련된 응용 프로그램이나 최종 사용자에 대해 알지 못해도 네트워크를 지나는 통신을 안전하게 보호할 수 있습니다.
업계에서는 위 세 가지 모델 모두를 가상 개인 네트워킹(VPN)이라는 광범위한 범주에서 논의해 왔습니다. 각 모델마다 어느 정도 개인 네트워킹을 제공하는 것은 사실이지만 이와 같은 광범위한 정의는 혼란을 일으킬 수 있습니다. 이 때문에 Microsoft는 보다 제한된 용어의 정의를 채택하였고, 공용 또는 신뢰할 수 없는 네트워크 인프라에 걸쳐 보안을 제공하는 의미로 "VPN"을 사용합니다. VPN에는 다음과 같은 것이 포함됩니다.
- 인터넷 연결을 통해서나 개인 또는 외부 공급 네트워크 안에서의 클라이언트에서 게이트웨이로의 보안된 원격 액세스
- 인터넷을 통해서나 개인 또는 외부 공급 네트워크를 통해 보안된 게이트웨이 간 연결
또한 Microsoft는 개인 네트워크 안에서 종단간 통신을 보호하기 위한 최초의 운영 체제 통합 솔루션을 제공함으로써 업계를 선도하고 있습니다. Windows 2000에서는 보안 관리를 기초로 중앙 제어 정책을 배달할 수 있도록 IPSec을 Active Directory™ 디렉터리 서비스와 통합합니다.
이 백서에는 보안 네트워킹을 위한 VPN 및 종단간 모델 모두에 대해 Microsoft가 지향하는 바를 설명합니다. 이 백서에서는 주요 네트워크 프로토콜 사이의 중요한 차이점을 설명하고 그러한 프로토콜과 관련한 Microsoft의 입장을 밝히고 Microsoft가 운영 체제에서 그러한 프로토콜을 어떻게 지원하고 있는지 설명합니다.
보안 네트워크 통신을 위한 프로토콜
지난 몇 년 동안 VPN 프로토콜로 분류되고 통신을 암호화하는 많은 프로토콜이 소개되었습니다. 이들 프로토콜은 다음과 같습니다.
- 인터넷 프로토콜 보안(IPSec)-IETF RFC 2401-2409에 설명된 아키텍처, 프로토콜 및 관련 인터넷 키 교환(IKE) 프로토콜입니다.
- L2F(Layer 2 Forwarding)-Cisco Systems에서 개발했습니다.
- 계층 2 터널링 프로토콜(L2TP)-IETF 표준 프로세스를 통해 전개되는 PPTP 및 L2F의 조합입니다.
- 지점간 터널링 프로토콜(PPTP)-US Robotics(현재의 3Com), 3Com/Primary Access, Ascend, Microsoft, ECI Telematics 등으로 구성된 PPTP Industry Forum에서 개발했습니다.
IPSec, L2TP 및 PPTP는 서로 경쟁적인 기술로 보이지만 이들 프로토콜은 서로 다른 용도에 적합한 서로 다른 성능을 제공합니다. 이를 이해하려면 프로토콜의 설계 목표와 기술적 차이점을 살펴보는 것이 좋습니다.
IPSec은 IP 소통에 대해 무결성 보호, 인증, 선택적으로 프라이버시 및 재생 보호 서비스를 제공합니다. IPSec 패킷은 두 종류가 있습니다.
- 프라이버시, 신뢰성 및 무결성을 제공하며 ESP(Encapsulating Security Payload) 형식이라고 하는 IP 프로토콜 50
- 패킷의 무결성과 신뢰성은 제공하지만 프라이버시는 제공하지 않는 AH(Authentication Header) 형식이라고 하는 IP 프로토콜 51
IPSec은 두 가지 모드에서 사용할 수 있습니다. 전송 모드에서는 기존의 IP 패킷을 원본부터 대상까지 보안하며 터널 모드에서는 IPSec 형식으로 터널 끝점으로 전송되는 새 IP 패킷 안에 기존 IP 패킷을 넣습니다. 전송 모드와 터널 모드는 모두 ESP 또는 AH 헤더에 캡슐화할 수 있습니다.
IPSec 전송 모드는 예를 들어 TCP 연결이나 UDT 데이터그램을 보호하기 위한 경우처럼 두 통신 시스템 사이의 IP 소통 종단간을 위해 보안을 제공하도록 설계되었습니다. IPSec 터널 모드는 인터넷 같은 공용 또는 신뢰할 수 없는 IP 네트워크를 통해 개인 IP 네트워크를 다른 개인 IP 네트워크로 연결하는 IPSec 터널 안에서 다른 IP 소통을 보호하도록 주로 네트워크 중간점, 라우터 또는 게이트웨이를 위해 설계되었습니다. 두 경우 모두에서, 대개 상호 인증을 위해 PKI 인증서를 사용하여 인터넷 키 교환(IKE)을 통해 두 컴퓨터 사이에 복잡한 보안 협상이 수행됩니다.
IETF RFC IPSec 터널 프로토콜 규정에는 원격 액세스 VPN 클라이언트에 적합한 메커니즘이 포함되지 않았습니다. 생략된 기능에는 사용자 인증 옵션이나 클라이언트 IP 주소 구성이 포함됩니다. 원격 액세스를 위한 IPSec 터널 모드를 사용하기 위해 일부 공급업체는 고유의 방법으로 프로토콜을 확장하여 이 문제를 해결합니다. 이 확장 중 일부는 인터넷 드래프트로 문서화되어 있지만 표준 상태가 없고 보통 상호 운용이 되지 않습니다. 따라서 고객은 그러한 구현이 적절한 다중 공급업체 상호 운용성을 제공하는지 심각하게 고려해야 합니다.
L2TP는 광범위하게 구현된 성숙한 IEFE 표준 추적 프로토콜입니다. L2TP는 IP, X.25, 프레임 릴레이 또는 비동기 전송 모드(ATM) 네트워크를 통해 전송되는 지점간 프로토콜(PPP) 프레임을 캡슐화합니다. 전송에 IP를 사용하도록 구성한 경우 L2TP를 인터넷에서 VPN 터널링 프로토콜로 사용할 수 있습니다. IP를 통한 L2TP는 UDP 포트 1701을 사용하며 터널 유지 관리를 위한 일련의 L2TP 제어 메시지를 포함합니다. 또한 L2TP는 UDP를 사용하여 L2TP에 캡슐화된 PPP 프레임을 터널링된 데이터로서 전송합니다. 캡슐화된 PPP 프레임을 암호화하거나 압축할 수 있습니다. L2TP 터널이 IP 패킷으로 나타나면 터널은 강력한 무결성, 재생, 신뢰성 및 프라이버시 보호를 위해 IPSec 전송 모드를 사용하는 표준 IPSec 보안을 이용합니다. L2TP는 네트워크 액세스 서버로의 클라이언트 연결과 게이트웨이 간 연결을 위해 특수하게 디자인되었습니다. L2TP는 PPP 사용을 통해 IPX와 Applet!!!alk 같은 프로토콜을 위한 다중 프로토콜 지원을 얻습니다. 또한 PPP는 토큰 카드와 스마트 카드 인증 메커니즘을 지원하는 CHAP, MS-CHAP, MS-CHAPv2 및 확장할 수 있는 인증 프로토콜(EAP)을 비롯하여 광범위한 사용자 인증 옵션을 제공합니다. 따라서 L2TP/IPSec은 IPSec의 강력하고 상호 운용 가능한 보안과 더불어 잘 정의되고 상호 운용할 수 있는 터널링을 제공합니다. L2TP/IPSec은 보안된 원격 액세스 및 보안된 게이트웨이 간 연결을 위한 훌륭한 솔루션입니다.
PPTP는 공용 키 인프라가 필요 없이 사용자 ID와 암호를 사용하여 클라이언트와 게이트웨이 간 또는 두 게이트웨이 사이에 인증되고 암호화된 통신을 제공하도록 설계되었습니다. 이 프로토콜은 IPSec과 L2TP가 소개되기 2년 전인 1996년에 처음 배포되었습니다. 이 프로토콜의 설계 목표는 단순성, 다중 프로토콜 지원 및 광범위한 IP 네트워크를 횡단한 수 있는 능력을 제공하는 것이었습니다. 지점간 터널링 프로토콜(PPTP)은 터널 유지 관리를 위해 TCP 연결을 사용하고 터널링된 데이터를 위해 GRE(Generic Routing Encapsulation) 캡슐화된 PPP 프레임을 사용합니다. 캡슐화된 PPP 프레임의 페이로드를 암호화하고 압축할 수 있습니다. PPP의 사용은 인증, 암호화 및 IP 주소 할당 서비스를 협상할 수 있는 능력을 제공합니다.
표 1에 위 세 가지 보안 프로토콜 간의 주요 기술적 차이점이 요약되어 있습니다.
표 1 네트워크 보안 프로토콜 간 차이점
기능 | 설명 | PPTP/ PPP | L2TP/ PPP | L2TP/ IPSec | IPSec Xport | IPSec 터널 |
---|---|---|---|---|---|---|
사용자 인증 | 통신을 시작하는 사용자를 인증할 수 있습니다. | 예 | 예 | 예 | WIP1 | WIP |
컴퓨터 인증 | 통신에 관련된 시스템을 인증합니다. | 예2 | 예 | 예 | 예 | 예 |
NAT 가능 | 통신의 끝점 중 하나 또는 둘 다를 숨기기 위해 네트워크 주소 변환기를 통과할 수 있습니다. | 예 | 예 | 아니오 | 아니오 | 아니오 |
다중 프로토콜 지원 | IP 및 비 IP 소통을 전송하는 표준 방법을 정의합니다. | 예 | 예 | 예 | 아니오 | WIP |
동적 터널 IP 주소 할당 | 통신의 터널링 부분에 대한 IP 주소 협상을 위한 표준 방법을 정의합니다. 이것은 반환된 패킷이 비터널 및 보안되지 않은 경로 대신 같은 세션을 통해 다시 라우트되고 수동으로 정적 최종 시스템을 구성하지 않아도 되므로 중요합니다. | 예 | 예 | 예 | 해당 없음 | WIP |
암호화 | 전송되는 소통량을 암호화할 수 있습니다. | 예 | 예 | 예 | 예 | 예 |
PKI 사용 | PKI를 사용하여 암호화와 인증을 구현할 수 있습니다. | 예 | 예 | 예 | 예 | 예 |
패킷 신뢰성 | 패킷 내용이 전송 중 변경되지 않도록 하기 위한 신뢰성 보장 방법을 제공합니다. | 아니오 | 아니오 | 예 | 예 | 예 |
멀티캐스트 지원 | IP 유니캐스트 소통량과 더불어 IP 멀티캐스트 소통량을 전송할 수 있습니다. | 예 | 예 | 예 | 아니오 | 예 |
IPSec, L2TP/IPSec 및 PPTP에 대한 Microsoft의 입장
기본적으로 IPSec 전송 모드는 회사 네트워크 안에서 끝점 간 신뢰성과 암호화를 위해 이상적입니다. Microsoft는 이 시나리오를 지원하는 지정된 IPSec 표준 내에서의 상호 운용성을 보장하기 위해 IETF 및 선두의 네트워킹 공급업체들과 긴밀하게 협력하고 있습니다.
대부분 클라이언트에서 게이트웨이로의 VPN 상황에서 사용자 인증 및 내부 주소 구성은 보안 및 관리 측면에서 매우 중요합니다. 또한 다중 프로토콜 소통량의 전송을 위한 멀티캐스트 지원과 정의된 방법은 특히 게이트웨이 간 시나리오에 필수적입니다. 이 문제를 해결하기 위해 많은 공급업체는 여러 공급업체 간 상호 운용성에 방해가 되는 독점적이고 잘 채택되지 않는 확장을 구현했습니다. IETF IPSec 작업 그룹은 현재 패킷 오버헤드를 최소화하고 IETF IP 프레임워크를 극대화하면서 이 문제를 해결할 수 있는 방법을 찾고 있습니다. 그러나 IPSec 터널 모드에는 아직 이러한 문제를 해결하기 위해 확장 가능한 사용자 기반 인증과 주소 할당을 위한 표준 방법이 정의되어 있지 않기 때문에, Microsoft는 독자적으로 IPSec 터널 모드가 대부분 클라이언트에서 게이트웨이로의 VPN 상황에 적합하지 않다는 결론을 내렸습니다. 지원되는 IKE 옵션의 수와 요즘의 제품에 제공되는 상호 운용성 테스트의 수준이 각기 다르기 때문에 특정 네트워킹 구성에 대한 상호 운용성 문제가 발생할 수 있다 하더라도, IPSec 터널 모드는 게이트웨이 간 VPN 시나리오에 적합합니다.
L2TP는 현재 IPSec만 사용하는 클라이언트에서 게이트웨이로 및 게이트웨이 간 시나리오(사용자 인증, 터널 IP 주소 할당 및 다중 프로토콜 지원)의 단점을 해결하는 잘 정의된 상호 운용 가능한 프로토콜입니다. L2TP는 특히 규모가 큰 네트워크 액세스 장치 공급자를 비롯하여 광범위한 공급업체가 지원하며 상호 운용성이 입증되었습니다. L2TP를 IPSec 패킷 안에 페이로드로 배치함으로써 통신에 IPSec의 표준 기반 암호화 및 신뢰성을 얻을 수 있을 뿐만 아니라, 사용자 인증, 터널 주소 할당, 다중 프로토콜 지원 및 PPP를 사용한 멀티캐스트 지원을 위해 상호 운용성이 높은 방법을 이용할 수 있습니다. 이 조합을 보통 L2TP/IPSec이라고 합니다. 이보다 더 뛰어난 순수 IPSec 표준 솔루션은 없으므로 Microsoft는 L2TP/IPSec이 여러 공급업체 사이에 상호 운용 가능한 클라이언트에서 게이트웨이로의 VPN 시나리오를 위해 가장 뛰어난 표준 기반 솔루션을 제공한다고 믿습니다. Microsoft는 이 중요한 조합을 지원하기 위해 Cisco, 3Com, Lucent, IBM을 비롯한 주요 네트워킹 공급업체와 긴밀히 협력하고 있습니다.
IKE 프로토콜과 네트워크 주소 변환 사이의 비호환성 때문에 자동화된 키 교환의 이점도 얻고 동시에 네트워크 주소 변환기를 통해 L2TP/IPsec 또는 IPSec 터널 모드를 사용할 수는 없습니다.
L2TP와 관련하여 최근에 제안된 작업에서는 L2TP/IPSec를 위한 헤더 압축 방법을 지정합니다. 이 작업은 L2TP의 다른 이점을 그대로 얻으면서도 프로토콜 오버헤드를 상당히 줄일 수 있기 때문에 중요합니다. Microsoft는 이 헤더 압축 작업이 L2TP에 대한 중요한 방향을 제시하는 것이라 믿기 때문에 표준 절차에 따라 이 기능의 진행을 지원합니다. 또한 Microsoft는 클라이언트-게이트웨이 응용 프로그램에서 IPSec 터널 모드를 위한 표준 기반의 상호 운용 가능하고 잘 통합된 솔루션의 지속적인 개발을 지원합니다. 특히 Microsoft는 그러한 솔루션이 심각한 복잡성을 초래함으로써 IKE 프로토콜의 무결성을 훼손하지 않을 것으로 믿습니다. 또한 IPSec 원격 액세스(IPSRA) 솔루션은 DHCP와 같은 기존 네트워크 인프라 및 EAP나 GSS_API 같은 확장 가능한 인증을 위한 기존 IETF 표준과 잘 통합되어야 합니다.
PPTP는 현재 클라이언트에서 게이트웨이로 및 게이트웨이 간 시나리오 모두에 광범위하게 사용됩니다. 인증 프로세스에 의해 시작된 사용자 암호 및 암호화 키에 기초한 클라이언트/서버 상호 인증 덕분에, PPTP는 설정이 쉽고 비용이 적게 들며 관리가 간편합니다. 또한 PPTP는 그 설계부터가 네트워크 주소 변환기(NAT)를 통과할 수 있게 되어 있습니다. 이러한 NAT 기능으로 인해 인터넷을 통해 사용될 때 각 PPTP 끝점에 등록된 IP 주소가 있어야 할 필요성이 없어집니다.
L2TP/IPSec은 클라이언트에서 게이트웨이로 및 게이트웨이 간 시나리오 모두에 있어 여러 공급업체 간 상호 운용성을 위한 탁월한 솔루션인 반면 IPSec 사용에 따라 PKI의 확장성을 요구하지 않습니다. 또한 IKE와 NAT가 호환되지 않기 때문에 L2TP/IPSec, IPSec 순수 터널 모드 또는 IPSec 전송 모두가 표준 NAT를 통과할 수 없습니다. Microsoft는 복잡한 IPSec 기반 통신이 필요하지 않은 고객, PKI 배포를 원하지 않는 고객 또는 NAT 가능한 VPN 프로토콜이 필요한 고객에게 PPTP가 중요한 프로토콜로 계속 사용될 것으로 믿습니다. 따라서 Microsoft는 PPTP의 지속적인 지원과 발전에 모든 노력을 기울일 것입니다.
IPSec, L2tp 및 PPTP에 대한 Microsoft의 지원
Microsoft Windows 2000 운영 체제에서는 IPSec을 견실하게 구현한 Windows IP 보안을 이용해 네트워크 보안의 배포와 관리를 간편하게 만듭니다. IPSec 프로토콜은 TCP/IP 프로토콜 스택에 통합되어 있는 부분입니다. Microsoft와 Cisco Systems, Inc.는 공동으로 Windows 2000에서 IPSec 및 관련 서비스를 개발했습니다. Cisco를 비롯한 많은 공급업체와 더불어 아래의 각 예에 대해 상호 운용성을 테스트했습니다.
IPSec을 사용하면 다음과 같은 상황에서 네트워크 소통량에 프라이버시, 무결성 및 신뢰성을 제공할 수 있습니다.
- IPSec 전송 모드를 사용하는 클라이언트에서 서버로, 서버 간 및 클라이언트 간 IP 유니캐스트 소통량을 위한 종단간 보안
- IPSec 전송 모드에 의해 보안된 L2TP를 사용하는 원격 액세스 VPN 클라이언트와 게이트웨이 기능
- class=ListPara1 style="BACKGROUND-COLOR: #000000" L2TP/IPSec 또는 IPSec 터널 모드를 사용하는 외부 공급 개인 WAN 또는 인터넷 기반 연결에서 사이트 간 VPN 연결
Windows IP 보안은 Windows 2000 도메인과 Active Directory 서비스를 통합함으로써 IETF IPSec 아키텍처에 기초하여 구축됩니다. Active Directory는 디렉터리 사용 가능한 정책 기반 네트워킹을 제공합니다. IPSec 정책은 Windows 2000 그룹 정책을 통해 Windows 2000 도메인 구성원에 할당되고 배포됩니다. 로컬 정책 구성이 제공되므로 도메인에서 구성원 자격이 필요 없습니다.
IETF에서 정의한 인터넷 키 교환(IKE) 프로토콜인 RFC 2409를 사용하여 자동 보안 협상 및 키 관리 서비스도 제공됩니다. IKE의 구현에서는 컴퓨터 사이의 트러스트 설정을 위한 세 가지 인증 방법을 제공합니다.
- Kerberos v5.0 인증 Kerberos 버전 5.0 키 배포 센터(KDC)로 사용되는 Windows 2000 도메인에서 제공합니다. 이것을 사용하면 도메인의 구성원이거나 트러스트된 도메인의 구성원인 Windows 2000 컴퓨터 사이에 보안된 통신을 쉽게 배포할 수 있습니다. IKE는 draft-ietf-ipsec-isakmp-gss-auth-02.txt에 나온 것과 같이 Kerberos의 인증 속성만 사용합니다. IPSec 보안 연결을 위한 키 생성은 IKE RFC2409 방법을 사용하여 이루어집니다.
- 인증서를 사용한 공용/개인 키 서명 Microsoft, Entrust, Verisign, Netscape를 비롯하여 여러 인증서 시스템과 호환됩니다. 이것은 RFC 2409의 일부입니다.
- 암호 미리 공유된 인증 키이며 컴퓨터 사이의 트러스트 설정을 위해 엄격하게 사용됩니다. 이것은 RFC 2409의 일부입니다.
IPSec 정책을 사용하여 구성하고 나면 피어 컴퓨터는 두 컴퓨터 사이의 모든 소통량에 대한 주 보안 연결을 설정하기 위해 IKE를 사용하여 협상할 수 있습니다. 이를 위해서는 위에서 설명한 방법 중 하나를 사용한 인증과 공유 마스터 키 생성 작업이 수행됩니다. 그런 다음 시스템은 현재 보호하려는 응용 프로그램 소통량에 대한 다른 보안 연결을 협상하기 위해 IKE를 사용합니다. 이를 위해 공유 세션 키 생성 작업이 수행됩니다. 키의 두 세트는 관련된 두 컴퓨터만이 압니다. 보안 연결을 사용하여 교환된 데이터는 네트워크에 개입한 침입자가 수정하거나 해석하지 못하게 잘 보호됩니다. 키는 IPSec 정책 설정에 따라 자동으로 갱신되므로 관리자가 정의한 정책에 따라 지속적인 보호를 제공합니다.
IPSec의 기술 세부 사항에 익숙한 고객을 위해 Windows 2000에서는 DES(56비트 키 성능) 및 3DES(168비트 키 성능) 암호화 알고리즘과 SHA-1 및 MD5 무결성 알고리즘을 제공합니다. 이들 알고리즘은 ESP 형식의 모든 조합에서 지원됩니다. AH 형식은 무결성과 신뢰성만을 제공하기 때문에 MD5와 SHA-1만 사용됩니다.
Windows 2000에서는 클라이언트에서 게이트웨이로 및 게이트웨이 간 구성에 IPSec를 사용하는 경우를 위해 L2TP 지원이 포함되어 있습니다. 이들 구성에서는 클라이언트에서 게이트웨이로의 모든 소통량과 두 게이트웨이 사이의 모든 소통량이 암호화됩니다. 이 구현은 다양한 공급업체가 구현한 L2TP/IPSec을 사용하여 테스트를 거쳤습니다.
Windows 2000에는 클라이언트에서 게이트웨이로 및 게이트웨이 간 구성을 위한 PPTP 지원이 포함되어 있습니다. 이 구현은 Microsoft Windows NT ?? Server, Windows NT Workstation, Windows 98 및 Windows 95 운영 체제에서 사용할 수 있는 PPTP 서비스와 호환됩니다. 따라서 고객은 PPTP를 사용하여 기존에 Windows 운영 체제 기반 플랫폼에 투자한 것들을 그대로 이용할 수 있습니다. Windows 2000 기반 시스템은 Windows NT 기반 PPTP 서버와 상호 운용할 수 있으며 현재 사용되는 Windows 기반 시스템은 Windows 2000 기반 PPTP 서버와 상호 운용됩니다. Windows 2000 PPTP는 암호 기반 인증 이외에도 확장할 수 있는 인증 프로토콜(EAP)을 통해 공개 키 인증을 지원할 수 있습니다.
암호화 정책의 범위를 벗어나는 또 다른 보안 정책 관리 차원은 액세스 정책입니다. 클라이언트에서 게이트웨이로 및 게이트웨이 간 상황에서 Windows 2000은 직접 전화 접속, PPTP 및 L2TP/IPSec 연결을 통한 사용자 액세스를 제어하기 위해 구현할 수 있는 풍부한 관리 정책 세트를 제공합니다. 이 액세스 정책을 사용하면 관리자가 사용자 ID, 하루 중 시간, 프로토콜 포트, 암호화 수준 등의 조합에 기초하여 액세스를 허용하거나 거부할 수 있습니다. 이들 액세스 정책은 Windows 2000 Active Directory 환경 안에서 기본적으로 사용할 수 있을 뿐 아니라 RADIUS 사용을 통해 비 Windows 2000 환경에도 적용할 수 있습니다. 예를 들어, RADIUS를 통해 사용자를 인증하는 데 Windows 2000 Server를 사용하도록 기존 Windows NT 기반 PPTP 서버를 구성할 수 있습니다. 이런 방법으로 사용할 경우 정책을 강제 이행하고 Windows NT 기반 PPTP 서버에 그 정책을 적용하도록 Windows 2000 Server를 구성할 수 있습니다. 이것은 Windows 2000으로 전환하는 동안 Windows 2000이 어떻게 중앙 관리를 간편하게 만들고 강화하는지 보여주고, 이질적인 환경에서의 인증을 위해 Windows 2000을 사용하는 많은 이점 중 하나를 보여주는 좋은 예입니다.
IPSec에 대한 앞서의 설명에서처럼 IPSec 정책을 정의하고 제어하는 데 Active Directory가 사용됩니다. Windows 2000을 설치할 때 PPTP, L2TP 및 IPSec 프로토콜은 기본적으로 설치됩니다. 클라이언트에서 게이트웨이로의 시나리오를 위해 이 프로토콜을 두 가지 방법으로 구성할 수 있습니다.
- 최종 시스템에서 새 연결 만들기 마법사가 간단한 여러 화면을 통해 사용자에게 연결을 설정하도록 알립니다.
- 규모가 큰 설치에서는 연결 관리자 관리 키트 및 연결 지점 서비스를 함께 사용하여 회사 시스템에 사용자 정의 원격 액세스 직접 전화 접속 및 VPN 클라이언트를 배포할 수 있습니다.
관리자는 이 도구를 사용하여 아래와 같은 작업을 수행하도록 특별히 구성된 프로필을 클라이언트에 제공할 수 있습니다.
- 회사의 원격 액세스 프로그램과 일관되는 특별한 전화 걸기를 만듭니다.
- 사용자 정의 도움말 파일과 회사 원격 액세스 사용 라이센스를 통합합니다.
- 연결 과정의 다양한 단계에서 자동으로 시작하도록 응용 프로그램 및 기타 도구를 통합합니다.
- 원격 액세스 번호가 기록된 중앙 전화 번호부를 관리합니다.
- POP의 전화 번호 관리를 위해 인터넷 서비스 공급자(ISP)와 계약합니다.
- 전화 번호부를 업데이트하고 ISP 및 회사 전화 번호부 서버에 있는 것과 대조하도록 클라이언트를 구성합니다.
결과로 만들어진 프로필을 Microsoft 시스템 관리 서비스, 웹 다운로드, 파일 전송, 전자 메일, 플로피 디스크 또는 CD를 통해 중앙에서 클라이언트로 배포할 수 있습니다. 이 방법을 통해 관리자는 중앙에서 클라이언트를 관리할 수 있고 사용자는 다음과 같은 기능의 단일 인터페이스를 사용할 수 있습니다.
- 직접 전화 접속이든 VPN 프로토콜이든 프로토콜이나 연결의 종류에 관계 없이 연결합니다.
- 연결 과정의 복잡성을 드러내지 않고 클릭 한 번으로 액세스합니다.
- 별도의 ISP 계정이 필요 없이 회사에서 사용하는 사용자 ID로 로그온할 수 있습니다.
Microsoft는 고객 의견을 검토한 결과 이것을 VPN 서비스 배포를 위한 가장 중요한 구성 요소 중 하나로 만들 것을 고려하고 있습니다.
보안 네트워크 통신을 위한 플랫폼 지원
IPSec 및 그 관련 정책 관리, Kerberos 인증, PKI 지원, 하드웨어 가속 등이 Windows 2000 운영 체제와 Active Directory 디렉터리 서비스에 모두 밀접하게 통합되었기 때문에, 종단간 시나리오에 대한 IPSec의 이점을 얻으려면 Windows 기반 데스크톱 및 서버 시스템을 Windows 2000으로 업그레이드해야 합니다. Microsoft는 Windows NT, Windows 98, Windows 95 또는 Windows 3.x 운영 체제를 위한 IPSec 전용 기반 서비스를 제공할 계획이 없습니다. Windows CE에 대해서는 현재 검토 중입니다.
L2TP/IPSec 지원은 우선 Windows 2000 Server와 Windows 2000 Professional에서 제공됩니다. Microsoft는 Windows NT, Windows 95 또는 Windows 3.x을 위한 L2TP/IPSec의 작업은 계획하지 않고 있습니다. Microsoft는 Windows 98과 Windows CE에서의 L2TP/IPSec 및 IPSec 터널 모드와 관련한 특정 요구 사항을 파악하기 위해 고객과 협조하고 있습니다. 그러나 Microsoft는 Windows 3.x를 위한 L2TP/IPSec나 IPSec 터널 모드의 작업은 계획하고 있지 않습니다.
PPTP는 현재 Windows 2000에 통합되어 있으며 앞으로 Windows NT, Windows 98 및 Windows 95 운영 체제에서도 지원될 것입니다. Windows CE에 대한 PPTP 지원은 현재 검토 중입니다. Microsoft는 IPSec 및 L2TP/IPSec 표준으로는 충족하지 못하는 주요 고객 시나리오를 처리하기 위해 PPTP의 개발에 계속 앞장 설 것입니다.
자세한 정보
Windows 2000에 대한 최신 정보를 보려면 Microsoft TechNet을 검색하거나 World Wide Web 사이트( http://www.microsoft.com/korea/windows/ )를 방문하십시오. Windows NT에 대한 최신 정보를 보려면 웹 사이트( http://www.microsoft.com/korea/ntserver ), MSN™의 Windows NT Server Forum 및 Microsoft Network 온라인 서비스(이동 명령어: MSNTS)를 방문하십시오.
ⓒ 1999 Microsoft Corporation. All rights reserved.
이 문서에 포함된 정보는 문서를 발행할 때 논의된 문제들에 대한 Microsoft Corporation의 당시 관점을 나타냅니다. Microsoft는 변화하는 시장 환경에 대처해야 하므로 이를 Microsoft 측의 책임으로 해석해서는 안 되며 발행일 이후 소개된 어떠한 정보에 대해서도 Microsoft는 그 정확성을 보장하지 않습니다.
이 백서는 정보 제공 목적으로만 제공됩니다. Microsoft는 이 문서에서 명시적 또는 암시적인 어떠한 보증도 하지 않습니다.
Microsoft, Active Directory, MSN, Windows 및 Windows NT는 미국, 대한민국, 및/또는 기타 국가에서의 Microsoft Corporation의 등록 상표 또는 상표입니다. 이 문서에 언급된 기타 제품이나 회사 이름은 해당 소유자의 상표일 수 있습니다.
Microsoft Corporation ? One Microsoft Way ? Redmond, WA 98052-6399 ? USA
0599
1 아직 지원되지 않습니다. 그러나 IETF IPSec 작업 그룹이 작업을 진행 중(WIP)입니다.
2 클라이언트 VPN 연결로 사용할 경우 컴퓨터가 아닌 사용자를 인증합니다. 게이트웨이 간 연결로 사용할 경우 컴퓨터에 사용자 ID가 할당되고 인증됩니다.