VPN과 방화벽
방화벽은 특별한 종류의 네트워크 소통 흐름을 허용하거나 차단하기 위해 패킷 필터링을 채택합니다. IP 패킷 필터링은 방화벽을 통과할 수 있는 IP 소통을 정확하게 정의하는 여러 가지 방법을 제공합니다. 개인 인트라넷을 인터넷과 같은 공용 네트워크에 연결할 때 IP 패킷 필터링이 중요합니다.
VPN 서버 및 방화벽 구성
다음은 VPN 서버에서 방화벽을 사용하기 위한 두 가지 접근법입니다.
- VPN 서버를 인터넷에 연결하고 방화벽을 VPN 서버와 인트라넷 사이에 둡니다
- 방화벽을 인터넷에 연결하고 VPN 서버를 방화벽과 인트라넷 사이에 둡니다.
방화벽 앞에 있는 VPN 서버
그림 13과 같이 방화벽 앞에 있는 VPN 서버가 인터넷에 연결되면 인터넷에서 VPN 서버의 인터페이스 IP 주소로만 VPN을 소통할 수 있는 인터넷 인터페이스에 패킷 필터를 추가해야 합니다.
들어 오는 소통에 대해 VPN 서버가 터널링된 데이터를 암호화하면 인트라넷 리소스로 소통을 전달할 수 있는 필터를 채택한 방화벽으로 데이터가 전달됩니다. 인증된 VPN 클라이언트에서 생성되는 소통은 VPN 서버를 지나는 소통 뿐이므로 이 시나리오에서 방화벽 필터링을 사용해 VPN 사용자가 특정 인트라넷 리소스를 액세스하지 못하게 할 수 있습니다.
이 접근법은 인트라넷에서 허용되는 인터넷 소통만 VPN 서버를 지나갈 수 있므로 비VPN 인터넷 사용자가 파일 전송 프로토콜(FTP)이나 웹 인트라넷 리소스를 공유하지 못하게 할 수 있습니다.
그림 13 인터넷에서 방화벽 앞에 있는 VPN 서버
VPN 서버의 인터넷 인터페이스에 대해 [라우팅 및 RAS 관리] 관리 도구를 사용해 다음과 같은 입/출력 필터를 구성할 수 있습니다.
PPTP용 패킷 필터
다음에 나열된 것 이외에는 모두 버리기 위한 필터 동작 집합으로 다음과 같은 입력 필터를 구성합니다.
- VPN 서버의 인터넷 인터페이스 대상 IP 주소, 서브넷 마스크 255.255.255.255, TCP 대상 포트 1723(0x06BB).
이 필터를 사용하면 PPTP 터널이 PPTP 클라이언트에서 PPTP 서버로의 소통을 관리할 수 있습니다. - VPN 서버의 인터넷 인터페이스 대상 IP 주소, 서브넷 마스크 255.255.255.255, IP 프로토콜 ID 47(0x2F).
이 필터를 사용하면 PPTP이 PPTP 클라이언트에서 PPTP 서버로 데이터를 터널링할 수 있습니다. - VPN 서버의 인터넷 인터페이스 대상 IP 주소, 서브넷 마스크 255.255.255.255, TCP[성립됨] 원본 포트 1723(0x06BB).
이 필터는 VPN 서버가 라우터간 VPN 연결에서 VPN 클라이언트(호출 라우터) 역할을 할 때만 필요합니다. TCP[성립됨]를 선택하면 VPN 서버가 TCP 연결을 초기화한 경우에만 소통을 받아 들입니다.
다음에 나열된 것 이외에는 모두 버리기 위한 필터 동작 집합으로 다음과 같은 출력 필터를 구성합니다.
- VPN 서버의 인터넷 인터페이스 원본 IP 주소, 서브넷 마스크 255.255.255.255, TCP 원본 포트 1723(0x06BB).
이 필터를 사용하면 PPTP 터널에서 VPN 서버에서 VPN 클라이언트로의 소통을 관리할 수 있습니다. - VPN 서버의 인터넷 인터페이스 원본 IP 주소, 서브넷 마스크 255.255.255.255, IP 프로토콜 ID 47(0x2F).
이 필터를 사용하면 PPTP가 VPN 서버에서 VPN 클라이언트로 데이터를 터널링할 수 있습니다. - VPN 서버의 인터넷 인터페이스 원본 IP 주소, 서브넷 마스크 255.255.255.255, TCP [성립됨] 대상 포트 1723(0x06BB).
이 필터는 VPN 서버가 라우터간 VPN 연결에서 VPN 클라이언트(호출 라우터) 역할을 할 때만 필요합니다. TCP [성립됨]을 선택하면 VPN 서버가 TCP 연결을 초기화한 경우에만 소통이 전달됩니다.
방화벽 뒤에 있는 VPN 서버
그림 14에 설명된 일반적인 구성에서 방화벽은 인터넷에 연결되고 VPN 서버는 비무장 지대(DMZ)에 연결된 다른 인트라넷 리소스입니다. DMZ는 일반적으로 웹 서버나 FTP 서버와 같은 인터넷 사용자가 사용할 수 있는 리소스가 있는 IP 네트워크 세그먼트입니다. VPN 서버는 DMZ와 인트라넷에서 각각 하나의 인터페이스를 가집니다.
이 접근법에서 방화벽은 터널에서 관리하는 소통과 터널링된 데이터를 VPN 서버로 전달할 수 있게 인터넷 인터페이스의 입/출력 필터를 구성해야 합니다. 추가 필터를 사용해 소통을 웹 서버, FTP 서버, 기타 DMZ에 있는 서버 등으로 전달할 수 있습니다.
방화벽은 각 VPN 연결에 대한 암호화 키가 없으므로 터널링된 데이터의 일반 텍스트 머리글만 필터링할 수 있으므로 터널링된 데이터는 모두 방화벽을 통과합니다. 그러나 이것은 VPN 연결이 VPN 서버 이외에 인증되지 않은 액세스를 방지하는 인증 프로세스를 요구하기 때문에 보안에 대해서는 관심이 없습니다.
그림 14 인터넷에서 방화벽 뒤에 있는 VPN 서버
방화벽의 인터넷 인터페이스에 대해 방화벽의 구성 소프트웨어를 사용하여 다음과 같은 입/출력 필터를 구성해야 합니다.
PPTP용 패킷 필터
다음에 나열된 것 이외에는 모두 버리기 위한 필터 동작 집합으로 다음과 같은 입력 필터를 구성합니다.
- VPN 서버의 DMZ 인터페이스 대상 IP 주소와 TCP 대상 포트 1723(0x06BB).
이 필터를 사용하면 PPTP 터널이 PPTP 클라이언트에서 PPTP 서버로의 소통을 관리할 수 있습니다. - VPN 서버의 DMZ 인터페이스 대상 IP 주소, IP 프로토콜 ID 47(0x2F).
이 필터를 사용하면 PPTP가 PPTP 클라이언트에서 PPTP 서버로 데이터를 터널링할 수 있습니다. - VPN 서버의 DMZ 인터페이스 대상 IP 주소와 TCP [성립됨] 원본 포트 1723(0x06BB).
이 필터는 VPN 서버가 라우터간 VPN 연결에서 VPN 클라이언트(a 호출 라우터) 역할을 할 때만 필요합니다. TCP [성립됨]을 선택하면 VPN 서버가 TCP 연결을 초기화한 경우에만 소통을 받아들입니다.
다음에 나열된 것 이외에는 모두 버리기 위한 필터 동작 집합으로 다음과 같은 출력 필터를 구성합니다.
- VPN 서버의 DMZ 인터페이스 원본 IP 주소와 TCP 원본 포트 1723(0x06BB).
이 필터를 사용하면 PPTP 터널이 PPTP 클라이언트에서 PPTP 서버로의 소통을 관리할 수 있습니다. - VPN 서버의 DMZ 인터페이스 원본 IP 주소, IP 프로토콜 ID 47(0x2F).
이 필터를 사용하면 PPTP가 PPTP 클라이언트에서 PPTP 서버로 데이터를 터널링할 수 있습니다. - VPN 서버의 DMZ 인터페이스 원본 IP 주소와 TCP [성립됨] 대상 포트 1723(0x06BB).
이 필터는 VPN 서버가 라우터간 VPN 연결에서 VPN 클라이언트(호출 라우터) 역할을 할 때만 필요합니다. TCP [성립됨]을 선택하면 VPN 서버가 TCP 연결을 초기화한 경우에만 소통을 받아들입니다.
