IPsec를 사용하여 VPN 보호

Oracle Solaris는 IPsec로 보호되는 VPN을 구성할 수 있습니다. 터널은 터널 모드 또는 전송 모드에서 만들 수 있습니다. 자세한 내용은 IPsec의 전송 및 터널 모드를 참조하십시오. 이 절의 예와 절차에서는 IPv4 주소를 사용하지만, 예와 절차는 IPv6 VPN에도 적용됩니다. 추가 정보는 IPsec를 사용하여 트래픽 보호를 참조하십시오.

터널 모드에서 터널에 대한 IPsec 정책의 예는 터널 모드를 사용하여 IPsec로 VPN을 보호하는 예를 참조하십시오.

터널 모드를 사용하여 IPsec로 VPN을 보호하는 예

그림 7-1 IPsec로 보호되는 터널

다음 예에서는 터널이 LAN의 모든 서브넷에 대해 구성되어 있다고 가정합니다.

## Tunnel configuration ##
# Tunnel name is tun0
# Intranet point for the source is 10.1.2.1
# Intranet point for the destination is 10.2.3.1
# Tunnel source is 192.168.1.10
# Tunnel destination is 192.168.2.10

# Tunnel name address object is tun0/to-central
# Tunnel name address object is tun0/to-overseas

예 7-2 모든 서브넷에서 사용할 수 있는 터널 만들기

이 예에서는 그림 7-1에 나온 Central LAN 로컬 LAN의 모든 트래픽이 Router 1을 거쳐 Router 2로 터널링된 다음 Overseas LAN의 모든 로컬 LAN에 전달될 수 있습니다. 이 트래픽은 AES로 암호화됩니다.

## IPsec policy ##
{tunnel tun0 negotiate tunnel} 
 ipsec {encr_algs aes encr_auth_algs sha512 sa shared}

예 7-3 두 서브넷만 연결하는 터널 만들기

이 예에서는 Central LAN의 서브넷 10.1.2.0/24와 Overseas LAN의 서브넷 10.2.3.0/24 사이의 트래픽만 터널링되고 암호화됩니다. Central에 대한 다른 IPsec 정책이 없을 때 Central LAN에서 이 터널을 통해 다른 LAN에 대한 트래픽을 경로 지정하려고 시도하면 트래픽이 Router 1에서 삭제됩니다.

## IPsec policy ##
{tunnel tun0 negotiate tunnel laddr 10.1.2.0/24 raddr 10.2.3.0/24} 
 ipsec {encr_algs aes encr_auth_algs sha512 shared}

VPN을 보호하기 위한 IPsec 작업에 대한 네트워크 토폴로지 설명

이 절에 나오는 절차에서는 다음 설정을 가정합니다. 네트워크 그림은 그림 7-2를 참조하십시오.

• 각 시스템은 IPv4 주소 공간을 사용합니다.

• 각 시스템에는 두 개의 인터페이스가 있습니다. net0 인터페이스는 인터넷에 연결됩니다. 이 예에서 인터넷 IP 주소는 192.168로 시작됩니다. net1 인터페이스는 회사의 LAN(인트라넷)에 연결됩니다. 이 예에서는 인트라넷 IP 주소가 숫자 10으로 시작됩니다.

• 각 시스템에는 SHA-2 알고리즘을 사용하는 ESP 인증이 필요합니다. 이 예에서 SHA-2 알고리즘에는 512비트 키가 필요합니다.

• 각 시스템에는 AES 알고리즘을 사용하는 ESP 암호화가 필요합니다. AES 알고리즘은 128비트 또는 256비트 키를 사용합니다.

• 각 시스템은 인터넷에 직접 액세스되는 라우터에 연결할 수 있습니다.

• 각 시스템은 공유 보안 연결을 사용합니다.

그림 7-2 인터넷으로 연결된 사무실 사이의 샘플 VPN

위의 그림에 나온 대로 절차에서는 다음 구성 매개변수를 사용합니다.

euro-vpn

calif-vpn

net1

net1

10.16.16.6

10.1.3.3

net1/inside

net1/inside

net0

net0

192.168.116.16

192.168.13.213

router-E

router-C

192.168.116.4

192.168.13.5

tun0

tun0

tun0/v4tunaddr

tun0/v4tunaddr

터널 이름에 대한 자세한 내용은 Oracle Solaris 11.1 네트워크 구성 및 관리의 dladm 명령을 통한 터널 구성 및 관리를 참조하십시오. 주소 객체에 대한 자세한 내용은 Oracle Solaris 11.1에서 고정된 네트워크 구성을 사용하여 시스템 연결의 IP 인터페이스를 구성하는 방법 및 ipadm(1M) 매뉴얼 페이지를 참조하십시오.

터널 모드에서 IPsec를 사용하여 VPN을 보호하는 방법

터널 모드에서 내부 IP 패킷은 해당 컨텐츠를 보호하는 IPsec 정책을 결정합니다.

이 절차는 절차 IPsec를 사용하여 두 시스템 사이의 트래픽을 보호하는 방법을 확장합니다. 설정은 VPN을 보호하기 위한 IPsec 작업에 대한 네트워크 토폴로지 설명에 설명되어 있습니다.

특정 명령을 실행하는 이유에 대한 자세한 설명은 IPsec를 사용하여 두 시스템 사이의 트래픽을 보호하는 방법에서 해당하는 단계를 참조하십시오.

두 시스템 연결과 함께 이러한 두 시스템에 연결되는 두 인트라넷을 연결하게 됩니다. 이 절차에서 시스템은 게이트웨이로 작동합니다.

시작하기 전에

시스템 또는 공유 IP 영역에 대한 IPsec 정책을 구성하려면 전역 영역에 있어야 합니다. 배타적 IP 영역의 경우 비전역 영역에서 IPsec 정책을 구성합니다.

구성 명령을 실행하려면 Network Management 및 Network IPsec Management 권한 프로파일에 지정된 관리자여야 합니다. 시스템 파일을 편집하려면 root 역할이 있어야 합니다. 자세한 내용은 Oracle Solaris 11.1 관리: 보안 서비스의 지정된 관리 권한을 사용하는 방법을 참조하십시오.

원격으로 로그인할 경우 안전한 원격 로그인을 위해 ssh 명령을 사용합니다. 예는 예 7-1을 참조하십시오.

1. IPsec를 구성하기 전에 패킷의 플로우를 제어합니다.
   1. IP 전달 및 IP 동적 경로 지정을 사용 안함으로 설정합니다.

      # routeadm -d ipv4-routing
      # ipadm set-prop -p forwarding=off ipv4
      # routeadm -u

      IP 전달을 해제하면 패킷이 이 시스템을 통해 한 네트워크에서 다른 네트워크로 전달되지 않습니다. routeadm 명령에 대한 설명은 routeadm(1M) 매뉴얼 페이지를 참조하십시오.

   2. IP 엄격한 다중 홈 지정을 설정합니다.

      # ipadm set-prop -p hostmodel=strong ipv4

      IP 엄격한 다중 홈 지정을 설정하면 시스템의 대상 주소 중 하나에 대한 패킷이 올바른 대상 주소에 도달해야 합니다.

      hostmodel 매개변수가 strong으로 설정되면 특정 인터페이스에 도달하는 패킷이 해당 인터페이스의 로컬 IP 주소 중 하나로 지정되어야 합니다. 기타 모든 패킷은 시스템의 다른 로컬 주소로 지정된 패킷이라도 삭제됩니다.

   3. 대부분의 네트워크 서비스가 사용 안함으로 설정되었는지 확인합니다.

      루프백 마운트 및 ssh 서비스가 실행 중인지 확인합니다.

      # svcs | grep network
      online         Aug_02   svc:/network/loopback:default
      …
      online         Aug_09   svc:/network/ssh:default

2. IPsec 정책을 추가합니다.

   /etc/inet/ipsecinit.conf 파일을 편집하여 VPN에 대한 IPsec 정책을 추가합니다. 추가 예는 터널 모드를 사용하여 IPsec로 VPN을 보호하는 예를 참조하십시오.

   이 정책에서 로컬 LAN의 시스템과 게이트웨이의 내부 IP 주소 사이에는 IPsec 보호가 필요하지 않으므로 bypass 명령문이 추가됩니다.

   1. euro-vpn 시스템에서 다음 항목을 ipsecinit.conf 파일에 입력합니다.

      # LAN traffic to and from this host can bypass IPsec.
      {laddr 10.16.16.6 dir both} bypass {}
      
      # WAN traffic uses ESP with AES and SHA-2.
      {tunnel tun0 negotiate tunnel} 
       ipsec {encr_algs aes encr_auth_algs sha512 sa shared}

   2. calif-vpn 시스템에서 다음 항목을 ipsecinit.conf 파일에 입력합니다.

      # LAN traffic to and from this host can bypass IPsec.
      {laddr 10.1.3.3 dir both} bypass {}
      
      # WAN traffic uses ESP with AES and SHA-2.
      {tunnel tun0 negotiate tunnel} 
       ipsec {encr_algs aes encr_auth_algs sha512 sa shared}

3. 각 시스템에서 IKE를 구성하여 두 시스템 사이에 IPsec SA 쌍을 추가합니다.

   IKE 구성(작업 맵)의 구성 절차 중 하나에 따라 IKE를 구성합니다. IKE 구성 파일의 구문은 ike.config(4) 매뉴얼 페이지를 참조하십시오.

   ---

   주 - 키를 수동으로 생성하고 유지 관리해야 하는 경우 IPsec 키를 수동으로 만드는 방법을 참조하십시오.

   ---

4. IPsec 정책 파일의 구문을 확인합니다.

   # ipsecconf -f -c /etc/inet/ipsecinit.conf

   오류를 수정하고 파일의 구문을 확인한 다음 계속합니다.

5. IPsec 정책을 새로 고칩니다.

   # svcadm refresh svc:/network/ipsec/policy:default

   IPsec 정책은 기본적으로 사용으로 설정되므로 새로 고칩니다. IPsec 정책을 사용 안함으로 설정한 경우 사용으로 설정합니다.

   # svcadm enable svc:/network/ipsec/policy:default

6. tunnel-name 터널을 만들고 구성합니다.

   다음 명령은 내부 및 외부 인터페이스를 구성하고, tun0 터널을 만들며, IP 주소를 터널에 지정합니다.

   1. calif-vpn 시스템에서 터널을 만들고 구성합니다.

      net1 인터페이스가 존재하지 않을 경우 첫번째 명령이 만듭니다.

      # ipadm create-addr -T static -a local=10.1.3.3 net1/inside
      # dladm create-iptun -T ipv4 -a local=10.1.3.3,remote=10.16.16.6 tun0
      # ipadm create-addr -T static \
      -a local=192.168.13.213,remote=192.168.116.16 tun0/v4tunaddr

   2. euro-vpn 시스템에서 터널을 만들고 구성합니다.

      # ipadm create-addr -T static -a local=10.16.16.6 net1/inside
      # dladm create-iptun -T ipv4 -a local=10.16.16.6,remote=10.1.3.3 tun0
      # ipadm create-addr -T static \
      -a local=192.168.116.16,remote=192.168.13.213 tun0/v4tunaddr

      ---

      주 - ipadm 명령에 대한 -T 옵션은 만들 주소의 유형을 지정합니다. dladm 명령에 대한 -T 옵션은 터널을 지정합니다.

      ---

      이러한 명령에 대한 자세한 내용은 dladm(1M) 및 ipadm(1M) 매뉴얼 페이지와 Oracle Solaris 11.1에서 고정된 네트워크 구성을 사용하여 시스템 연결의 IP 인터페이스를 구성하는 방법을 참조하십시오. 사용자 정의된 이름에 대한 자세한 내용은 Oracle Solaris 관리: 네트워크 인터페이스 및 네트워크 가상화의 네트워크 장치 및 데이터 링크 이름을 참조하십시오.

7. 각 시스템에서 다음을 구성합니다.

   # ipadm set-ifprop -m ipv4 -p forwarding=on net1
   # ipadm set-ifprop -m ipv4 -p forwarding=off net0

   IP 전달은 다른 곳에서 도달한 패킷을 전달할 수 있음을 의미합니다. 또한 IP 전달은 이 인터페이스에서 떠난 패킷이 다른 곳에서 왔을 수 있음을 의미합니다. 패킷을 성공적으로 전달하려면 수신 인터페이스와 전송 인터페이스에 모두 IP 전달이 설정되어 있어야 합니다.

   net1 인터페이스는 인트라넷 내부에 있으므로 net1에 대해 IP 전달이 설정되어 있어야 합니다. tun0은 인터넷을 통해 두 시스템을 연결하므로 tun0에 대해 IP 전달이 설정되어 있어야 합니다. net0 인터페이스의 경우 외부 공격자가 보호된 인트라넷에 패킷을 주입하지 못하도록 IP 전달이 해제되어 있습니다. 외부는 인터넷을 의미합니다.

8. 각 시스템에서 개인 인터페이스의 알림을 막습니다.

   # ipadm set-addrprop -p private=on net0

   net0에 IP 전달이 해제되어 있더라도 경로 지정 프로토콜 구현은 여전히 인터페이스를 알릴 수 있습니다. 예를 들어, in.routed 프로토콜은 net0이 인트라넷 내부의 피어에 패킷을 전달할 수 있음을 알릴 수 있습니다. 인터페이스의 개인 플래그를 설정하여 알림을 막을 수 있습니다.

9. 네트워크 서비스를 다시 시작합니다.

   # svcadm restart svc:/network/initial:default

10. net0 인터페이스를 통한 기본 경로를 수동으로 추가합니다.

    기본 경로는 인터넷에 직접 액세스되는 라우터에 있어야 합니다.

    1. calif-vpn 시스템에서 다음 경로를 추가합니다.

       # route -p add net default 192.168.13.5

    2. euro-vpn 시스템에서 다음 경로를 추가합니다.

       # route -p add net default  192.168.116.4

       net0 인터페이스는 인트라넷의 일부가 아니지만 net0은 인터넷을 거쳐 피어 시스템에 도달할 필요가 없습니다. 피어를 찾으려면 net0은 인터넷 경로 지정에 대한 정보가 필요합니다. VPN 시스템은 나머지 인터넷에 라우터가 아닌 호스트로 나타납니다. 따라서 기본 라우터를 사용하거나 라우터 검색 프로토콜을 실행하여 피어 시스템을 찾을 수 있습니다. 자세한 내용은 route(1M) 및 in.routed(1M) 매뉴얼 페이지를 참조하십시오.