IPsec VPN 개요

IPsec VPN은 데이터를 암호화하고 인증하여 공용 네트워크에 프라이빗 터널을 생성하는 보안 네트워킹 프로토콜 제품군으로, 일반적으로 사이트 간 및 원격 액세스 연결에 사용됩니다. Juniper Security Director 클라우드 및 SRX 시리즈 방화벽을 사용하여 원격 네트워크를 안전하게 연결하는 방법을 이해하려면 다음 주제를 읽어보십시오.

IPsec VPN은 인터넷과 같은 공용 WAN을 통해 원격 컴퓨터와 안전하게 통신할 수 있는 수단을 제공합니다. VPN 연결은 사이트 간 VPN 또는 원격 전화 접속 사용자와 LAN을 사용하여 두 LAN을 연결할 수 LAN. 이 두 포인트 사이를 흐르는 트래픽은 공용 WAN을 구성하는 라우터, 스위치 및 기타 네트워크 장비와 같은 공유 리소스를 통과합니다. WAN을 통과하는 VPN 통신을 보호하려면 IPsec 터널을 생성해야 합니다.

Juniper Security Director 클라우드는 IPsec VPN의 관리 및 구축을 간소화합니다. 일반적으로 VPN 구성은 다수의 SRX 시리즈 방화벽에 구축할 때 지루하고 반복적입니다. Juniper Security Director Cloud를 통해 VPN 프로필을 사용하여 공통 설정을 그룹화하고 여러 SRX 시리즈 방화벽의 여러 VPN 터널 구성에 프로필을 적용할 수 있습니다. 사이트 간 및 허브 앤 스포크 VPN을 구축할 수 있습니다. Juniper Security Director 클라우드는 필요한 구축 시나리오를 결정하고 모든 SRX 시리즈 방화벽에 필요한 구성을 게시합니다.

이점

데이터를 암호화하여 기밀성과 무결성을 보장합니다.
통신 피어의 ID를 확인합니다.
인터넷을 통해 프라이빗 네트워크에 안전하게 액세스할 수 있습니다.

IPsec VPN 유형

Juniper Security Director Cloud는 SRX 시리즈 방화벽에서 정책 기반 및 경로 기반 IPsec VPN을 지원합니다.

다음은 주니퍼 SRX 시리즈 방화벽의 정책 기반 및 경로 기반 IPsec VPN을 비교한 것입니다.

표 1: IPsec VPN 구축 시나리오
기능	정책 기반 VPN	경로 기반 VPN
지원되는 토폴로지	사이트 간 전용	허브 앤 스포크, 풀 메시
엔드포인트 수	두 개의 엔드포인트	2개 이상의 엔드포인트
확장성	제한적	높음
유연성	유연성 떨어짐	유연성 향상
엔터프라이즈급 구축	이상적이지 않음	추천

: 경로

표 2: IPsec VPN 사용 사례 기준
기준	정책 기반 터널 모드 사용	기반 터널 모드 사용
원격 게이트웨이 유형	비주니퍼 디바이스	주니퍼 디바이스
트래픽 제한	특정 애플리케이션 트래픽	일반 교통
NAT 요구 사항	필요하지 않음	소스 또는 대상 NAT 필요
라우팅 프로토콜	정적 라우팅	동적 라우팅(예: OSPF, BGP)
이중화(기본/백업 VPN)	지원되지 않음	지원

Juniper Security Director Cloud에서 두 가지 유형의 VPN을 생성하면 토폴로지 보기가 표시됩니다. 토폴로지에서 아이콘을 클릭하여 원격 게이트웨이를 구성할 수 있습니다.

IPsec VPN 및 논리적 시스템

Juniper Security Director 클라우드는 각 논리적 시스템을 다른 보안 디바이스로 간주하고 논리적 시스템의 보안 구성에 대한 소유권을 갖습니다. Juniper Security Director Cloud에서는 각 논리적 시스템이 독립형 보안 디바이스로 관리됩니다.

Juniper Security Director 클라우드는 터널 인터페이스가 디바이스의 개별 논리적 시스템에 독점적으로 할당되도록 합니다. 동일한 디바이스의 둘 이상의 논리 시스템에 할당된 터널 인터페이스는 없습니다.

Juniper Security Director 클라우드 는 PPPoE(VPN over Point-to-Point Protocol over Ethernet)를 지원하지 않습니다.

IPsec VPN 토폴로지

Juniper Security Director 클라우드 는 다음과 같은 IPsec VPN 토폴로지를 지원합니다.

사이트 간 VPN: 조직의 두 사이트를 함께 연결하고 사이트 간의 보안 통신을 허용합니다.

그림 1: 사이트 간 VPN
허브 앤 스포크(모든 피어 설립) - 지사를 엔터프라이즈 네트워크의 본사에 연결합니다. 또한 이 토폴로지를 사용하여 허브를 통해 트래픽을 전송하여 스포크를 함께 연결할 수 있습니다.

그림 2: 허브 앤 스포크(모든 피어 설정)
허브 앤 스포크(스포크에 의한 설정) - Autovpn은 스포크라고 하는 원격 사이트로 연결되는 여러 터널의 단일 종료 지점 역할을 하는 허브라는 IPsec VPN 어그리게이터를 지원합니다. AutoVPN을 통해 네트워크 관리자는 현재 및 미래의 스포크를 위한 허브를 구성할 수 있습니다. 스포크 디바이스를 추가하거나 삭제할 때 허브에서 구성을 변경할 필요가 없으므로 관리자는 대규모 네트워크 구축을 유연하게 관리할 수 있습니다.

그림 3: 허브 앤 스포크(스포크에 의한 설정)
허브 앤 스포크(Auto Discovery VPN) - ADVPN(Auto Discovery VPN)은 중앙 허브가 두 스포크 간의 트래픽에 대한 더 나은 경로를 스포크에 동적으로 알려줄 수 있게 해주는 기술입니다. 두 스포크가 모두 허브의 정보를 인식하면 스포크는 바로 가기 터널을 설정하고 호스트가 허브를 통해 트래픽을 전송하지 않고 다른 쪽에 도달할 수 있도록 라우팅 토폴로지를 변경합니다.

그림 4: 허브 앤 스포크(자동 검색 VPN)
원격 액세스 VPN(Juniper Secure Connect) - Juniper Secure Connect는 사용자가 인터넷을 사용하여 원격으로 회사 네트워크 및 리소스에 연결할 수 있도록 안전한 원격 액세스를 제공합니다. Juniper Secure Connect는 SRX 시리즈 방화벽 서비스 디바이스에서 구성을 다운로드하고 연결 설정 중에 가장 효과적인 전송 프로토콜을 선택합니다.

그림 5: 원격 액세스 VPN(Juniper Secure Connect)

IPsec VPN 모드

Juniper Security Director 클라우드는 두 가지 VPN 트래픽 교환 모드를 지원합니다.

터널 모드 - 이 모드는 VPN 터널의 다른 패킷 내에 원래 IP 패킷을 캡슐화합니다. 이것은 별도의 프라이빗 네트워크 내의 호스트가 공용 네트워크를 통해 통신하려는 경우에 가장 일반적으로 사용됩니다. 두 VPN 게이트웨이는 서로 VPN 터널을 설정하고 두 게이트웨이 간의 모든 트래픽은 외부 IPsec 패킷 내에 포함된 원본 패킷과 함께 두 게이트웨이에서 전송된 것으로 보입니다.
전송 모드 - 이 모드는 터널 모드와 같은 새 패킷으로 원래 패킷을 캡슐화하지 않습니다. 전송 모드는 IPsec 터널을 설정한 두 호스트 간에 패킷을 직접 보냅니다.

터널 모드는 인터넷에서 가장 일반적인 VPN 모드로, 전체 네트워크, 특히 사설 주소 공간이 있는 네트워크가 공용 IP 네트워크를 통해 쉽게 통신할 수 있기 때문입니다. 전송 모드는 주로 두 호스트 간의 트래픽을 암호화하여 개인 네트워크의 호스트와 서버 간과 같이 IP 주소 겹침이 문제가 되지 않는 통신을 보호할 때 사용됩니다.

IPsec VPN 라우팅

SRX 시리즈 방화벽은 대상 네트워크에 도달하는 방법을 알아야 합니다. 이는 정적 라우팅 또는 동적 라우팅을 사용하여 구성할 수 있습니다.

Juniper Security Director 클라우드 경로 기반 VPN은 정적 라우팅과 함께 OSPF, RIP 및 eBGP 라우팅을 지원합니다. 정적 라우팅을 사용하려면 관리자가 VPN의 일부로 각 사이트의 호스트 또는 네트워크 주소 목록을 지정해야 합니다.

예를 들어 수천 개의 스포크가 VPN의 일부가 될 수 있는 소매점 시나리오에서 정적 라우팅 접근 방식은 각 디바이스에서 거대한 구성을 생성합니다. 정적 라우팅에서는 관리자가 각 경로를 수동으로 구성해야 하며, 인프라가 변경되거나 관리자가 보호된 네트워크의 주소에 액세스할 수 없는 경우 문제가 발생할 수 있습니다. 경로를 수동으로 최신 상태로 유지하다 보면 엄청난 오버헤드가 발생합니다.

IKE(Internet Key Exchange) 인증

Internet Key Exchange 협상은 두 당사자가 통신할 수 있는 보안 채널을 설정하는 기능만 제공합니다. 여전히 서로를 인증하는 방법을 정의해야 합니다. 여기서 IKE 인증은 상대방이 VPN을 설정할 수 있는 권한을 부여했는지 확인하는 데 사용됩니다. 다음과 같은 IKE 인증을 사용할 수 있습니다.

사전 공유 키 인증—VPN 연결을 설정하는 가장 일반적인 방법은 기본적으로 양 당사자에게 동일한 비밀번호인 사전 공유 키를 사용하는 것입니다. 이 암호는 전화, 구두 교환 또는 보안이 덜한 메커니즘(예: 이메일)과 같은 대역 외 메커니즘에서 미리 교환해야 합니다. 그런 다음 당사자는 미리 공유된 키를 Diffie-Hellman 교환에서 얻은 피어의 공개 키로 암호화하여 서로를 인증합니다.

사전 공유 키는 일반적으로 단일 조직 내 또는 다른 조직 간에 사이트 간 IPsec VPN에 배포됩니다. 사전 공유 키는 문자, 숫자 및 영숫자가 아닌 문자의 조합으로 구성된 12자 이상이 권장되는 최소 8자로 구성되어야 하며 문자에 대한 다양한 대소문자도 함께 구성되어야 합니다. 사전 공유 키는 사전 단어를 사용하면 안 됩니다.
인증서 인증—인증서 기반 인증은 인증서 키가 쉽게 손상될 수 없으므로 사전 공유 키 인증보다 더 안전한 것으로 간주됩니다. 인증서는 또한 사전 공유 키를 모두 공유하지 않아야 하는 수많은 피어 사이트가 있는 대규모 환경에서 더 이상적입니다. 인증서는 공개 키와 개인 키로 구성되며 인증 기관(CA)으로 알려진 기본 인증서로 서명할 수 있습니다. 이러한 방식으로 인증서가 신뢰할 수 있는 CA로 서명되었는지 확인할 수 있습니다.

필드 설명 - IPsec VPN 페이지

표 3: IPsec VPN 메인 페이지 필드
필드	설명
이름	IPsec VPN의 이름입니다.
설명	IPsec VPN에 대한 설명입니다.
VPN 토폴로지	IPsec VPN의 구축 토폴로지 유형(예: 사이트 간, 허브 앤 스포크 및 원격 액세스 VPN).
프로필 유형	인라인 프로필 또는 공유 프로필과 같은 VPN 프로필 유형입니다.
프로필 이름	VPN 프로필의 이름입니다. 보안 매개 변수는 두 사이트 간에 VPN 연결을 설정하기 위해 이 프로필에 정의되어 있습니다.
터널 모드	경로 기반 또는 정책 기반과 같은 터널 모드.
구성 상태	IPsec VPN의 구성 상태입니다.
상태	디바이스에 대한 구성을 업데이트하기 전에 VPN 구성을 확인할 수 있습니다. 배포 보류 중 - VPN이 생성되었지만 배포되지는 않았습니다. Deploy scheduled—VPN 구축이 예약되었습니다. Deploy in-progress— VPN 구축이 진행 중입니다. 배포 성공—구성이 VPN과 관련된 모든 디바이스에 배포됩니다. 재구축 필요—구축된 후 VPN 구성이 수정됩니다. 구축 실패 - VPN 구축에 실패했습니다.
작성자	IPsec VPN을 만든 사용자의 이메일 주소입니다.