홈서버를 IDC로 옮기면서 보안대책을 생각하고 있습니다.
네트워크 구성은 미크로틱 라우터(hEX)가 방화벽/NAT/포트포워딩/VPN 서버 기능을 하고,
라우터에서 LAN으로 IPMI 랜포트와 서버 랜포트를 연결합니다
서버는 ESXi 하이퍼바이저 설치하고 guest VM들을 설치합니다.
외부에서 원격으로 서버 관리를 하기 위해서 아래와 같은 포트들은 외부 접속이 가능하도록 열어놓으려고 합니다.
- 미크로틱 라우터 WebFig 또는 Winbox 포트
- IPMI(HP iLO) Web 포트
- ESXi vCenter Web 포트
그래서 고정IP 및 VPN IP 를 이용한 방화벽 설정을 하려고 합니다.
VPN은 사실 긴급 상황 (고정IP 변경, 스마트폰을 통해 관리가 긴급히 필요한 경우 등..)을 대비한 옵션입니다.
평상시에는 고정IP를 이용해서 관리하려고 생각중입니다.
2cpu 유저 한분이 조언해주시길 미크로틱 라우터에서 L2TP/IPSec 으로 VPN을 구성하라고 조언해주셔서
미크로틱에서 설치/운영 가능한 VPN 프로토콜을 알아보니 아래와 같이 3가지가 있더라고요
1) L2TP/IPSec : 가장 쉽게 구성가능하나 프로토콜 자체에 대한 보안 문제.. NSA와 연관된 내용이 많이 나옴
2) OpenVPN : 미크로틱에서 설치/운영하기 굉장히 어려움.. 미크로틱에서도 더이상 업데이트(UDP 모드 등..)를 안하고 있는것으로 보아 지원을 포기한듯..
3) IKEv2 : 미크로틱에서 지원하는것 같긴 한데 관련 자료를 잘 못 찾아서 정확히 파악이 안됨... 설치하는게 LT2TP/IPSec 보다 어려운듯..
저는 VPN을 처음 설정해보는 초보자이고 어제 L2TP/IPSec까지는 해봤습니다.
보안적인 면을 봤을때 IKEv2를 써야할것 같은데..
미크로틱에서 IKEv2 설치하는게 어렵지 않은가요? 안정적인가요? 지원은 잘 되나요?
설치 및 운영에 대한 경험이 없다보니 2cpu 고수님들의 조언을 듣고 싶어서 이렇게 질문글을 올리게 되었습니다.
미크로틱 SSTP도 지원하기 때문에 서버에 접속할 용도라면 SSTP 사용하는게 더 편하고 빠를겁니다. PPP 방식은 압축을 지원해서 패킷도 많이 아낍니다.
개인적으로는 port-knocking으로 클라이언트로서 접속하는 공인 IP에 대하여 방화벽에서 그때 그때 열어주고, 접속하는 방식을 사용하고 있습니다.
IKEv2는
장점 : 빠르고, 아직 중국에서 막히지 않음. 미크로틱에서 장시간 터널 유지해도 안정적. 일부 암호화 방식을 제외하고는 미크로틱장비에서 hardware offload를 제공.
단점 : IPSec에 대한 이해 없이는 복잡, 그리고 복잡. 태생상 시간동기화가 필요.
port-knocking방식은 찾아봐야겠습니다 알려주셔서 감사합니다.
접속하는 클라이언트쪽이 유동IP이면 이 방법을 이용하면 되겠지요.
제 지식 수준에서는 어떻게 해야할지 모르겠더군요.
그냥 저는 생각날때마다 해쉬값을 바꿔주는 중입니다.
그런데 요즘 시대 그정도 길이면 매우 약한 암호화 강도에 들어갑니다
요즘 보안 제대로 지킬려면 비번조차 16자 넘겨야하고, salt같은것도 횔씬 길어요
제가 쓰는 해쉬+id+pw 다합치면 30자리는 넘겠네요
해쉬,id,pw 전부 다 따로따로 마춰야 하는거라 쉽지 않을거라 생각하는데..
3개중 하나라도 틀리면 접속 안대니까요.
편하게 세팅하고, 보안이 어느정도 적절하면서 편하게 사용하는 측면에서는 L2TP+IPSec이나 wireguard가 가장 좋을 것 같습니다.
어느쪽이든 요즘은 youtube에 따라해볼 만한 예제들이 많으니 참고해보시면 좋습니다.
작년초인가, hEX에 대하여 테스트해본 실측치입니다.
PPTP 양방향 380Mbps(CPU 80%)
L2TP 양방향 400Mbps(CPU 81%)
L2TP/IPSec 양방향 110Mbps(CPU 50%)
SSTP 양방향 34Mbps(CPU 30%)
IPSec 210Mbps(CPU 50%) SHA256/AES256 CBC/ECP521 or MODP4096
OVPN은 어차피 어느 장비를 사용해도 성능도 안나오고 번잡하기에, 제외했습니다.
어차피 VPN으로는 웹접속이 전부라서 30MBps정도도 충분해서..
정보 주셔서 감사합니다
미크로틱 메뉴얼입니다..
안보셨다면 VPN 관련 내용 확인해보세요..
또 공식 위키에 장단점 실제 운영상 문제점 등등 경험에서 나오는 내용은 없는것 같아서요
말씀 하신 용도로는 사용 할수 있을지 모르겠으나..
별로 추천드리고싶지는 않네요.
특히 별도의 서버를 둘꺼라면 OpenVPN Access Server라는 아주 편한넘도 있습니다
ikev2 mikrotik server 로 구글링하니 몇가지 나오네요..