Windows AD 도메인에서 IPSec를 언제 사용해야 합니까?

2001년에 제가 이 의견을 처음 접했을 때 IT 전체가 Active Directory를 사용하여 정확히 무엇을 할 수 있는지에 대해 아직 파악하고 있는 시기는 Active Directory 개발 초기였습니다. Windows NT에는 일부 IPSec 제어 기능이 있었지만 Windows 2000과 Active Directory에는 더 많은 기능이 포함되었습니다. 생각은 다음과 같았습니다.

Active Directory 및 그룹 정책을 사용하면 IPSec를 훨씬 더 쉽게 구성할 수 있습니다. 이는 유선상의 완전한 암호화를 의미하며 네트워크를 스니핑으로부터 보호합니다! 매우 안전합니다.

이는 '심층방어'의 매우 견고한 단계로 간주되었습니다. 실제로 네트워크를 완전히 IPSec로 만들 수 있었던 소수의 사람들은 AD가 이론적으로 네트워크를 더 쉽게 만들었음에도 불구하고 그렇게 만들기 위해 여전히 많은 작업을 수행해야 했습니다. 솔직히 지난 5년 동안 순수한 IPSec AD 네트워크에 대해 들어본 적이 없습니다.

좋은 생각인가요? 아마. 필수인가요? 이는 보안 상태에 따라 다릅니다. 네트워크의 물리적 네트워크 계층을 신뢰할 수 없다면 IPSec를 사용하는 것이 좋습니다. Zoredache가 지적한 것처럼요. "신뢰할 수 없음"은 물리적 계층을 신뢰할 수 없다는 명시적인 정책, 누구나 스니핑을 허용하는 실제 개방 포트, 공용 네트워크를 활용해야 한다는 이유로 인해 발생할 수 있습니다.

IPSec는 아마도 무선 네트워크에 있어 매우 좋은 아이디어일 것입니다. 그러나 실제로 그렇게 하는 경우는 많이 들어본 적이 없습니다.

AD에 IPSec이 "필수"인 경우는 언제입니까?

이 요구 사항의 주된 이유는 물리적 네트워크를 신뢰할 수 없기 때문일 것으로 생각됩니다. 아마도 다른 사람과 네트워크를 공유하고 있기 때문일 것입니다. 아마도 스위치가 귀하의 통제 범위를 벗어났을 수도 있습니다.

나는 IPSec을 고려하지 않을 것입니다필수의특별한 보안 요구 사항이 없는 AD 기능이지만, 지금 새로운 AD 환경을 구현한다면 심각하게 고려할 것입니다.

Microsoft는 완전한 모바일 클라이언트 컴퓨팅이라는 개념을 수용하고 있으며 PKI와 IPSec는 이러한 전략의 큰 부분을 차지합니다. 이제 기본 모드에서 SCCM을 통해 방화벽 외부에서 컴퓨터가 관리되는 DirectAccess를 통해 원격 작업자를 회사 네트워크에 지속적으로 연결하는 원격 작업자를 매우 쉽게 확보할 수 있습니다. 꽤 굉장한 것들.

또 다른 사용 사례는 애플리케이션 계층, DMZ 또는 기타 정치적 부서 간의 통신을 제한하는 방화벽이 많은 네트워크가 있는 경우입니다. 이러한 작은 네트워크에 AD 서버를 설치하는 것은 비용이 많이 들고, IPSec를 사용하면 이러한 방화벽을 안전하게 통과하는 것이 훨씬 쉬워지고 인증서를 발급한 장치만 IPSec를 사용하여 통신할 수 있습니다.