5장. IPsec VPN 설정
VPN(가상 사설 네트워크)은 인터넷을 통해 로컬 네트워크에 연결하는 방법입니다. Libreswan
에서 제공하는 IPsec
은 VPN을 생성하는 기본 방법입니다. Libreswan
은 VPN을 위한 사용자 공간 IPsec
구현입니다. VPN은 인터넷과 같은 중간 네트워크에서 터널을 설정하여 LAN과 다른 LAN 간의 통신을 활성화합니다. 보안상의 이유로 VPN 터널은 항상 인증 및 암호화를 사용합니다. 암호화 작업의 경우 Libreswan
은 NSS
라이브러리를 사용합니다.
5.1. IPsec VPN 구현인 Libreswan
RHEL에서는 Libreswan 애플리케이션에서 지원하는 IPsec 프로토콜을 사용하여 VPN(Virtual Private Network)을 구성할 수 있습니다. Libreswan은 Openswan 애플리케이션의 연속이며, Openswan 설명서의 많은 예제는 Libreswan과 상호 운용할 수 있습니다.
VPN용 IPsec 프로토콜은 인터넷 키 교환(IKE) 프로토콜을 사용하여 구성됩니다. IPsec과 IKE라는 용어는 서로 바꿔 사용할 수 있습니다. IPsec VPN은 IKE VPN, IKEv2 VPN, XAUTH VPN, Cisco VPN 또는 IKE/IPsec VPN이라고도 합니다. L2TP( Layer 2 tunneling Protocol)도 사용하는 IPsec VPN의 변형은 일반적으로 선택적
리포지토리에서 제공하는 xl2tpd
패키지가 필요한 L2TP/IPsec VPN이라고 합니다.
Libreswan은 오픈 소스 사용자 공간 IKE 구현입니다. IKE v1 및 v2는 사용자 수준 데몬으로 구현됩니다. IKE 프로토콜도 암호화됩니다. IPsec 프로토콜은 Linux 커널에 의해 구현되며 Libreswan은 VPN 터널 구성을 추가하고 제거하도록 커널을 구성합니다.
IKE 프로토콜은 UDP 포트 500 및 4500을 사용합니다. IPsec 프로토콜은 두 가지 프로토콜로 구성됩니다.
- 프로토콜 번호 50이 있는 ESP(Security Payload)가 캡슐화되었습니다.
- 프로토콜 번호 51이 있는 인증된 헤더 (AH)
AH 프로토콜은 사용하지 않는 것이 좋습니다. AH 사용자는 null 암호화를 사용하여 ESP로 마이그레이션하는 것이 좋습니다.
IPsec 프로토콜은 다음과 같은 두 가지 작동 모드를 제공합니다.
- 터널 모드(기본값)
- 전송 모드.
IKE 없이 IPsec을 사용하여 커널을 구성할 수 있습니다. 이를 수동 키링 이라고 합니다. ip xfrm
명령을 사용하여 수동 인증도 구성할 수 있지만 보안상의 이유로 이 방법은 권장되지 않습니다. Libreswan은 Netlink 인터페이스를 사용하여 Linux 커널과 통신합니다. 커널은 패킷 암호화 및 암호 해독을 수행합니다.
Libreswan은 NSS(Network Security Services) 암호화 라이브러리를 사용합니다. NSS는FIPS( Federal Information Processing Standard ) 발행 140-2와 함께 사용하도록 인증되었습니다.
Libreswan 및 Linux 커널에서 구현하는 IKE/IPsec VPN은 RHEL에서 사용하는 데 권장되는 유일한 VPN 기술입니다. 이로 인한 위험을 이해하지 못한 채 다른 VPN 기술을 사용하지 마십시오.
RHEL에서 Libreswan은 기본적으로 시스템 전체 암호화 정책을 따릅니다. 이렇게 하면 Libreswan이 IKEv2를 기본 프로토콜로 포함한 현재 위협 모델에 대해 보안 설정을 사용하도록 합니다. 자세한 내용은 시스템 전체 암호화 정책 사용을 참조하십시오.
Libreswan은 IKE/IPsec이 피어 프로토콜의 피어이기 때문에 "source" 및 "server" 및 "client"라는 용어를 사용하지 않습니다. 대신 "왼쪽"과 "오른쪽"이라는 용어를 사용하여 엔드 포인트(호스트)를 나타냅니다. 또한 대부분의 경우 두 엔드포인트 모두에서 동일한 구성을 사용할 수 있습니다. 그러나 일반적으로 관리자는 항상 로컬 호스트에 "왼쪽"을 사용하고 원격 호스트에 "오른쪽"을 사용하도록 선택합니다.
leftid
및 rightid
옵션은 인증 프로세스에서 해당 호스트를 식별하는 역할을 합니다. 자세한 내용은 ipsec.conf(5)
도움말 페이지를 참조하십시오.