10.21_IPsec VPNs

주영민·2024년 10월 21일

시스코아카데미_수업내용

목록 보기

34/34

IPsec

네트워크 통신의 3요소

Authentication(인증)
Data Integrity(무결성)
Confidentiality(기밀성)

Open Standards로 구성되어 있지만, 서로 다른 벤더끼리 호환이 되지 않을수도 있다는 단점이 있다.

IPsec Protocol

IKE(Internet Key Exchange)

보안 연결을 설정하고 암호화 키를 관리

ESP(Encapsulating Security Payload)

데이터 암호화와 무결성, 송신자 인증 제공.
C(encrypting), A(Authenticating), I(Securing of data)
Original Data 까지 무결성/인증을 한다.

AH(Authentication Header)

데이터와 IP 헤더의 무결성과 출처 인증 제공 (암호화는 없음)
모든 Payload에 대한 무결성/인증을 한다.
IP Header까지 인증하기 때문에 NAT가 적용되면 사용할수 없다.

Transport Mode : IPsec 에서 End to End 가 직접 통신
Turnnel Mode : VPN, 방화벽등 장치를 거쳐서 통신

IPsec Headers

AH를 통한 Authentication, Data Integrity(MD5, SHA-1, HMAC) 를 지원
MD5: 128비트 해시 함수, 취약점 발견.
SHA-1: 160비트 해시 함수, MD5보다 안전하지만 여전히 보안성 문제 있음.
HMAC: 해시 함수(MD5, SHA-1 등) + 비밀 키로 구성된 인증 코드, 보안성 강화.
ESP 를 통한 Confidentiality(DES, 3DES, AES) 를 지원
Peer Authentication Methods
(User )
Username And
OTP(Pin/Tan)
Biometric
(Device)
Preshared Keys
Digital Certificates

IKE Phases

Phase 1

Authenticate the Peer(Deice)
Negotiate a bidrectional SA
Main mode or aggressive mode
서로간의 SA 정책이 동일하다.

MainMode IKE Phases

Negotiate Policy <-> Negotiate Policy
-> 정책을 수립한다(IKE policy Sets)
Diffie-Helman Exchange <-> Diffie-helman Exchange
-> 정책을 결정하고 Key를 교환한다.
Verify the Peer identity <-> Verify the peer identity
-> 해당 Key를 가지고 인증방식을 결정하고 인증한다.
Preshared key
RSA signatures
RSA encrypted nonces

Phase 1.5

Xauth(user)
Mode config
Site to Site 은 사용하지 않는다.

Phase 2

IPsec SAs/SPIs
Negotiate IPsec security parameters

DPD(Dead Peer Detection)

IKE Phase 1단계를 유지 하기 위해 Keeperalives 역할을 한다.
IKE Phase 2단계는 항상 유지 되어 있지 않다.

NAT traversal

표준 RFC 3947
일반적으로 UDP 4500 Port 를 사용하여 패킷을 전송한다.

NAT를 찾는다.
NAT가 적용된것을 확인한다.
UDP(4500)을 통해 IPsec packets of Encapsulation 한다.

Mode Configuration

Easy VPN

IKE 단계에서는 ISAKMP를 사용한다.

DATA 전송 단계에서는 ESP/AH를 사용한다.

ESP/AH

ESP(Protocol Number 50) : 암호화, 인증, 무결성
AH(Protocol Number 51) : 인증, 무결성
Symmetric Key를 통해서 메세지를 전달한다.

Hash는 단방향으로 되어 있다.

Symmetric algorithm

DES, 3DES, AES (현재는 AES방식만 사용)
Block cipher

Asymmetric algorithm

RSA
인증 : Private Key 암호화 -> Public Key 복호화
암호화 : Pulic key 암호화 -> Private Key 복호화

Diffie Hellman Tuple
Diffie-Hellman 키 교환은 공개 키를 통해 안전하지 않은 네트워크에서 비밀 키를 공유하는 방법입니다.
Diffie-Hellman Tuple은 키 교환 과정에서 사용되는 값들의 집합으로, 공개된 값(소수(𝑝), 기저(𝑔), 공개 키)과 비밀로 유지되는 값(개인 키, 공유 비밀 키)으로 구성됩니다.
이 과정을 통해 두 사용자는 동일한 비밀 키를 생성할 수 있으며, 이를 통해 암호화된 통신이 가능합니다.

Diffie-Hellman Key Exchange

Diffie-Hellman Key 5를 주로 사용한다.

Site to Siet IPsec VPN

Interesting traffic

GRE over IPsec

GRE(Generic Routing Encapsulation)

VPN

DMVPN(Dynamic Multipoint VPN)

Hub and Sproke
DMVPN Protocol
NHRP(Next Hop Resolution Protocol)
-> 일반적인 next hop의 개념이 아닌, 새로운 Header에서의 Destination 주소
-> Multipoint VPN은 Source 만 설정이 가능하기 떄문에 NHRP를 통해서 Destination 경로를 설정한다.
EIGRP
스플릿호라이즌 diasble
next-hop-self diasble
OSPF
Hub가 DR이 되도록 해야 한다.
BGP
IBGP
Hub가 루트리플렉터가 되도록 해야 한다.

주영민

시스코아카데미_주영민

이전 포스트

10.21_IPsec VPNs

시스코아카데미_수업내용

IPsec

IPsec Protocol

IKE(Internet Key Exchange)

ESP(Encapsulating Security Payload)

AH(Authentication Header)

IPsec Headers

IKE Phases

Phase 1

MainMode IKE Phases

Phase 1.5

Phase 2

DPD(Dead Peer Detection)

NAT traversal

Mode Configuration

Easy VPN

IKE 단계에서는 ISAKMP를 사용한다.

DATA 전송 단계에서는 ESP/AH를 사용한다.

ESP/AH

Hash는 단방향으로 되어 있다.

Symmetric algorithm

Asymmetric algorithm

Diffie-Hellman Key Exchange

Site to Siet IPsec VPN

Interesting traffic

GRE over IPsec

VPN

DMVPN(Dynamic Multipoint VPN)

10.18_CyberOps

0개의 댓글