0. UTM 생성
UTM ( 자사 역할 ) 생성
IP : 192.168.10.200
GW : 192.168.10.2
인터페이스 추가
VMnet 3 : 100.100.100.254
VMnet 4 : 200.200.200.254
1. 인터페이스
2. 방화벽
- ping 확인
3. DNS
4. Site-to-Site_VPN
- 사이트 간 VPN_IPsec ( UTM200)
설명
Site-to-Site_VPN ( 사이트 간 VPN )은 두 개 이상의 고정 네트워크 ( EX 본사와 지사간 )를
인터넷을 통해 안전하게 연결하는 기술
각 네트워크는 VPN 게이트웨이 (라우터, 방화벽, UTM 등 )를 통해 상대 네트워크와 암호화된 터널 구성
0. VPN
- 가상 사설망
- 공용 인터넷 ( 사용자,기업등 아무나 사용이 가능한 인터넷 )을 통해 사설 네트워크 ( EX 회사 내부망 )을 안전하게 연결
> 즉 공용 인터넷을 통해 그냥 접근하면 해커가 중간에 감청할 가능성 있음 > VPN을 쓰면 VPN 서버와 사용자 사이 터널이 - 생성 ( IPsec, SSL 등으로 암호화)
- 터널안에서만 데이터가 흐름
- 키가 없으면 내용 파악 불가능
0_1 VPN 용어 설명
- 가상 : 물리적인 전용선이 아닌 논리적 터널로 통신
- 사설 : 외부에서 접근할 수 없도록 암호화된 보안 네트워크 구성
- 네트워크 : 떨어진 지점 ( 본사 - 지사 )간에 데이터를 주고받을 수 있도록 연결성을 제공
0_2 VPN이 필요한 이유
- 원격 접속 : 집이나 멀리 떨어진 지사에서 본사에 내부망에 접근이 가능
- 보안 통신 : 공용 WI-FI에서도 안전하게 데이터 주고 받기 가능
- IP 우회 : 특정 지역에서만 접속 가능한 서비스도 이용
- 비용 절감 : 전용선이 없고 가상에서 본사-지사를 연결하기 때문에 비용이 절감됨
1. Site-to-Site_VPN
- 정의 : 본사와 지사등 지리적으로 떨어진 두 네트워크를 인터넷 상에서 연결하여 내부망처럼 통신이 가능하게 만든 VPN
- 목적 : 내부 IP 대역을 공유 DB서버, 파일서버 등 사내 자원에 접근이 가능
2. IPsec
- 정의 : 사이트 간 VPN에서 자주 사용되는 암호화 프로토콜 "데이터를 암호화, 무결성 검증 및 인증" 기능을 제공 " 보안 터널 생성
- 구성 요소 : AH : 무결성 + 인증 제공 ( 단! 암호화 없음 ) / ESP : 무결성 + 인증 + 암호화 제공 / IKE : 키 교환 프로토콜
3. 사이트 간 VPN 간단 구조
[본사 내부망] --[VPN 장비]====(인터넷/IPsec 터널)====[VPN 장비]--[지사 내부망]
- 본사와 지사 각각의 VPN 장비 ( 라우터 또는 방화벽 ) 가 IPsec 터널을 형성
- 본사 ( 사용자 )는 로컬 네트워크에 있는 것처럼 자사 ( 상대방 ) 네트워크 자원에 접근
4. 동작 방식 간단 요약
1. VPN 장비간 인증 PSK ( 사전 공유 키 ) 또는 인증서로 인증 진행
2. IKE ( 키교환 프로토콜) 을 사용 터널을 보호를 위한 키 교환
3. IPsec 터널 생성 및 데이터 암호화 통신
5. 장,단점
장점
1. 데이터 암호화로 보안성 확보
2. 원격지 자원에 로컬처럼 접근 가능
3. 운영비 절감 : 전용선이 없어도 자유롭게 연결이 가능하기 때문에
단점
1. 구성이 복잡
2. vpn 장비의 고정 ip가 반드시 필요
3. 인터넷 품질에 따라 성능이 결정
- 자사 ( utm2 192.168.10.200 )
- 자사 원격 게이트웨이
- 자사 연결
키 : asd123
본사 ( utm1 192.168.10.100)
- 본사 원격 네트워크
- 본사 연결
- 확인
- 원격 게이트웨이 설명
원격 게이트웨이
<게이트웨이>
UTM IPSEC에서 자사에서는 원격 게이트웨이에서 상대방 UTM IP를 적는 이유 ?
- 게이트웨이는 반드시 공인 ip로 설정 그 이유는 ?
utm은 인터넷으로 연결하는데 사설 ip는 단독으로 인터넷 사용이 불가능하기 때문
- 내 쪽 utm 원격 게이트웨이 설정 : 상대방 utm ip
- 상대방 utm 원격 게이트웨이 설정 : 내 쪽 utm ip
- 양방향 sa가 설정되어 터널이 형성됨
" 원격 게이트웨이에서 터널에 출발지와 도착지를 설정한다 "
원격 게이트웨이
< 원격 네트워크 >
원격 네트워크에서 상대방 사설망 ( dmz, 내부망 )을 적는이유 ?
터널 내부에서 통신할 대상 네트워크 지정 → 내 쪽 UTM이 어떤 사설망을 라우팅해야 하는지 알려줌
네트워크 트래픽에 목적지
원격 게이트웨이
< 키 >
키를 설정하는 이유는 ?
1. 상대방 utm 장비가 진짜인지 검증 내 쪽 utm 장비와 상대방 utm 장비가 서로 같은 키를 가지고 있어야 한다
( 터널 협상 )
2. 보안 설정
초기 인증을 암호화 중간자 공격( dns 스푸핑, arp 스푸핑) 을 방어한다
- 연결 설명
원격 게이트웨이 : 상대방 utm ip ( 터널 도착지 / 연결 대상 )
로컬 인터페이스 : 내쪽 utm ip ( 터널 출발지 )
로컬 네트워크 : 내쪽 사설망 ip
> 내가 가진 사설망 ip를 상대방에게 알려줌으로써 상대방 utm이 네트워크를 열고 트래픽을 보내줌 ( 접근 허용 )
- 캐시 플러시
오래된 데이터를 삭제하고 최신 데이터를 반영하는것
성능 디버깅 및 테스트 목적
- 캐시 플러시 진행
DB(Rokcy2 : 20.20.20.20) 서버를 200.200.200.10으로 바꾼 뒤 출력 (기본 DNS주소는 10.10.10.10으로 할 것) DNS (Rocky1) 서버는 10.10.10.10으로 할 것 / 기본 DNS주소는 192.168.10.100)
- 설정
- 캐시 플러시 이전
- 캐시 플러시 이후
5. SSL
0. 준비
- IPsec 비 활성화
( UTM 100 )
( UTM 200 )
- 웹 방화벽 OFF
( UTM 100 )
1. SSL
( UTM 100 )
( UTM 200 )
구성 파일에 UTM100에서 다운로드한 SSL 파일 다운로드
- 본사 확인
- 자사 확인
SSTP
윈도우 친화적 SSL 기반 VPN 방식
포트 : 443/TCP
방화벽 우회 능력 우수
클라리언트가 공용 네트워크에서 본사 VPN 접속
본사 VPN에서 SSTP 쓰는 이유?
1. 방화벽 우회 : 다른 VPN이 막혀도 SSTP는 대부분 허용
2. 회사 외부에서 내부 네트워크 접근 시 사용
3. 윈도우 환경 지원 ( Microsofte에서 개발 )
4. 보안성 높음
5_1 SSL 포트 444 변경
( UTM 100 )
순서
설정 > 적용 > 고급 > 적용 > 연결 > 다운로드
- SSL Client 구성 파일 변경
( UTM 200 )
6. Client VPN
- 원격액세스_PPTP
(UTM100)
패스워드 : asd123
- 원격액세스_고급
NAT OFF
윈도우에서 vpn 검색
외부 인터넷 사용 불가
접속 못하고 계속 로딩중
내부 인터넷 사용 가능
'UTM' 카테고리의 다른 글
| UTM3 ( IPS, 웹 방화벽 ) (0) | 2025.05.12 |
|---|---|
| UTM2 ( 웹 홈페이지 ) (1) | 2025.05.04 |
| UTM1 ( 기본 설정 세팅 ) (0) | 2025.04.28 |
