안녕하세요 여러분! 이 기사에서는 Sophos XG Firewall 제품의 VPN 기능을 검토합니다. 이전에는 기사 정식 라이센스를 통해 이 홈 네트워크 보호 솔루션을 무료로 얻는 방법을 살펴보았습니다. 오늘은 Sophos XG에 내장된 VPN 기능에 대해 이야기하겠습니다. 이 제품의 기능을 설명하고 IPSec Site-to-Site VPN 및 사용자 지정 SSL VPN 설정에 대한 예도 제공하겠습니다. 그럼 리뷰를 시작해보겠습니다.

우선 라이센스 테이블을 살펴보겠습니다.

Sophos XG Firewall의 라이선스 부여 방법에 대한 자세한 내용은 여기에서 확인할 수 있습니다.
링크
하지만 이 기사에서는 빨간색으로 강조 표시된 항목에만 관심이 있습니다.

주요 VPN 기능은 기본 라이선스에 포함되어 있으며 한 번만 구매하면 됩니다. 이는 평생 라이센스이며 갱신이 필요하지 않습니다. 기본 VPN 옵션 모듈에는 다음이 포함됩니다.

사이트 간:

• SSL VPN
• IPSec VPN

원격 액세스(클라이언트 VPN):

• SSL VPN
• IPsec 클라이언트리스 VPN(무료 맞춤형 앱 포함)
• L2TP
• PPTP

보시다시피, 널리 사용되는 모든 프로토콜과 VPN 연결 유형이 지원됩니다.

또한 Sophos XG Firewall에는 기본 구독에 포함되지 않은 두 가지 유형의 VPN 연결이 더 있습니다. RED VPN과 HTML5 VPN이 있습니다. 이러한 VPN 연결은 네트워크 보호 구독에 포함됩니다. 즉, 이러한 유형을 사용하려면 네트워크 보호 기능(IPS 및 ATP 모듈)도 포함하는 활성 구독이 있어야 합니다.

RED VPN은 Sophos의 독점 L2 VPN입니다. 이러한 유형의 VPN 연결은 두 XG 간에 VPN을 설정할 때 사이트 간 SSL 또는 IPSec에 비해 여러 가지 장점이 있습니다. IPSec와 달리 RED 터널은 터널 양쪽 끝에 가상 인터페이스를 생성하여 문제 해결에 도움이 되며 SSL과 달리 이 가상 인터페이스는 완전히 사용자 정의 가능합니다. 관리자는 RED 터널 내의 서브넷에 대한 모든 권한을 가지므로 라우팅 문제와 서브넷 충돌을 더 쉽게 해결할 수 있습니다.

HTML5 VPN 또는 클라이언트리스 VPN – 브라우저에서 직접 HTML5를 통해 서비스를 전달할 수 있는 특정 유형의 VPN입니다. 구성할 수 있는 서비스 유형:

• RDP
• 텔넷
• SSH
• VNC
• FTP
• FTPS
• SFTP
• SMB

그러나 이러한 유형의 VPN은 특별한 경우에만 사용된다는 점을 고려해 볼 가치가 있으며 가능하면 위 목록의 VPN 유형을 사용하는 것이 좋습니다.

연습

이러한 여러 유형의 터널, 즉 사이트 간 IPSec 및 SSL VPN 원격 액세스를 구성하는 방법을 실제로 살펴보겠습니다.

사이트 간 IPSec VPN

두 Sophos XG 방화벽 사이에 Site-to-Site IPSec VPN 터널을 설정하는 방법부터 시작해 보겠습니다. 내부적으로는 StrongSwan을 사용하여 IPSec 지원 라우터에 연결할 수 있습니다.

편리하고 빠른 설정 마법사를 사용할 수 있지만, 이 지침을 기반으로 IPSec를 사용하는 모든 장비와 Sophos XG를 결합할 수 있도록 일반적인 경로를 따르겠습니다.

정책 설정 창을 열어 보겠습니다.

보시다시피 이미 사전 설정된 설정이 있지만 직접 만들겠습니다.

첫 번째와 두 번째 단계에 대한 암호화 매개변수를 구성하고 정책을 저장해 보겠습니다. 비유하자면, 두 번째 Sophos XG에서 동일한 단계를 수행하고 IPSec 터널 자체 설정으로 넘어갑니다.

이름, 작동 모드를 입력하고 암호화 매개변수를 구성합니다. 예를 들어 사전 공유 키를 사용하겠습니다.

로컬 및 원격 서브넷을 나타냅니다.

우리의 연결이 만들어졌습니다

비유하자면 작동 모드를 제외하고 두 번째 Sophos XG에서 동일한 설정을 지정하고 연결 시작을 설정합니다.

이제 두 개의 터널이 구성되었습니다. 다음으로 이를 활성화하고 실행해야 합니다. 이 작업은 매우 간단하게 수행됩니다. 활성화하려면 활성 단어 아래의 빨간색 원을 클릭하고 연결을 시작하려면 연결 아래의 빨간색 원을 클릭하면 됩니다.
이 사진을 본다면:

이는 터널이 올바르게 작동하고 있음을 의미합니다. 두 번째 표시기가 빨간색이나 노란색이면 암호화 정책이나 로컬 및 원격 서브넷에 무언가 잘못 구성된 것입니다. 설정을 미러링해야 함을 상기시켜 드리겠습니다.

이와 별도로 내결함성을 위해 IPSec 터널에서 장애 조치 그룹을 생성할 수 있다는 점을 강조하고 싶습니다.

원격 액세스 SSL VPN

사용자를 위한 원격 액세스 SSL VPN으로 넘어가겠습니다. 내부에는 표준 OpenVPN이 있습니다. 이를 통해 사용자는 .ovpn 구성 파일을 지원하는 클라이언트(예: 표준 연결 클라이언트)를 통해 연결할 수 있습니다.

먼저 OpenVPN 서버 정책을 구성해야 합니다.

연결을 위한 전송 지정, 원격 사용자 연결을 위한 포트, IP 주소 범위 구성

암호화 설정을 지정할 수도 있습니다.

서버 설정이 끝나면 클라이언트 연결 설정을 진행합니다.

각 SSL VPN 연결 규칙은 그룹 또는 개별 사용자에 대해 생성됩니다. 각 사용자는 하나의 연결 정책만 가질 수 있습니다. 설정에 따르면 흥미로운 점은 이러한 각 규칙에 대해 이 설정을 사용할 개별 사용자나 AD의 그룹을 지정할 수 있고 모든 트래픽이 VPN 터널에 래핑되도록 확인란을 활성화하거나 IP 주소를 지정할 수 있다는 것입니다. 사용자가 사용할 수 있는 서브넷 또는 FQDN 이름. 이러한 정책에 따라 클라이언트 설정이 포함된 .ovpn 프로필이 자동으로 생성됩니다.

사용자 포털을 사용하여 사용자는 VPN 클라이언트 설정이 포함된 .ovpn 파일과 기본 제공 연결 설정 파일이 포함된 VPN 클라이언트 설치 파일을 모두 다운로드할 수 있습니다.

결론

이 기사에서는 Sophos XG Firewall 제품의 VPN 기능을 간략하게 살펴보았습니다. IPSec VPN 및 SSL VPN을 구성하는 방법을 살펴보았습니다. 이는 이 솔루션이 수행할 수 있는 작업의 전체 목록이 아닙니다. 다음 기사에서는 RED VPN을 검토하고 솔루션 자체에서 어떤 모습인지 보여 드리겠습니다.

시간 내 주셔서 감사합니다.

XG Firewall 상용버전에 대해 문의사항이 있으신 경우, 당사로 연락주시기 바랍니다. 요인군, 소포스 대리점. 당신이 해야 할 일은 자유 형식으로 작성하는 것뿐입니다. [이메일 보호].

출처 : habr.com