Fortigate IPsec 구성하기

원문출처 : https://m.blog.naver.com/lastime1650/222637133133

Fortigate IPsec 구성하기

 

포티게이트 방화벽을 통해 IPsec 을 구성하여 전혀 다른 인터넷을 건너 특정 네트워크 영역에 존재하는 내부 네트워크에 접속할 수 있습니다.

​

전에 구성한 SSL VPN과는 다르게, 이는 IPsec을 지원하는 장비가 최소 2대 있어야 합니다.

일반 사용자가 이용하기에는 부담이 있으며, 기업 과 기업간에 이용하는 것이 대표적이라고 생각됩니다.

​

IPsec 을 위한 흐름도

115.23.91.x 아이피를 할당받은 포티게이트 본사( 본사라고 칭함 )의 내부 네트워크 영역 192.168.10.0/24에서 121.148.205.x 아이피를 할당받은 포티게이트 지점 ( 지점이라고 창함 )의 내부 네트워크 영역 192.168.20.0/24 간 Site to Site 통신을 하는 것을 목표로 두었습니다.

​

알아야 할 점

각 두 개의 포티게이트는 NAT을 적용받지 않았습니다.

그래서 다이렉트로 ISP의 공인 아이피를 할당 받은 상태입니다.

​

1. IPsec 마법사를 통해 초기 구성

​

VPN => IPsec Wizard 에 위치해 있으며 마법사를 통해 간단하게 구성을 할 수 있습니다.

1-1 본사( 115.23.91.x )에서 IPsec 구성

본사에서 먼저 지점을 향한 IPsec의 구성을 하겠습니다.

Site to Site 가 기본적이며, NAT 구성에서 No NAT between sites 인 경우에는 IPsec을 구성하는 포티게이트가 라우터등에 의해서 NAT의 적용을 받지 않는 경우여야 합니다.

저는 이에 해당하므로 이대로 Next 하겠습니다.

그 다음 포티게이트가 향하는 목적지의 아이피 ( remote iP )를 집어넣습니다.

Pre-shared KEY는 최소 6자리 이상의 값을 받습니다.

그 다음은 서로 다른 내부 네트워크 영역을 연결하기 위해 설정하는 부분입니다.

Local subnets은 현재 설정 중인 포티게이트의 LAN 내부 네트워크 영역 서브넷을 넣으면 되며,

Remote 는 연결의 대상이 되는 내부 네트워크 서브넷을 입력하면 됩니다.

 

Create 를 누르면 생성을 하고 완료합니다.

1-2 지점( 121.148.205.x )에서 IPsec 구성

본사 => 지점 방향으로 구성하였으니,

​

이제는

​

지점 => 본사를 방향으로 구성하면됩니다.

전과 같이 Site to Site 그리고 No NAT between sites 로

상황이 맞으니 NEXT

이젠 Remote IP 에서 본사쪽으로 아이피를 입력합니다.

Pre shared KEY는 서로 같게 합니다.

전과 같이 내부 네트워크 영역을 서로 연결하기 위해 알맞게 구성합니다.

이제 모두 생성하였습니다.

2. IPsec 터널링 활성화 ( Bring up )

​

VPN => IPsec Tunnels 이동

각 포티게이트에서 접속하여 확인하였습니다.

​

​

이제 생성한 2개의 터널을 활성화 시켜주어야 합니다.

 

원래는 좌측 메뉴 맨 아래에 Monitor 가 있었는데,

6.x.x 몇? 버전 이후에는 통합되었다고 저는 들었습니다.

그래서 따로 Dashboard => + 버튼을 통해 IPsec Monitor를 찾아야 합니다.

+를 누르고 위 사진과 같이 IPsec을 선택합니다.

그럼 바로 구성된 터널이 보입니다. ( 지점 포티게이트에서 보았을 때, 어느 한쪽이어도 상관X )

그럼 저 부분을 우클릭하여 Bring up 버튼을 누르면 위 사진과 같이 초록색 업로드 같은 아이콘이 생기면 활성화가 잘 된 것입니다. 안되는 경우는 구성이 잘못된 것입니다.

3. IPsec 망을 이용할 때 모니터링 상황

IPSec Monitor

IPsec Monitor 에서는 IPsec을 사용하면서 주고 받은 패킷 데이터들의 총량을 보여주며, 더 자세히는

Incoming, Outgoing 오고 가는 인터페이스마다 패킷의 크기들을 보여주었습니다.

Events

Log & Report => Events

또한 이벤트를 통해, IPsec 연결이 되는 위한 협상 ( negotiate )에 관한 정보를 알 수 있었습니다.

Firewall Policy

방화벽 정책을 통해

IPsec에 사용되는 인터페이스를 선택하여 추가적인 모니터링을 수행할 수 있습니다.

security 적용, 패킷캡처 기능 추가, 등등..

저는 지점을 향하는 본사의 IPsec 인터페이스 를 Edit 하고, 모든 세션을 기록하고, 패킷 캡처를 수행하도록 설정하였습니다.

그러고 나니, Forward Traffic에서 본사 네트워크 ( 192.168.10.10 )에서 지점 네트워크 (192.168.20.20 )로 SSH 요청 한 트래픽이 로그에 남기게 되었습니다.

더블 클릭하여 세부적인 정보를 볼 수 있습니다.

서비스 SSH, 목적지 아이피 포트는 22 등등

그 옆 Archived Data 를 통하여 패킷을 pcap 형식으로 다운받아 자세히 볼 수 있습니다.

대표적인 스니퍼 프로그램 와이어샤크를 통해서 보면 분석하는데에 좋은 도움이 됩니다.