4.6.2. Libreswan을 사용하여 VPN 구성 생성
Libreswan 은 IKE/IPsec이 피어 프로토콜로 피어링되기 때문에 “소스” 및 “대상” 또는 “서버” 및 “클라이언트” 라는 용어를 사용하지 않습니다. 대신 “왼쪽” 및 “오른쪽” 용어를 사용하여 엔드 포인트(호스트)를 참조합니다. 이렇게 하면 대부분의 경우 두 끝점에서 동일한 구성을 사용할 수 있지만 많은 관리자가 항상 로컬 호스트에 “left” 를 사용하고 원격 호스트에 대해 “오른쪽” 을 사용합니다.
일반적으로 끝점 인증에 사용되는 네 가지 방법이 있습니다.
- 공유 키 (PSK)는 가장 간단한 인증 방법입니다. PSK는 임의의 문자로 구성되어야 하며 길이가 20자 이상이어야 합니다. FIPS 모드에서 PSK는 사용된 무결성 알고리즘에 따라 최소 강도 요구 사항을 준수해야 합니다. 64 랜덤 문자보다 짧은 PSK를 사용하지 않는 것이 좋습니다.
- 원시 RSA 키는 일반적으로 정적 호스트-호스트 또는 서브넷-to-subnet
IPsec구성에 사용됩니다. 호스트는 서로의 공개 RSA 키로 수동으로 구성됩니다. 이 방법은 수십 개 이상의 호스트가 모두IPsec터널을 서로 설정해야 하는 경우 잘 확장되지 않습니다. - X.509 인증서는 일반적으로 일반적인
IPsec게이트웨이에 연결해야 하는 여러 호스트가 있는 대규모 배포에 사용됩니다. 중앙 인증 기관 (CA)은 호스트 또는 사용자를 위해 RSA 인증서에 서명하는 데 사용됩니다. 이 중앙 CA는 개별 호스트 또는 사용자의 취소를 포함하여 신뢰를 중계해야 합니다. - NULL 인증은 인증 없이 메시 암호화를 얻는 데 사용됩니다. 이는 수동 공격으로부터 보호하지만 적극적인 공격으로부터 보호하지는 않습니다. 그러나
IKEv2에서는 symmetric 인증 방법을 허용하므로 클라이언트가 서버를 인증하지만 서버는 클라이언트를 인증하지 않는 인터넷 스케일 Opportunistic IPsec에도 NULL 인증을 사용할 수 있습니다. 이 모델은TLS(https:// 웹 사이트라고도 함)를 사용하는 보안 웹 사이트와 유사합니다.
이러한 인증 방법 외에도 양자 컴퓨터에 의해 가능한 공격으로부터 보호하기 위해 추가 인증을 추가할 수 있습니다. 이러한 추가 인증 방법을 Postquantum Preshared Keys (PPK )라고 합니다. 개별 클라이언트 또는 클라이언트 그룹은 대역 외 구성된 PreShared 키에 해당하는 PPK(PPKID )를 지정하여 자체 PPK를 사용할 수 있습니다. 4.6.9절. “Quantum Computers에 대한 보호 사용”을 참조하십시오.
