Virtual Private Network
가상망을 통하여 특정 네트워크를 캡슐화를 통해 넘어가는 기술
새로운 헤더를 추가하여 이중화하는 기술
vpnd : cisco vpn 서버에 붙인 이름.
가상 인터페이스 ==> svi(vlan) / loopback / subinterface / gre
GRE (Generic Route Encapsulation)
: Cisco의 터널링 기본형. 자체로는 터널링만을 제공.
vpnd : host to site
특정 Host를 해당 네트워크에 편입시킴
--> 자택근무를 주로 사용
router의 vpn 서버 setting
외부에서 접근 하는 host에게 자신의 사설 네트워크 IP를 부여
현제 사설 네트워크 IP 범위 : 10.1.1.1~10.1.1.3
vpnd에서 부여할 IP범위를 지정.
conf t
ip local pool test 10.1.1.10 10.1.1.13
vpnd에서 사용할 가상 Interface : Virtual-Template
lo 0 : 172.16.1.1. 255.255.0.0
사용 목적 : unnumbered
conf t
int virtual-terminal
ip unnumberde lo 0
peer default ip adderss pol test
ppp authe chap callout
ppp ipcp dns 8.8.8.8
conf
vpdn enable
vpdn-group 1
accept-dialin
protocol l2tp
virtual-templat 1
exit
no l2tp tunnel authentication
인증 프로토콜로 chap을 사용하므로 별도의 l2tp 프로토콜 상의 인증이 불필요함.
ppp 회선 : LCP
IP매핑 : NCP
터널링 구현 L2TP / PPTP
해당 대역으로 접근시 chap을 통해 인증을 실시하며 l2tp인증은 하지 않음
인증에 성공시 10.1.1.10~ 10.1.1.13까지의 IP중 적은 숫자 IP부터 할당. 동일 네트워크로 취급
인증에 사용할 id pw ㅅ생성
username asd secret cisco
-----------------------------------------------------------------------------------------------------------------------------------
망 이중화
: 물리적인 망과 별개의 가상 네트워크망을 통해 정보를 전달.
ipv4는 IPsec을 지원하지 않음.
ipsec over gre --> iskamp
SA : 보안 요소 \
SA를 협상 --> IKE
IKE : 키 교환 알고리즘.
GRE : Generic Routing Encapsulation
여기서 Generic은 Cisco의 Generic 즉, cisco 독자 표준.
특정 트래픽의 캡슐화 cisco 표준. VPN의 cisco version
GRE의 경우 암호화를 하지 않으므로 기밀성을 보장받지 못함.
단 암호화를 사용하는 vpn에 비해 데이터의 전송처리가 빠름.
특정 트래픽의 터널링 + 암호화 적용이 목표
기존 패킷 을 IPSec으로 캡슐화 하여 GRE터널로 전송하며 다시 이를 Decapsulatio.
GRE 구현
R1
conf t
int tu 14
ip add 100.0.0.1 255.255.255.0
tu sorce 1.1.2.1
tu des 1.1.4.2
R4
conf t
int tu 14
ip add 100.0.0.2 255.255.255.0
tu source 1.1.4.2
tu des 1.1.2.1
특정 트래픽을 GRE 터널을 통해 전달.
site to site : 특정 네트워크 정보만 GRE로 전달.
--> Routing Table에 등록 필요. 다만 해당 라우터에서만 사용해야함 --> Static등록, 재분배 x(따라서 인터페이스로 라우팅테이블 등록하는 것이 좋음.)
1.1.5.0 1.1.1.0 통신에는 GRE 사용.
R1
conf t
ip route 1.1.5.0 255.255.255.0 tunnel 14
R4
conf t
ip route 1.1.1.0 255.255.255.0 tunnel 14
IPSec
기밀성 + 무결성
--> 헤더 정보를 캡슐화 및 암호화
IPv4는 IPSec을 지원하지 않으므로 추가적인 모듈(IKE/IPSEX)\이 필요\
IPv4는 프로토콜이 패킷이 보호하기위한 보안 Fild가 없으므로 스니핑을 통해 IP 헤더, TCP/UDP 헤더 , Psylod 내용을 쉽게 확인 가능.
--> 헤더 정보 인증을 통한 기밀성 보장
일반적으로 해시를 통해 무결성을 보장.
IPSec 프로토콜 유형
AH : Auth Headr. 기밀성
1. Transeport Mode
2. Tunenel Mode
ESP : payload. 무결성
1. Transeport Mode
2. Tunenel Mode
AH : 두 시스템이 송수신하는 IP 패킷에 대한 무결성 및 인증을 제공하며 암호화는 제공하지 않는 프로토콜. ip 프로토콜 51번 사용.
MD5 HMAC/ SHA HMAC 암호화 알고리즘 사용
인증 범위 : 원본 IP 헤더 일부 필드를 제외한 전체 범위
인증 대상 : 헤더
AH헤더의 경우 원본 IP 헤더와 TCP 헤더 사이 캡슐화.
*********************
SA (Security Associations) : 보안 요소
- AH / ESP 프로토콜을 통해 IPSec 구현시 필요한 암호화 및 인증에 필요한 요소.
- 암호화 알고리즘 및 인증 알고리즘이 필요.
- DES/3DES/AES, HMAC
KMS --> 윈도우 / 오피스 크랙 프로그램
key management service.
- 암호화/복호화를 위한 키의 수명(생명주기)을 관리.
- 용량(4,608,000 kbyte) or 시간(3600 s)
- SA는 단방향 연결로 생성되며 AH, ESP 는 개별적으로 생성
- SA 수동생성 : 생성시 바로 연결
- SA 자동생성 : IKEv2 : IKE 자동생성 : 용량 / 시간에 따라 자동 삭제 .
--> 주기적인 SA 갱신 및 키 업데이트를 이용하여 새로운 SA정보 및 키를 공격자로부터 유출 방지.
IKE : 인터넷 표준 암호키 교환 알고리즘.
IKE : IPSec Vpn에서 상대방을 인증하고 IKE와 AK를 협상하는데 필요한 프로토콜.
인증 알고리즘 : AH ESP
세션 키를 생성하여 상대방과의 인증을 수행 <<== 별도의 ID/PW가 필요하지 않음.
키의 생성과 인증 + 교환을 담당.
생성된 키를 배포하여 상대방과 동기화.
Diffie Hellma : 비대칭키를 이용하여 대칭키를 교환하는 프로토콜
비대칭키 알고리즘으로 상호간에 안전하지 않은 채널상에서 공개키 비밀키 세션키를 생성하여 상대방의 인증을 수행. 상호 보안채널을 구성.
SA 정보를 생성하는 방법 2가지.
수동 : 관리자가 직접 생성
자동 : IKE 프로토콜을 이용한 협상 방식. --> AH / ESP
SA 정보를 생성 / 관리하는 프로토콜 : ISAKMP(Internet Security Association & Key Management Protocol)
Cisco Router에서는 기본적으로 동작한다.
인증 알고리즘, 암호화 알고리즘, 암호 키 교환 규약이 통합적으로 관리되고 있음
IPSec으로 암/복호화 전 설정되어야하는 단계로 IKE 1단계(Phase 1)/ 2 단계 (Phase 2 ) / 적용 단계가 존재.
이를 설정할때도 절차에 의해 움직여야 하나 해제시에서 역순으로 움직여야 함. --> 계층적 구조
두 IPSec 개체간의 인증 및 2단계 SA를 성립하는 메시지를 보호하기 위한 세션키를 협상 ---> 디피 헬먼
2단계 SA를 설정하기 위한 메시지 보호에만 사용.
--> IPSec 패킷 보호시 사용되지 않음.
1단계
- SA는 방향성을 가지지 않음. 단 수동으로 키 설정시 1단계가 필요 없음.
IKE 2단계
- IPSec을 이용하여 패킷에 전송할 SA를 의미. IN/OUT Bound에서의 SA가 다르므로 2개가 존재하며 방향성이다름.
SA로 인증키 생성 (단방향이므로 Outbound Packet의 인증키(받았던키)와 Inbound 인증키(제공한 키)가 다름. 서로 키를 교환함.)
- 내용 : 인증 메커니즘, 암호화 알고리즘, 해시 알고리즘, 암호화와 인증키 값, SA갱신기간.
IKE : ISAKMP --> SA 생성/관리 --> 접속 객체 협상
ISAKMP + Oakley 프로토콜의 결합으로 IPSec에서 사용되는 키 관리 프로토콜임.
상호 객체간에 인증된 보안 통신채널을 생성하며 SA정보를 협상 (ISAKMP or IKE 1/2 단계)
해당 단계에서 IKE 메시지를 교환. 출발지와 도착지의 포트 변호는 UDP 500을 사용한다.
IKE 1,2 단계 --> SA생성 --> 두 개체간 전송 패킷들은 IPSec에 의해 기밀성 및 무결성을 보장받음.
IKE 1단계 : Main 모드.
- 6개의 메시지를 교환하여 1단계를 성립
2단계 Quick모드
SA를 생성하기 위한 메시지 교환
IKE를 이용한 개체 인증 방신
1. Pre Shared Key : 상호간의 공개키 SA 를 같은값으로 저장
2. RSA Encryption
3. RSA SIgnature
1단계 정책 내용 : 표현방식
1. 장비간의 사용할 인증 : pre shared : authentication pre- share
2. 암호 방식 3DES : encryption 3des
3. 키고환 알고리즘 DH2 : group 2
4. 무결성 확인 MD5 /SHA : hash md5
5. 보안 정책 사용 시간 : lifetiome 3600
명령어
R1
--IKE 1단계--
conf t
crypto isakmp policy 10
authentication pre-share
encryption 3des
group 2
hash md5
lifetim 60
end
conf t
crypto isakmp key 6 cisco address 1.1.4.2
end
--IKE 2단계--
# IPSec SA생성을 위한 정책 설정.
# 보호대상 트래픽 --> ACL
# Transeform set :
# IPSec Protocol : AH, ESP
# 암호화 방식 --> DES, AES, 3DES
# 무결성 확인 --> MD5-HMAC, SHA-HMAC
conf t
access-list 110 permit gre 1.1.2.0 0.0.0.255 1.1.4.0 0.0.0.255
end
conf t
crypto ipsec transform-set TEST esp-3des esp-sha-hmac
end
--1/2단계 적용--
conf t
crypto map IPSEC 10 ipsec-isakmp
set peer 1.1.4.2
set transform-set TEST
match address 110
end
# IPSec지원 Interface에서 활성화
conf t
int s1/0
crypto map IPSEC
확인
sh crypto isakmp policy
sh crypto session
sh crypto engine connections active
sh crypto isakmp sa
sh crypto ipsec transform-set
sh crypto ipsec sa address
R1#sh crypto isakmp policy
Global IKE policy
Protection suite of priority 10
encryption algorithm: Three key triple DES
hash algorithm: Message Digest 5
authentication method: Pre-Shared Key
Diffie-Hellman group: #2 (1024 bit)
lifetime: 60 seconds, no volume limit
R1#sh crypto session
Crypto session current status
Interface: Serial1/0
Session status: UP-NO-IKE
Peer: 1.1.4.2 port 500
IPSEC FLOW: permit 47 1.1.2.0/255.255.255.0 1.1.4.0/255.255.255.0
Active SAs: 2, origin: crypto map
R1#sh crypto engine connections active
Crypto Engine Connections
ID Type Algorithm Encrypt Decrypt IP-Address
1 IPsec 3DES+SHA 0 19 1.1.2.1
2 IPsec 3DES+SHA 25 0 1.1.2.1
R1#sh crypto isakmp sa
IPv4 Crypto ISAKMP SA
dst src state conn-id status
IPv6 Crypto ISAKMP SA
R1#sh crypto ipsec transform-set
Transform set TEST: { esp-3des esp-sha-hmac }
will negotiate = { Tunnel, },
Transform set #$!default_transform_set_1: { esp-aes esp-sha-hmac }
will negotiate = { Transport, },
Transform set #$!default_transform_set_0: { esp-3des esp-sha-hmac }
will negotiate = { Transport, },
R1#sh crypto ipsec sa address
fvrf/address: (none)/1.1.2.1
protocol: ESP
spi: 0xD1B1CE64(3518090852)
transform: esp-3des esp-sha-hmac ,
in use settings ={Tunnel, }
conn id: 1, flow_id: SW:1, sibling_flags 80000046, crypto map: IPSEC
sa timing: remaining key lifetime (k/sec): (4588954/1042)
IV size: 8 bytes
replay detection support: Y
Status: ACTIVE
fvrf/address: (none)/1.1.4.2
protocol: ESP
spi: 0x89B27EED(2310176493)
transform: esp-3des esp-sha-hmac ,
in use settings ={Tunnel, }
conn id: 2, flow_id: SW:2, sibling_flags 80000046, crypto map: IPSEC
sa timing: remaining key lifetime (k/sec): (4588954/1042)
IV size: 8 bytes
replay detection support: Y
Status: ACTIVE
'네트워크 및 서버 > 네트워크' 카테고리의 다른 글
| ASA 방화벽 (0) | 2024.12.10 |
|---|---|
| IPv6(2) (0) | 2024.12.05 |
| IPv6 (0) | 2024.12.04 |
| IPv6 Network Routing Protocol 실습(1) (0) | 2024.12.04 |
| OSPF Stub / NSSA 실습 (0) | 2024.11.25 |
