보안 해볼까

Cisco ASA 장비는 Tunnel 구축 시 IPSec과 ISAKMP 터널링 표준을 사용한다.

Tunneling에 대한 자세한 내용은 이전 포스팅 참고
2020/09/27 - [기초지식/네트워크] - Tunneling

ISAKMP와 IKE

ISAKMP(Internet Security Associationand Key Management Protocol)

말 그대로 host 간의 IPSec을 구축하는 과정에서의 협상 Protocol을 말하며, 총 2단계에 걸쳐 터널을 생성하게 된다.

1단계에서는 ISAKMP 협상 메시지를 보호하는 터널을 생성하고, 2단계에서는 데이터를 보호하는 터널을 생성하게 된다.

IKE(Internet Key Exchange)

ISAKMP를 통해 IPSec SA(Security Association)를 사용할 수 있도록 하며, peer 인증 시 사용되는 암호화 키를 생성한다.

ASA 장비에서는 용도에 따라 사용되는 IKE version에 차이가 있다.

VPN Client와의 연결을 위한 용도로는 IKEv1을 사용하고, AnyConnect VPN Client 연결을 위한 용도로는 IKEv2를 사용한다.

peer: tunnel을 맺는 반대쪽 host라고 생각하면 된다.

장비 설정

1. IKE 정책 구성

만약 IKEv1 정책을 구성 시 DES 암호화, MD5 해시, RSA 인증 알고리즘 사용, Diffle-Hellman 그룹 5, SA 수명 4시간으로 설정한다면 Command는 아래와 같다. (각 옵션별 자세한 내용은 하단 'IKEv1, IKEv2 명령어 및 옵션 표' 참고)

IKEv1, IKEv2 명령어 및 옵션 표

IKEv1

IKEv2

2. IKE 활성화

VPN 터널이 맺어질 때 사용되는 Interface(보통 outside interface) 에서 IKE 활성화하는 작업이 필요하며, 명령어는 아래와 같다.

3. 트래픽 암호화 방식 설정

트래픽의 보호를 위한 암호화 방식을 설정할 수 있으며 IKEv1, IKEv2 각각의 명령어는 아래와 같다.

아래 커맨드에서 [name]은 담당자가 지정하면 되며 [encryption]은 암호화 방식의 종류를, [authentication]은 해시 알고리즘의 종류를 정하면되는데, 관련 옵션은 아래 작성한 '트래픽 암호화 방식 설정 옵션 표'를 참고하면 된다.

3-1. IKEv1

3-2. IKEv2

트래픽 암호화 방식 설정 옵션 표

4. 터널 그룹 정의

터널 그룹 생성 및 설정

Cisco ASA 장비에는 기본 IPSec 원격 액세스 터널 그룹(DefaultRAGroup)과 LAN to LAN 터널 그룹(DefaultL2L)이 있다.

4-1. 터널 그룹을 생성하는 커맨드는 아래와 같으며 type 지정 시, 원격 액세스 터널의 경우 'ipsec-ra', L2L의 경우 'ipsec-l2l'로 설정하면 된다.

4-2. 인증방법을 설정할 때, general-attributes 명령어를 사용하면 된다. 생략된 추가 옵션은 가독성을 위해 생략하였으며, 최하단 '참고' 부분의 공식 사이트 참고

4-3. 터널 그룹에 대해 사용할 address pool을 설정하는 명령어는 아래와 같다.

4-4. IKEv1 연결에 대해 IPSec 속성을 입력하기 위한 명령어는 아래와 같다.

4-5. 사전 공유 키를 구성하는 명령어는 아래와 같다.(IKEv1만 해당됨)

5. 동적 암호화 맵 생성 및 설정

아래와 같이 동적 암호화 맵을 설정함으로써, IP를 알지 못하는 Peer와의 연결을 할 수 있다.

[IKEv1]

[IKEv2]

역방향 라우팅을 활성화하면, 연결된 client에 대해 routing 정보를 확인하여 RIP 또는 OSPF를 통해 네트워크에 알린다.

이 외에도 설정 VPN 설정을 위한 추가 옵션들이 존재하며, 추가 옵션들에 대해서는 아래 Cisco 공식 홈페이지를 참고.

필요 시 본 포스팅에 추가 예정.

# 참고

www.cisco.com/c/en/us/td/docs/security/asa/asa72/configuration/guide/conf_gd/vpngrp.html#wp1113843

VPN(Virtual Private Network)

Tunneling 기법을 사용해, 두 네트워크 사이의 연결을 전용회선을 이용해 연결한 것과 같은 효과를 내는 기술이다.

쉽게 말해서, 이름 그대로 '가상으로 사설망을 만들어 사용한다'고 생각하면 된다.

VPN 기술을 이용해 외부에서 접근할 수 없는 사설망(사내 네트워크 등)에 내 PC 등을 연결시킬 수 있다.

Tunneling 기법에 대한 글은 이전 포스팅 참고 : 
2020/09/27 - [기초지식/네트워크] - Tunneling

1. VPN을 사용하는 이유

A와 B가 보안이 필요한 통신을 할 때, 공중망에 떠다니며 통신하는 패킷은 안전하지 않기 때문에, A<>B 통신 시, VPN을 맺어 가상 사설망을 맺은 뒤 통신을 하도록 하는것이 좋기 때문이다.

재택 근무 등 원격 접속을 이용해 사내 네트워크를 사용할 경우, 사용되는 기술이 VPN 기술이다.

2. 공중망과 사설망

통신망은 접근성에 따라 공중망과 사설망 두가지로 분류할 수 있다.

[공중망]

어느 누구나 자유롭게 접근할 수 있는 통신망으로, 통신업체들이 구축한 통신망.
불특정 다수가 통신망을 공유하기 때문에 악의적인 사용자에 의한 데이터 유출이나 공격 등과 같은 보안 위험 요소들이 존재한다.

[사설망]

사설 IP 주소 공간을 이용하는 네트워크를 말한다.

쉽게 말해 공중망의 반대의 개념이며, 공유기 하단에 있는 네트워크 대역을 말한다.

3.암호화 방식

암호화 방식에는 크게 두가지가 있는데, IPSec과 SSL이다.

IPSec과 SSL의 기본 개념에 대해서는 이전 포스팅 참고.
2020/09/27 - [기초지식/네트워크] - IPSec, SSL, TLS

크게 이 두가지 암호화 방식을 이용해 VPN 통신을 진행하게 되며 간단하게 요약해서 말하면 아래와 같다.

- IPSec VPN은 3계층(Network Layer)에서 정보를 주고받는 방법으로, 장비가 2대 필요하다.

- SSL VPN은 7계층(Application Layer)에서 정보를 주고받는 방법으로, 장비가 1대 필요하다. 

1) IPSec VPN

위에서 설명한 것과 같이 VPN 연결은 가상 Tunnel을 통해 이루어지며, 이 가상 터널을 IPSec으로 암호화하여 보호하는 기술을 말한다.

IPSec VPN은 통신을 원하는 A와 B 사이에 각각 VPN 장비를 설치하게 된다. (그래서 장비가 2대 필요하게 된다.)

운영 방식에 따라 전송모드와 터널 모드가 있으며, 해당 내용도 위에 첨부한 이전 포스팅 참고

2) SSL VPN

IPSec VPN과 동일하게 VPN 연결은 가상 Tunnel을 통해 이루어지며, 인증이 완료되면 A에게 가상 IP가 할당되어 VPN을 사용할 수 있게 된다. (인증 과정에서 방화벽 등을 사용하여 진행한다.)

IPSec VPN과의 차이점으로, 웹 브라우저와 B 사이의 주고받는 정보를 암호화 하고 VPN 장비는 1대 필요하다.

Cf) SSL VPN 통신 과정

1) 외부의 Client A는 인터넷을 통해 VPN 장비에 접속하여 가상의 사설 IP를 할당 받음

* Client A가 SSL VPN에 접속한 후에는 사설망에 있는 장비들은 Client A가 내부에 있다고 판단한다.

2) VPN 장비는 Client A가 요청한 내용을 가지고 Server B와 통신을 시도

3) Server B는 VPN 장비에게 Request에 대한 Reply를 보냄

4) VPN 장비는 Server B의 응답을 Client A에게 전달

# 참고

terms.naver.com/entry.nhn?docId=1180265&cid=40942&categoryId=32850