6장. IPsec을 사용하여 VPN 구성

RHEL 9에서는 Libreswan 애플리케이션에서 지원하는 IPsec 프로토콜을 사용하여 VPN(가상 사설 네트워크)을 구성할 수 있습니다.

6.1. Libreswan as an IPsec VPN 구현

RHEL에서는 Libreswan 애플리케이션에서 지원하는 IPsec 프로토콜을 사용하여 VPN(Virtual Private Network)을 구성할 수 있습니다. Libreswan은 Openswan 애플리케이션에 대한 연속이며, Openswan 문서의 많은 예제는 Libreswan과 교환 가능합니다.

VPN용 IPsec 프로토콜은 IKEv(Internet Key Exchange) 프로토콜을 사용하여 구성됩니다. IPsec과 IKE라는 용어는 서로 바꿔 사용할 수 있습니다. IPsec VPN은 IKE VPN, IKEv2 VPN, XAUTH VPN, Cisco VPN 또는 IKE/IPsec VPN이라고도 합니다. L2TP( Layer 2 tunneling Protocol)도 사용하는 IPsec VPN의 변형은 일반적으로 선택적 리포지토리에서 제공하는 xl2tpd 패키지가 필요한 L2TP/IPsec VPN이라고 합니다.

Libreswan은 오픈 소스 사용자 공간 IKE 구현입니다. IKE v1 및 v2는 사용자 수준 데몬으로 구현됩니다. IKE 프로토콜도 암호화됩니다. IPsec 프로토콜은 Linux 커널에 의해 구현되며 Libreswan은 VPN 터널 구성을 추가 및 제거하도록 커널을 설정합니다.

IKE 프로토콜은 UDP 포트 500 및 4500을 사용합니다. IPsec 프로토콜은 다음 두 가지 프로토콜로 구성됩니다.

  • 프로토콜 번호 50이 있는ESP(Security Payload)를 캡슐화합니다.
  • 인증된 헤더(AH)는 프로토콜 번호 51이 있습니다.

AH 프로토콜은 사용하지 않는 것이 좋습니다. AH 사용자는 null 암호화를 사용하여 ESP로 마이그레이션하는 것이 좋습니다.

IPsec 프로토콜은 다음 두 가지 작업 모드를 제공합니다.

  • 터널 모드(기본값)
  • 전송 모드.

IKE 없이 IPsec을 사용하여 커널을 구성할 수 있습니다. 이를 수동 키링 이라고 합니다. ip xfrm 명령을 사용하여 수동 인증도 구성할 수 있지만 보안상의 이유로 이 방법은 권장되지 않습니다. Libreswan은 Netlink 인터페이스를 사용하여 Linux 커널과 통신합니다. 커널은 패킷 암호화 및 암호 해독을 수행합니다.

Libreswan은 NSS(Network Security Services) 암호화 라이브러리를 사용합니다. NSS는FIPS( Federal Information Processing Standard ) 발행 140-2와 함께 사용하도록 인증되었습니다.

중요

Libreswan 및 Linux 커널에서 구현되는 IKE/IPsec VPN은 RHEL에서 사용할 수 있는 유일한 VPN 기술입니다. 위험을 이해 하지 않고 다른 VPN 기술을 사용 하지 마십시오.

RHEL에서 Libreswan은 기본적으로 시스템 전체 암호화 정책을 따릅니다. 이를 통해 Libreswan은 IKEv2를 기본 프로토콜로 포함한 현재 위협 모델에 대한 보안 설정을 사용할 수 있습니다. 자세한 내용은 시스템 전체 암호화 정책 사용을 참조하십시오.

Libreswan은 IKE/IPsec이 피어 프로토콜로 피어링되기 때문에 "source" 및 "destination" 또는 "server" 및 "client"라는 용어를 사용하지 않습니다. 대신 "left" 및 "right"라는 용어를 사용하여 엔드 포인트(호스트)를 나타냅니다. 또한 대부분의 경우 두 끝점 모두에서 동일한 구성을 사용할 수 있습니다. 그러나 일반적으로 관리자는 로컬 호스트에 "left"를 사용하고 원격 호스트에 대해 "right"를 사용하도록 선택합니다.

leftidrightid 옵션은 인증 프로세스에서 해당 호스트를 식별하는 역할을 합니다. 자세한 내용은 ipsec.conf(5) 도움말 페이지를 참조하십시오.