[작성자:] 다솜돌이

[VPN] IPSec 터널 및 IKE 연결 방식

다솜돌이 Leave a comment

IPSec 터널은 인터넷 프로토콜 보안(IPSec, IP Security)을 이용해 두 네트워크 간에 암호화된 통신 경로(터널)를 만드는 기술입니다. 보통 VPN(Virtual Private Network)의 핵심 기술 중 하나로 사용되며, 안전하게 데이터를 송수신할 수 있도록 해줍니다.

IPSec 터널이란?

  • IPSec 터널 모드(IPSec Tunnel Mode)는 네트워크 장비(예: 라우터, 방화벽 등) 간에 암호화된 가상의 터널을 형성하여, 두 개의 네트워크 간에 안전한 통신을 가능하게 합니다.
  • 인터넷 같은 불특정 다수가 접근 가능한 네트워크 위에 안전한 통신 경로를 구축하는 것이 목적입니다.

작동 방식

  1. 터널의 양 끝단 장비(예: VPN 게이트웨이)는 서로를 인증합니다. (보통 사전 공유 키(PSK), 인증서 등을 사용)
  2. IKE(Internet Key Exchange)를 통해 보안 매개변수를 협상하고, 세션 키를 교환합니다.
  3. 실제 데이터가 오갈 때는 ESP(Encapsulating Security Payload)AH(Authentication Header) 프로토콜을 통해 데이터를 암호화하고 인증합니다.
  4. 암호화된 IP 패킷을 새로운 외부 IP 헤더로 감싸 전송합니다. (이게 ‘터널 모드’의 핵심)

IPSec 터널 연결 단계 (IKEv1 또는 IKEv2 기준)

IPSec 연결은 보통 두 단계로 나뉩니다:

  1. IKE Phase 1: 인증 및 보안 채널 수립
  2. IKE Phase 2 (IPSec Phase): 실제 데이터 통신에 사용할 세션 키 생성

Phase 1: IKE Security Association 수립

목표: 두 장비 간에 안전한 제어 채널 (IKE SA)을 먼저 수립하여, 이후 민감한 설정 정보를 안전하게 교환할 수 있게 함.

1.1. IKE 협상 시작

  • 양쪽 장비(IPSec peer)가 연결을 시작함 (Initiator와 Responder)
  • 서로 지원 가능한 암호화 알고리즘, 인증 방법 등을 교환
    • 예: AES-256, SHA-256, DH Group 14 등

1.2. Diffie-Hellman 키 교환

  • 서로 키 정보를 주고받아 공유 비밀 키 생성 (이 키는 암호화에 사용됨)
  • 이 과정은 공개키 기반이지만, 공유된 키는 외부에서 알 수 없음

1.3. 인증 수행

  • 서로의 신원을 인증 (보통 다음 중 하나 사용):
    • Pre-Shared Key (PSK): 양쪽에 같은 비밀번호 설정
    • 디지털 인증서: PKI 기반
    • EAP 방식: 사용자 인증용

1.4. IKE SA 생성 (Secure Association)

  • 위 과정이 완료되면, 양쪽 장비 간에 암호화된 안전한 제어 채널 생성됨

Phase 2: IPSec Security Association 수립

목표: 실제 데이터를 암호화하기 위한 IPSec 터널 (IPSec SA)을 만들고, 트래픽을 전송할 준비를 마침

2.1. IPSec 프로토콜/정책 협상

  • 어떤 프로토콜을 쓸지 협의
    • ESP (Encapsulating Security Payload): 암호화와 인증 제공 (일반적으로 사용)
    • AH (Authentication Header): 인증만 제공 (거의 안 씀)
  • 어떤 암호화 알고리즘을 사용할지 결정 (예: AES, 3DES, SHA 등)

2.2. 세션 키 생성

  • Phase 1에서 공유된 비밀 키를 기반으로 실제 트래픽을 암호화할 키 생성

2.3. IPSec SA 생성

  • 양쪽 장비는 서로에게 암호화된 트래픽을 보낼 수 있는 IPSec 터널을 완성

이후: 데이터 통신

  • 이제부터는 이 IPSec 터널을 통해 모든 데이터가 암호화되어 전송됨
  • 클라이언트 또는 네트워크 장비는 인터넷을 통해 전송되지만 내부처럼 안전한 연결을 경험

요약: 단계별 체크리스트

단계설명키워드
Phase 1제어 채널 설정IKE, DH 키 교환, PSK/인증서, 암호화
Phase 2터널 설정ESP, IPSec SA, 트래픽 선택자
이후암호화된 데이터 전송실제 사용자 데이터 암호화

IKE는 어떤 방식으로 연결되나요?

기본 프로토콜

  • IKE는 UDP 기반 프로토콜입니다.
  • 즉, TCP가 아닌 UDP를 사용하며, 신뢰성 있는 연결을 보장하지는 않지만 빠른 통신이 가능합니다.

IKE가 사용하는 포트

포트 번호프로토콜설명
UDP 500번 포트IKE (v1, v2 모두)IKE SA를 설정하기 위한 초기 패킷 전송에 사용됨
UDP 4500번 포트NAT-T (NAT Traversal)NAT 환경에 있는 경우 ESP 대신 이 포트를 사용하여 UDP로 터널링
ESP 프로토콜 (IP 프로토콜 번호 50)암호화된 실제 데이터IKE 설정 후 데이터 트래픽에 사용됨 (포트 X, IP 프로토콜 50)
AH 프로토콜 (IP 프로토콜 번호 51)인증 전용 (거의 안 씀)선택적 사용

연결 흐름 간단 요약

  1. UDP 500으로 IKE SA 협상 시작
  2. NAT 환경이면 → NAT-T가 감지되어 UDP 4500으로 포트 전환
  3. Phase 2까지 완료되면 → ESP(IP 프로토콜 50) 또는 AH(IP 프로토콜 51)로 암호화된 데이터 전송

NAT 환경 예시

만약 장비 뒤에 NAT가 있을 경우 (예: 공유기):

  • 일반 ESP 패킷은 NAT 장비에서 막히거나 변조됨
  • 이때 NAT-T (UDP encapsulation)이 작동하여 ESP를 UDP 4500 포트로 감싸서 전송함 → NAT 환경에서도 통신 가능

참고 예시 (방화벽 설정 시)

허용해야 할 포트/프로토콜목적
UDP 500IKE Phase 1/2
UDP 4500NAT 환경에서의 IKE 및 ESP 트래픽
ESP (IP 프로토콜 50)암호화된 데이터 (터널링된 트래픽)
AH (IP 프로토콜 51)인증용 데이터 (선택적)

주의: ESP는 TCP/UDP 포트가 아니라 IP 프로토콜 번호 50입니다. 방화벽에서는 포트가 아닌 프로토콜 번호로 허용해줘야 합니다.

[Hyperledger Besu] IBFT 2.0의 validator 노드 추가/제거

다솜돌이 Leave a comment

https://besu.hyperledger.org/private-networks/tutorials/ibft/validators 를 참고한다.

추가를 하려면, 예를 들어:

curl -X POST --data '{"jsonrpc":"2.0","method":"ibft_proposeValidatorVote","params":["0xd67073156211f895b2d4be3a86260b0554768ac0", true], "id":1}' http://127.0.0.1:8545/ -H "Content-Type: application/json"

제거를 하려면, 예를 들어:

curl -X POST --data '{"jsonrpc":"2.0","method":"ibft_proposeValidatorVote","params":["0xd67073156211f895b2d4be3a86260b0554768ac0", false], "id":1}' http://127.0.0.1:8545/ -H "Content-Type: application/json"

Validator 노드들은 다음과 같이 확인할 수 있다.

curl -X POST --data '{"jsonrpc":"2.0","method":"ibft_getValidatorsByBlockNumber","params":["latest"], "id":1}' http://127.0.0.1:8545/ -H "Content-Type: application/json"

[Ubuntu] ip 툴을 이용한 IP 확인 방법

다솜돌이 Leave a comment

✅ 1. 내부 IP (로컬 IP) 확인

터미널에서 다음 명령어 입력:

ip addr show

혹은 간단하게

ip a

인터페이스 별로 확인하려면:

ip -4 addr show eth0

✅ 2. 외부 IP (공인 IP) 확인

외부 서버에 요청해서 확인:

curl ifconfig.me

또는

curl ipinfo.io/ip

[Windows] Windows10 시작 메뉴 재설정 (PowerShell 이용)

다솜돌이 Leave a comment

Get-AppXPackage -AllUsers | Foreach {Add-AppxPackage -DisableDevelopmentMode -Register “$($_.InstallLocation)\AppXManifest.xml”}

이후 재부팅

[Python] Git 프로젝트 별 venv 사용법 정리

다솜돌이 Leave a comment

ChatGPT가 다음과 같이 정리 답변한다.

✅ Git 프로젝트마다 venv 만드는 법

예를 들어 my-awesome-project라는 Git 프로젝트가 있다고 가정하면:

1. 해당 프로젝트 디렉토리로 이동

cd ~/projects/my-awesome-project

2. 가상환경 만들기

python3 -m venv .venv
  • venv는 그냥 관례적으로 많이 쓰는 이름이야. 숨김 폴더가 돼서 깔끔하고, .gitignore에 넣기도 좋아.

3. 가상환경 활성화

source .venv/bin/activate
  • 프롬프트에 (venv) 또는 (.venv)처럼 표시가 붙을 거야.
  • 이 상태에서 pip install 하면 이 프로젝트 안에서만 설치돼.

4. 필요한 패키지 설치

pip install black requests flask

5. requirements.txt 만들기 (필요할 때)

pip freeze > requirements.txt
  • 다른 사람이 이 프로젝트를 클론한 다음,
pip install -r requirements.txt
  • 이렇게 하면 똑같은 환경을 바로 세팅 가능해.

✅ .gitignore 설정

venv 디렉토리는 Git에 굳이 올릴 필요 없어. 아래처럼 .gitignore에 추가해두면 좋아:

.venv/

✅ 프로젝트 폴더마다 적용 구조 예시

my-awesome-project/
├── .venv/ ← 가상환경
├── app.py
├── requirements.txt
└── README.md

🔁 다음에 다시 작업할 때는?

cd ~/projects/my-awesome-project
source .venv/bin/activate

작업 끝났으면:

deactivate

✅ VS Code 사용자라면 (추가 팁)

  • .venv를 자동으로 인식하게 하려면 .vscode/settings.json에 다음 설정 추가:
{
  "python.defaultInterpreterPath": ".venv/bin/python"
}

[ssh] config 파일에 IP와 Hostname을 함께 지정

다솜돌이 Leave a comment

~/.ssh/config 파일 안에 hostname을 지정한다면, 그 뒤에 IP 주소를 함께 지정하면 hostname이나 IP 둘 중 어느 하나로 접속해도 같은 설정이 적용된다. 항목을 여러개 만들 필요 없다. 공백으로 구분하면 다 같이 적용된다. 예를 들면 다음과 같다.

Host nas.dasomoli.org 112.145.250.152 192.168.0.204
    HostName nas.dasomoli.org
    User dasomoli
    Port 2048
    IdentityFile ~/.ssh/id_rsa_dasomoli_nas

[AWS] ALB 설정 백업

다솜돌이 Leave a comment

AWS CLI를 이용해서 ALB 관련 설정을 백업하고 삭제하자.

Config

aws elbv2 describe-load-balancers [--region <Region>] --load-balancer-arns <ALB ARN>

Listener

aws elbv2 describe-listeners [--region <Region>] --load-balancer-arn <ALB ARN>

Listener Rules

위의 Listner를 얻은 정보에서 각 Lisner 별로 각각 실행한다. 

aws elbv2 describe-rules [--region <Region>] --listener-arn <Listener ARN>

나중에 필요하면 위의 정보로 다시 ALB를 추가한다.

[Ubuntu] hostname 변경

다솜돌이 Leave a comment

hostname 또는 cat /etc/hostname 을 입력하면 기존 호스트네임을 볼 수 있다. 새로 셋팅하고 싶다면 다음과 같이 한다.

sudo hostnamectl set-hostname my-new-hostname

그리고 빼먹기 쉬운 게 /etc/hosts 이다.

sudo vi /etc/hosts
127.0.0.1    localhost
127.0.1.1    my-old-hostname  # 기존 호스트네임

이전 호스트 네임 부분을 새 호스트 네임으로 바꿔준다.

127.0.0.1    localhost
127.0.1.1    my-new-hostname

이제 reboot 해주자.

sudo reboot

[ethers.js] Transaction Data로 호출 당시의 argument 디코딩

다솜돌이 Leave a comment

Transaction의 data로 호출 당시의 argument를 디코딩해서 확인해보자.

Transaction 내용은 다음과 같이 얻는다.

const tx = ethers.provider.getTransaction("0x4e1b7e05a1a19a37a619dcd79be64669653e960db97eadc451b3999acedd7a4b")

얻은 tx.data 가 트랜잭션이 실행될 때의 data이다. 이 데이터를 ABI로부터 디코딩한다.

const abi = [
  "function dasomFunction(uint32 id, uint32 size, address[] users, uint256[] amounts)"
];
const iface = new ethers.utils.Interface(abi);
const decoded = iface.decodeFunctionData("dasomFunction", tx.data);

console.log("Decoded Data:", decoded);

getContractAt 과 같이 Contract를 얻어서 다음과 같이 디코딩할 수도 있다.

const dasomContract = await ethers.getContractAt("DasomContract", "0x21a34c702BfE8d06544e557FCc06965A86365933");
const decoded = dasomContract.interface.decodeFunctionData("dasomFunction", tx.data);

랜덤 암호를 생성하는 여러가지 방법

다솜돌이 Leave a comment

1. OpenSSL을 이용한 랜덤 암호 생성

openssl rand -base64 16
  • 16바이트 길이의 랜덤 데이터를 Base64로 인코딩하여 출력함.
  • 특수 문자 없이 알파벳과 숫자로 구성됨.

2. pwgen 패키지 사용 (설치 필요)

brew install pwgen  # 먼저 설치
pwgen -s 16 1
  • -s 옵션은 강력한 암호를 생성함.
  • 16은 길이, 1은 개수.

3. LC_ALL=C tr을 이용한 무작위 문자열 생성

LC_ALL=C tr -dc 'A-Za-z0-9!@#$%^&*()-_+=' < /dev/urandom | head -c 16
  • /dev/urandom에서 무작위 데이터를 가져와 원하는 문자만 필터링함.
  • head -c 16으로 16글자만 출력.

4. uuidgen을 활용한 암호 생성

uuidgen | tr -d '-' | head -c 16
  • uuidgen으로 UUID 생성 후 하이픈을 제거하고 앞에서 16자만 출력함.