IceWarp 이메일 서버 자세히보기

스팸블록 이메일 보안

IPSec 기반의 VPN (가상 사설망) 구축방법 : site-to-site VPN 구성

소프트메일 2007. 7. 31. 11:47
사이트와 사이트를 연결하기 위한 VPN을 구성하는 방법

하론 통합보안 어플라이언스는 VPN을 지원합니다.  VPN은 site-to-site 방식의 네트워크간의 보안터널인 IPSEC을 지원하며 아울러 내부 네트워크에 접속하기 위한 pptp 방식을 지원합니다.

하론 VPN은 IPSEC, PPTP, Radius 인증, IPSec 터널을 모두 지원하고 IPSec 키는 수동, 자동(IKE)를 지원합니다. IPSec 터널모드는 site-to-site와 모바일 클라이언트를 지원하고 암호화 방식은 3DES, AES, Blowfish, CAST128 등을 지원합니다. IPSec 인증방식은 SHA-1, MD5를 사용합니다. PPTP 인증의 경우 MS-CHAP Radius를 지원합니다.


하론 VPN에서 site-to-site VPN을 설정하기


이 방법은 site-to-site VPN이라고 말하며 주로 2개 이상의 사무실 사이에 보안 연결망을 구성하기 위하여 사용하는 방법입니다. 주로 본지사간에 보안터널을 구축하여 사내 망과 같이 보안망을 구성하기 위해 사용하며 일반적으로 vpn이라고 하면 site-to-site vpn을 말합니다. 하론 보안장비(하론 어플라이언스)는 수동 및 자동 VPN 터널 모두를 지원합니다.

보안터널을 추가하는 방법은 매뉴얼에 자세히 소개되어 있습니다. 환경설정과 세팅하는 방법은 연결하고자 하는 어플라이언스 장비들에 따라 설정방법이 달라집니다. 매뉴얼 7장에 보면 터널구성을 위한 설정방법에서 VPN/IPSec 편을 읽어 보시기 바랍니다.


네트워크 및 라우팅

제대로 작동하기 위해서 라우팅이 연결된 모든 네트워크는 서로 다른 네트워크를 가져야 합니다. 본사 사무실에서 네트워크를 10/8과 192.169.x/24로 모든 터널을 사용하고자 하면, 스태틱 라우팅을 사용하기 위해 터널 상에서 하나 이상의 네트워크로 라우팅하도록 하여야 합니다.


정책

수동 형식의 터털이라면 두개의 외부 호스트 사이에 ESP와 IPENCP를 허용하도록 하여야 합니다. 만약 자동형식을 사용한다면 TCP/UDP 포트 500번의 ISAKMP(IPSEC 키) 형식의 트래픽을 허용하여야 합니다. 자사의 터널 형식에 필요한 프로토콜을 포함한 자사만의 커스텀 서비스를 만들 수 있습니다.

어떤 제한없이 두개의 네트워크 사이의 트래픽을 허용하는 것은 종종 좋은 방법이 아닐 수 있습니다. 왜냐하면 바이러스나 웜이 네트워크 사이에 빠르게 전파될 수 있고 양쪽 사이의 종단에 취약점이 있는 모든 클라이언트와 vpn 자신에게도 악영향을 줄 수 있기 때문입니다.

따라서 가능한한 서버와 각 종단에서 접속하는 것을 허용하는 서버와 포트에 대해 접속할 수 있는 용량을 제한하도록 하는 것이 좋습니다. 본사와 작업을 하게 되는 집이나 외부 현장 등에서 함께 연결하여 사용한다면 본사에서 집으로 가는 모든  트래픽을 허용하지 않고 집에서 접속할 수 있는 필요한 서버로만 트래픽을 허용하도록 설정하여야 할 것입니다.

외부 네트워크에서 회사의 본 네트워크로 트래픽을 허용하기 위한 정책은 다음과 같은 패킷 흐름을 같습니다:
사용자 삽입 이미지


본사 네트워크에서 외부 네트워크로 가는 트래픽은 다음의 패킷흐름을 갖습니다:
사용자 삽입 이미지


따라서 etherX -> tunX로 모든 것을 허용하고 tunX -> etherX로 가능 트래픽을 허용하는 다른 종단의 트래픽을 제한하여야 합니다. 원래의 종단 상에서 제한을 하지 않았기 때문에 가능한한 나중에 제한 조건을 주는 것이 좋을 것입니다.  From 또는 To 주소로 'any'를 켤코 사용하지 마시길 바랍니다. 그 이유는 VPN 터널 상에서 ip주소가 결코 any가 될 수 없기 때문입니다. 터널의 가른 종단에 대한 ip 주소를 설정하기 때문입니다. tunX:rnet과 tunX:lnet이란 두 별명이 있는데 이들은 터널의 외부 네트워크(remote network)와 로컬 네트워크(local network)를 말합니다.

아래는 하론 방화벽/VPN에서 어떻게 간단하게 VPN 터널을 만드는지에 대한 정책을 보여줍니다. MyVPN은 ESP와 IPENCAP 모두를 연결하는 커스텀 서비스입니다.

사용자 삽입 이미지


하론 VPN 장비는 다른 업체의 VPN 장비들과 완벽하게 호환됩니다. 소닉월, 넥스지, 와치가드 등의 vpn 장비와 함께 사용할 수 있습니다. 하론 vpn 장비에 대한 소개는 하론 SX 방화벽 제품을 참조하시기 바랍니다.

하론 제품에 대한 보다 자세한 소개는 http://www.halonsecurity.co.kr 을 방문하시어 살펴보시기 바랍니다.