IPsec 및 그룹 정책을 통한 서버 및 도메인 격리
6장: 서버 및 도메인 격리 환경 관리
업데이트 날짜: 2005년 2월 16일
이 장에서는 프로덕션 환경에 성공적으로 배포한 후에 서버 및 도메인 격리 솔루션을 관리하는 지침을 제공합니다.
격리 솔루션이 추가 보안 계층을 제공하며 호스트가 리소스에 성공적으로 연결하려면 둘 이상의 연결과 하나의 IP 주소가 필요하다는 것을 지원 직원이 이해하는 것이 중요합니다. 마찬가지로 IPsec 정책 및 그룹 정책을 담당하는 직원은 하나의 잘못된 설정 옵션이 정책을 사용하는 호스트의 기능을 크게 제한할 수 있다는 것을 이해해야 합니다. 이러한 이유로 솔루션 운영을 시작한 후에 잘 문서화되고 잘 의사 소통된 관리 프로세스와 절차는 사용을 위한 지원 팀을 구성해야 합니다.
이 장에서 제공하는 정보는 이러한 솔루션 관리 프로세스를 개발하는 데 도움을 주도록 설계되었습니다. 이 정보는 자신의 구현 요구를 반영하도록 가능한 많은 부분을 사용자 지정하는 것이 좋습니다. 서버 및 도메인 격리 솔루션 관리의 성공하는 열쇠는 사전 계획에 있습니다.
이 페이지에서
장 전제 조건
변경 관리
백업/복원 고려 사항
네트워크 기반 감염 완화
요약
장 전제 조건
이 장에서 제공하는 정보를 사용하려면 MOF(Microsoft® Operations Framework)에서 사용되는 개념과 IPsec의 개념에 익숙해 있어야 합니다. Microsoft Windows® 2000 Server(이상)에서 다음 영역에 대해서도 익숙해야 합니다.
이벤트 뷰어, 컴퓨터 관리 및 NTBackup과 같은 도구 사용을 포함한 Microsoft Windows Server™ 2003의 기본 동작 및 유지 관리.
Active Directory® 디렉터리 서비스(Active Directory 구조와 도구를 포함하여 사용자, 그룹, 기타 Active Directory 개체 조작 및 그룹 정책의 사용).
Windows 시스템 보안 개념(사용자, 그룹, 감사 및 액세스 제어 목록, 보안 템플릿 사용, 그룹 정책이나 명령줄 도구의 사용을 통한 보안 템플릿의 응용 프로그램).
특히 IPsec 및 TCP/IP와 관련하여 핵심 네트워킹 개념의 이해.
Windows Scripting Host 의 이해와 Microsoft Visual Basic® Scripting Edition(VBScript)에 대한 지식이 있으면 제공된 스크립트로부터 많은 것을 얻을 수 있지만 반드시 필요한 것은 아닙니다.
이 장을 계속하기 전에 이 가이드의 나머지 부분을 읽고 솔루션의 아키텍처와 설계에 대해 완벽하게 이해해야 합니다.
변경 관리
변경 관리 프로세스의 주요 목표는 변경으로 인해 영향을 받는 모든 당사자가 앞으로 발생할 변경으로 인한 영향을 제대로 인식하도록 하는 데 있습니다. 대부분의 시스템은 서로 밀접하게 관련이 있으므로 시스템의 한 부분에서 발생한 변경은 다른 부분에도 많은 영향을 미칩니다. 이로 인한 부정적인 영향을 줄이거나 없애기 위해 변경 관리에서는 해당 변경을 배포하기 전에 영향을 받는 모든 시스템과 프로세스를 식별하려고 합니다. 일반적으로 대상 환경 또는 관리되는 환경은 프로덕션 환경이지만 핵심적인 통합, 테스트 및 준비 환경도 포함되어야 합니다.
IPsec 환경에 대한 모든 변경은 표준 MOF 변경 관리 프로세스를 준수해야 합니다.
변경 요청. RFC(변경 요청) 제출을 통해 공식적으로 변경이 시작됩니다.
변경 분류. 변경의 긴급 정도와 인프라 또는 사용자에게 미치는 영향을 기준으로 변경에 우선 순위와 범주를 할당하는 것입니다. 이렇게 하면 구현 속도와 경로에 영향을 줍니다.
변경 허가. 변경 관리자와 CAB(변경 승인 위원회), IT 그룹과 비즈니스 담당자가 변경을 검토한 후 승인하거나 거부하는 것입니다.
변경 개발. 변경을 계획하고 개발하는 것으로, 그 범위가 매우 다양하며 중간의 주요 시점에 대한 검토가 포함됩니다.
변경 릴리스. 프로덕션 환경에 변경을 릴리스하고 배포하는 것입니다.
변경 검토. 변경을 통해 사전에 설정된 목표가 달성되었는지 여부를 검토하고, 변경을 그대로 유지할지 아니면 취소할지 여부를 결정하는 구현 후 프로세스입니다.
다음 절에서는 IPsec 환경에서 정기적으로 수행해야 하는 몇 가지 주요 변경을 위한 변경 개발 절차를 설명합니다. 각 변경 개발 절차에는 해당 변경을 프로덕션 환경에 배포하는 방법을 설명하는 변경 릴리스 절차가 포함되어 있습니다.
IPsec 정책 변경
IPsec 정책 변경이 통신에 어떤 영향을 미치는지 이해하는 것이 중요합니다. 초기 롤아웃에서와 마찬가지로 첫 번째 관심사는 타이밍이 변경을 구현하는 기능과 변경을 롤백하는 시간 프레임에 영향을 미치기 때문에 변경 타이밍에 있습니다.
정책 적용 지연
GPO(그룹 정책 개체)에서 IPsec 정책의 할당이 새 IPsec 정책으로 변경되면 특정 지연이 발생합니다. 도메인에서 할당을 포함하는 GPO 특성의 Active Directory 복제 지연은 물론 GPO에서 변경을 검색하는 도메인 구성원 그룹 정책 클라이언트의 폴링 지연도 있습니다. 이러한 지연은 글로벌 기업에서 1분 이내부터 여러 시간까지 다양합니다. 변경이 있을 때 첫 번째 영향과 완전한 롤아웃에 필요한 시간을 예측할 수 있도록 특정 환경에 대해 이러한 지연(최소, 최대 및 평균)을 테스트하고 문서화하는 것이 좋습니다.
이미 할당된 IPsec 정책의 내용이 변경되면 유사한 지연이 발생합니다. IPsec 정책 개체의 Active Directory 복제 지연과 구성원 컴퓨터에서 IPsec 정책 서비스의 폴링 지연도 있습니다. IPsec 정책을 복제하기 전에 GPO에서 정책 할당의 복제가 발생하는 조건을 만들 수 있습니다. 그러면 클라이언트가 도메인 기반 IPsec 정책이 할당된 것처럼 동작하지만 해당 정책을 검색할 수는 없게 됩니다. 이런 경우 Windows 2000 및 Windows XP 호스트는 도메인 기반 정책을 적용하지 못합니다. 또한 할당될 수 있는 로컬 정책을 적용하지 않습니다.
Active Directory 복제 지연을 적절히 수용하려면 먼저 모든 개체(GPO, IPsec 정책 등)를 만든 다음 IPsec 정책을 GPO에 할당해야 합니다.
IPsec 연결성에 영향을 주는 변경
IPsec 솔루션을 구성하는 정책과 그룹 내의 연결성에 영향을 줄 수 있는 많은 영역이 있습니다. 이 절에서는 클라이언트에 최신 업데이트를 적용하지 않았을 때 서버 정책을 변경하는 관점에서 일반적인 변경이 IPsec 연결성에 어떤 영향을 미치는지에 대한 정보를 제공합니다. 변경으로 인해 IKE(인터넷 키 교환) 주 모두 또는 빠른 모드가 실패하는 경우 현재 IPsec SA(보안 연결)가 유휴 상태가 되거나 바이트 또는 초 단위 수명이 만료되는 즉시 트래픽 흐름이 종료됩니다.
이 설명은 IPsec 클라이언트-서버 기능에 대한 대부분의 변경 종류의 영향을 다룹니다. Woodgrove 은행 IPsec 정책 설계는 가정하지 않습니다. 이 설명을 위해 클라이언트는 Woodgrove 은행 설계(클라이언트는 서버에 대해 IKE를 시작하는 필터를 갖고 있음)와 비슷한 정책을 갖거나 기본 응답 규칙(Woodgrove의 설계에서는 사용되지 않음)만 사용할 수 있습니다.
주 모드 변경
인증 방법 또는 주 모드 보안 방법을 변경하면 IKE가 기존의 주 모드를 삭제하여 설정된 빠른 모드 IPsec SA에는 영향을 주지 않습니다. 새로운 주 모드 SA는 다음 빠른 모드 키 다시 대조가 발생할 때 생성됩니다.
일반적으로 서버 정책 변경은 기존 클라이언트가 주 모드의 키를 다시 대조하는 기능에 영향을 주지 않습니다. 그러나 클라이언트와의 IKE 주 모드 협상이 실패하도록 할 수 있는 서버쪽에 대한 일부 변경은 다음과 같습니다.
클라이언트가 사용할 수 있는 기존 인증 방법을 포함시키지 않고 새 인증 방법(인증서만 해당)으로 변경.
클라이언트가 DES/SHA1/DH1만 사용하도록 구성되어 있을 때 3DES/SHA1/DH1 또는 DH2로 주 모드 보안 방법을 변경.
클라이언트와 서버 정책이 주 모드 PFS(Perfect Forward Secrecy)를 사용하도록 클라이언트와 서버 정책을 모두 업데이트하지 않고 주 모드 PFS 활성화.
클라이언트와 서버 정책이 빠른 모드 PFS를 사용하도록 클라이언트와 서버 정책을 모두 업데이트하지 않고 빠른 모드 PFS 활성화.
다음과 같은 서버 정책 변경은 주 모드 SA의 키를 다시 대조하는 기능에 영향을 주지 않습니다.
정책 변경을 위한 폴링 간격(주 모드 IKE 설정이 아님)
같은 마스터 키를 사용하는 세션 키(예: 주 모드 당 IKE 빠른 모드 개수)
클라이언트가 알지 못하는 새 보안 방법 추가
IKE 주 모드 SA의 새 키 인증 및 생성 간격 수명 매개 변수를 위한 IPsec 정책 고급 키 교환 설정 변경
빠른 모드 변경
IPsec SA를 위해 사용 중인 필터 동작을 변경하면 이러한 정책 설정에서 설정한 기존의 IPsec SA가 삭제됩니다. 따라서 트래픽이 전송되고 있는 경우 새로운 빠른 모드가 시도됩니다. 이 변경 프로세스 동안 일부 트래픽이 손실될 수 있지만 TCP 연결은 복구해야 합니다. 그러나 고속 데이터 전송을 위해 IPsec SA를 즉시 삭제하는 영향은 새로운 빠른 모드를 설정할 수 있을 때까지 아웃바운드 트래픽이 삭제됩니다. 예를 들어, 비디오 데이터 스트림의 많은 패킷을 TCP가 복구할 수 없는 경우 비디오 응용 프로그램을 위해 연결이 다시 설정됩니다.
빠른 모드 키를 다시 대조하는 활성 IPsec 클라이언트의 기능에 영향을 주는 서버 정책 변경은 다음과 같습니다.
보다 일반적인 필터에서 보다 특정한 필터로 변경. 이런 종류의 변경 예는 서버가 모든 트래픽 필터로 시작한 다음 이 필터를 제거하고 TCP 전용 필터를 유지할 때입니다. 문제를 방지하려면 보다 특정한 필터를 추가할 때 보다 일반적인 필터를 유지하십시오. 예를 들어, 클라이언트가 기본 응답 정책을 갖고 있고 서버가 정책을 "모든 트래픽"에서 "TCP 전용"으로 변경하는 경우 보다 특정한 필터는 서버의 아웃바운드 트래픽에 적용되어 클라이언트가 기본 응답을 가질 때만 새로운 TCP용 IPsec SA를 설정하게 됩니다. 모든 클라이언트의 "모든 트래픽" 필터는 두 시간 후에 결국 삭제되며 서버 정책에서 안전하게 삭제할 수 있습니다.
서버가 허용 동작을 갖는 보다 특정한 필터를 추가하는 경우 해당 트래픽은 즉시 허용되기 시작하며 보다 일반적인 IPsec 기본 응답 필터를 가진 클라이언트에 의해 삭제될 수 있습니다. 예를 들어, ICMP(Internet Control Message Protocol) 예외 필터가 서버에 추가되었지만 클라이언트는 이미 모든 트래픽에 대해 서버를 보호하고 있습니다. 이 경우 현재 IPsec 기본 응답 필터가 모든 트래픽을 보호해야 하기 때문에 클라이언트는 아웃바운드 ICMP를 보호하고 응답 시 일반 텍스트 ICMP를 수신하며 패킷을 삭제합니다. 이 특정한 예제는 서버와 클라이언트 사이의 ICMP 트래픽 이외의 다른 트래픽에는 영향을 주지 않으며 서버가 클라이언트와의 모든 트래픽에 대해 보안을 요청한 후에 손실된 ICMP 트래픽을 항상 생성하는 예상된 설계 동작입니다. 이것은 중요한 운영 문제가 될 수도 있고 되지 않을 수도 있습니다.
호환되지 않는 보안 방법 또는 캡슐화 유형 사이의 변경. 예를 들어, ESP 전송 모드 전용 3DES/SHA1에서 ESP 전송 모드 전용 3DES/MD5로 변경하는 것입니다. 기존의 보안 방법이나 캡슐화 유형을 새 보안 방법의 마지막 선택으로 포함시킴으로써 이런 유형의 변경으로 인해 IKE 빠른 모드 협상이 실패하는 것을 방지할 수 있습니다. 모든 IPsec SA가 새로운 캡슐화 방법을 사용하고 있다는 것을 확인한 후에 보안 방법 목록 맨 아래에서 기존의 방법은 삭제할 수 있습니다.
클라이언트가 IKE 주 모드 또는 빠른 모드를 설정해야 하는 규칙을 전체적으로 해제. 빠른 모드에서는 어떤 필터도 IKE 주 모드와 빠른 모드 협상을 관할하지 않도록 하거나 다른 필터가 관할하도록 필터가 삭제됩니다.
협상 보안에서 허용 또는 차단으로 필터 동작을 전적으로 변경. 트래픽이 IPsec으로 보호되는 통신 채널에 더 이상 참가하지 않기 때문에 명시적으로 허용하거나 차단된 트래픽은 키를 다시 대조할 필요가 없습니다.
선택 취소 확인란의 선택 취소. 소프트 SA가 지속되는 한 이 동작은 현재 연결된 클라이언트가 연결을 유지하도록 합니다. SA가 만료되거나 유휴 상태가 되면 더 많은 서버 아웃바운드 트래픽으로 인해 IKE가 새로운 주 모드 협상을 시도하고 새로운 설정이 선택 취소되지 않도록 인식합니다. IKE 협상에 성공적으로 응답할 수 없는 클라이언트는 연결하지 못합니다. 이것은 의도적인 동작일 수 있습니다.
보안되지 않은 통신 허용 확인란 선택 취소. 이 동작은 아웃바운드 IKE 주 모드 협상을 트리거하는 IPsec 필터가 없을 경우 클라이언트의 연결이 끊어지도록 합니다. 기본 응답 규칙 클라이언트는 두 시간 동안 서버에 트래픽이 없어 동적 기본 응답 필터가 유휴 상태가 될 때까지 연결을 유지합니다. 그 결과 다시 연결할 수 없게 됩니다.
다음과 같은 서버 정책 변경은 빠른 모드의 키를 다시 대조하는 클라이언트의 기능에는 영향을 주지 않습니다.
현재 IPsec SA에 이미 있는 트래픽과 일치하지 않는 필터 추가는 해당 트래픽에 영향을 주지 않습니다. 예를 들어, 새 도메인 컨트롤러의 IP 주소에 대해 서버 정책에 허용 필터를 추가한 경우.
필터 동작 IPsec SA의 바이트 또는 시간 단위 수명을 변경.
필터 동작을 허용에서 보안 협상으로 변경. 클라이언트가 응답할 수 있는 경우 해당 트래픽에 대한 보안 연결을 협상할 수 있습니다.
IPsec 정책 변경 절차
다음 절에서는 GPO를 사용하여 전달되는 IPsec 정책을 수정하는 단계를 제공합니다. 각 작업에 대해 제공하는 단계가 IP 보안 정책 MMC(Microsoft 관리 콘솔) 스냅인을 사용하지만 이러한 각 작업은 Windows Server 2003 시스템의 Netsh 명령줄 도구를 사용하여 수행할 수도 있습니다.
스크립팅과 모니터일에 가장 뛰어난 기능을 제공하므로 Windows Server 2003 플랫폼을 정책 관리 스테이션으로 사용하는 것이 좋습니다.
Windows IPsec 정책 내보내기 및 가져오기는 백업과 복원 목적으로 설계되었습니다. 내보내기 기능은 저장 위치에 있는 모든 IPsec 정책 개체를 복사하여 모든 관련 개체가 백업될 수 있도록 합니다. 내보내기는 테스트를 위해 모든 현재 도메인 정책을 로컬 저장소로 이동하는 권장하는 방법입니다. 오류가 발생할 수 있으므로 내보내기 기능을 사용하기 전에 로컬 저장소에서 정책, 필터 목록, 필터 동작을 포함한 모든 원하지 않는 개체는 반드시 삭제하십시오. 기존의 개체 버전이 최신 도메인 버전을 덮어쓰고 개체 사이의 연결이 끊어질 수 있으므로 내보내기한 로컬 저장소를 사용하여 도메인으로 가져오는 것은 좋지 않습니다.
명령줄 스크립트는 IPsec 정책을 만들고 기존 필터 목록에 필터 추가 같이 기존 개체에 많은 양을 추가하는 경우 권장하는 방법입니다. 일반적으로 IPsec 정책에서 변경할 내용이 많은 경우 새로운 IPsec 정책 버전을 만들어 수행해야 합니다.
정책을 만든 후에 스크립트나 IPsec 정책 관리 MMC 스냅인을 사용하여 변경할 수 있습니다. IPsec 정책을 만들고 운영을 시작한 후에 IPsec 정책 관리 MMC 스냅인을 사용하여 조금식 변경하는 것이 좋습니다.
Windows 2000 명령줄 도구 Ipsecpol.exe는 정책을 만드는 기능함 지원하기 때문에 Windows 2000 Active Directory에서는 MMC 스냅인을 사용하여 변경을 관리할 수 있습니다. 같은 이름의 새 개체를 추가하는 것은 Netsh add 명령에서 허용되지 않습니다. 이런 이유가 있고 종종 스크립트를 여러 번 실행하기 때문에 Netsh 스크립트는 새 정책 개체를 추가하기 전에 이미 있는 정책 개체를 삭제하는 초기 단계를 포함해야 합니다. 존재하지 않는 개체를 삭제하면 예상 오류 메시지가 반환되며 스크립트 실행은 중지되지 않습니다.
이미 GPO에 할당된 도메인 IPsec 정책을 삭제하면 GPO 링크는 무효화됩니다. GPO를 편집하여 IPsec 정책의 최신 버전을 다시 할당해야 합니다.
참고: 다음 절에서는 Active Directory에서 IPsec 정책을 직접 수정하는 방법을 설명하지만 프로덕션 환경에 배포하기 전에 모든 변경을 로컬 시스템 또는 테스트 환경에서 테스트했다고 가정했습니다.
격리 그룹에 대한 IPsec 정책 할당 변경
격리 그룹에 할당된 IPsec 정책을 변경하려면 현재 IPsec 정책을 새 IPsec 정책으로 대체할 수 있습니다.
GPMC(그룹 정책 관리 콘솔)는 특정 GPO를 배포하는 IPsec 정책을 변경하는 데 사용됩니다. 현재 정책을 배포하는 새로운 IPsec 정책 및 GPO를 확인한 후에 다음 단계를 수행하십시오.
격리 그룹에 할당된 IPsec 정책을 변경하려면
도메인 관리자로 도메인 컨트롤러에 로그온합니다.
GPMC를 시작합니다.
포리스트: <도메인 이름>, 도메인, ***<도메인 이름>***을 차례로 확장합니다.
GPO 이름을 마우스 오른쪽 단추로 클릭한 다음 편집을 클릭합니다.
컴퓨터 구성, Windows 설정, 보안 설정을 차례로 확장한 다음 **Active Directory의 IP 보안 정책(도메인 이름)**을 클릭합니다.
오른쪽 창에서 ***<IPsec 정책 이름>***을 마우스 오른쪽 단추로 클릭한 다음 할당을 클릭합니다.
***<IPsec 정책 이름>***이 할당되었는지 확인한 다음 GPO 편집기를 닫고 GPMC를 닫습니다.
도메인에서 기존 IPsec 정책 변경
Windows XP에서는 IPsec의 기능이 확장되었고 Windows Server 2003에서 다시 확장되었기 때문에 IPsec 정책 저장소 형식이 이러한 확장의 설정을 포함하도록 변경되었습니다. 이전 릴리스의 IPsec 정책 관리 MMC 스냅인을 사용하여 이러한 확장이 포함된 정책을 보거나 편집하지 않도록 주의하십시오. 정책 구성 요소를 볼 때 확인을 클릭하면 변경을 하지 않았더라도 기존 설정을 현재 메모리에 있는 설정으로 덮어쓰게 됩니다. Windows XP 서비스 팩 및 Windows 2000 서비스 팩 4(SP4)에서는 이런 잠재적 문제를 방지하기 위해 최신 버전의 정책을 검색하도록 업데이트되었습니다. 그러나 MMC 스냅인은 수정 권한이 거부된 것처럼 변경 내용을 저장하지 못하며 제품을 릴리스한 당시에 있던 오류 메시지를 사용합니다. 마찬가지로 MMC 스냅인을 실행하는 사용자가 IPsec 정책 개체에 대한 읽기 권한만 갖고 있는 경우 액세스 거부 오류가 발생할 때 변경 내용을 손실합니다. 변경할 생각이 없다면 Windows Server 2003에서 IPsec 정책 관리 MMC 스냅인의 읽기 전용 모드를 사용하십시오. 마지막으로 MMC 스냅인은 원격 컴퓨터나 도메인에 연결할 때 다른 사용자 ID와 암호를 입력하는 기능을 제공하지 않습니다. 사용자는 변경을 위해 적절한 권한을 가진 사용자로 데스크톱에 로그온해야 합니다.
기존 규칙 필터 목록 변경
필터 항목을 추가, 제거 또는 수정하기 위해 기존의 규칙 필터 목록을 수정해야 할 때가 있습니다. IP 보안 정책 관리 MMC 스냅인을 사용하여 이런 수정을 수행할 수 있습니다. 필터 목록에서 필터의 순서는 IPsec 드라이버가 패킷을 처리하는 순서에 영향을 주지 않습니다. IPsec 정책의 모든 규칙에서 모든 필터 목록에 대한 필터는 가중치에 대한 내부 알고리즘을 사용하여 순서가 지정됩니다. 변경하려면 IPsec 정책에 사용되는 다른 필터의 중복 필터를 만들지 않는지 수동으로 확인해야 합니다. 변경 테스트 프로세스의 일환으로 IPsec 모니터 MMC 스냅인 명령 출력을 사용하여 정확한 필터 순서를 보고 중복 필터를 검색할 수 있도록 정책을 컴퓨터에 로컬로 할당해야 합니다.
컴퓨터를 필터 목록에 추가하려면
도메인 관리자로 도메인 컨트롤러에 로그온합니다.
IP 보안 정책 관리 MMC 스냅인을 시작하고 도메인에 초점을 설정합니다.
Active Directory의 IP 보안 정책을 마우스 오른쪽 단추로 누른 다음 IP 필터 목록 및 필터 작업 관리를 클릭합니다.
IP 필터 목록 관리 탭의 IP 필터 목록 및 필터 동작 관리 창에서 예외 필터 목록을 클릭한 다음 편집을 클릭합니다.
추가 마법사 사용 확인란이 선택 해제되었는지 확인합니다.
IP 필터 목록 대화 상자에서 추가를 클릭합니다.
원본 주소 드롭다운 상자에서 모든 IP 주소를 클릭합니다.
대상 주소 드롭다운 상자에서 특정 IP 주소를 클릭합니다.
IP 주소 텍스트 상자에 특정 IP 주소를 입력합니다.
미러됨 확인란이 선택되었는지 확인합니다.
설명 탭에 필터 항목에 대한 적절한 설명을 입력합니다.
확인을 클릭한 다음 확인을 다시 클릭합니다.
IP 보안 정책 관리 MMC 스냅인을 닫습니다.
참고: 예외 필터 목록에 새 시스템을 추가한 후에 No IPsec 보안 그룹에 컴퓨터 계정을 추가해야 합니다.
필터 목록에서 컴퓨터 항목을 편집하려면
도메인 관리자로 도메인 컨트롤러에 로그온합니다.
IP 보안 정책 관리 MMC 스냅인을 시작하고 도메인에 초점을 설정합니다.
Active Directory의 IP 보안 정책을 마우스 오른쪽 단추로 누른 다음 IP 필터 목록 및 필터 작업 관리를 클릭합니다.
IP 필터 목록 관리 탭의 IP 필터 목록 및 필터 동작 관리 창에서 예외 필터 목록을 클릭한 다음 편집을 클릭합니다.
추가 마법사 사용 확인란이 선택 해제되었는지 확인합니다.
IP 필터 목록에서 <컴퓨터 이름> 시스템에 해당하는 필터를 클릭한 다음 편집을 클릭합니다.
IP 주소 텍스트 상자에서 항목을 새 IP 주소로 변경합니다.
확인을 클릭한 다음 확인을 다시 클릭합니다.
IP 보안 정책 관리 MMC 스냅인을 닫습니다.
필터 목록에서 항목을 제거하려면
도메인 관리자로 도메인 컨트롤러에 로그온합니다.
IP 보안 정책 관리 MMC 스냅인을 시작하고 도메인에 초점을 설정합니다.
Active Directory의 IP 보안 정책을 마우스 오른쪽 단추로 누른 다음 IP 필터 목록 및 필터 작업 관리를 클릭합니다.
IP 필터 목록 관리 탭의 IP 필터 목록 및 필터 동작 관리 창에서 예외 필터 목록을 클릭한 다음 편집을 클릭합니다.
IP 필터 목록에서 <컴퓨터 이름> 시스템에 해당하는 필터를 클릭합니다.
IP 필터 목록 대화 상자에서 제거를 클릭합니다.
예를 클릭하여 필터 항목을 제거합니다.
확인을 클릭한 다음 확인을 다시 클릭합니다.
IP 보안 정책 관리 MMC 스냅인을 닫습니다.
참고: 예외 필터 목록에서 시스템을 제거한 후에 No IPsec 보안 그룹에서 컴퓨터 계정을 제거해야 합니다.
기존 규칙 필터 동작 변경
IPsec 정책의 각 규칙에는 규칙이 일치할 때 수행되는 해당 필터 동작이 있습니다. 새 규칙과 필터 동작 조합을 갖는 컴퓨터에 새 IPsec 정책을 할당할 수는 있지만 그 대신 이미 있는 IPsec 정책에서 규칙에 대한 필터 동작을 변경하는 것이 더 나을 수 있습니다. 예를 들어, 컴퓨터 집합에 대한 사용자 지정 IPsec 정책이 있는 경우 새 IPsec 정책을 생성하는 대신 규칙에 할당된 필터 동작을 변경하는 것이 좋습니다.
IP 보안 정책 관리 MMC 스냅인을 사용하여 새 필터 동작을 사용하도록 IPsec 정책에서 규칙을 구성할 수 있습니다.
기존 규칙 필터 동작을 변경하려면
도메인 관리자로 도메인 컨트롤러에 로그온합니다.
IP 보안 정책 관리 MMC 스냅인을 시작하고 도메인에 초점을 설정합니다.
오른쪽 창에서 ***<IPsec 정책 이름>***을 마우스 오른쪽 단추로 클릭한 다음 속성을 클릭합니다.
IP 보안 규칙 목록에서 ***<규칙 이름>***을 클릭한 다음 편집을 클릭합니다.
필터 동작 탭의 필터 동작 목록에서 ***<필터 동작>***을 클릭하여 가까이에 있는 단추를 선택합니다.
확인을 클릭한 다음 확인을 다시 클릭합니다.
IP 보안 정책 관리 MMC 스냅인을 닫습니다.
기존 규칙 인증 방법 변경
IPsec 정책의 기본 인증 방법은 Kerberos 버전 5 프로토콜을 사용합니다. 시간이 지나면 기존 규칙과 관련된 인증 방법을 변경해야 할 수 있습니다. 예를 들어, 인증서를 사용하여 컴퓨터를 인증할 수 있도록 PKI(공용 키 구조)를 롤아웃할 수 있습니다.
선택할 수 있는 각 인증 방법마다 다른 정보가 필요하지만 인증 방법을 추가하는 일반적인 단계는 동일합니다. 예를 들어, 미리 공유한 키를 사용하려면 키를 식별해야 하며 인증서를 사용하려면 CA(인증 기관)을 알고 있어야 합니다. 새 인증 옵션을 기존 IPsec 규칙에 추가하려면 다음 단계를 수행하십시오.
기존 규칙에 옵션을 추가하려면
도메인 관리자로 도메인 컨트롤러에 로그온합니다.
IP 보안 정책 관리 MMC 스냅인을 시작하고 도메인에 초점을 설정합니다.
오른쪽 창에서 ***<IPsec 정책 이름>***을 마우스 오른쪽 단추로 클릭한 다음 속성을 클릭합니다.
IP 보안 규칙 목록에서 ***<규칙 이름>***을 클릭한 다음 편집을 클릭합니다.
인증 방법 탭에서 추가를 클릭합니다.
선택하는 새 인증 옵션 옆의 단추를 클릭한 다음 필요한 옵션을 구성합니다.
확인을 클릭합니다.
인증 방법 우선 순서 목록에서 위로 이동 및 아래로 이동 단추를 사용하여 인증 방법의 우선 순서를 만듭니다.
참고: 인증 방법을 제거하려면 인증 방법 우선 순서 목록에서 해당 방법을 클릭한 다음 제거를 클릭합니다.
확인을 클릭한 다음 확인을 다시 클릭합니다.
IP 보안 정책 관리 MMC 스냅인을 닫습니다.
기존 IPsec 정책에 새 규칙 추가
기존에 있는 IPsec 정책에 새 규칙을 추가하여 환경에 있는 컴퓨터 사이에 통신이 발생하는 것을 추가로 제한하거나 허용할 수 있습니다. 예를 들어, IPsec을 지원하는 시스템이 특정 격리 그룹에 있는 시스템과 통신해야 하지만 IPsec 인프라로부터 정책을 얻지 못하는 경우 통신을 허용하도록 격리 그룹 정책을 변경할 수 있습니다.
이 예제에서는 관리되지 않는 IPsec 호스트가 통신이 발생하도록 허용하는 정책을 적용하도록 해야 합니다. 또한 공유 인증 방법을 결정해야 하며, 인증서 또는 미리 공유한 키를 사용할 수 있습니다. 격리 그룹에 대한 기존의 IPsec 정책에서 새 규칙을 만들어 적절한 인증 방법에 동의한 후에 트래픽이 발생하도록 허용할 수 있습니다.
필요한 단계는 디렉터리에 새 필터 목록을 만들고, 새 필터 목록을 기존 정책에 연결한 다음 선택한 새 인증 방법을 포함하도록 인증 메커니즘을 구성하는 것입니다.
새 필터 목록을 만들어 특정 컴퓨터에서 모든 트래픽이 발생하도록 허용하려면
도메인 관리자로 도메인 컨트롤러에 로그온합니다.
IP 보안 정책 관리 MMC 스냅인을 시작하고 도메인에 초점을 설정합니다.
Active Directory의 IP 보안 정책을 마우스 오른쪽 단추로 누른 다음 IP 필터 목록 및 필터 작업 관리를 클릭합니다.
IP 필터 목록 관리 탭에서 추가를 클릭합니다.
이름 텍스트 상자에 적절한 필터 목록 이름을 입력합니다.
설명 텍스트 상자에 필터 목록에 대한 적절한 설명을 입력합니다.
추가 마법사 사용 확인란이 선택 해제되었는지 확인합니다.
IP 필터 목록 대화 상자에서 추가를 클릭합니다.
원본 주소 드롭다운 상자에서 모든 IP 주소를 클릭합니다.
대상 주소 드롭다운 상자에서 특정 IP 주소를 클릭합니다.
IP 주소 텍스트 상자에 특정 컴퓨터의 IP 주소를 입력합니다.
미러됨 확인란이 선택되었는지 확인합니다.
참고: 기본적으로 이 절차는 모든 IP 주소에서 특정 IP 주소로 모든 트래픽에 일치하는 규칙을 만듭니다. 특정 포트나 프로토콜 기준으로 일치를 수행해야 하는 경우 프로토콜 탭에서 추가 구성을 수행해야 합니다.
설명 탭에 필터 항목에 대한 적절한 설명을 입력합니다.
확인을 클릭한 다음 확인을 다시 클릭합니다.
필터 목록 및 필터 동작을 사용하도록 IPsec 정책을 수정하려면
***<IPsec 정책 이름>***을 마우스 오른쪽 단추로 클릭한 다음 속성을 클릭합니다.
추가 마법사 사용 확인란이 선택 해제되었는지 확인합니다.
추가를 클릭합니다.
IP 필터 목록 탭의 IP 필터 목록에서 새 필터 목록 옵션 단추를 클릭합니다.
필터 동작 탭의 필터 동작 목록에서 필터 동작 옵션 단추를 클릭합니다.
인증 방법 탭에서 추가를 클릭합니다.
선택하는 인증 방법 옆의 단추를 클릭하고 필요한 옵션을 구성합니다.
참고: 선택한 인증 방법은 미리 공유한 키 또는 인증서 같은 초기자와 응답자가 협상할 수 있는 인증 방법이어야 합니다. 필요할 경우 Kerberos 프로토콜을 선택한 다음 제거 단추를 클릭하여 목록에서 Kerberos 프로토콜을 제거합니다.
확인을 클릭합니다.
인증 방법이 둘 이상 나열되는 경우 인증 방법 우선 순서 목록에서 위로 이동 및 아래로 이동 단추를 사용하여 인증 방법의 우선 순서를 선택합니다.
확인을 클릭한 다음 확인을 다시 클릭합니다.
IP 보안 정책 관리 MMC 스냅인을 닫습니다.
격리 그룹 사이에서 호스트 이동
여러 가지 이유로 호스트를 한 그룹에서 다른 그룹으로 정기적으로 이동시켜야 합니다. 트래픽 통신의 측면에서 그룹 구성원에 대한 변경의 영향을 이해하는 것이 중요합니다. 다음 절에서는 그룹에서 호스트를 추가하거나 제거하는 단계를 설명합니다.
예외 목록에서 호스트 추가 또는 제거
IPsec 예외 필터 목록과 No IPsec 보안 그룹을 수정하여 호스트를 추가하거나 예외 목록에서 호스트를 제거할 수 있습니다. 이렇게 하려면 이 장 앞부분에 있는 "기존 규칙 필터 목록 변경" 절의 단계를 수행하십시오.
이 작업을 수행하려면 예외 필터 목록, 호스트 이름 및 IP 주소를 알고 있어야 합니다.
기존 그룹에서 호스트와 사용자 추가 또는 제거
NAG(네트워크 액세스 그룹)에 호스트를 추가하거나 호스트를 제거할 때 호스트가 그룹에서 수행하는 역할과 관련된 단계를 수행합니다. 호스트가 초기자의 역할만 수행하는 경우 관련 NAG에 추가하거나 제거하는 것으로 충분합니다. 그러나 호스트가 응답자의 역할을 하는 경우 "네트워크에서 이 컴퓨터 액세스" 권한의 업데이트를 제어하는 정책을 적용하거나 제거해야 합니다. 시스템이 초기자와 응답자 역할을 모두 수행하는 경우 두 단계를 모두 수행해야 합니다.
기존 네트워크 액세스 그룹에서 초기자 추가 또는 제거
표준 그룹 관리 도구를 사용하여 네트워크 액세스 그룹에서 초기자를 추가하거나 제거하여 관련 보안 그룹을 수정할 수 있습니다.
특정 컴퓨터와 관련된 NAG를 수정하려면
도메인 관리자로 도메인 컨트롤러에 로그온한 다음 Active Directory 사용자 및 컴퓨터를 시작합니다.
도메인을 확장한 다음 사용자를 클릭합니다.
오른쪽 창에서 ***<NAG>***를 마우스 오른쪽 단추로 클릭한 다음 속성을 클릭합니다.
그룹에 컴퓨터를 추가하려면
구성원 탭을 클릭한 후 추가를 클릭합니다.
개체 유형 단추를 클릭하고 컴퓨터 확인란을 선택한 다음 확인을 클릭합니다.
선택할 개체 이름을 입력하십시오 텍스트 상자에 *<컴퓨터 이름>*을 입력한 다음 확인을 클릭합니다.
확인을 클릭합니다.
그룹에서 컴퓨터를 제거하려면
구성원 탭을 클릭합니다.
구성원 목록에서 ***<컴퓨터 이름>***을 클릭한 다음 제거를 클릭합니다.
예를 클릭하여 <컴퓨터 이름> 계정을 제거합니다.
확인을 클릭합니다.
참고: 호스트 계정을 그룹에 추가하고 호스트가 제한된 리소스에 액세스할 수 있을 때까지 지연이 발생합니다. 이 지연은 복제 지연 및 티켓이 캐싱된 경우 제한된 리소스를 호스팅하는 서버에서 세션 티켓을 업데이트하는 사이의 시간으로 인한 것입니다.
기존 네트워크 액세스 그룹에서 사용자 추가 또는 제거
격리 그룹을 만들어 제한된 리소스에 대한 통신을 시작할 수 있는 호스트를 제한했지만 리소스에 액세스할 수 있는 사용자를 제한하는 데 사용할 수도 있습니다. NAG와 비슷한 방식으로 리소스를 제한하는 요구 사항이 없을 경우 도메인 사용자 그룹에 응답자에 대한 "네트워크에서 이 컴퓨터 액세스" 권한이 부여됩니다. 리소스를 제한하는 요구 사항이 있을 경우 NAG 사용자 그룹이 만들어집니다.
표준 그룹 관리를 사용하여 NAG 사용자 그룹에서 제한된 사용자를 추가하거나 제거하여 관련 보안 그룹을 수정할 수 있습니다. 이 절차는 NAG 사용자 그룹을 만들고 NAG에 할당한 경우에만 필요합니다. 도메인 사용자 그룹을 사용하는 경우 이 절차는 필요하지 않습니다.
특정 사용자와 관련하여 NAG 사용자 그룹을 수정하려면
도메인 관리자로 도메인 컨트롤러에 로그온한 다음 Active Directory 사용자 및 컴퓨터를 시작합니다.
도메인을 확장한 다음 사용자를 클릭합니다.
오른쪽 창에서 NAG 사용자 보안 그룹을 마우스 오른쪽 단추로 클릭한 다음 속성을 클릭합니다.
NAG에 사용자를 추가하려면
구성원 탭을 클릭한 후 추가를 클릭합니다.
선택할 개체 이름을 입력하십시오 텍스트 상자에 *<사용자 이름>*을 입력한 다음 확인을 클릭합니다.
확인을 클릭합니다.
NAG에서 사용자를 제거하려면
구성원 탭을 클릭합니다.
구성원 목록에서 특정 ***<사용자 이름>***을 클릭한 다음 제거를 클릭합니다.
예를 클릭하여 <사용자 이름> 계정을 제거합니다.
확인을 클릭합니다.
참고: 사용자 계정을 그룹에 추가하고 사용자가 제한된 리소스에 액세스할 수 있을 때까지 지연이 발생합니다. 이 지연은 복제 지연 및 티켓이 캐싱된 경우 제한된 리소스를 호스팅하는 서버에서 세션 티켓을 업데이트하는 사이의 시간으로 인한 것입니다.
기존 네트워크 액세스 그룹에서 응답자 추가 또는 제거
기존 NAG에서 응답 호스트(응답자)를 제거하려면 응답자에 대한 "네트워크에서 이 컴퓨터 액세스" 권한을 구성하는 GPO 할당을 제거할 수 있습니다. Active Directory를 사용하여 정책 적용을 보장하는 수단으로 표준 수단을 통해 GPO 적용을 제어할 수 있습니다. 그러나 이 가이드에서 사용되는 접근 방식은 응답자의 도메인 컴퓨터 계정을 유지하기 위해 만든 OU(조직 구성 단위)에 GPO를 할당했습니다. 단순히 응답자 OU 밖으로 컴퓨터 계정을 이동하면 할당된 GPO를 더 이상 받지 못하게 되며 액세스도 더 이상 제한되지 않습니다. 컴퓨터는 격리 도메인 정책으로 돌아갑니다. 컴퓨터 계정이 네트워크 액세스 그룹으로 구성된 도메인 로컬 보안 그룹의 구성원인 경우 해당 그룹에서도 제거해야 합니다.
GPO 중 하나에서 제거한 후에 여러 NAG의 구성원인 호스트가 다른 NAG와 여전히 통신할 수 있는지 신중하게 확인해야 합니다.
새 네트워크 액세스 그룹 추가
새 NAG를 만드는 것은 매우 간단한 프로세스입니다. 먼저 도메인 로컬 그룹을 만들어 리소스에 대한 액세스를 제어하고 GPO를 만들어 NAG에서 서버 역할을 수행하는 호스트의 "네트워크에서 이 컴퓨터 액세스" 권한을 업데이트해야 합니다. 그런 다음 해당 GPO를 서버에 적용하고 그룹에 속하는 호스트를 식별해야 합니다.
초기자만 NAG의 구성원이 되어야 합니다. 즉, 두 서버가 같은 격리 그룹에 있고 서로 통신을 시작하지 않으면 격리 그룹에 대한 NAG에 추가할 필요가 없습니다. 그러나 이러한 두 서버가 통신해야 하는 경우 다른 모든 초기자처럼 NAG에 추가해야 합니다.
여러 NAG 내의 서버가 응답자의 역할을 하는 경우 GPO를 적용한 후에 서버가 참가하는 모든 NAG 보안 그룹이 시스템의 "네트워크에서 이 컴퓨터에 액세스" 권한에 있는지 주의 깊게 확인해야 합니다. 필요한 경우 특정 컴퓨터가 이 요구를 충족하도록 추가 GPO가 필요할 수 있습니다.
초기자 컴퓨터를 위한 새 네트워크 액세스 그룹 만들기
다음 단계를 수행하여 새 NAG를 만듭니다.
초기자 컴퓨터를 위한 새 NAG를 만들려면
도메인 관리자로 도메인 컨트롤러에 로그온한 다음 Active Directory 사용자 및 컴퓨터를 시작합니다.
사용자 컨테이너를 마우스 오른쪽 단추로 클릭하고 새로 만들기를 클릭한 다음 사용자를 클릭합니다.
그룹 이름 텍스트 상자에 그룹의 적절한 이름을 입력합니다.
도메인 로컬 보안 그룹을 클릭한 다음 확인을 클릭합니다.
새로 만든 그룹을 마우스 오른쪽 단추로 클릭한 다음 속성을 클릭합니다.
설명 텍스트 상자에 그룹에 대한 적절한 설명을 입력합니다.
확인을 클릭합니다.
초기자 컴퓨터 계정을 네트워크 액세스 그룹에 추가
다음 단계를 수행하여 초기자 계정으로 새 NAG를 채웁니다.
초기자 계정으로 새 NAG를 채우려면
도메인 관리자로 도메인 컨트롤러에 로그온한 다음 Active Directory 사용자 및 컴퓨터를 시작합니다.
도메인을 확장한 다음 사용자를 클릭합니다.
오른쪽 창에서 NAG 초기자* *그룹을 마우스 오른쪽 단추로 클릭한 다음 속성을 클릭합니다.
구성원 탭을 클릭한 후 추가를 클릭합니다.
개체 유형 단추를 클릭하고 컴퓨터 확인란을 선택한 다음 확인을 클릭합니다.
선택할 개체 이름을 입력하십시오 텍스트 상자에 *<초기자 이름>*을 입력한 다음 확인을 클릭합니다.
확인을 클릭합니다.
도메인에 있는 사용자가 제한된 리소스에 액세스를 허용하는 추가로 제한하는 요구 사항이 있는 경우 제한된 NAG 사용자를 위한 그룹을 만들어야 합니다. 그렇지 않으면 도메인 사용자 그룹을 대신 사용할 수 있습니다.
제한된 사용자를 위한 새 네트워크 액세스 그룹 만들기
다음 단계를 수행하여 제한된 사용자를 위한 NAG를 만듭니다.
사용자 계정에 대한 새 NAG를 만들려면
도메인 관리자로 도메인 컨트롤러에 로그온한 다음 Active Directory 사용자 및 컴퓨터를 시작합니다.
사용자 컨테이너를 마우스 오른쪽 단추로 클릭하고 새로 만들기를 클릭한 다음 사용자를 클릭합니다.
그룹 이름 텍스트 상자에 그룹의 적절한 이름을 입력합니다.
도메인 로컬 보안 그룹을 클릭한 다음 확인을 클릭합니다.
새로 만든 그룹을 마우스 오른쪽 단추로 클릭한 다음 속성을 클릭합니다.
설명 텍스트 상자에 그룹에 대한 적절한 설명을 입력합니다.
확인을 클릭합니다.
제한된 사용자 계정을 네트워크 액세스 그룹에 추가
다음 단계를 수행하여 제한된 사용자로 새 NAG를 채웁니다.
사용자 계정으로 새 NAG를 채우려면
?„메인 관리자로 도메인 컨트롤러에 로그온한 다음 Active Directory 사용자 및 컴퓨터를 시작합니다.
도메인을 확장한 다음 사용자를 클릭합니다.
오른쪽 창에서 NAG 사용자* *그룹을 마우스 오른쪽 단추로 클릭한 다음 속성을 클릭합니다.
구성원 탭을 클릭한 후 추가를 클릭합니다.
선택할 개체 이름을 입력하십시오 텍스트 상자에 *<사용자 이름>*을 입력한 다음 확인을 클릭합니다.
확인을 클릭합니다.
GPO를 만들어 "네트워크에서 이 컴퓨터 액세스" 권한 부여
GPO는 적절한 NAG에 "네트워크에서 이 컴퓨터 액세스" 권한을 할당하는 데 사용됩니다.
다음 표는 "네트워크에서 이 컴퓨터 액세스" 권한을 부여해야 하는 NAG 및 관련 이름을 구현하는 GPO의 예를 제공합니다.
표 6.1: 예제 NAG 정책 정의
| GPO 이름 | 그룹 이름 |
|---|---|
| <NAG 구현 정책 이름> | <NAG 이름> 관리자 보조 운영자 NAG 사용자 또는 도메인 사용자 |
주의: 나열된 그룹은 추가되어야 하는 최소 그룹입니다. 관리자는 이 권한을 부여해야 하는 추가 그룹이 있는지 여부를 확인할 필요가 있습니다. 도메인 사용자 그룹은 기본적으로 추가됩니다. 관리자가 사용자와 컴퓨터를 제한하려면 NAG 사용자 그룹은 선택한 사용자 계정을 포함하고 있는 컴퓨터 계정 중 하나처럼 만들어야 합니다.
GPO를 만들어 "네트워크에서 이 컴퓨터 액세스" 권한을 부여하려면
도메인 관리자로 도메인 컨트롤러에 로그온합니다.
GPMC를 시작합니다.
포리스트: <도메인 이름>, 도메인, ***<도메인 이름>***을 차례로 확장합니다.
그룹 정책 개체를 마우스 오른쪽 단추로 누르고 새로 만들기를 클릭합니다.
이름 입력란에 *<GPO name>*을 입력한 다음 확인을 클릭합니다.
***<GPO 이름>***을 마우스 오른쪽 단추로 클릭한 다음 편집을 클릭합니다.
컴퓨터 구성, Windows 설정, 보안 설정, 로컬 정책을 차례로 확장하고 사용자 권한 할당을 클릭합니다.
오른쪽 창에서 "네트워크에서 이 컴퓨터 액세스"를 마우스 오른쪽 단추로 클릭한 다음 속성을 클릭합니다.
이 정책 설정 정의 확인란을 선택합니다.
사용자 또는 그룹 추가 단추를 클릭합니다.
찾아보기 단추를 클릭합니다.
선택할 개체 이름을 입력하십시오 텍스트 상자에 앞의 표에 나열된 각 그룹의 이름을 세미콜론으로 구분하여 입력합니다. 그런 다음 확인을 클릭합니다.
확인을 클릭합니다.
GPO 편집기를 닫고 GPMC를 닫습니다.
네트워크 액세스 그룹 GPO 배포
NAG GPO를 배포하려면 NAG 내의 적절한 응답자에 적용할 수 있도록 먼저 도메인 환경 내의 한 위치에 연결해야 합니다. Active Directory를 사용하여 정책 적용을 보장하는 표준 방법을 통해 GPO 적용을 제어할 수 있습니다. 조직 내에서 사용하는 OU 구조와 관리 방법에 따라 다르기 때문에 특정 단계를 제공하는 것은 이 가이드의 범위를 벗어납니다.
격리 그룹에서 IPsec 해제
정책을 전달하는 GPO를 수정하여 IPsec 정책을 해제할 수 있습니다. IPsec 정책을 해제하기 위해 GPO는 컴퓨터 설정을 해제하도록 구성됩니다.
GPO의 컴퓨터 설정을 해제하려면
도메인 관리자로 도메인 컨트롤러에 로그온합니다.
GPMC를 시작합니다.
포리스트: <도메인 이름>, 도메인, <도메인 이름>, 그룹 정책 개체를 차례로 확장합니다.
***<GPO 이름>***을 마우스 오른쪽 단추로 클릭하고 GPO 상태를 클릭한 다음 컴퓨터 구성 설정 사용 안 함을 클릭합니다.
GPMC를 닫습니다.
격리 그룹에서 IPsec 다시 설정
정책을 전달하는 GPO를 수정하여 해제된 IPsec 정책을 다시 설정할 수 있습니다. 해제된 IPsec 정책을 다시 설정하기 위해 컴퓨터 설정이 사용되도록 GPO가 구성됩니다.
GPO의 컴퓨터 설정을 사용하려면
도메인 관리자로 도메인 컨트롤러에 로그온합니다.
GPMC를 시작합니다.
포리스트: <도메인 이름>, 도메인, <도메인 이름>, 그룹 정책 개체를 차례로 확장합니다.
***<GPO 이름>***을 마우스 오른쪽 단추로 클릭하고 GPO 상태를 클릭한 다음 사용을 클릭합니다.
GPMC를 닫습니다.
격리 그룹에서 IPsec 제거
정책을 전달하는 GPO를 수정하여 IPsec 정책을 제거할 수 있습니다. IPsec 정책을 제거하기 위해 IPsec 정책이 더 이상 할당되지 않도록 GPO가 구성됩니다.
GPO의 IPsec 정책을 할당 취소하려면
도메인 관리자로 도메인 컨트롤러에 로그온합니다.
GPMC를 시작합니다.
포리스트: <도메인 이름>, 도메인, ***<도메인 이름>***을 차례로 확장합니다.
***<GPO 이름>***을 마우스 오른쪽 단추로 클릭한 다음 편집을 클릭합니다.
컴퓨터 구성, Windows 설정, 보안 설정을 차례로 확장한 다음 **Active Directory의 IP 보안 정책(도메인 이름)**을 클릭합니다.
오른쪽 창에서 ***<IPsec 정책 이름>***을 마우스 오른쪽 단추로 클릭한 다음 할당 해제를 클릭합니다.
***<IPsec 정책 이름>***이 할당 해제되었는지 확인한 다음 GPO 편집기를 닫고 GPMC를 닫습니다.
백업/복원 고려 사항
이 절에서는 서버 및 도메인 격리 솔루션 구성 요소의 백업과 복원을 처리하는 프로세스를 평가하는 방법에 대한 정보를 제공합니다.
Active Directory 백업
IPsec 정책은 정책을 전달하는 데 사용되는 그룹 정책 개체에 저장되지 않습니다. 그룹 정책 백업 및 복원 기능은 어떤 IPsec 정책을 실제 IPsec 정책 정보가 아니라 그룹 정책 개체에 할당할지에 대한 정보만 수집합니다.
도메인 컨트롤러의 전체 시스템 상태 백업은 IPsec 정책 정보를 수집하지만 IP 보안 정책 관리 MMC 스냅인의 정책 내보내기 및 정책 가져오기 메뉴 명령을 사용하여 IPsec 정책을 백업하고 복원할 수 있습니다.
참고: IPsec 정책 백업을 보호하는 것이 중요합니다. 그러나 백업은 저장된 디렉터리의 NTFS 파일 시스템 권한을 상속하는 파일이며 파일에 있는 데이터는 암호화되거나 서명되지 않습니다. 적절한 권한이나 보안 절차를 사용하여 이러한 파일에 있는 IPsec 구성 정보를 보호해야 합니다. 승인된 IPsec 관리자만 이러한 백업 파일에 액세스해야 합니다.
Windows Server 2003을 실행하는 컴퓨터의 시스템 상태 데이터를 백업하는 방법에 대한 자세한 내용은 Microsoft.com의 To back up System State data (영문)페이지(www.microsoft.com/resources/documentation/windowsserv/2003/standard/proddocs/en-us/ntbackup\_backup\_sysstate.asp)를 참조하십시오.
호스트 복원
IPsec 정책(테이프 백업 또는 이미지 기반 백업)을 백업에서 복원한 컴퓨터에서 적용된 IPsec 정책이 Active Directory 기반 IPsec 정책 또는 로컬 IPsec 정책의 캐싱된 복사본이 될 수 있습니다.
컴퓨터에 Active Directory 기반 IPsec 정책이 할당된 경우 IPsec 서비스는 Active Directory 기반 정책의 캐싱된 복사본을 적용하기 전에 Active Directory에서 할당된 IPsec 정책의 최신 복사본을 검색하려고 시도합니다. 이렇게 하면 IPsec 서비스는 먼저 도메인 컨트롤러의 모든 IP 주소의 최신 목록에 대한 DNS(Domain Name System)를 쿼리합니다. IPsec 정책 개체가 Active Directory에서 삭제된 경우 Active Directory 기반 정책의 복사본이 대신 적용됩니다.
Active Directory 기반 IPsec 정책의 캐싱된 복사본에 있는 도메인 컨트롤러 IP 주소의 목록이 IPsec 정책 백업을 만든 이후에 변경되었을 수 있습니다(예: 새 도메인 컨트롤러를 추가한 경우). 그럴 경우 최신 도메인 컨트롤러를 사용하여 통신이 차단될 수 있으며, 따라서 IPsec으로 보호되는 연결을 원격으로 설정하려는 시도가 있을 때 Kerberos 프로토콜을 사용한 인증은 실패합니다. 또한 컴퓨터는 그룹 정책 업데이트를 받지 못할 수 있습니다. 이 문제는 다음과 같이 해결할 수 있습니다.
컴퓨터에 로컬로 액세스하고 해당 컴퓨터에서 IPsec 서비스를 중지합니다.
네트워킹을 사용하여 안전 모드에서 컴퓨터를 다시 시작하고 IPsec 서비스를 수동으로 시작하도록 구성하거나 새 도메인 컨트롤러의 IP 주소를 사용하여 IPsec으로 보호되는 통신을 허용하도록 IPsec 서비스를 해제합니다.
네트워크 기반 감염 완화
일부 상황은 바이러스 공격 또는 보안 침입 발생과 같은 환경의 보안을 보장하기 위해 통신의 빠른 중단을 요구할 수 있습니다. 다음 절에서는 인증된 통신에 참가하는 호스트를 격리하는 다양한 방법을 설명합니다. 설계상 이러한 방법은 시스템이 도메인으로부터 IPsec 정책을 업데이트하는 기능을 잃지 않도록 인프라 서버를 격리하기 위한 대처를 하지 못하기 때문에 인프라 또는 제외된 서버를 격리하지 못합니다.
참고: 이러한 격리 방법은 기술적으로 안정되어 있지만 실험 환경에서 테스트되지 못했습니다. 이 방법을 사용하기 전에 실험 환경에서 테스트하는 것이 좋습니다.
격리 도메인 격리
격리 도메인의 호스트는 신뢰할 수 없는 호스트와 통신을 시작하는 것이 허용됩니다. 이런 종류의 트래픽을 신속하게 차단할 필요가 있는 경우 "IPsec을 인식하지 않는 컴퓨터와 보안되지 않는 통신 허용" 권한을 해제하도록 IPSEC – 보안 요청 모드(인바운드 무시, 아웃바운드 허용) 필터 동작을 수정할 수 있습니다. IPsec 폴링 기간이 만료된 후에 격리 도메인에 있는 모든 호스트가 IPsec 환경에 참가하지 않는 시스템과 통신하지 못하도록 차단해야 합니다.
IPSEC – 보안 요청 모드(인바운드 무시, 아웃바운드 허용) 필터 동작을 수정하려면
도메인 관리자로 도메인 컨트롤러에 로그온합니다.
IP 보안 정책 관리 MMC 스냅인을 시작하고 도메인에 초점을 설정합니다.
Active Directory의 IP 보안 정책을 마우스 오른쪽 단추로 누른 다음 IP 필터 목록 및 필터 작업 관리를 클릭합니다.
IP 필터 동작 관리 탭에서 IPSEC – 보안 요청 모드(인바운드 무시, 아웃바운드 허용) 필터 동작을 클릭한 다음 편집을 클릭합니다.
IPsec을 인식하지 않는 컴퓨터와 보안되지 않은 통신 허용 확인란을 선택하거나 선택을 취소합니다.
확인을 클릭합니다.
확인을 클릭합니다.
이 옵션을 설정한 후에 정책은 신뢰할 수 없는 호스트를 향하는 모든 네트워크 트래픽을 차단합니다. 문제가 해결된 후에 옵션을 다시 설정하여 통신을 복원할 수 있습니다.
포트 차단
내부 조직 LAN 컴퓨터에 배포된 IPsec 정책은 모든 포트를 통해 모든 통신을 허용하도록 구성됩니다. 이 접근 방식은 환경의 구성과 관리를 간소화합니다. 그러나 IPsec을 사용하는 호스트가 바이러스 또는 웜 같은 악성 프로그램에 감염된 경우 호스트가 다른 컴퓨터에 감염을 확산시킬 수 있습니다. 컴퓨터가 사용하는 정책에 따라 신뢰할 수 있는 호스트와 신뢰할 수 없는 호스트 모두에 감염이 확산될 수 있습니다.
IPsec 정책은 악성 프로그램이 사용하는 포트를 명시적으로 차단함으로써 악성 프로그램의 확산을 줄이는 데 사용할 수 있습니다. 이 접근 방식의 큰 제한은 모든 컴퓨터가 차단 필터를 추가하는 정책 변경을 검색하는 데 필요한 지연입니다. 또한 일부 웜이 네트워크에 초과되면 IPsec 정책 변경을 검색하기 어려워집니다. 또한 일부 웜은 DNS 같은 중요 서비스가 사용하는 포트도 사용하므로, 차단 필터를 호스트에 적용한 후에 정책을 업데이트하는 것이 어렵습니다. 모든 IP 주소에서 악성 프로그램의 특정 형태가 사용하는 특정 포트로 보내는 트래픽을 차단하는 규칙을 만들어 차단을 수행할 수 있습니다. 이 규칙은 환경에 있는 모든 모든 정책에 추가됩니다. 악성 프로그램을 제거한 후에 정책에서 규칙을 제거할 수 있습니다.
악성 프로그램의 특정 형태가 사용하는 포트와 프로토콜을 식별한 후에 이 장 앞부분에 있는 "IPsec 정책 변경" 절의 "기존 IPsec 정책에 새 규칙 추가" 절차에 나와 있는 단계를 수행하여 악성 프로그램 통신 기준과 일치하는 필터 목록을 만드십시오. 도메인 정책에서 포트 차단을 사용하기로 결정한 즉시 IPsec 정책 폴링 간격을 즉시 줄여야 합니다. 위협이 가라 앉으면 폴링 간격을 다시 증가시킬 수 있습니다.
그러나 모든 IP 주소부터 특정 IP 주소까지 사용하는 필터를 만드는 대신 "내 IP 주소"부터 모든 IP 주소까지 사용하는 필터를 만드십시오. 일반적으로 미러링된 필터는 사용되지 않습니다. 한 방향 필터가 들어 있는 필터 목록이 필요하며, 하나는 잘 알려진 포트에 대한 인바운드용이고 하나는 잘 알려진 포트에 대한 아웃바운드 트래픽용입니다. 예를 들어, 다음 필터는 SQLSlammer 웜이 악용하는 SQL 포트 1433을 차단합니다.
From Any IP Address -> My IP address, TCP, src *, dst 1433, not mirrored
From My IP Address -> Any IP address, TCP, src *, dst 1433, not mirrored
명확하게 이러한 필터는 SQL 응용 프로그램 연결을 차단하며 웜 위협이 가라 앉으면 제거됩니다. 반드시 필요한 경우가 아니면 DNS 같은 중요한 인프라에 대한 액세스는 차단하지 않도록 주의하십시오. 이러한 필터는 특정 IP 주소가 정의되어 있기 때문에 내부 네트워크에서 모든 트래픽에 대해 IPsec을 협산하는 Woodgrove 은행 서브넷 필터보다 더 특정합니다.
필터를 만든 후에 모든 격리 도메인과 그룹 IPsec 정책을 규칙에 추가하여 필터 목록을 IPsec – 차단 필터 동작과 연결하십시오. 정책 설계에 차단 동작을 사용하여 차단된 포트에 사용되는 빈 IPsec 필터 목록을 미리 연결하는 규칙을 포함할 수 있습니다. 이 빈 필터 목록은 모든 IPsec 정책의 규칙이 사용하고 모든 도메인 구성원이 각 폴링 간격으로 이 필터 목록을 검사하도록 설정할 수 있습니다. 또는 규칙을 해제할 수 있으며 IPsec 서비스 폴링은 각 격리 그룹 정책에서 언제 규칙이 설정되었는지 검색할 수 있습니다.
어떤 이유로 포트 차단이 IPsec이 Active Directory에 액세스하여 업데이트된 정책을 얻지 못하도록 하는 경우 IPsec 서비스를 컴퓨터에서 관리적으로 중지했다가 다시 시작하거나 컴퓨터를 다시 시작할 수 있습니다. IPsec 서비스가 시작되면 캐시에 있는 이전 버전을 적용하기 전에 할당된 IPsec 정책 중 최신 버전을 다운로드합니다.
하위 도메인 내로만 격리
전체 도메인을 포리스트에 있는 나머지 도메인으로부터 격리해야 하는 경우 Kerberos 프로토콜 대신 미리 공유한 키를 사용하도록 해당 도메인의 정책을 구성할 수 있습니다. 이 접근 방식은 하위 도메인 내의 컴퓨터가 같은 도메인의 다른 시스템과 통신을 유지하도록 할 수 있지만 평상시에 액세스하는 도메인 외부의 시스템과 통신하는 것은 차단합니다.
IPsec – Secure Organization Subnets 규칙에 대해 미리 공유한 키만 사용하도록 하위 도메인에 있는 각 정책을 수정해야 합니다. Kerberos 프로토콜 같은 기존의 모든 인증 방법을 제거해야 합니다. 인증 방법을 구성하려면 이 장 앞부분에 있는 "기존 규칙 인증 방법 변경" 절의 단계를 수행하십시오.
인증을 수행하는 추가 규칙이 정책에 있는 경우에도 미리 공유한 키를 사용하도록 구성해야 합니다. 격리할 하위 도메인에 있는 모든 정책을 이런 식으로 구성해야 합니다. 정책을 롤아웃할 때 IKE 주 모드 인증이 실패할 기회를 최소화하려면 인증 방법 목록에서 미리 공유한 키 인증 방법을 우선 지정하고, 그런 다음 Kerberos 방법을 지정할 수 있습니다. 모든 컴퓨터의 정책을 업데이트한 후에 Kerberos 인증 방법을 제거할 수 있습니다. Kerberos 프로토콜에 대한 인증을 복원하고 위협이 가라 앉으면 미리 공유한 키를 제거하는 데 유사한 프로세스가 사용됩니다.
미리 정의한 그룹으로 격리
네트워크 액세스 그룹이 컴퓨터의 미리 정의한 그룹을 격리하는 데 사용할 수 있는 한 구현이지만 미리 공유한 키나 인증서를 사용하여 같은 격리 기능을 수행할 수 있습니다. 네트워크 액세스 그룹과의 주요 차이점은 컴퓨터의 각 그룹에 대해 별도의 정책을 만들어 미리 공유한 키나 인증서를 가진 컴퓨터 사이의 트래픽을 보호해야 한다는 점입니다. 이 솔루션을 사용하려면 특히 시스템이 둘 이상의 그룹에 속하는 경우 추가 트래픽 통신 계획이 필요합니다.
미리 공유한 키의 주요 단점은 정책을 일반 텍스트로 저장하여 도메인 내의 클라이언트가 쉽게 검색하여 보안이 손상된다는 점입니다. 이 단점은 미리 공유한 키 값이 웜 공격 동안 임시 격리를 위해서만 사용하는 경우 문제가 되지 않을 수 있습니다.
발급 CA 대신 루트 CA에서 IKE가 인증서 제한을 검사하는 방법에 대한 제한으로 인해 각 그룹에 대해 고유한 루트 CA를 배포해야 합니다.
요약
이 장에서는 서버 및 도메인 격리 솔루션을 성공적으로 배포하고 운영한 후에 관리, 유지 관리 및 수정하는 정보, 프로세스 및 절차를 제공했습니다.
프로세스와 절차는 잘 문서화되고 환경에서 호스트의 일일 관리에 참여하는 모든 직원과 논의되어야 합니다. IPsec 정책의 작은 변경으로 보호된 통신 경로가 해제되는 일이 항상 발생할 수 있기 때문에 이러한 프로세스와 절차는 사용자가 정책 변경을 이해하지 못한 결과로 오류가 생기지 않도록 하기 위해 고안된 것입니다.
전체 솔루션 다운로드