Symmetric Key (대칭키)
1. DES
2. 3DES
3. AES
Asymmetric Key (비대칭키)
: 대칭키의 키 교환 문제를 위해 개발
1. DH
2. RSA : PKI 기반 -> 인증기관이 필요함
PKI : 공개키 기반 구조
CA : 공인인증기관
CSR Code : 인증서 서명 요청서 , Base-64 텍스트 블록으로 구성
1. CN : common name , 정규화된 도메인 이름
2. 키 크기
3. 조직 , 조직 단위 , 소재지 , 주 , 국가 , 이메일 주소
(인증서 서명 요청서가 가진 세부 정보)
CSR code 요청을 통해 인증받은 공개키 (server certificate) 가 가지는 정보
1. CN
2. Period : 인증서 유효기간
3. FQDN : 전체 주소 도메인 네임
웹 url 은 위처럼 호스트와 도메인으로 나눠지는데 이를 모두 표기하는 것을 FQDN 이라고 한다.
4. user 일 경우 , username
5. CDP (인증서 해지 목록 개시 지점)
Client 의 인증서 유효성 검사
1. CN 확인
2. issure name 확인 : trusted ca certified 를 가지고 있음 -> 공개키의 인증서가 공인 인증서가 아니다 하면 폐기함
3. crl 확인 (certificate revoke list, 인증서 폐기 목록)
4. 인증서 유효 기간 (Period) 확인
GRE
https://404notonc.tistory.com/66
gre tunnel
VPN VPN 에 대한 간단한 개념을 알고 넘어가시는게 좋습니다. vpn 은 보안성과 가용성을 높이기 위한 솔루션인데요. 본사와 지사가 같은 사설망을 가지기엔 물리적인 거리가 너무 멀시 경제적으로
404notonc.tistory.com
한번 포스팅 한적 있는 얘기지만 더 전문적으로 배웠기 때문에 다시 한번 씁니다.
GRE( 일반 라우팅 캡슐화 ) 는 Cisco systems 에서 개발, 네트워크 계층 프로토콜을 캡슐화 합니다.
이런식으로 캡슐화 되기 때문에 실제 라우팅 프로토콜을 통해 전달되고 encapsulate 되면서 실제 목적지에 터널처럼 도달할 수 있는 것입니다.
GRE 단편화
GRE Tunnel MTU, Interface MTU, and Fragmentation
Whenever we create tunnel interfaces, the GRE IP MTU is automatically configured 24 bytes less than the outbound physical interface MTU. Ethernet interfaces have an MTU value of 1500 bytes. Tunnel interfaces by default will have 1476 bytes MTU. 24 bytes
community.cisco.com
gre 단편화에 대한 이야기 입니다. 솔직히 이유는 정확히 설명을 잘 안해주셨고 그에 대합 시스코의 답변인데 잘 이해가 안되네요.
아무튼 단편화가 발생하면 delay 가 생기고 소통량이 증가해서 문제가 생기므로 기본 MTU 1500 - GRE header 24 = 1476 바이트 로 설정됩니다.
GRE over IPsec
왜 IPsec 을 GRE 와 함께 사용하느냐
두 엔드포인트 간에 전송되는 모든 데이터를 암호화하는, IPsec 터널이라는 암호화된 회로를 설정하여 네트워크 데이터를 보호합니다.
IPsec 은 유니캐스트만 지원하므로 GRE tunnel 을 함께 사용하면 멀티캐스트로 더 다양성 있게 이용할 수 있다고 합니다.
또한 당연한거지만 보안성이 떨어지는 GRE 를 보완하기 위함도 있습니다.
IKE 의 단계
1 단계 peer 인증단계 (isakmp)
IPSec 을 설정하기 위해선 설정해줘야 하는 것들(Encryption Method , Hash AL, DH group) 등등 SA 라고 지칭하고 키 입력 방식 이라고 부른다. 이런 방식을 계속 이용하면 암호 분석학적 공격에 취약해져 문제가 생긴다. 이걸 자동으로 해주는 SA 와 세션 키를 안전하게 관리하는 것이 isakmp (IKEv1)이고 1단계에선 이 IKE 프로토콜을 이용하여 2단계에서 필요한 SA 를 생성한다. 나중에 더 자세하게 설명하겠다
2단계 DATA Encryption (IPsec)
보안 프로토콜을 이용하여 암호화 한다
Transparent mode : 패킷만 암호화 함
Tunnel mode : IP 헤더도 암호화
-> 이 방식 사용 , auth-header esp 등이 있는데 AH 는 데이터에 대한 암호화를 지원하지 않아 esp 만 사용
RSA-SIG 방식 , pre-shared 방식으로 나뉨
Pre-shared P2P GRE over IPsec 설정
R1
int tunnel 10
ip add 3.3.3.2 255.255.255.252
tunnel source [물리 ip 또는 라우터 loopback 주소]
tunnel destination [대상 물리 ip]
ip route [상대 ip] [netmask] tunnel 10 [상대 tunnel ip]
R2
int tunnel 10
ip add 3.3.3.1 255.255.255.252
tunnel source [물리 ip 또는 라우터 loopback 주소]
tunnel destination [대상 물리 ip]
ip route [상대 ip] [netmask] tunnel 10 [상대 tunnel ip]기본 터널 설정. 저번에도 말했지만 재귀 라우팅 문제 조심!
https://community.cisco.com/t5/routing/what-is-the-recursive-routing/td-p/3912711
What is the recursive routing
Hi All, Let me know what is the recursive routing. What is the purpose for recursive routing. Let me know what is pros and cons ? I am reading below links but i still confuse ? Please explain . https://www.cisco.com/c/en/us/td/docs/ios-xml/ios/iproute_pi/c
community.cisco.com
두 라우터에서 모두 동일
crypto isakmp policy 10 // isakmp 를 이용하여 SA policy 10 생성
encryption aes // aes 암호 알고리즘으로 암호화
authentication pre-shared // RSA-SIG 방식 더 많이 씀 , pre-shared 방식으로 인증한다고 선언
hash sha // hash AL 설정
group 14 // dh group 설정
exit
crypto ipsec transform-set strong esp-des esp-sha-hmac
// 암호 알고리즘은 입맛에 맞게 설정 위에서 설명한 IKE 2단계 설정
// IPsec 의 정책 설정 부분이다
crypto isakmp key cisco addresss [상대 ip] // ipsec 키 값 생성
// isakmp 인증을 위한 키 설정
// 만약 모두와 이 키를 공유하고 싶다면 0.0.0.0 0.0.0.0
access-list 100 permit gre host [내 물리 인터페이스 ip] [상대 물리 인터페이스 ip]
// gre 패킷 전송 방식을 이용하여 전송하는 트래픽 대상 설정
crypto map TS 10 IPsec-isakmp // ike map 생성
match address 100
set transform-set strong
set peer [상대 물리 인터페이스 ip] // peer 생성
int [적용할 인터페이스]
crypto map TS'네트워크 > 네트워크 일반' 카테고리의 다른 글
| 인프라 NMS 구축 및 이중화 솔루션 구축 프로젝트 기록 (1) | 2023.01.06 |
|---|---|
| nhrp , MGRE (0) | 2022.12.07 |
| 라우터 dhcp relay agent (0) | 2022.11.10 |
| gre tunnel (0) | 2022.11.10 |
| frame-relay(point to point, multi point) (0) | 2022.11.04 |
