14제어 연결·연결 문제 해결제어 연결·연결 문제 해결
VPN 커뮤니티가 제대로 동작하려면 게이트웨이·관리 서버 사이의 제어 연결(control connection) 이 막힘없이 열려 있어야 하고, NAT 같은 흔한 걸림돌 을 풀어 주어야 합니다. 이 장은 그 두 주제를 다룹니다 — 먼저 VPN 커뮤니티 안에서 방화벽 제어 연결이 왜 필요하고 어떻게 보장하는지, 그다음 NAT 환경에서 연결성 문제를 푸는 NAT-Traversal을 설정하는 방법입니다.
VPN 커뮤니티의 방화벽 제어 연결
개요
Check Point Security Gateway는 다른 Check Point 노드와 제어 연결(control connections) 을 통해 통신합니다. 예를 들어 Security Management Server와 Security Gateway는 관리 서버에서 게이트웨이로 Security Policy를 설치할 때 제어 연결을 사용합니다. 또한 Security Gateway는 로그를 Security Management Server로 보낼 때 도 제어 연결을 사용합니다. 이러한 제어 연결은 SIC(Secure Internal Communication)를 사용합니다.
Access Control Rule Base의 Implied Rules(암시적 규칙)가 이 제어 연결을 허용합니다. SmartConsole의 Menu > Global properties > Firewall 페이지에서 옵션을 선택하거나 해제하면, 관리 서버가 Access Control Rule Base에 Implied Rules를 추가하거나 제거합니다.
일부 관리자는 implied rule에 의존하지 않고, 대신 Access Control Rule Base에 명시적 규칙(explicit rules)을 정의하기도 합니다.
Implied Rules를 끄면 왜 제어 연결이 막히는가
implied rule을 끄면 원격 Security Gateway에 Access Control Policy를 설치하지 못할 수 있습니다. implied rule 대신 명시적 규칙을 구성하더라도 여전히 정책 설치에 실패할 수 있는데, 그 과정을 살펴보면 이유를 알 수 있습니다.

SmartConsole으로 Security Gateway A 와 B 사이에 VPN을 구성하려면, 관리자는 Security Management Server에서 두 게이트웨이로 정책을 설치해야 합니다.
- Security Management Server가 Security Gateway A 에 정책을 성공적으로 설치합니다. 이제 A는 자신과 B가 같은 VPN Community에 속한다는 것을 인식합니다. 하지만 Security Gateway B는 아직 정책을 받지 못한 상태입니다.
- Security Management Server가 정책을 설치하려고 Security Gateway B로 연결을 엽니다.
- Security Gateway A는 제어 연결을 허용하는 명시적 규칙 덕분에 그 연결을 허용합니다. 그리고 제어 연결용 VPN 터널을 만들기 위해 A가 B와 IKE 협상을 시작 합니다.
- 그런데 Security Gateway B는 아직 정책이 없어 A와 협상할 수 없 습니다. 따라서 B에 대한 정책 설치가 실패합니다.
따라서 제어 연결이 VPN 터널을 통과하지 않도록 반드시 확인해야 합니다.
VPN 안에서 방화벽 제어 연결 허용하기
implied rule을 끈 경우에는 sk179346(Configuring Explicit Rules instead of Implied Rules)을 따라야 합니다.
연결성 문제 해결 — IPsec NAT-Traversal
NAT-Traversal이란
NAT-T(NAT traversal, 또는 UDP encapsulation)는 트래픽이 NAT를 사용하는 Security Gateway나 장비를 지나갈 때도 IPsec VPN 연결이 끊기지 않도록 보장합니다.
IP 패킷이 NAT(network address translator) 장비를 지나면, IPsec과 호환되지 않는 방식으로 변경 됩니다. 원래의 IPsec 인코딩 패킷을 보호하기 위해, NAT traversal은 그 패킷을 UDP·IP 헤더 한 겹으로 추가 캡슐화 합니다.
IPsec이 NAT traversal과 함께 동작하려면, NAT 인터페이스를 통해 다음 프로토콜이 허용되어야 합니다.
| 프로토콜 | 포트 / 번호 |
|---|---|
| IKE | UDP 포트 500 |
| IPsec NAT-T | UDP 포트 4500 |
| Encapsulating Security Payload (ESP) | IP 프로토콜 번호 50 |
| Authentication Header (AH) | IP 프로토콜 번호 51 |
NAT-Traversal 구성하기
- SmartConsole의 왼쪽 탐색 패널에서 Gateways & Servers 를 클릭합니다.
- IPsec VPN Software Blade가 활성화된 해당 Security Gateway 객체를 엽니다.
- 왼쪽 트리에서 IPsec VPN > VPN Advanced 를 클릭합니다.
- Support NAT traversal (applies to Remote Access and Site to Site connections) 가 선택되어 있는지 확인합니다. NAT 장비가 감지되면 NAT-Traversal은 기본적으로 켜져 있습니다.
- OK 를 클릭합니다.
- Access Control Policy를 설치합니다.
고급 NAT-T 구성
다음 커널 파라미터는 각 Security Gateway에 정의되며 Site-to-Site VPN의 NAT-T를 제어합니다.
| 항목 | 설명 | 기본값 |
|---|---|---|
offer_nat_t_initator | Initiator가 NAT-T 트래픽을 보냄(자세한 내용은 sk177823 참고) | true |
offer_nat_t_responder_for_known_gw | Responder가 알려진 Security Gateway로부터 NAT-T 트래픽을 받음 | true |
force_nat_t | NAT-T 장비가 없어도 NAT-T를 강제함(자세한 내용은 sk166037 참고) | false |
이 파라미터들은 Database Tool (GuiDBEdit Tool) 로 편집할 수 있습니다.
- (권장) Security Management Server / Domain Management Server를 백업합니다.
- 관리 서버에 연결된 모든 SmartConsole 창을 닫습니다.
- Database Tool (GuiDBEdit Tool)로 Security Management Server / Domain Management Server에 연결합니다.
- 왼쪽 상단 창에서 Table - Network Objects - network_objects 로 이동합니다.
- 오른쪽 상단 창에서 해당 Security Gateway / Cluster 객체를 선택합니다.
CTRL + F(또는 Search 메뉴 - Find)를 누르고<NAME OF PARAMETER>를 붙여넣은 뒤 Find Next 를 클릭합니다.- 아래 창에서
<NAME OF PARAMETER>를 우클릭 - Edit... 를 클릭 - 원하는 값을 구성합니다. - 변경 사항을 저장합니다(File 메뉴 > Save All).
- Database Tool (GuiDBEdit Tool)을 닫습니다.
- SmartConsole로 Security Management Server / Domain Management Server에 연결합니다.
- Access Control Policy를 설치합니다.