IPsec 및 그룹 정책을 통한 서버 및 도메인 격리
부록 B: IPsec 정책 요약
업데이트 날짜: 2005년 2월 16일
이 부록은 이 솔루션에서 사용되는 격리 그룹의 모든 정책 설정에 대한 간단한 정보 목록을 제공합니다.
이 페이지의 내용
일반 정책 구성
격리 도메인 정책
대체 없음 격리 그룹 정책
경계 격리 그룹 정책
암호화 격리 그룹 정책
일반 정책 구성
다음 정보는 이 솔루션에서 정의한 모든 정책에 포함되어 있습니다.
정책 일반 설정:
정책 새로 고침: 테스트 환경 롤아웃의 경우 5분. 이 값은 프로덕션에서는 60분으로 늘려야 합니다. 60분 후에 호스트는 Active Directory® 디렉터리 서비스의 정책을 새로 고칩니다. 이 기능을 사용하면 이미 할당된 IPsec 정책을 최대 1시간 내에 전체 조직 네트워크에 배포할 수 있어 네트워크의 모든 손상에 신속하게 응답할 수 있습니다.
IKE 주 모드 수명: 3시간.
MM당 세션: 0, 무한.
마스터 PFS: 사용되지 않음. 이 기능은 다른 제품에서 지원되지 않고 중복 기능을 제거하기 위해 Microsoft® Windows® IKE(Internet Key Association)의 한 기능으로 줄어들었습니다. MM당 세션을 1로 설정하여 같은 기능을 수행할 수 있습니다.
IKE MM 키 교환 보안 방법: 3DES/SHA1/높음(2048), 3DES/SHA1/중간(2), 3DES/MD5/중간(2).
참고: 높음(2048)은 Microsoft Windows Server™ 2003 및 Windows XP SP2에서만 지원되며 Windows 2000 및 이전 버전의 Windows XP에서는 무시됩니다. Windows 2000 및 Windows XP SP1 이전 IKE 호환성은 중간(2)을 사용하여 보장됩니다.
기본 응답 규칙 = 사용 안 함
규칙 1:
필터 목록: "IPSEC - 클러스터 VIP 예외 목록"
필터: My <-> Specific IP Address, Mirrored – Currently Empty
설명: "조직에 있는 모든 클러스터 VIP의 IP 주소"
필터 동작: IPSEC-허용
인증: Kerberos
터널: 없음
연결 형식: 모두
규칙 2:
필터 목록: "IPSEC - DHCP, 협상 트래픽"
필터: My <-> Any, UDP, SRC Port 68 to DST Port 67, Mirrored
설명: "DHCP 협상 트래픽 허용"
필터 동작: IPSEC-허용
인증: Kerberos
터널: 없음
연결 형식: 모두
규칙 3:
필터 목록: "IPSEC - DNS 예외 목록"
필터: Any <-> 192.168.1.21, Mirrored
Any <-> 192.168.1.22, Mirrored
설명: "조직에 있는 모든 DNS 서버의 IP 주소"
필터 동작: IPSEC-허용
인증: Kerberos
터널: 없음
연결 형식: 모두
규칙 4:
필터 목록: "IPSEC - 도메인 컨트롤러 예외 목록"
필터: Any <-> 192.168.1.21, Mirrored
Any <-> 192.168.1.22, Mirrored
설명: "조직에 있는 DC의 IP 주소"
필터 동작: IPSEC-허용
인증: Kerberos
터널: 없음
연결 형식: 모두
규칙 5:
필터 목록: "IPSEC - WINS 예외 목록"
필터: Any <-> 192.168.1.22, Mirrored
설명: "조직에 있는 모든 WINS 서버의 IP 주소"
필터 동작: IPSEC-허용
인증: Kerberos
터널: 없음
연결 형식: 모두
규칙 6:
필터 목록: "IPSEC - LOB 응용 프로그램 서버 예외 목록"
필터: Any <-> 192.168.1.10, Mirrored
설명: "조직에 있는 모든 LOB 서버의 IP 주소"
필터 동작: IPSEC-허용
인증: Kerberos
터널: 없음
연결 형식: 모두
규칙 7:
필터 목록: "IPSEC - ICMP, 모든 트래픽"
필터: My <-> Any, ICMP, Mirrored
설명: "ICMP 트래픽 허용"
필터 동작: IPSEC-허용
인증: Kerberos
터널: 없음
연결 형식: 모두
규칙 8:
필터 목록: "IPSEC - 예외 주소"
필터: Any <-> Specific IP Address, Mirrored – Currently Empty
설명: "IPsec 통신에서 특정 IP 주소 제외"
필터 동작: IPSEC-허용
인증: Kerberos
터널: 없음
연결 형식: 모두
규칙 9:
필터 목록: "IPSEC - 예외 서브넷"
필터: My <-> Specific IP Subnet, Mirrored – Currently Empty
설명: "IPsec 통신에서 서브넷 제외"
필터 동작: IPSEC-허용
인증: Kerberos
터널: 없음
연결 형식: 모두
규칙 10:
필터 목록: "IPSEC - 정책 버전: (1.0.041001.1600)"
필터: 1.1.1.1 <-> 1.1.1.2, ICMP, Mirrored
설명: "실제 필터 목록 아님. IPsec 정책 식별에 사용."
필터 동작: IPSEC-허용
인증: Kerberos
터널: 없음
연결 형식: 모두
규칙 동작 설명
규칙 1. 이 규칙은 클러스터 VIP에 대한 아웃바운드 통신을 제외하는 데 필요합니다. 이 서버가 클러스터 VIP와 통신할 필요가 없는 경우 이 규칙을 포함시켜서는 안 됩니다.
규칙 2. 이 규칙은 비 IPsec DHCP(Dynamic Host Configuration Protocol) 협상을 사용하는 것을 허용합니다.
규칙 3. 이 규칙은 비 IPsec과 예외 목록의 DNS(Domain Name System) 시스템이 통신하는 것을 허용합니다.
규칙 4. 이 규칙은 비 IPsec과 예외 목록의 도메인 컨트롤러 시스템이 통신하는 것을 허용합니다.
규칙 5. 이 규칙은 비 IPsec과 예외 목록의 WINS(Windows Internet Naming Service) 시스템이 통신하는 것을 허용합니다.
규칙 6. 이 규칙은 비 IPsec과 예외 목록의 호스트가 통신하는 것을 허용합니다. Woodgrove 은행은 업무용 응용 프로그램 서버를 위해 이 필터 목록을 만들었습니다.
규칙 7. 이 규칙은 비 IPsec ICMP(Internet Control Message Protocol) 트래픽을 사용하는 것을 허용합니다.
규칙 8. 이 규칙은 비 IPsec과 예외 목록의 호스트가 통신하는 것을 허용합니다. 이 규칙은 필터 목록이 비어 있는 경우 정책에 포함되지 않습니다.
규칙 9. 이 규칙은 비 IPsec과 예외 목록의 서브넷이 통신하는 것을 허용합니다. 이 규칙은 필터 목록이 비어 있는 경우 정책에 포함되지 않습니다.
규칙 10. 이 규칙은 정책의 버전 정보를 추적하는 데만 사용됩니다. 필터 목록을 구현하는 데 사용되는 필터는 ICMP 트래픽을 허용하는 두 가지 특정 IP 주소로 구성된 더미 필터입니다. 이 더미 필터는 빈 필터 목록을 정책에 추가할 수 없기 때문에 필요합니다.
격리 도메인 정책
이 절에서는 Woodgrove 은행을 위한 솔루션에서 격리 도메인을 만드는 데 사용된 필터 동작, 정책 및 GPO(그룹 정책 개체) 세부 사항을 제공합니다.
규칙 11:
필터 목록: IPSEC – 조직 서브넷
필터: Any <-> internal subnets, all traffic, mirrored
필터 동작: "IPSEC – 보안 요청 모드(인바운드 무시, 아웃바운드 허용)"
보안 방법 우선 순서: ESP-널/SHA1, ESP-널/MD5, ESP-3DES/SHA1, ESP-3DES/MD5
보안되지 않은 통신을 허용하지 않음
IPsec을 인식하지 않는 컴퓨터와 보안되지 않은 통신 허용
인증: Kerberos
터널: 없음
연결 형식: 모두
다른 모든 정책 설정은 이 부록 앞부분에 있는 "일반 정책 구성" 절에 나열되어 있는 것과 같습니다.
규칙 동작 설명
규칙 11: 이 규칙은 정책에 정의된 가장 일반적인 규칙입니다. 보안 서브넷을 향하는 트래픽을 일치하며 IPsec을 협상해야 합니다. IPsec을 인식하지 않는 컴퓨터와 보안되지 않은 통신을 허용하지 않지만 통신을 시작하는 경우 IPsec을 인식하지 않는 클라이언트와 통신할 수 있습니다.
대체 없음 격리 그룹 정책
이 절에서는 Woodgrove 은행의 솔루션에 대체 없음 격리 그룹을 만드는 데 사용되는 필터, 필터 동작, 정책 및 GPO의 세부 사항을 제공합니다.
규칙 11:
필터 목록: IPSEC – 조직 서브넷
필터: Any <-> internal subnets, all traffic, mirrored
필터 동작: "IPSEC – 전체 요청 모드(인바운드 무시, 아웃바운드 허용 안 함)"
보안 방법 우선 순서: ESP-널/SHA1, ESP-널/MD5,
ESP-3DES/SHA1, ESP-3DES/MD5
보안되지 않은 통신을 허용하지 않음
IPsec을 인식하지 않는 컴퓨터와 보안되지 않은 통신 허용
인증: Kerberos
터널: 없음
연결 형식: 모두
다른 모든 정책 설정은 이 부록 앞부분에 있는 "일반 정책 구성" 절에 나열되어 있는 것과 같습니다.
규칙 동작 설명
규칙 11: 이 규칙은 정책에 정의된 가장 일반적인 규칙입니다. 보안 서브넷을 향하는 트래픽을 일치하고 IPsec을 협상해야 합니다. IPsec을 인식하지 않는 클라이언트와 통신을 허용하지 않습니다.
경계 격리 그룹 정책
이 절에서는 Woodgrove 은행의 솔루션에 경계 격리 그룹을 만드는 데 사용되는 필터, 필터 동작, 정책 및 GPO의 세부 사항을 제공합니다.
경계 호스트는 이동하지 않는 것으로 가정하며, 따라서 서브넷을 사용하여 네트워크를 정의할 수 있으며 거의 Windows Server 2003 보안 가이드의 Bastion Host로 보호해야 합니다. 신뢰할 수 없는 공격으로부터 잘 보호해야 합니다. 결과적으로 IPsec 정책은 가능한 공격 허점을 줄이는 필터와 함께 사용해야 합니다.
정책 일반 설정:
IKE 주 모드 수명: 20분
규칙 11:
필터 목록: IPSEC – 조직 서브넷
필터: Any <-> internal subnets, all traffic, mirrored
필터 동작: "IPSEC – 요청 모드(인바운드 수락, 아웃바운드 허용)"
보안 방법 우선 순서: ESP-널/SHA1, ESP-널/MD5,
ESP-3DES/SHA1, ESP-3DES/MD5
보안되지 않은 통신 허용
IPsec을 인식하지 않는 컴퓨터와 보안되지 않은 통신 허용
인증: Kerberos
터널: 없음
연결 형식: 모두
다른 모든 정책 설정은 이 부록 앞부분에 있는 "일반 정책 구성" 절에 나열되어 있는 것과 같습니다.
규칙 동작 설명
규칙 11: 이 규칙은 정책에 정의된 가장 일반적인 규칙입니다. 보안 서브넷을 향하는 트래픽을 일치하며 IPsec을 협상해야 합니다. IPsec을 인식하지 않는 클라이언트의 트래픽을 수락하고 클라이언트와 통신을 시작합니다.
암호화 격리 그룹 정책
이 절에서는 Woodgrove 은행의 솔루션에 암호화 격리 그룹을 만드는 데 사용되는 필터, 필터 동작, 정책 및 GPO의 세부 사항을 제공합니다.
규칙 11:
필터 목록: IPSEC – 조직 서브넷
필터: Any <-> internal subnets, all traffic, mirrored
필터 동작: "IPSEC – 암호화 요구 모드(인바운드 무시, 아웃바운드
허용 안 함)"
보안 방법 우선 순서: ESP-3DES/SHA1, ESP-3DES/MD5
보안되지 않은 통신을 허용하지 않음
IPsec을 인식하지 않는 컴퓨터와 보안되지 않은 통신 허용
인증: Kerberos
터널: 없음
연결 형식: 모두
다른 모든 정책 설정은 이 부록 앞부분에 있는 "일반 정책 구성" 절에 나열되어 있는 것과 같습니다.
규칙 동작 설명
규칙 11: 이 규칙은 정책에 정의된 가장 일반적인 규칙입니다. 보안 서브넷을 향하는 트래픽을 일치하고 암호화된 IPsec을 협상해야 합니다. IPsec을 인식하지 않는 클라이언트와 통신을 허용하지 않습니다.
전체 솔루션 다운로드