8. #NAT#IPSEC

#1 Nat

# network Address Translation

- 네트워크 주소 변환 서비스

 

- 사설 IP -> 공인 IP

  공인 IP -> 사설 IP

 

- 공인 IP하나를 가지고 내부망의 사설 IP가 인터넷이 되도록 설정

- 공인 IP 와 사설 IP는 실질적으로 통신이 안됨

 

# SMAT

- Source NAT

- 공인 IP 하나를 가지고 사설 IP가 인터넷이 되도록

 

# DNT

- 대상 NAT 또는 목적지 NAT

- 내부망에 서비스들을 설치 하고 사용하는 형태

 

# Prot Fowarding

- 공인 IP의 포트를 사설 IP 포트로 변환

- 10.10.10.10 : 3389 -> 192.168.1.10:3389

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

# 이 주소풀 항목 선택

 

# 이 주소풀 항목 선택

 

# 이 주소풀 항목 선택

 

# 이 주소풀 항목 선택

 

 

 

 

 

 

 

 

 

 

 # DNS 주소로 연결

 

 

 

 

 

 

 

#2 IPSEC

# 필터 동작

 

- 보안 옵션

- 무조건 암호화 된 통신

- 응답만

 

- 암호화된 통신

- 여창ㅇ[ 데힌 응답

 

# 필터 목록 : 통신을 할 구간을 정해줌

- P to P

- AD구간, 원격 익스트라넷, 논리네트워크

 

# 인증 방식

- 암호화 인증 방식

- PSK

- predifne Sared Key : 미리 공유 된 키

- 가장 취약한 암호화 인증 방식

- Kerberos v5 : 도메인에서만 가능 # 비도메인 구성원과는 통신 불가

 

# IPSEC 인증

- 가장 강력한 형태의 암호화 제공

 

# IKE

- Internet key Exchange

- 키 교환

 

# 암호화 알고리즘

- 3DES : Tiple DES

 

# 전자 서명

- SHA1

 

# IPSEC 설정 방법

1. 그룹정책

2. mmc -> IPSEC정책 # 주로 사용 함

3. 고급 보안이 설정된 방화벽

# 2번 3번 은 혼용 해서 사용 이 불가

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

# 독리 실행형 인증서 설치

DC1 인증기관

아래 사진 설정 위치가 잘못 되었습니다 인증 기관은 DC에다가 설치 해주시기바랍니다

 

 

 

 

 

 

 

# https://192.168.1.10/certsrv 로 들어감 svr2도 들어가서 인증서 다운로드 선택하여 설치 함

# 신뢰 할수 있는 루트 인증기관에 설치  해준다

 

 

# 인증서 설치를 svr1 svr2 모두 해주면된다

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

NYC-DC1 AD 설치완료
NYC-SVR1 설치완료
NYC-SVR2 설치완료 부팅

1. NYC-DC1 독립실행형 인증기관 설치
자체서명된 인증서를 이용해서 보안웹구성

2. NYC-SVR1/NYC-SVR2
AD 인증기관의 인증서를 신뢰할 수 있는 루트 인증기관에 설치

NYC-SVR1
https://192.168.1.10/certsrv

2.2 CA인증서, 인증서 체인 또는 CRL 다운로드 클릭 ->CA 인증서 다운로드 클릭 ->열기 -> 인증서 설치 클릭 -> 다음 -> 모든 인증서를 다음 저장소에 저장 체크 -> 찾아보기 클릭 -> 실제 저장소 표시 체크 : 신뢰할 수있는 루트 인증기관 : 로컬 컴퓨터 선택 ->다음 -> 마침

웹브라우저 ->도구 -> 옵션-> 인터넷 옵션 -> 내용 -> 인증서-> 신뢰할 수있는 루트 인증기관

2.3 - IPSEC용 인증서 발급
NYC-SVR1
https://192.168.1.10/certsrv
-> 인증서 요청 -> 고급 인증서 요청 -> 이 CA에 요청을 만들어 제출합니다. 클릭 -> 정보 입력 : 인증서종류 : IPSec 인증서 : 키를 내보낼 수 있게 표시 체크 -> 이름 : ipsec인증서 -> 제출

nyc-dc1
관리도구 -> Certification Authority -> 보류중인 요청 클릭 ->대기 중인 인증서 우클릭 -> 모든작업 -> 발급

NYC-SVR1
https://192.168.1.10/certsrv-> 보류중인 인증서 요청 상태 확인 클릭 ->IPSec인증서 클릭 -> 이 인증서 설치 -> 설치

nyc-svr2에서 위와 동일한 작업 실행

3. IPSEC인증서를 이용해서 보안통신
NYC-SVR1
1.
실행 -> MMC -> 파일 스냅인추가/제거 ->IP보안정책관리/IP보안모니터/인증서 사용자/컴퓨터 인증서 스냅인

3.1 인증서- 현재 사용자 -> 개인용 :인증서 : IPSEC인증서 우클릭 ->
모든작업 ->내보내기 -> 예 개인키를 내보냅니다. 체크 ->다음 -> 암호 : 1 -> 파일이름 : ipsec -> 저장 -> 다음 ->마침

인증서(로컬컴퓨터) 확장 ->개인용 우클릭 -> 모든 작업 : 가져오기 ->파일이름 : ipsec.pfx ->암호 :1 ->다음 -> 마침

NYC-SVR2에서도 위와 동일하게 처리

3.2 nyc-svr1 IP 보안정책
IP 보안 정책 우클릭 ->IP 보안 정책 만들기 -> 다음 ->이름 : 기본 -> 다음 -> 마침 : 추가마법사 체크 해제 -> 추가 -> IP필터목록 추가 ->추가마법사 체크 해제 ->추가 클릭 -> 원본주소 : 내 IP 주소 대상주소 : 특정 IP 주소 또는 서브네트 : 192.168.1.30 -> 확인 -> 확인 : 새 IP 필터목록 체크 -> 필터동작 : 추가 ->이름 : 보안 필요 -> 보안 협상 -> 보안 되지 않은 통신 허용 안함 체크 -> 다음 ->다음 -> 마침 : 보안필요 체크 -> 인증 방법 : 편집 클릭 -> 다음 인증 기관(CA)의 인증서 사용 체크 : 찾아보기 ->itbank-NYC-DC1-CA 선택 확인 -> 닫기 확인 ->새 IP 보안 정책 우클릭 -> 할당

nyc-svr2에서 위와 같은 방식으로 처리
원본주소 : 내 IP 주소 대상주소 : 특정 IP 주소 또는 서브네트 : 192.168.1.20

 

3.3 IP보안 모니터 확인