IPSEC을 통한 보안 정책

IPSEC( 인터넷 프로토콜 보안)을 이용한 필터링은 InBound 와 OutBound 되는 패킷 모두에 대

   해서 제어가 가능하므로, 서버관리자도 모르는 사이에 자신의 서버가 다른 서버를 공격하는데 이

   용되는 것을 방지할 수 있다.

    액티브 디렉터리로 바꾼 사용자는 로컬 보안 정책(secpol.msc) 및 도메인 보안정책

    (dompol.msc), 도메인 컨트롤러보안정책 이 2가지가 추가로 생기게 되는데 특히 로컬 보안 정책

   보다 도메인 보안 정책이 우선 순위가 있어 액티브 디렉터리 사용자는 도메인 보안 정책에서

   IPSec 를 구성한다.

   

   IPSEC 설정 : [시작] → [제어판] → [관리도구] → [로컬보안설정] → [IP 보안정책]

   

   

  IPSEC 정책은 IP 필터, 필터의 동작, 이 필터들을 작동시킬 IP 보안정책 이 세가지로 요소로 구성

  이 된다. 구성순서는 관계가 없으나 IP 보안 정책부터 만들고 그 정책안에 필터을 만들고 필터의

  동작을 정의 하는 방법이 효율성이 있다.

   

   

## 예제 : 웹서버만을 운영하는 경우의 IPSEC 설정

  1. 웹서비스포트 80 번은 어디에서나 접근 가능하게 한다.

  2. 외부 DNS 서버 UDP 53 번 포트에 Client 로서 접근 가능하게 한다.

  3. 사무실 IP 대역 (220.10.10.0/24) 에서만 모든 접근 가능하게 한다.

  4. 위의 1,2,3 을 제외한 모든 접근을 차단한다.

     설정 순서는 각 항목에 대한 보안정책을 만들고, 적용할 IP 필터 목록을 작성한 다음, 해당 필터

     를 보안정책의 보안규칙에 등록한다.

   

  (1) IP 보안정책 만들기

        새 보안정책(이름:서버보안)을 만든다.

       [동작] → [IP 보안정책만들기] → [IP 보안정책마법사시작] → [다음]

       → [IP 보안정책이름 : 서버보안] → [다음]→ [기본응답규칙활성화] 체크 해제

       → [다음] → [마침]

   

   

   

   

   

  (2) 필터동작관리 중 거부 항목 추가하기

      [동작] → [Ip필터목록및필터동작관리창] → [필터 동작 관리] → [추가] → [IP 보안필터동작

      마법사 시작] → [다음] → [필터동작이름] → [거부] → [다음]

      → [필터동작일반옵션:거부] 선택 → [다음] → [마침]