예, MikroTik에서 IPsec 터널을 설정할 때 특정 방화벽 규칙을 구성하는 것이 권장되며 필요한 경우가 많습니다. 이러한 규칙은 터널 보안, 방화벽을 통한 IPsec 트래픽 허용, 네트워크 보호 등 여러 가지 이유로 중요합니다.

우리는 일반적으로 어떤 유형의 규칙이 필요하며 그 이유를 설명합니다.

1. IPsec 트래픽 허용

IPsec 트래픽이 MikroTik 장치를 통해 흐르고 터널을 올바르게 설정하려면 방화벽이 IPsec에서 사용하는 프로토콜과 포트를 허용하는지 확인해야 합니다. 여기에는 일반적으로 다음이 포함됩니다.

• ESP(보안 페이로드 캡슐화): 기밀성, 인증 및 무결성을 제공하기 위해 ESP에서 사용하는 IP 50 프로토콜 트래픽을 허용합니다.
• AH (인증 헤더): 기밀성 없이 인증 및 무결성을 제공하기 위해 IPsec 구성에서 AH가 사용되는 경우 IP 51 프로토콜 트래픽을 허용합니다.
• IKE(인터넷 키 교환): 키 교환 및 보안 연결 협상에 사용되는 IKE에 대해 포트 500(및 NAT-T의 경우 포트 4500)에서 UDP 트래픽을 허용합니다.

2. 터널을 확보하세요

단순히 IPsec 트래픽을 허용하는 것 외에도 터널을 통과하는 트래픽을 특정 유형의 트래픽이나 특정 IP 주소로 제한하는 규칙을 만들어 보안을 강화할 수도 있습니다. 여기에는 다음에 대한 규칙이 포함될 수 있습니다.

• 터널을 통해 특정 유형의 트래픽만 허용합니다.
• 터널을 통한 액세스를 특정 IP 주소 또는 서브넷으로만 제한합니다.

3. 공격 보호

IPsec 터널을 통해 발생할 수 있는 공격으로부터 장치와 네트워크를 보호하기 위한 규칙을 고려하는 것이 중요합니다. 여기에는 다음이 포함될 수 있습니다.

• 무차별 대입 공격을 방지하려면 VPN에 대한 연결 시도를 제한하세요.
• 터널에 있어서는 안 되는 비정상적이거나 원치 않는 트래픽을 차단합니다.

IKE 및 ESP를 허용하는 방화벽 규칙의 예:

plaintext코드 복사/ip firewall filter
add chain=input protocol=udp dst-port=500 action=accept comment="Allow IKE for IPsec"
add chain=input protocol=ipsec-esp action=accept comment="Allow ESP for IPsec"

최종 고려 사항:

• 규칙의 순서: 방화벽에 규칙을 배치하는 순서가 중요합니다. 규칙은 위에서 아래로 처리되므로 충돌이나 원치 않는 차단을 방지하려면 보다 일반적인 규칙 앞에 특정 규칙을 배치해야 합니다.
• 모니터링 및 유지 관리: IPsec 터널과 해당 방화벽 규칙이 구성되면 터널 트래픽과 성능을 모니터링하고 정기적으로 방화벽 규칙을 검토하여 필요에 따라 조정하는 것이 좋습니다.

MikroTik 장치에서 방화벽 규칙을 올바르게 구성하는 것은 IPsec 터널의 성공과 보안에 매우 중요합니다.