[Fortigate - 방화벽] VPN (IPSec)

1. IPSec

- VPN은 가상 사설망이란 의미로 인터넷 망 통신을 암호화하여 사설망처럼 사용하는 서비스

 

- VPN은 아래와 같이 서로 다른 사설 대역을 가진 네트워크(172.16.0.0/16)와 네트워크(172.26.0.0/16)가 안전하게 통신할 수 있도록 해준다.

 

- "VPN -> IPSec Wizard" 메뉴에서 VPN이름을 적절하게 작성

* Type: 두 대의 방화벽을 VPN 연결할 것이므로 Site to Site

* NAT 설정: VPN 통신에 특별히 필요한 경우 아니면 No NAT

* Remot device type: VPN 연결할 장비가 Cisco 장비라면 변경

 

- VPN 연결할 원격 장비 IP 및 암호화 통신에 사용될 Key(암호) 입력

* 해당 설정은 WAN IP가 192.168.40.50인 Fortigate에서 진행중

 

- VPN을 연결할 local 인터페이스, 대역과 Remote 대역 지정

* VPN을 통해 인터넷을 접속할 필요는 없으므로 None 설정

 

- 이렇게 작성하면 방화벽 정책부터 라우팅 등 VPN 연결에 필요한 여러 설정들이 생성된다.

 

- 다른 Fortigate(192.168.40.51)에서도 VPN 설정

 

- VPN 생성을 했으나 아직 통신되지 않음 (172.16.0.2 -> 172.26.0.2)

 

- "VPN - IPSec Tunnels"에서 VPN 상태를 보면 "Inactive" 확인됨

* Inactive 클릭

 

- "Bring Up -> Phase 2 Selector: [Name]" 클릭하여 VPN 활성화

 

- 정상적으로 172.16.0.0/16 대역에서 172.26.0.0/16 대역으로 통신 가능

 

[간단 IPSec 설명]

- IPSec은 1) IKE Phase 1(ISAKMP SA) -> 2) IKE Phase 2(IPSec SA) 로 진행

* IKE는 Internet Key Exchange의 약자 / SA는 Security Association의 약자

* IKE Phase 1에선 IKE Phase 2 SA를 암호화할 수 있는 대칭키 생성 방법 및 상대 VPN 인증 협상 담당

* IKE Phase 2에선 통신(패킷)을 암호화/인증할 SA 협상 담당

 

- 이 과정을 거치면 ESP(AH도 있으나 주로 ESP) 프로토콜로 통신

* ESP는 실제 출발지, 목적지 IP, Port를 숨겨주어 AH보다 더 안전

 

- 1과정이 IKE 1, 2과정이 IKE 2