윈도우 서버 2012 실습-IPsec(PSK 호스트, 터널/Kerberos 호스트, 터널)

IPsec(Internet Protocol Security)란?

IP 패킷을 암호화하고 인증하여 안전하게 통신이 가능하게 해주는 기술

단순히 호스트 간의 통신에 설정 할 수도 있으며 서버끼리 터널을 설정할 수도 있다.

터널이란? 가상 터널을 구축해 암호화 통신하는 방식(실제 물리적 터널 x)

인증 방식에 따라 3가지로 나누어진다.

1. PSK(Pre Shared Key)-미리 공유한 키라는 뜻, 사용자 간 인증에 사용할 key를 미리 교환한 후 두 컴퓨터에서 동일한 키를 직접 입력하는 인증방식

PSK(호스트 간 통신)

*호스트 간 통신은 각 호스트에서 설정, 터널 통신은 서버에서 설정한다.

1. ctrl+r-secpol.msc를 입력해 로컬 보안 정책에 들어간다.

2. IP 보안 정책 우클릭-IP 보안 정책 만들기

3. 기본 값으로 다음

4. 기본 값으로 다음

5. 기본 값으로 다음

6. IP 보안 정책 우클릭-속상에 들어간다.

추가를 눌러준다.

(앞으로 나오는 모든 추가 마법사 사용은 uncheck 해준다.)

7. IP 필터목록 tab-추가를 눌러준다.

8. 추가를 눌러준다.

9. 원본주소는 내 IP 주소, 대상 주소는 특정 IP 주소 또는 서브네트를 선택 후 통신 할 호스트 IP를 지정해준다.

(현재 192.168.100.1과 192.168.200.1을 통신시키려고 한다.)

10. 새 IP 필터 목록 앞에 동그라미를 눌러 체크

11. 필터 동작 tab-추가를 눌러준다.

12. 추가

13. 사용자 지정 선택-설정

14. 암호화 되지 않은 데이터 주소 및 무결성 check 후 확인

15. 필터 동작 앞 동그라미를 눌러 check 해준다.

16. 인증 방법 tab에서 특정 항목 선택 후 편집을 눌러준다.

17. 이 문자열 사용(미리 공유한 키)를 check 후 임의의 문자열을 입력해준다.

이때 이 문자열은 상대쪽에서도 똑같이 지정해주어야한다.

18. 적용을 누른 후

19. 새 IP 보안 정책 우클릭-할당을 눌러준다.

20. 상대편 호스트도 똑같이 지정해준다.

이때도 똑같이 상대방 IP(192.168.100.1)를 입력해주고

21. 문자열만 동일하게 지정해준다.

22. 마지막으로 여기서 할당을 눌러주면

23. ping을 때려보면 통신이 된다. 해당 통신은 암호화로 진행되고 있다.

(만약 암호화 통신이 안되고 있는 상태면 통신 자체가 진행이 되지 않는다,)

PSK 설정(터널)

*터널 설정 시 client가 아닌 server에서 설정해준다.

clinet1 -- server1 -- server2 --client 2

다음과 같이 연결되어 있을때 서버에서 터널을 설정해주고 client 1에서 client 2로 핑을 때려본다.

1. 로컬보안정책-고급 보안이 포함된 ~ 방화벽-연결 보안 규칙-빈 곳 우클릭-새규칙을 클릭한다.

2. 터널을 선택하고 다음

3. 끝점 1에 있는 컴퓨터는 client 1의 ip를 입력해준다.

끝점 1의 컴퓨터와 가까운 로컬 터널은 서버 2와 연결된 서버 1의 인터페이스(10.10.10.1)을 입력해준다.

끝점 2의 컴퓨터와 가까운 로컬 터널은 서버 1과 연결된 서버 2의 인터페이스(10.10.10.2)을 입력해준다.

 

4. 인증방법은 고급-사용자지정으로 들어가

5. 추가

6. 미리 공유안 히 선택-임의의 문자열을 입력해준다.

7. 마침을 누르고

8. 생성된 터널 우클릭-속성으로 들어가

9. 끝점 2에 추가를 눌러준다.

10. 끝점 2의 IP는 client 2의 IP를 입력해준다.

11. 서버 2도 서버 1과 유사하게 설정해준다.

12. 키도 똑같이 설정해주고

13. IP도 client 1으로 지정해주면 된다.

2. kerberos-인증 체계 내에 티켓을 발급받아 인증하는 방식이다.

티켓은 어디서 발급 받을 수 있을까? 바로 AD!!

AD를 통해 티켓을 발급받으려면 AD 조인이 필요하다.

Kerberos(호스트 간 통신-기본 설정)

*Kerberos의 기본 설정도 PSK와 완벽히 똑같다.

1. PSK와 유일한 차이점은 인증방법이다.

위와 같이 인증 방법만 PSK에서 Kerberos로 바꾸면된다.

2. 그러나 인증방식을 바꾸면 핑이 안되는 것을 볼 수 있다.

이유는? 위에도 언급했듯이, Kerberos는 티켓을 발급받아 해당 티켓으로 통신한다.

또한 티켓의 발급처는 AD이다.

하지만 해당 컴퓨터는 AD에 가입한 적이 없다 고로 AD 멤버로 조인을 시켜줘야한다.

Kerberos(AD 조인)

1. 특정 서버에 AD를 설치

2. 도메인 명 지정

3. 다시 host(client)로 돌아와서 sysdm.cpl로 들어가

4. 변경을 누르고

5. AD에 가입을 시켜준다.

6. 반대 쪽인(client 2)도 이와 유사하게 해준다.

7. 아까는 핑이 안됐지만 이번에는 핑을 성공하는 것을 볼 수 있다.

Kerberos(터널)

터널의 설정 방식도 PSK와 똑같다. 다만 터널은 서버끼리의 통신이므로 터널을 맺는 서버끼리 같은 도메인 영역에 있어야한다.

따라서 다음과 같이 구성한다. 

client1-SRV1(AD 서버)-SRV2(AD 서버 조인)-client2

1. 우선 이전에 가입했던 client는 도메인을 탈퇴한다.

도메인 탈퇴 방법으 그냥 작업그룹에 임의의 이름을 지정해주면된다.

2. 터널을 맺을 서버를 도메인에 가입시킨다.

3. 터널 설정도 인증방법을 제외하고는 PSK와 완전 똑같다. 인증 방법만 케베로스로 바꿔주고 핑을 때려보자.

성공하면 제대로 터널이 맺어진 것이다.

마지막으로 인증서 방식을 통해 IPsec을 설정 할 수 있다. 인증서 방식은 분량 상 2편에 설명하겠다.