Windows ETC

IPSec 정책 할당 여부 확인

Windows Server 2003 기반 컴퓨터

Windows Server 2003 기반 컴퓨터에 IPSec 정책을 새로 만들거나 할당하기 전에 로컬 레지스트리에서 적용했거나 GPO를 통해 적용한 IPSec 정책이 있는지 확인하십시오. 이렇게 하려면 다음과 같이 하십시오.
1. Windows Server 2003 CD의 SupportTools 폴더에서 Suptools.msi를 실행하여 Netdiag.exe를 설치합니다.
2. 명령 프롬프트를 연 다음 작업 폴더를 C:Program FilesSupport Tools로 설정합니다.
3. 다음 명령을 실행하여 컴퓨터에 이미 할당된 기존 IPSec 정책이 없는지 확인합니다.
netdiag /test:ipsec
할당된 정책이 없으면 다음과 같은 메시지가 나타납니다.
IP Security test . . . . . . . . . : Passed IPSec policy service is active, but no policy is assigned.

Windows XP 기반 컴퓨터

Windows XP 기반 컴퓨터에 IPSec 정책을 새로 만들거나 할당하기 전에 로컬 레지스트리에서 적용했거나 GPO를 통해 적용한 IPSec 정책이 있는지 확인하십시오. 이렇게 하려면 다음과 같이 하십시오.
1. Windows XP CD의 SupportTools 폴더에서 Setup.exe를 실행하여 Netdiag.exe를 설치합니다.
2. 명령 프롬프트를 연 다음 작업 폴더를 C:Program FilesSupport Tools로 설정합니다.
3. 다음 명령을 실행하여 컴퓨터에 이미 할당된 기존 IPSec 정책이 없는지 확인합니다.
netdiag /test:ipsec
할당된 정책이 없으면 다음과 같은 메시지가 나타납니다.
IP Security test . . . . . . . . . : Passed IPSec policy service is active, but no policy is assigned.

Windows 2000 기반 컴퓨터

Windows 2000 기반 컴퓨터에 IPSec 정책을 새로 만들거나 할당하기 전에 로컬 레지스트리에서 적용했거나 GPO를 통해 적용한 IPSec 정책이 있는지 확인하십시오. 이렇게 하려면 다음과 같이 하십시오.
1. Windows 2000 CD의 SupportTools 폴더에서 Setup.exe를 실행하여 Netdiag.exe를 설치합니다.
2. 명령 프롬프트를 연 다음 작업 폴더를 C:Program FilesSupport Tools로 설정합니다.
3. 다음 명령을 실행하여 컴퓨터에 이미 할당된 기존 IPSec 정책이 없는지 확인합니다.
netdiag /test:ipsec
할당된 정책이 없으면 다음과 같은 메시지가 나타납니다.
IP Security test . . . . . . . . . : Passed IPSec policy service is active, but no policy is assigned.

 

정적 정책을 만들어 트래픽 차단

Windows Server 2003 기반 컴퓨터 및 Windows XP 기반 컴퓨터

로컬로 정의된 IPSec 정책을 사용하지 않는 시스템에서는 로컬 정적 정책을 새로 만들어 Windows Server 2003 기반 및 Windows XP 기반 컴퓨터의 특정 프로토콜과 특정 포트로 향하는 트래픽을 차단할 수 있습니다. 이렇게 하려면 다음과 같이 하십시오.
1. 서비스 MMC 스냅인에서 IPSec 정책 에이전트 서비스가 사용 가능하게 설정되어 있고 시작되었는지 확인합니다.
2. IPSeccmd.exe를 설치합니다. IPSeccmd.exe는 Windows XP 서비스 팩 2(SP2) 지원 도구에 포함되어 있습니다.

참고 IPSeccmd.exe는 Windows XP 및 Windows Server 2003 운영 체제에서 실행되지만 Windows XP SP2 지원 도구 패키지에서만 제공됩니다.

Windows XP 서비스 팩 2 지원 도구를 다운로드하고 설치하는 방법에 대한 자세한 내용은 Microsoft 기술 자료의 다음 문서를 참조하십시오.
838079 (http://support.microsoft.com/kb/838079/) Windows XP 서비스 팩 2 지원 도구
3. 명령 프롬프트를 연 다음 작업 폴더를 Windows XP 서비스 팩 2 지원 도구가 설치된 폴더로 설정합니다.

참고 Windows XP SP2 지원 도구의 기본 폴더는 C:Program FilesSupport Tools입니다.
4. 임의의 IP 주소에서 구성 중인 Windows Server 2003 기반 또는 Windows XP 기반 컴퓨터의 IP 주소로 향하는 네트워크 트래픽에 적용되는 로컬 IPSec 정책과 필터링 규칙을 새로 만들려면 다음 명령을 사용합니다.

참고 다음 명령에서 ProtocolPortNumber는 변수입니다.
IPSeccmd.exe -w REG -p "Block ProtocolPortNumber Filter" -r "Block Inbound ProtocolPortNumber Rule" -f *=0:PortNumber:Protocol -n BLOCK –x
예를 들어, 임의의 IP 주소와 원본 포트에서 Windows Server 2003 기반 또는 Windows XP 기반 컴퓨터의 대상 포트 UDP 1434로 향하는 네트워크 트래픽을 차단하려면 아래와 같이 입력합니다. 이 정책을 사용하면 "Slammer" 웜으로부터 Microsoft SQL Server 2000 실행 컴퓨터를 보호하는 데 충분히 도움이 됩니다.
IPSeccmd.exe -w REG -p "Block UDP 1434 Filter" -r "Block Inbound UDP 1434 Rule" -f *=0:1434:UDP -n BLOCK -x
다음 예제에서는 TCP 포트 80에 대한 인바운드 액세스는 차단하지만 아웃바운드 TCP 80 액세스는 여전히 허용합니다. 이 정책을 사용하면 "Code Red" 및 "Nimda" 웜으로부터 Microsoft 인터넷 정보 서비스(IIS) 5.0 실행 컴퓨터를 보호하는 데 충분히 도움이 됩니다.
IPSeccmd.exe -w REG -p "Block TCP 80 Filter" -r "Block Inbound TCP 80 Rule" -f *=0:80:TCP -n BLOCK -x
참고 -x 스위치는 정책을 즉시 할당합니다. 이 명령을 입력하면 "Block UDP 1434 Filter" 정책이 할당 해제되고 "Block TCP 80 Filter" 정책이 할당됩니다. 정책을 추가하되 할당하지는 않으려면 끝에 -x 스위치를 추가하지 말고 이 명령을 입력하십시오.
5. Windows Server 2003 기반 또는 Windows XP 기반 컴퓨터에서 임의의 IP 주소로 향하는 네트워크 트래픽을 차단하는 기존의 "Block UDP 1434 Filter" 정책에 다른 필터링 규칙을 추가하려면 다음 명령을 사용합니다.

참고 이 명령에서 ProtocolPortNumber는 변수입니다.
IPSeccmd.exe -w REG -p "Block ProtocolPortNumber Filter" -r "Block Outbound ProtocolPortNumber Rule" -f *0=:PortNumber:Protocol -n BLOCK
예를 들어, Windows Server 2003 기반 또는 Windows XP 기반 컴퓨터에서 다른 호스트의 UDP 1434로 향하는 네트워크 트래픽을 차단하려면 아래와 같이 입력합니다. 이 정책을 사용하면 "Slammer" 웜으로부터 SQL Server 2000 실행 컴퓨터를 보호하는 데 충분히 도움이 됩니다.
IPSeccmd.exe -w REG -p "Block UDP 1434 Filter" -r "Block Outbound UDP 1434 Rule" -f 0=*:1434:UDP -n BLOCK
참고 이 명령을 사용하면 원하는 만큼 많은 수의 필터링 규칙을 정책에 추가할 수 있습니다. 예를 들어, 같은 정책으로 여러 포트를 차단하려는 경우 이 명령을 사용할 수 있습니다.
6. 5단계의 정책이 이제 적용되어 컴퓨터를 다시 시작할 때마다 지속됩니다. 그러나 나중에 해당 컴퓨터에 도메인 기반 IPSec 정책을 할당하면 이 로컬 정책이 재정의되어 더 이상 적용되지 않습니다.

필터링 규칙이 성공적으로 할당되었는지 확인하려면 명령 프롬프트에서 작업 폴더를 C:Program FilesSupport Tools로 설정하고 다음 명령을 입력합니다.
netdiag /test:ipsec /debug
이러한 예제와 같이 인바운드 및 아웃바운드 트래픽 모두에 대한 정책을 할당하면 다음과 같은 메시지가 나타납니다.
IP Security test . . . . . . . . . :
Passed Local IPSec Policy Active: 'Block UDP 1434 Filter' IP Security Policy Path: SOFTWAREPoliciesMicrosoftWindowsIPSecPolicyLocalipsecPolicy{D239C599-F945-47A3-A4E3-B37BC12826B9}

There are 2 filters
No Name
Filter Id: {5EC1FD53-EA98-4C1B-A99F-6D2A0FF94592}
Policy Id: {509492EA-1214-4F50-BF43-9CAC2B538518}
Src Addr : 0.0.0.0 Src Mask : 0.0.0.0
Dest Addr : 192.168.1.1 Dest Mask : 255.255.255.255
Tunnel Addr : 0.0.0.0 Src Port : 0 Dest Port : 1434
Protocol : 17 TunnelFilter: No
Flags : Inbound Block
No Name
Filter Id: {9B4144A6-774F-4AE5-B23A-51331E67BAB2}
Policy Id: {2DEB01BD-9830-4067-B58A-AADFC8659BE5}
Src Addr : 192.168.1.1 Src Mask : 255.255.255.255
Dest Addr : 0.0.0.0 Dest Mask : 0.0.0.0
Tunnel Addr : 0.0.0.0 Src Port : 0 Dest Port : 1434
Protocol : 17 TunnelFilter: No
Flags : Outbound Block
참고 IP 주소와 GUID(그래픽 사용자 인터페이스) 번호는 Windows Server 2003 기반 또는 Windows XP 기반 컴퓨터에 따라 다릅니다.

Windows 2000 기반 컴퓨터

로컬로 정의된 IPSec 정책을 사용하지 않는 시스템의 경우에 로컬 정적 정책을 새로 만들어서 할당된 기존 IPSec 정책이 없는 Windows 2000 기반 컴퓨터에서 특정 프로토콜과 포트로 향하는 트래픽을 차단하려면 다음과 같이 하십시오.
1. 서비스 MMC 스냅인에서 IPSec 정책 에이전트 서비스가 사용 가능하게 설정되어 있고 시작되었는지 확인합니다.
2. 다음 Microsoft 웹 사이트를 방문하여 Ipsecpol.exe를 다운로드하고 설치합니다.
http://www.microsoft.com/downloads/details.aspx?displaylang=en&FamilyID=7D40460C-A069-412E-A015-A2AB904B7361 (http://www.microsoft.com/downloads/details.aspx?displaylang=en&FamilyID=7D40460C-A069-412E-A015-A2AB904B7361)(영문)
3. 명령 프롬프트를 열고 작업 폴더를 Ipsecpol.exe를 설치한 폴더로 설정합니다.

참고 Ipsecpol.exe의 기본 폴더는 C:Program FilesResource Kit입니다.
4. 임의의 IP 주소에서 구성 중인 Windows 2000 기반 컴퓨터의 IP 주소로 향하는 네트워크 트래픽에 적용되는 로컬 IPSec 정책과 필터링 규칙을 새로 만들려면 다음 명령을 사용합니다. 여기서 ProtocolPortNumber는 변수입니다.
ipsecpol -w REG -p "Block ProtocolPortNumber Filter" -r "Block Inbound ProtocolPortNumber Rule" -f *=0:PortNumber:Protocol -n BLOCK –x
예를 들어, 임의의 IP 주소와 원본 포트에서 Windows 2000 기반 컴퓨터의 대상 포트 UDP 1434로 향하는 네트워크 트래픽을 차단하려면 아래와 같이 입력합니다. 이 정책을 사용하면 "Slammer" 웜으로부터 Microsoft SQL Server 2000 실행 컴퓨터를 보호하는 데 충분히 도움이 됩니다.
ipsecpol -w REG -p "Block UDP 1434 Filter" -r "Block Inbound UDP 1434 Rule" -f *=0:1434:UDP -n BLOCK -x
다음 예제에서는 TCP 포트 80에 대한 인바운드 액세스는 차단하지만 아웃바운드 TCP 80 액세스는 여전히 허용합니다. 이 정책을 사용하면 "Code Red" 및 "Nimda" 웜으로부터 Microsoft 인터넷 정보 서비스(IIS) 5.0 실행 컴퓨터를 보호하는 데 충분히 도움이 됩니다.
ipsecpol -w REG -p "Block TCP 80 Filter" -r "Block Inbound TCP 80 Rule" -f *=0:80:TCP -n BLOCK -x
참고 -x 스위치는 정책을 즉시 할당합니다. 이 명령을 입력하면 "Block UDP 1434 Filter" 정책이 할당 해제되고 "Block TCP 80 Filter" 정책이 할당됩니다. 정책을 추가하되 할당하지는 않으려면 끝에 -x 스위치를 추가하지 말고 이 명령을 입력하십시오.
5. Windows 2000 기반 컴퓨터에서 임의의 IP 주소로 향하는 네트워크 트래픽을 차단하는 기존의 "Block UDP 1434 Filter" 정책에 다른 필터링 규칙을 추가하려면 아래의 명령을 사용합니다. 여기서 ProtocolPortNumber는 변수입니다.
ipsecpol -w REG -p "Block ProtocolPortNumber Filter" -r "Block Outbound ProtocolPortNumber Rule" -f *0=:PortNumber:Protocol -n BLOCK
예를 들어, Windows 2000 기반 컴퓨터에서 다른 호스트의 UDP 1434로 향하는 네트워크 트래픽을 차단하려면 아래와 같이 입력합니다. 이 정책을 사용하면 "Slammer" 웜으로부터 SQL Server 2000 실행 컴퓨터를 보호하는 데 충분히 도움이 됩니다.
ipsecpol -w REG -p "Block UDP 1434 Filter" -r "Block Outbound UDP 1434 Rule" -f 0=*:1434:UDP -n BLOCK
참고 이 명령을 사용하면 원하는 만큼 많은 수의 필터링 규칙을 정책에 추가할 수 있습니다. 예를 들어, 같은 정책으로 여러 포트를 차단하려는 경우 이 명령을 사용할 수 있습니다.
6. 5단계의 정책이 이제 적용되어 컴퓨터를 다시 시작할 때마다 지속됩니다. 그러나 나중에 해당 컴퓨터에 도메인 기반 IPSec 정책을 할당하면 이 로컬 정책이 재정의되어 더 이상 적용되지 않습니다. 필터링 규칙이 성공적으로 할당되었는지 확인하려면 명령 프롬프트에서 작업 폴더를 C:Program FilesSupport Tools로 설정하고 다음 명령을 입력합니다.
netdiag /test:ipsec /debug
이러한 예제와 같이 인바운드 및 아웃바운드 트래픽 모두에 대한 정책을 할당하면 다음과 같은 메시지가 나타납니다.
IP Security test . . . . . . . . . :
Passed Local IPSec Policy Active: 'Block UDP 1434 Filter' IP Security Policy Path: SOFTWAREPoliciesMicrosoftWindowsIPSecPolicyLocalipsecPolicy{D239C599-F945-47A3-A4E3-B37BC12826B9}

There are 2 filters
No Name
Filter Id: {5EC1FD53-EA98-4C1B-A99F-6D2A0FF94592}
Policy Id: {509492EA-1214-4F50-BF43-9CAC2B538518}
Src Addr : 0.0.0.0 Src Mask : 0.0.0.0
Dest Addr : 192.168.1.1 Dest Mask : 255.255.255.255
Tunnel Addr : 0.0.0.0 Src Port : 0 Dest Port : 1434
Protocol : 17 TunnelFilter: No
Flags : Inbound Block
No Name
Filter Id: {9B4144A6-774F-4AE5-B23A-51331E67BAB2}
Policy Id: {2DEB01BD-9830-4067-B58A-AADFC8659BE5}
Src Addr : 192.168.1.1 Src Mask : 255.255.255.255
Dest Addr : 0.0.0.0 Dest Mask : 0.0.0.0
Tunnel Addr : 0.0.0.0 Src Port : 0 Dest Port : 1434
Protocol : 17 TunnelFilter: No
Flags : Outbound Block
참고 IP 주소와 GUID(그래픽 사용자 인터페이스) 숫자는 다를 수 있습니다. 이들은 해당 Windows 2000 기반 컴퓨터의 IP 주소와 GUID를 나타냅니다.

 

특정 프로토콜 및 포트에 대한 차단 규칙 추가

Windows Server 2003 기반 컴퓨터 및 Windows XP 기반 컴퓨터

로컬로 할당된 기존의 정적 IPSec 정책이 있는 Windows Server 2003 기반 및 Windows XP 기반 컴퓨터의 특정 프로토콜과 포트에 대한 차단 규칙을 추가하려면 다음과 같이 하십시오.
1. IPSeccmd.exe를 설치합니다. IPSeccmd.exe는 Windows XP SP2 지원 도구에 포함되어 있습니다.

Windows XP 서비스 팩 2 지원 도구를 다운로드하고 설치하는 방법에 대한 자세한 내용은 Microsoft 기술 자료의 다음 문서를 참조하십시오.
838079 (http://support.microsoft.com/kb/838079/) Windows XP 서비스 팩 2 지원 도구
2. 현재 할당되어 있는 IPSec 정책의 이름을 확인합니다. 이렇게 하려면 명령 프롬프트에서 다음을 입력합니다.
netdiag /test:ipsec
정책이 할당되어 있으면 다음과 같은 메시지가 나타납니다.
IP Security test . . . . . . . . . : Passed
Local IPSec Policy Active: 'Block UDP 1434 Filter'
3. 컴퓨터(로컬 또는 도메인)에 이미 할당된 IPSec 정책이 있으면 다음 명령을 사용하여 기존 IPSec 정책에 다른 BLOCK 필터 규칙을 추가합니다.

참고 이 명령에서 Existing_IPSec_Policy_Name, ProtocolPortNumber는 변수입니다.
IPSeccmd.exe -p "Existing_IPSec_Policy_Name" -w REG -r "Block ProtocolPortNumber Rule" -f *=0:PortNumber:Protocol -n BLOCK
예를 들어, TCP 포트 80에 대한 인바운드 액세스를 차단하는 필터 규칙을 기존의 Block UDP 1434 Filter에 추가하려면 다음 명령을 입력합니다.
IPSeccmd.exe -p "Block UDP 1434 Filter" -w REG -r "Block Inbound TCP 80 Rule" -f *=0:80:TCP -n BLOCK

Windows 2000 기반 컴퓨터

로컬로 할당된 기존의 정적 IPSec 정책이 있는 Windows 2000 기반 컴퓨터의 특정 프로토콜과 포트에 대한 차단 규칙을 추가하려면 다음과 같이 하십시오.
1. 다음 Microsoft 웹 사이트를 방문하여 Ipsecpol.exe를 다운로드하고 설치합니다.
http://support.microsoft.com/kb/927229 (http://support.microsoft.com/kb/927229)(영문)
2. 현재 할당되어 있는 IPSec 정책의 이름을 확인합니다. 이렇게 하려면 명령 프롬프트에서 다음을 입력합니다.
netdiag /test:ipsec
정책이 할당되어 있으면 다음과 같은 메시지가 나타납니다.
IP Security test . . . . . . . . . : Passed
Local IPSec Policy Active: 'Block UDP 1434 Filter'
3. 컴퓨터(로컬 또는 도메인)에 이미 할당된 IPSec 정책이 있으면 다음 명령을 사용하여 기존 IPSec 정책에 다른 BLOCK 필터링 규칙을 추가합니다. 여기서 Existing_IPSec_Policy_Name, ProtocolPortNumber는 변수입니다.
ipsecpol -p "Existing_IPSec_Policy_Name" -w REG -r "Block ProtocolPortNumber Rule" -f *=0:PortNumber:Protocol -n BLOCK
예를 들어, TCP 포트 80에 대한 인바운드 액세스를 차단하는 필터 규칙을 기존의 Block UDP 1434 Filter에 추가하려면 다음 명령을 입력합니다.
ipsecpol -p "Block UDP 1434 Filter" -w REG -r "Block Inbound TCP 80 Rule" -f *=0:80:TCP -n BLOCK

 

특정 프로토콜 및 포트에 대한 동적 차단 정책 추가

Windows Server 2003 기반 컴퓨터 및 Windows XP 기반 컴퓨터

특정 포트에 대한 액세스를 일시적으로 차단할 수 있습니다. 예를 들어, 핫픽스를 설치할 수 있을 때까지 또는 도메인 기반 IPSec 정책이 이미 컴퓨터에 할당된 경우 특정 포트를 차단할 수 있습니다. IPSec 정책을 사용하여 Windows Server 2003 기반 또는 Windows XP 기반 컴퓨터의 포트에 대한 액세스를 임시로 차단하려면 다음과 같이 하십시오.
1. IPSeccmd.exe를 설치합니다. IPSeccmd.exe는 Windows XP 서비스 팩 2 지원 도구에 포함되어 있습니다.

참고 IPSeccmd.exe는 Windows XP 및 Windows Server 2003 운영 체제에서 실행되지만 Windows XP SP2 지원 도구 패키지에서만 제공됩니다.

Windows XP 서비스 팩 2 지원 도구를 다운로드하고 설치하는 방법에 대한 자세한 내용은 Microsoft 기술 자료의 다음 문서를 참조하십시오.
838079 (http://support.microsoft.com/kb/838079/) Windows XP 서비스 팩 2 지원 도구
2. 임의의 IP 주소에서 사용자 시스템의 IP 주소와 대상 포트로 향하는 패킷을 모두 차단하는 동적 BLOCK 필터를 추가하려면 명령 프롬프트에서 아래와 같이 입력합니다.

참고 다음 명령에서 ProtocolPortNumber는 변수입니다.
IPSeccmd.exe -f [*=0:PortNumber:Protocol]
참고 이 명령은 차단 필터를 동적으로 만듭니다. 정책은 IPSec 정책 에이전트가 실행되는 동안 계속 할당된 상태로 있습니다. IPSec 정책 에이전트 서비스를 다시 시작하거나 컴퓨터를 다시 시작하면 이 정책은 없어집니다. 시스템을 다시 시작할 때마다 IPSec 필터링 규칙을 동적으로 다시 할당하려면 시작 스크립트를 만들어 필터 규칙을 다시 적용하십시오. 이 필터를 영구적으로 적용하려면 필터를 정적 IPSec 정책으로 구성하십시오. IP 보안 정책 관리 MMC 스냅인에서는 그래픽 사용자 인터페이스를 사용하여 IPSec 정책 구성을 관리할 수 있습니다. 이미 도메인 기반 IPSec 정책을 적용한 경우에는 도메인 관리자 자격 증명을 가진 사용자가 netdiag /test:ipsec /debug 명령을 실행할 경우에만 필터 세부 정보가 표시될 수 있습니다.

Windows 2000 기반 컴퓨터

임시로(예를 들어, 핫픽스를 설치할 수 있을 때까지 또는 도메인 기반 IPSec 정책이 이미 컴퓨터에 할당된 경우에) 특정 포트를 차단할 경우도 있을 수 있습니다. IPSec 정책을 사용하여 Windows 2000 기반 컴퓨터의 포트에 대한 액세스를 임시로 차단하려면 다음과 같이 하십시오.
1. 다음 Microsoft 웹 사이트를 방문하여 Ipsecpol.exe를 다운로드하고 설치합니다.
http://support.microsoft.com/kb/927229 (http://support.microsoft.com/kb/927229)(영문)
2. 임의의 IP 주소에서 사용자 시스템의 IP 주소와 대상 포트로 향하는 패킷을 모두 차단하는 동적 BLOCK 필터를 추가하려면 명령 프롬프트에서 아래와 같이 입력합니다. 여기서 ProtocolPortNumber는 변수입니다.
ipsecpol -f [*=0:PortNumber:Protocol]
참고 이 명령은 동적으로 차단 필터를 만들고 해당 정책은 IPSec 정책 에이전트 서비스가 실행되는 동안 계속 할당된 상태로 있습니다. IPSec 서비스를 다시 시작하거나 컴퓨터를 다시 부팅하면 이 설정은 없어집니다. 시스템을 다시 시작할 때마다 IPSec 필터링 규칙을 동적으로 다시 할당하려면 시작 스크립트를 만들어 필터 규칙을 다시 적용하십시오. 이 필터를 영구적으로 적용하려면 필터를 정적 IPSec 정책으로 구성하십시오. IP 보안 정책 관리 MMC 스냅인에서는 그래픽 사용자 인터페이스를 사용하여 IPSec 정책 구성을 관리할 수 있습니다. 이미 도메인 기반 IPSec 정책을 적용한 경우에는 도메인 관리자 자격 증명을 가진 사용자가 netdiag /test:ipsec /debug 명령을 실행할 경우에만 명령이 필터 세부 정보를 표시할 수 있습니다. 로컬 관리자도 도메인 기반 IPSec 정책을 볼 수 있는 업데이트된 Netdiag.exe 버전은 Windows 2000 서비스 팩 4와 함께 제공될 예정입니다.

 

IPSec 필터링 규칙 및 그룹 정책

그룹 정책 설정을 통해 IPSec 정책이 할당되는 환경에서 특정 프로토콜과 포트를 차단하려면 전체 도메인의 정책을 업데이트해야 합니다. 그룹 정책 IPSec 설정을 성공적으로 구성한 후에도 도메인에 있는 모든 Windows Server 2003 기반, Windows XP 기반 및 Windows 2000 기반 컴퓨터에서 그룹 정책 설정을 새로 고쳐야 합니다. 이렇게 하려면 다음 명령을 사용하십시오.
secedit /refreshpolicy machine_policy
두 가지 다른 폴링 간격 중 하나에서 IPSec 정책 변경이 검색됩니다. 새로 할당한 IPSec 정책이 GPO에 적용되면 이 IPSec 정책이 해당 그룹 정책 폴링 간격에 설정된 시간 내에 또는 클라이언트 컴퓨터에서 secedit /refreshpolicy machine_policy 명령을 실행할 때 클라이언트에 적용됩니다. IPSec 정책이 GPO에 이미 할당된 상태에서 기존 정책에 새 IPSec 필터나 규칙을 추가할 경우에는 secedit 명령이 IPSec에서 변경 내용을 인식하도록 할 수 없습니다. 이 경우 기존 GPO 기반 IPSec 정책에 대한 수정 내용이 해당 IPSec 정책 자신의 폴링 간격 내에서 검색됩니다. 이 간격은 해당 IPSec 정책에 대해 일반 탭에서 지정됩니다. 또한 IPSec 정책 에이전트 서비스를 다시 시작해도 IPSec 정책 설정을 새로 고칠 수 있습니다. IPSec 서비스를 중지하거나 다시 시작하면 IPSec 보안 통신이 중단되고 다시 시작하는 데 몇 초 걸립니다. 이 때문에 프로그램 연결 특히 대량의 데이터를 활발하게 전송 중인 연결이 끊길 수 있습니다. 로컬 컴퓨터에서만 IPSec 정책을 적용한 경우에는 서비스를 다시 시작할 필요가 없습니다.

 

IPSec 정책 할당 해제 및 삭제

Windows Server 2003 기반 컴퓨터 및 Windows XP 기반 컴퓨터

로컬로 정의된 정적 정책이 있는 컴퓨터
1. 명령 프롬프트를 연 다음 작업 폴더를 Ipsecpol.exe를 설치한 폴더로 설정합니다.
2. 이전에 만든 필터를 할당 해제하려면 다음 명령을 사용합니다.
IPSeccmd.exe -w REG -p "Block ProtocolPortNumber Filter" –y
예를 들어, 이전에 만든 Block UDP 1434 Filter를 할당 해제하려면 다음 명령을 사용합니다.
IPSeccmd.exe -w REG -p "Block UDP 1434 Filter" -y
3. 이전에 만든 필터를 삭제하려면 다음 명령을 사용합니다.
IPSeccmd.exe -w REG -p "Block ProtocolPortNumber Filter" -r "Block ProtocolPortNumber Rule" –o
예를 들어, "Block UDP 1434 Filter" 필터와 이전에 만든 두 규칙을 모두 삭제하려면 다음 명령을 사용합니다.
IPSeccmd.exe -w REG -p "Block UDP 1434 Filter" -r "Block Inbound UDP 1434 Rule" -r "Block Outbound UDP 1434 Rule" -o
로컬로 정의된 동적 정책이 있는 컴퓨터
net stop policyagent 명령을 사용하여 IPSec 정책 에이전트 서비스를 중지하면 동적 IPSec 정책이 적용 해제됩니다. IPSec 정책 에이전트 서비스를 중지하지 않고 이전에 사용한 특정 명령을 삭제하려면 다음과 같이 하십시오.
1. 명령 프롬프트를 연 다음 작업 폴더를 Windows XP 서비스 팩 2 지원 도구가 설치된 폴더로 설정합니다.
2. 다음 명령을 입력합니다.
IPSeccmd.exe –u
참고 또한 IPSec 정책 에이전트 서비스를 다시 시작하여 동적으로 할당된 정책을 모두 지울 수도 있습니다.

Windows 2000 기반 컴퓨터

로컬로 정의된 정적 정책이 있는 컴퓨터
1. 명령 프롬프트를 연 다음 작업 폴더를 Ipsecpol.exe를 설치한 폴더로 설정합니다.
2. 이전에 만든 필터를 할당 해제하려면 다음 명령을 사용합니다.
ipsecpol -w REG -p "Block ProtocolPortNumber Filter" –y
예를 들어, 이전에 만든 Block UDP 1434 Filter를 할당 해제하려면 다음 명령을 사용합니다.
ipsecpol -w REG -p "Block UDP 1434 Filter" -y
3. 이전에 만든 필터를 삭제하려면 다음 명령을 사용합니다.
ipsecpol -w REG -p "Block ProtocolPortNumber Filter" -r "Block ProtocolPortNumber Rule" –o
예를 들어, "Block UDP 1434 Filter" 필터와 이전에 만든 두 규칙을 모두 삭제하려면 다음 명령을 사용합니다.
ipsecpol -w REG -p "Block UDP 1434 Filter" -r "Block Inbound UDP 1434 Rule" -r "Block Outbound UDP 1434 Rule" -o
로컬로 정의된 동적 정책이 있는 컴퓨터

net stop policyagent 명령을 사용하여 IPSec 정책 에이전트 서비스를 중지하면 동적 IPSec 정책이 적용 해제됩니다. 그러나 IPSec 정책 에이전트 서비스를 중지하지 않고 이전에 사용한 특정 명령을 삭제하려면 다음과 같이 하십시오.
1. 명령 프롬프트를 연 다음 작업 폴더를 Ipsecpol.exe를 설치한 폴더로 설정합니다.
2. 다음 명령을 입력합니다.
Ipsecpol –u
참고 또한 IPSec 정책 에이전트 서비스를 다시 시작하여 동적으로 할당된 정책을 모두 지울 수도 있습니다.

 

모든 프로토콜과 포트에 새 필터 규칙 적용

Microsoft Windows 2000과 Microsoft Windows XP에서는 기본적으로 IPSec이 브로드캐스트, 멀티캐스트, RSVP, IKE 및 Kerberos 트래픽을 모든 필터 및 인증 제한으로부터 면제합니다. 이러한 면제에 대한 자세한 내용은 Microsoft 기술 자료의 다음 문서를 참조하십시오.
253169 (http://support.microsoft.com/kb/253169/) IPSec에서 보안할 수 있는 트래픽과 보안할 수 없는 트래픽
IPSec이 트래픽을 허용하고 차단하는 데만 사용되는 경우에는 레지스트리 값을 변경하여 Kerberos 및 RSVP 프로토콜에 대한 면제를 제거하십시오. 이 작업을 수행하는 방법에 대한 자세한 지침을 보려면 Microsoft 기술 자료의 다음 문서를 참조하십시오.
254728 (http://support.microsoft.com/kb/254728/) IPSec이 도메인 컨트롤러 간의 Kerberos 트래픽을 보호하지 않는다
이 지침을 따르면 공격자가 자신의 원본 포트를 TCP/UDP 88의 Kerberos 포트로 설정한 경우에도 UDP 1434를 보호할 수 있습니다. Kerberos 면제를 제거하면 Kerberos 패킷이 IPSec 정책의 모든 필터에 대해 대조됩니다. 그 결과, Kerberos가 IPSec 내에서 보호되어 차단되거나 허용될 수 있습니다. 따라서 IPSec 필터가 도메인 컨트롤러 IP 주소로 향하는 Kerberos 트래픽과 일치할 경우에 기술 자료 문서 254728에 나와 있는 것처럼 도메인 컨트롤러 간의 모든 트래픽을 보호하도록 IPSec을 사용하고 있지 않으면 각 도메인 컨트롤러 IP 주소로 향하는 Kerberos 트래픽을 허용하기 위해 IPSec 정책 디자인을 변경하여 새로운 필터를 추가해야 합니다.

 

컴퓨터 다시 시작 후 바로 IPSec 필터 규칙 적용

모든 IPSec 정책을 할당하려면 IPSec 정책 에이전트 서비스가 있어야 합니다. Windows 2000 기반 컴퓨터가 시작할 때 서비스 중에서 IPSec 정책 에이전트 서비스를 가장 먼저 시작할 필요는 없습니다. 따라서 컴퓨터의 네트워크 연결이 바이러스 또는 웜 공격에 취약해지는 순간이 있을 수 있습니다. IPSec 정책 에이전트 서비스가 완전히 시작되어 모든 정책을 할당하기 전에 잠재적으로 취약한 서비스가 성공적으로 시작되어 연결을 받아 들일 경우에만 바이러스 또는 웜 공격에 취약할 수 있습니다.

http://support.microsoft.com/kb/813878/ko