VPN

1.기능
1) 인증 - psk(preshare key)
           - 디지털인증서

2) 기밀성 유지
- des,3des,aes,rc4

3) 데이타 무결성 보장
- 데이타를 공격자가 변조하는것을 방지
diffie-hellman 으로 암호화 및 해싱을 위한 대칭키 생성->md5,sha->encrypt->해시코드  생성->패킷에 첨부->상대방 전송->decrypt->변조되지 않음 확인

4) 재생방지
- 공격자가 데이타를 중간에 끼워넣는 행위 방지
- 패킷의 순서번호 또는 도착시간을 확인하여 방지

2.종류
1) 순수 ipsec vpn - 기본 ipsec
2) gre ipsec vpn - gre를 통한 라우팅 해결
3) dmvpn - 대규모 vpn
4) ipsec vti - vpn 설정 간편
5) easy vpn - 외부사원의 내부망 접속허용
6) get vpn - 대규모 vpn, 멀티캐스트,qos지원
7) ssl vpn - 전자상거래 용도
8) pptp vpn - 외부사원의 내부망 접속허용
9) l2tp vpn - 외부사원의 내부망 접속허용
10) mpls vpn

3. 암호의 구분
1) 대칭키 - 양측에서 사용하는 암호가 같음
* psk - 미리설정된 암호키
* diffie-hellman - 알고리즘에 의해 생성된 암호키,대칭키 생성시의 알고리즘은 비대칭키 사용

2) 비대칭키 - 양측에서 사용하는 암호가 다름,암호화,복호화키가 상이함
* rsa
* 공개키(암호화,타인에게 공개),개인키(복호화,개인이 비밀스럽게 보관)

3) 동작
(1) 인증
r1->psk,인증서->r2
(2) 임시대칭키 생성
r1->diffie-hellman->r2
(3) 데이타 무결성 확인
r1->sha,md5->r2
(4) 재생방지
r1->순서번호,도착시간->r2

4.isakmp(internet security association key management protocol)
- 두개의 장비가 보안통신을 하기위한 절차를 명시한 프로토콜

1) ike(internet key exchange)
- isakmp가 명시한 각 절차에서 필요한 구체적인 프로토콜의 종류와 절차를 정의

2) ike 1단계(main mode)
(1) isakmp sa 제안
r1-->인증=psk,암호화=3des,해싱=sha,dh=2,isakmp=유효기간-->r2
(2) isakmp sa 선택=r2에 같은 isakmp sa가 있으면 r1에게 송신
r1<--인증=psk,암호화=3des,해싱=sha,dh=2,isakmp=유효기간<--r2
(3) diffie-hellman 키 교환=암호화 및 해싱에 사용할 대칭키 생성
r1-->r1의 공개키와 임의의 수-->r2=r1의 대칭키 계산 완료
(4) diffie-hellman 키 교환=암호화 및 해싱에 사용할 대칭키 생성
r2의 대칭키 계산 완료=r1<--r2의 공개키와 임의의 수<--r2
(5) 인증=psk 이용시는 자신의 id와 암호를 해시코드로 생성하여 전송
r1-->r1의 id와 암호에대한 해시코드-->r2
(6)인증=psk 이용시는 자신의 id와 암호를 해시코드로 생성하여 전송
r1<--r2의 id와 암호에대한 해시코드<--r2

3) ike 2단계(quick mode)

(1) ipsec sa 제안
r1-->암호화=3des,해싱=sha,보호대상 네트워크,동작모드(transport,tunnel),encapsulation(eps/ah)-->r2
(2) ipsec sa 선택
r1<--암호화=3des,해싱=sha,보호대상 네트워크,동작모드(transport,tunnel),encapsulation(eps/ah)<--r2
(3) 수신확인

r1-->수신확인-->r2

ike 는 총9단계를 거쳐서 세션이 완료
1단계(6)+2단계(3)

isakmp 세션에서 송수신되는 모든 패킷들은 udp 500포트 사용

ike 1단계->ike 2단계->esp 또는 ah로 encapsulation 된 데이타 송신


5.diffie-hellman 알고리즘
공개키/개인키 알고리즘을 사용하여 대칭키 생성

1) 동작방식
(1)
대칭키
   I
데이타-->암호화된 데이타
   I
3des

(2)

대칭키
   I
데이타-->해시코드+데이타
   I
sha

2) 해시코드 종류
(1) hmac-md5-96 = 128bit 해시코드 생성
(2) hmac-sha-1-96 = 160bit 해시코드 생성

6.esp 패킷 포맷 구조
esp 헤더(암호화 안함,무결성 확인) - spi(security parameter index) 32byte = 목적지ip와 sa를 조합하여 현재 패킷의 sa 값 표시
esp 헤더(암호화 안함,무결성 확인) - 순서번호=패킷마다 1씩 증가
데이타(암호화 함,무결성 확인) - data
esp 트레일러(암호화 함,무결성 확인) - 패딩
esp 트레일러(암호화 함,무결성 확인) - 패딩길이 8byte
esp 트레일러(암호화 함,무결성 확인) - 넥스트헤더 8byte
icv(intergrity check value)=데이타의 변조확인을 위하여 추가하는 hash 코드값

7.ipsec 동작모드
원래의 데이타 패킷에 vpn장비의 새로운 ip헤더를 추가하는지 여부에 따라 transport mode 인지 tunnel mode인지 구분

1) transport mode
종단장비사이에 직접 ipsec vpn을 이용한 통신이 이루어지는 경우
tunnel mode를 사용할수 도 있음

2) tunnel mode
종단장비들 전송경로 사이에 있는 ipsec vpn 게이트웨이를 이용하여 통신을 하는 경우

     

8. mtu 크기
시스코에서 권고하는 최적 mtu = 1300 byte
gre를 사용할경우 tunnel interface의 mtu 기본값이 1514 byte이므로 1300으로 수정해야함
ex) ip mtu 1300

9. esp 패킷 처리순서
1) 암호화 알고리즘을 결정하기 위하여 sa 확인
2) 패킷 암호화
3) 순서번호 생성
4) icv 계산
5) 분할
6) 전송
7) 수신
8) 수신 interface의 acl 적용
9) 패킷 조립
10) sa 확인
11) 순서번호 확인
12) 무결성 확인
13) 패킷 복호화

10.vpn 통신 순서
 1) tunnel 연결 확인
  -> 물리적으로 연결이 되어 있어야함
  -> gateway로 ping 정상인지 확인
 2) nhrp 동작 정상 확인
 -> 센타 vpn-hub의 nhrp cache에 dynamic으로 점포의 tunnel ip 와 공인 ip가 등록됨
 -> interface tunnel의 nhrp 설정이 정상인지 확인
 3) eigrp 네이버 확인
  센타 vpn-hub의 interface tunnel의 ip nhrp map multicast dynamic 설정에 의해서 dynamic방법으로 알게된 점포 nhrp 주소에 대해서만 multicast를 해당 점포로 보냄
정상 등록이 안된 점포는 eigrp  multicast 가 전송되지 않음
점포에서는 센타 네이버 안 보임
센타 vpn hup 에서는 점포가 네이버로 보임

# interface tunnel is up -> ipsec 통신 정상 -> nhrp 등록 정상 -> eigrp 네이버 수립 ->정상 통신

11. ip nrhp map 설정

 1) 라우터 a
  (config)# ip nhrp map multicast b
   -> b 라우터로만 broadcast 및 multicast 전송

 2) 라우터 a
  (config)# ip nhrp map multicast b
  -> 목적지가 한개 이므로 의미가 없다

12.recursive routing 에러
 1) 사례
  ip route 0.0.0.0 0.0.0.0 t0
  tunnel destination 1.1.1.1
  router eigrp 10
  net 1.1.1.0 0.0.0.255
  -> eigrp 설정에 목적지의 nbma ip 주소를 넣으면 recursive routing 에러 발생