목차/02. Site-to-Site VPN 소개

02Site-to-Site VPN 소개Site-to-Site VPN 소개

Site-to-Site VPN두 사이트의 Security Gateway가 서로 협상해 암호화 터널을 만들고, 그 터널을 통해 안전하게 통신 하도록 해 주는 기술입니다. 이 장에서는 VPN이 무엇으로 이루어지는지, 자주 나오는 용어가 각각 무엇을 뜻하는지, 터널이 실제로 어떻게 만들어지고 동작하는지, 그리고 커뮤니티 토폴로지와 트래픽 라우팅 방식, 마지막으로 R82의 IPv6 지원 범위까지 큰 그림을 빠짐없이 잡아 둡니다.

IPsec VPN과 그 구성요소

IPsec VPN 솔루션은 Security Gateway가 다른 Security Gateway나 클라이언트와 주고받는 트래픽을 암호화하고 복호화 하도록 해 줍니다. 노트북이나 휴대폰 같은 원격 기기까지 포함해, Security Gateway 사이의 VPN 연결은 모두 SmartConsole 에서 손쉽게 구성합니다. Site-to-Site VPN 커뮤니티에서는 VPN 네트워크를 StarMesh 토폴로지로 짤 수 있고, 타사(third-party) 게이트웨이도 함께 묶을 수 있습니다.

VPN 터널은 다음 세 가지를 보장합니다.

보장 항목설명
Authenticity(인증성)표준 인증 방식을 사용해 상대가 진짜인지 확인합니다.
Privacy(기밀성)모든 VPN 데이터가 암호화됩니다.
Integrity(무결성)업계 표준 무결성 보장 방식을 사용해 데이터가 도중에 변조되지 않았음을 보장합니다.

IKE와 IPsec

Check Point VPN 솔루션은 암호화 키를 관리하고 암호화된 패킷을 보내기 위해 안전한 VPN 프로토콜 두 가지를 사용합니다. IKE(Internet Key Exchange)는 VPN 터널을 만드는 데 쓰이는 표준 키 관리 프로토콜이고, IPsec 은 사설망이든 공용망이든 그 위에서 인증·암호화된 안전한 IP 통신을 지원하는 프로토콜입니다. 키 관리는 IKE가, 패킷 암호화는 IPsec이 맡는다고 기억하면 됩니다(자세한 내용은 IPsec과 IKE).

핵심 구성요소 세 가지

IPsec VPN을 이루는 핵심 구성요소는 셋입니다.

  • VPN 엔드포인트(VPN endpoints) — VPN으로 통신하는 양 끝의 주체로, Security Gateway·Security Gateway 클러스터·원격 클라이언트(노트북, 휴대폰 등)가 여기에 해당합니다.
  • VPN 신뢰 주체(VPN trust entities) — Check Point ICA(Internal Certificate Authority) 같은 인증 기관입니다. ICA는 Check Point 제품군의 일부로, Security Gateway 사이의 SIC 신뢰 연결을 만들고, 관리자와 타사 서버를 인증하는 데 쓰입니다. 또한 내부 Security Gateway와 원격 접속 클라이언트가 VPN 링크를 협상할 때 필요한 인증서를 발급합니다.
  • VPN 관리 도구(VPN Management tools) — Security Management Server와 SmartConsole입니다.

용어 이해하기

VPN을 다루다 보면 비슷해 보이는 용어가 많아 헷갈리기 쉽습니다. 다음 표로 한 번에 정리해 둡니다.

용어
VPNVirtual Private Network. 공용 인프라 위에 만든 안전한 암호화 연결로, 인증된 원격 사용자와 사이트가 조직의 네트워크·자원에 안전하게 접근하게 합니다.
Virtual Tunnel Interface(VTI)이미 존재하는 Route-Based VPN 터널의 멤버가 되는 가상 인터페이스입니다.
VPN PeerVirtual Tunnel Interface를 사용해 다른 VPN 게이트웨이에 연결되는 게이트웨이입니다.
VPN Domain하나의 VPN 게이트웨이가 암호화를 처리하며 보호하는, VPN 터널에 연결된 컴퓨터·네트워크의 묶음입니다.
VPN Community각각 VPN 게이트웨이로 보호되는 여러 VPN 도메인을 이름 붙여 모아 놓은 것입니다.
VPN Security GatewayVPN 도메인 멤버 사이의 트래픽 암복호화를 관리하는 Security Gateway로, 보통 터널의 한쪽 끝(Remote Access VPN) 또는 양쪽 끝(Site-to-Site VPN)에 자리합니다.
Site-to-Site VPN두 Security Gateway 사이의 암호화 터널로, 보통 지리적으로 다른 사이트끼리 연결합니다.
Remote Access VPNSecurity Gateway와 Endpoint Security VPN 같은 원격 접속 클라이언트·커뮤니티 사이의 암호화 터널입니다.
Remote Access Community물리적으로 떨어진 곳에서 인증·암호화를 거쳐 내부 보호 네트워크에 접근하는 컴퓨터·장비·기기의 묶음입니다.
Star Topology"hub and spoke" 형태의 VPN 커뮤니티로, 위성(spoke)으로 정의된 Security Gateway가 중앙("hub") Security Gateway하고만 터널을 만듭니다.
Meshed Topology한 VPN 도메인이 다른 VPN 도메인들과 모두 터널을 만드는 VPN 커뮤니티입니다.
Domain-based VPNSecurity Gateway에 정의된 파라미터에 따라 암호화 트래픽을 라우팅하는 방식입니다.
Route-based VPNVPN 커뮤니티 참가자에 대해 VTI로 정의되는 라우팅 방식입니다.
IKEIPsec을 보완해 추가 기능·유연성·구성 편의를 제공하는 암호화 키 관리 프로토콜입니다.
IPsec암호화 키와 암호화 패킷 트래픽을 관리해 인증·암호화 서비스의 표준을 만드는 안전한 VPN 프로토콜 모음입니다.

Site-to-Site VPN의 동작 원리

Site-to-Site VPN의 바탕은 암호화된 VPN 터널 입니다. 두 Security Gateway가 링크를 협상해 VPN 터널을 만들며, 하나의 터널 안에는 여러 개의 VPN 연결이 담길 수 있습니다. 또한 하나의 Security Gateway가 동시에 여러 VPN 터널을 유지 할 수도 있습니다.

대표적인 배치 예시를 보면, 두 Security Gateway AB 가 각자 보호하는 VPN 도메인 안에 호스트가 있습니다.

항목설명
A, BSecurity Gateway
2VPN 터널
3VPN 도메인 안의 내부 네트워크
4Host 4
5Host 5

이 예시에서 Host 4Host 5 는 서로 데이터를 안전하게 주고받습니다. 두 Security Gateway가 IKE 협상을 수행해 VPN 터널을 만들고, IPsec 프로토콜로 Host 4와 Host 5 사이의 데이터를 암호화·복호화합니다.

VPN 동작 흐름

전체 흐름을 순서대로 보면 이렇습니다.

  1. Security Gateway AB 가 VPN 터널을 만듭니다.
  2. Host 4Host 5 로 보낼 패킷을 만들어 전송합니다.
  3. Security Gateway A 가 데이터를 암호화합니다.
  4. 암호화된 데이터가 VPN 터널을 통해 전달됩니다.
  5. Security Gateway B 가 데이터를 복호화합니다.
  6. Host 5 가 복호화된(원래의) 데이터를 받습니다.

VPN 커뮤니티와 토폴로지

VPN DomainSecurity Gateway를 거쳐 VPN 트래픽을 주고받는 내부 네트워크의 묶음 입니다. Security Gateway마다 VPN 도메인에 포함될 자원을 정의한 다음, 이 Security Gateway들을 VPN Community — 즉 VPN 터널과 그 속성들의 묶음 — 로 합칩니다. 서로 다른 VPN 도메인의 네트워크 자원은, VPN 커뮤니티 안 Security Gateway에서 끝나는 VPN 터널을 통해 안전하게 통신할 수 있습니다.

VPN 커뮤니티는 StarMesh 토폴로지를 바탕으로 합니다.

  • Star(성형) 커뮤니티에서는 각 위성 Security Gateway가 중앙 Security Gateway하고만 VPN 터널을 맺 고, 커뮤니티 안의 다른 Security Gateway와는 맺지 않습니다.
  • Mesh(망형) 커뮤니티에서는 모든 Security Gateway 쌍 사이에 VPN 터널이 존재 합니다.
Mesh와 Star 토폴로지
Mesh와 Star 토폴로지
Mesh와 Star 토폴로지
Mesh와 Star 토폴로지
항목설명
1Security Gateway
2위성(Satellite) Security Gateway
3중앙(Central) Security Gateway

두 토폴로지를 섞은 예시

두 방식을 한 배치에서 섞을 수도 있습니다.

Star와 Mesh 조합 예시
Star와 Mesh 조합 예시
항목설명
1London Security Gateway
2New York Security Gateway
3London - New York Mesh VPN 커뮤니티
4London 협력사(외부 네트워크)
5London Star VPN 커뮤니티
6New York 협력사(외부 네트워크)
7New York Star VPN 커뮤니티

이 배치는 London·New York Security Gateway가 내부 네트워크를 공유하는 Mesh 커뮤니티 와, 협력사가 자기가 일하는 사이트의 내부망에만 접근하도록 하는 Star 커뮤니티 를 함께 씁니다. 협력사 외부 네트워크용 Security Gateway는 London·New York 내부 네트워크에 직접 접근할 수 없지만, Star VPN 커뮤니티 덕분에 협력사는 자기가 협업하는 사이트의 내부 네트워크에는 접근할 수 있습니다.

VPN 트래픽 라우팅

Security Gateway는 VPN 트래픽을 VPN 도메인을 기준으로 라우팅하거나, 운영체제의 라우팅 설정을 기준으로 라우팅하도록 구성할 수 있습니다.

Domain-Based VPN

VPN 트래픽이 SmartConsole에 정의된 VPN 도메인에 따라 라우팅 됩니다. 도메인 기반 라우팅은 Star 토폴로지에서 위성 Security Gateway끼리 서로 VPN 트래픽을 주고받게 할 때 유용합니다. 이때 중앙 Security Gateway가 각 위성 Security Gateway로 VPN 터널을 만들고, 트래픽이 올바른 VPN 도메인으로 라우팅됩니다.

Route-Based VPN

VPN 트래픽이 Security Gateway 운영체제의 라우팅 설정(정적 또는 동적)에 따라 라우팅 됩니다. Security Gateway는 VTI(VPN Tunnel Interface)를 사용해 VPN 트래픽을 마치 물리 인터페이스처럼 내보냅니다. VPN 커뮤니티 안 Security Gateway들의 VTI는 서로 연결되며, 동적 라우팅 프로토콜(dynamic routing protocols)도 지원 할 수 있습니다.

정교한 라우팅 제어 — Link Selection

Link Selection 기능은 네트워크에서 VPN 트래픽을 세밀하게 제어하게 해 줍니다. 이 기능으로 Security Gateway는 다음을 할 수 있습니다(Link Selection).

  • VPN 트래픽에 가장 좋은 경로를 찾기
  • 내부·외부 네트워크로 가는 VPN 트래픽에 사용할 인터페이스 고르기
  • VPN 트래픽에 사용할 IP 주소 구성하기
  • route probing으로 사용 가능한 VPN 터널 고르기
  • Link Selection용 Load Sharing으로 VPN 트래픽을 여러 VPN 터널에 균등 분배하기

IPv6 지원과 제한

R82 릴리스는 IPsec VPN 커뮤니티에 대해 제한적인 IPv6 지원 을 포함합니다.

  • IPv6는 Site-to-Site VPN에서만(Main IP↔Main IP) 지원됩니다. 두 Security Gateway의 Main IP 주소가 모두 IPv6 주소로 정의되어야 하며, 그 밖의 IP 주소는 IPv4여도 IPv6여도 됩니다.
  • IPv6는 IKEv2 암호화만 지원합니다. IPv6 트래픽에는 IKEv2가 자동으로 항상 사용되며, 암호화 방식은 IPv4 트래픽에 대해서만 구성할 수 있습니다.
  • VPN 터널링은 IPv4 터널 안에 IPv4, IPv6 터널 안에 IPv6 만 지원합니다. IPv6 터널 안의 IPv4 트래픽은 지원되지 않 습니다.

다음 VPN 기능은 IPv6에서 지원되지 않 습니다.

  • Remote Access VPN
  • Internal Certificate Authority의 CRL fetch
  • Multiple Entry Points (MEP)
  • Route-based VPN (VTI)
  • Wire Mode VPN
  • 동적 IP 주소(DAIP)를 사용하는 Security Gateway
  • Route Injection Mechanism (RIM)
  • Traditional mode 방화벽 정책
  • IKE Denial of Service 보호
  • IKE Aggressive Mode
  • Traditional Mode VPN
  • Traditional VPN 모드에서 Simplified VPN 모드로의 마이그레이션
  • Tunnel Management(영구 터널, permanent tunnels)
  • Directional VPN Enforcement
  • Link Selection
  • GRE Tunnels
  • SmartView Monitor의 Tunnel View
  • VPN Overview 페이지
  • vpn_route.conf 구성 파일

실제 구성은 시작하기에서 단계별로 이어집니다.