IPSec VPN 개요

IPsec VPN은 사이트 간 및 원격 액세스 연결에 일반적으로 사용되는 공용 네트워크를 통해 프라이빗 터널을 생성하기 위해 데이터를 암호화하고 인증하는 보안 네트워킹 프로토콜 제품군입니다. Juniper Security Director Cloud 및 SRX 시리즈 방화벽을 사용하여 원격 네트워크를 안전하게 연결하는 방법을 이해하려면 다음 주제를 읽어보십시오.

IPsec VPN은 인터넷과 같은 공용 WAN을 통해 원격 컴퓨터와 안전하게 통신할 수 있는 수단을 제공합니다. VPN 연결은 사이트 간 VPN 또는 원격 다이얼 접속 사용자와 LAN을 사용하여 두 LAN을 연결할 수 있습니다. 이 두 포인트 사이의 트래픽은 공용 WAN을 구성하는 라우터, 스위치 및 기타 다른 네트워크 장비와 같은 공유 리소스를 통과합니다. WAN을 통과하는 VPN 통신을 보호하려면 IPsec 터널을 만들어야 합니다.

Juniper Security Director Cloud는 IPsec VPN의 관리 및 구축을 간소화합니다. 일반적으로 VPN 구성은 다수의 SRX 시리즈 방화벽에 구축할 때 지루하고 반복적입니다. Juniper Security Director Cloud를 사용하면 VPN 프로필을 사용하여 공통 설정을 그룹화하고 여러 SRX 시리즈 방화벽의 여러 VPN 터널 구성에 프로필을 적용할 수 있습니다. 사이트 간 및 허브 앤 스포크 VPN을 배포할 수 있습니다. Juniper Security Director Cloud는 필요한 구축 시나리오를 결정하고 모든 SRX 시리즈 방화벽에 필요한 구성을 게시합니다.

혜택

데이터를 암호화하여 기밀성 및 무결성을 보장합니다.
통신 피어의 ID를 확인합니다.
인터넷을 통해 개인 네트워크에 안전하게 액세스할 수 있습니다.

IPsec VPN 유형

Juniper Security Director Cloud는 SRX 시리즈 방화벽에서 정책 기반 및 경로 기반 IPsec VPN을 지원합니다.

다음은 주니퍼 SRX 시리즈 방화벽에서 정책 기반 IPsec VPN과 경로 기반 IPsec VPN을 비교한 것입니다.

표 1: IPsec VPN 구축 시나리오
기능	정책 기반 VPN	, 경로 기반 VPN
지원되는 토폴로지	사이트 간 전용	허브 앤 스포크, 풀 메시
끝점 수	끝점 2개	두 개 이상의 끝점
확장성	제한	높다
융통성	유연성 저하	유연성 향상
엔터프라이즈급 구축	이상적이지 않음	권장

표 2: IPsec VPN 사용 사례 기준
기준	사용 정책 기반 터널 모드	경로 기반 터널 모드 사용
원격 게이트웨이 유형	비 주니퍼 디바이스	Juniper 디바이스
교통 제한	특정 애플리케이션 트래픽	일반 교통
NAT 요구 사항	필요 없음	소스 또는 대상 NAT 필요
라우팅 프로토콜	정적 라우팅	동적 라우팅(예: OSPF, BGP)
이중화(기본/백업 VPN)	지원되지 않음	지원

Juniper Security Director Cloud에서 VPN 유형 중 하나를 생성하면 토폴로지 보기가 표시됩니다. 토폴로지에서 아이콘을 클릭하여 원격 게이트웨이를 구성할 수 있습니다.

IPsec VPN 및 논리적 시스템

Juniper Security Director Cloud는 각 논리적 시스템을 다른 보안 디바이스로 간주하고 논리적 시스템의 보안 구성에 대한 소유권을 갖습니다. 주니퍼 Security Director Cloud에서 각 논리 시스템은 독립형 보안 디바이스로 관리됩니다.

Juniper Security Director Cloud는 터널 인터페이스가 디바이스의 개별 논리 시스템에 독점적으로 할당되도록 합니다. 동일한 디바이스의 두 개 이상의 논리적 시스템에 터널 인터페이스가 할당되지 않습니다.

Juniper Security Director Cloud 는 PPPoE(Point-to-Point Protocol over Ethernet)를 통한 VPN을 지원하지 않습니다.

IPsec VPN 토폴로지

Juniper Security Director Cloud 는 다음과 같은 IPSec VPN 토폴로지를 지원합니다.

위치 간 VPN: 조직의 두 위치를 함께 연결하고 위치 간의 보안 통신을 허용합니다.

그림 1: Site-to-Site VPN
허브 앤 스포크(모든 피어 설정) - 지사를 기업 네트워크의 본사에 연결합니다. 또한 이 토폴로지를 사용하여 허브를 통해 트래픽을 전송하여 스포크를 함께 연결할 수 있습니다.

그림 2: 허브 앤 스포크(모든 피어 설정)
허브 앤 스포크(스포크에 의한 설정) - AutoVPN은 스포크라고 하는 원격 사이트에 대한 여러 터널의 단일 종료 지점 역할을 하는 허브라고 하는 IPsec VPN 어그리게이터를 지원합니다. Autovpn을 통해 네트워크 관리자는 현재 및 미래의 스포크를 위한 허브를 구성할 수 있습니다. 스포크 디바이스를 추가하거나 삭제할 때 허브에서 구성을 변경할 필요가 없으므로 관리자가 대규모 네트워크 구축을 유연하게 관리할 수 있습니다.

그림 3: 허브 앤 스포크(스포크에 의한 설정)
허브 앤 스포크(자동 검색 VPN) - 자동 검색 VPN(ADVPN)은 중앙 허브가 두 스포크 간의 더 나은 트래픽 경로에 대해 스포크에 동적으로 알릴 수 있는 기술입니다. 두 스포크가 허브의 정보를 승인하면 스포크는 바로 가기 터널을 설정하고 허브를 통해 트래픽을 전송하지 않고 호스트가 다른 쪽에 도달하도록 라우팅 토폴로지를 변경합니다.

그림 4: 허브 앤 스포크(자동 검색 VPN)
원격 액세스 VPN(Juniper Secure Connect) - Juniper Secure Connect는 사용자가 인터넷을 사용하여 기업 네트워크 및 리소스에 원격으로 연결할 수 있는 안전한 원격 액세스를 제공합니다. Juniper Secure Connect는 SRX 시리즈 방화벽 서비스 디바이스에서 구성을 다운로드하고 연결 설정 중에 가장 효과적인 전송 프로토콜을 선택합니다.

그림 5: 원격 액세스 VPN(Juniper Secure Connect)

IPsec VPN 모드

Juniper Security Director Cloud는 두 가지 VPN 트래픽 교환 모드를 지원합니다.

터널 모드 - 이 모드는 VPN 터널의 다른 패킷 내에 원래 IP 패킷을 캡슐화합니다. 이는 별도의 개인 네트워크 내의 호스트가 공용 네트워크를 통해 통신하려는 경우에 가장 일반적으로 사용됩니다. 두 VPN 게이트웨이 모두 서로에 대한 VPN 터널을 설정하며, 두 게이트웨이 간의 모든 트래픽은 외부 IPsec 패킷 내에 포함된 원본 패킷과 함께 두 게이트웨이에서 전송되는 것으로 나타납니다.
전송 모드 - 이 모드는 터널 모드와 같은 새 패킷에 원본 패킷을 캡슐화하지 않습니다. 전송 모드는 IPsec 터널을 설정한 두 호스트 간에 패킷을 직접 전송합니다.

터널 모드는 전체 네트워크, 특히 개인 주소 공간이 있는 네트워크가 공용 IP 네트워크를 통해 쉽게 통신할 수 있도록 하기 때문에 인터넷에서 가장 일반적인 VPN 모드입니다. 전송 모드는 주로 개인 네트워크의 호스트와 서버 간과 같이 IP 주소 겹침이 문제가 되지 않는 통신을 보호하기 위해 두 호스트 간의 트래픽을 암호화할 때 사용됩니다.

IPsec VPN 라우팅

SRX 시리즈 방화벽은 대상 네트워크에 도달하는 방법을 알아야 합니다. 이는 정적 라우팅 또는 동적 라우팅을 사용하여 구성할 수 있습니다.

Juniper Security Director Cloud에서 경로 기반 VPN은 정적 라우팅과 함께 OSPF, RIP 및 eBGP 라우팅을 지원합니다. 정적 라우팅을 사용하려면 관리자가 각 사이트의 호스트 또는 네트워크 주소 목록을 VPN의 일부로 지정해야 합니다.

예를 들어, 수천 개의 스포크가 VPN의 일부가 될 수 있는 소매 시나리오에서 정적 라우팅 접근 방식은 각 디바이스에서 거대한 구성을 생성합니다. 정적 라우팅에서는 관리자가 각 경로를 수동으로 구성해야 하며, 인프라가 변경되거나 관리자가 보호된 네트워크의 주소에 액세스할 수 없는 경우 문제가 발생할 수 있습니다. 경로를 수동으로 최신 상태로 유지하면 엄청난 오버헤드가 발생합니다.

IKE(Internet Key Exchange) 인증

Internet Key Exchange 협상은 두 당사자가 통신할 수 있는 보안 채널을 설정하는 기능만 제공합니다. 서로를 인증하는 방법을 정의해야 합니다. 이 경우 상대방이 VPN을 설정할 수 있는 권한을 부여받았는지 확인하기 위해 IKE 인증이 사용됩니다. 다음과 같은 IKE(Internet Key Exchange) 인증을 사용할 수 있습니다.

사전 공유 키 인증 - VPN 연결을 설정하는 가장 일반적인 방법은 사전 공유 키를 사용하는 것입니다. 이는 본질적으로 두 당사자 모두에게 동일한 암호입니다. 이 암호는 전화, 구두 교환 또는 보안이 덜한 메커니즘(전자 메일 포함)과 같은 대역 외 메커니즘에서 미리 교환해야 합니다. 그런 다음 당사자는 미리 공유된 키를 Diffie-Hellman 교환에서 얻은 피어의 공용 키로 암호화하여 서로 인증합니다.

사전 공유 키는 일반적으로 단일 조직 내 또는 다른 조직 간에 사이트 간 IPsec VPN에 배포됩니다. 사전 공유 키는 문자, 숫자 및 영숫자가 아닌 문자의 조합으로 구성된 것이 권장되는 12자 이상과 문자에 대한 다양한 대소문자와 함께 최소 8자로 구성되어야 합니다. 사전 공유 키는 사전 단어를 사용할 수 없습니다.
인증서 인증 - 인증서 기반 인증은 인증서 키를 쉽게 손상시킬 수 없으므로 사전 공유된 키 인증보다 더 안전한 것으로 간주됩니다. 인증서는 또한 사전 공유 키를 모두 공유하지 않아야 하는 수많은 피어 사이트가 있는 대규모 환경에서 더 이상적입니다. 인증서는 공용 키와 개인 키로 구성되며 인증 기관(CA)으로 알려진 기본 인증서로 서명할 수 있습니다. 이러한 방식으로 인증서를 검사하여 신뢰할 수 있는 CA로 서명되었는지 확인할 수 있습니다.

필드 설명 - IPsec VPN 페이지

표 3: IPsec VPN 메인 페이지 필드
밭	묘사
이름	IPSec VPN의 이름입니다.
묘사	IPSec VPN에 대한 설명입니다.
VPN 토폴로지	IPsec VPN의 구축 토폴로지 유형(예: 사이트 간, 허브 앤 스포크, 원격 액세스 VPN)
프로파일 유형	VPN 프로필의 유형(예: 인라인 프로필 또는 공유 프로필)입니다.
프로필 이름	VPN 프로필의 이름입니다. 보안 매개 변수는 두 사이트 간의 VPN 연결을 설정하기 위해 이 프로필에 정의되어 있습니다.
터널 모드	경로 기반 또는 정책 기반과 같은 터널 모드.
구성 상태	IPSec VPN의 구성 상태.
상태	디바이스에 구성을 업데이트하기 전에 VPN 구성을 확인할 수 있습니다. Deploy pending(배포 보류 중) - VPN이 생성되었지만 배포되지 않습니다. Deploy scheduled(구축 예약됨) - VPN 구축이 예약됩니다. Deploy in-progress(구축 진행 중) - VPN 구축이 진행 중입니다. Deploy successful(구축 성공) - 컨피그레이션이 VPN과 관련된 모든 디바이스에 구축됩니다. Redeploy needed(재구축 필요) - 구축 후 VPN 컨피그레이션을 수정합니다. Deploy failed(구축 실패) - VPN 구축에 실패했습니다.
작성자	IPSec VPN을 생성한 사용자의 이메일 주소입니다.