1. IPSec VPN / GRE VPN 장단점이 대해서 서술 하세요.
- 사설 Network간의 통신을 인터넷 환경에서 가능하도록 해주는 기능 (Tunneling)
(underlay, overlay)
1.1 IPSec
- IPSec은 Tunnel을 통해, 암호화, 인증, 무결성을 제공하는 것이 가장 큰 장점입니다. (보안)
- 그러나 단지 unicast data만 IPSec DATA로 만들 수 있기 때문에, Routing이 지원되지 않는 것이 단점 입니다.
(저희 구성에서는 서울과 부산간 OSPF 사용안됨) >> STATIC Route 사용 - IPSec은 dynamic Tunnel, EZ VPN, Client VPN등 다양한 형태의 VPN을 만들 수 있습니다.
- 데이타의 형태는 (Wireshark로 확인)
L2 L3(New IP공인) ESP L3 (사설) L4 AH DATA의 형태 입니다. (Tunnel mode) >> default
L3 ESP L4 AH DATA의 형태 입니다. (Transport mode)
(공인 IP를 사용하는 경우 (공인 IP를 추가로 붙이이 않아도 되는 경우사용)
1.2 GRE
- GRE는 Tunnel을 통해 Multiprotocol(Multicast)이 지원되는 것이 가장 큰 장점입니다.
(OSPF, EIGRP가 지원됨) - 일반적으로 Tunnel을 통해 Routing을 해야 되는 환경에서 사용됩니다.
- 보안적이 부분이 취약한 것이 단점 입니다. (인증가능, 약함)
- 데이타의 형태는 L2 L3(New IP공인) GRE L3 L4 AH DATA의 형태 입니다.
(Tunnel mode만 사용가능)
2. IPSec을 위해 사용되는 Protocol에 대해서 적어 보세요.
(GRE Tunnel을 위해 사용되는 Protocol >> GRE
(IPSec Tunnel을 위해 사용되는 Protocol >> ESP, AH, (IKE UDP 500)
-
ESP Encapsulation Security Payload (Protocol Number 50)
-> Data를 암호화 인증 무결성을 제공하여, IPSec Data를 만듬
-> AH Authentication Header(Protocol Nubmer 51)
-> Data를 인증 무결성을 제공하여, IPSec Data를 만듬
Protocol Number 와 Port Number의 차이점은 무엇입니까?
Port Number는 >> Application(L7)을 나타내는 번호 (telnet 23, ssh 22, http 80) >> L4 Header에 있음
Protocol Number는 >> L4를 나타내는 번호 (TCP 6, UDP 17, ESP 50, AH 51, OSPF 89) >> L3Header에 있음
L2 L3(6) TCP(23) Telnet
L2 L3(50) ESP
access-list 100 permit (protocol) any any eq (application)
L3 : IP >> IP, Protocol, MTU, Fragment,
L4 : TCP, UDP, ICMP, EIGRP, OSPF, GRP, ESP, AH >> TCP (Port Number), (Flag) (SYN, ACK, FIN, RST)
AH : TELNET, DNS, DHCP, HTTP, HTTPS, SMTP, FTP, SFTP, IKE
access-list 100 deny tcp any any eq 23
access-list 100 deny gre any any
** TCP와 UDP의 동작방식, **
3. IPSec의 Tunnel mode, Transport mode에 대해 적어 보세요.
IPSec Data를 생성하는 경우, Tunnel mode, Transport mode로 생성 가능하다.
1.1.1.1 2.2.2.1 ESP 10.1.1.1 172.16.1.1 DATA
10.1.1.1 172.16.1.1 ESP DATA
Tunnel mode --> 사설을 사용하고 있는 경우 사용 211.239.123.1 61.250.123.1 ESP(AH) 10.1.1.1 172.16.1.1 DATA
Transport mode --> 공인 IP를 사용하고 있는 경우 111.1.1.1 211.1.1.1 ESP DATA
4. IPSec에서 사용하는 암호와, 인증, 무결성 알고리즘에 대해 적어 보세요.
- 암호화 : DES, 3DES, AES (대칭키, 블럭암호화 방식)
- 인증 : Pre-shared, RSA
- 무결성 : MD5, SHA
5. IPSec Tunnel이 성립되기 위하여, Peer간에 협상(SA)를 위해 사용되는 Protocol에 대해 적어 보세요.
- IKE (Internet Key Exchange) UDP 500 (isakmp) >>> 양단간에 IPSec Tunnel이 만들어 지도록 협상해주는 Protocol
- SA는 Phase1, Phase2 이 있음 (안전한 통신을 위하여, 2번에 협상이 이루어짐)
Phase1 >>> # show crypto isakmp sa #clear crypto isakmp #debub crypto isakmp
Phase2 >>> # show crypto ipsec sa #clear cyrpto sa #debug crypto ipsec
Apr 25 06:12:13.581: ISAKMP:(1003):Old State = IKE_P1_COMPLETE New State = IKE_P1_COMPLETE
Apr 26 00:16:33.821: ISAKMP:(1003):Old State = IKE_QM_IPSEC_INSTALL_AWAIT New State = IKE_QM_PHASE2_COMPLETE
