Transcript ipsec
IPSec의 동작 phase 1 라우터 phase 2 SA 라우터 서로 맞는지 인증(확인), 세션키 협상, 세션연결 공개키 분배(IKE프로토콜을 이용하여 분배) 비밀키 설정, 공개키를 이용한 비밀키 공유방식 설정 hase1의 sa는 phase2의 sa를 보호함 라우터 SA 라우터 암호화된 데이터를 주고 받을 sa생성 sa를 이용한 실제 실제 암호화된 정보 보 데이터 암호화, 인증방식 설정 phase 1의 세션 phase 2의 세션 phase 1에서 암호화 방식 phase 2에서 사용할 비밀키방식의 비밀키를 암호화하여 각각의 라우터에게 분배하여 암호화 데이터가 송수신 될 수 있도록 해야 함 암호화 비밀키 복호화 암호화된 비밀키 + 비밀키방식 비밀키(대칭키) = 공개키방식의 개인키 공개키방식의 공개키 개인키 +공개키 = 복호화키 phase 1에서 암호화 방식 키 모음 비밀키방식 비밀키(대칭키) + 키 분배 (IKE프로토콜이용) 공개키방식의 개인키 공개키방식의 공개키 = 개인키 +공개키 = 복호화키 암호화된 비밀키 세션키 키 분배 프로토콜(IKE (Internet Key Exchange))을 이용하여 키 분배 IKE는 를 주기적으로 바꿔서 각각의 라우터에게 분배함 다른 키도 마찬가지로 주기적으로 변경 phase 2에서 암호화 방식 비밀키방식 비밀키(대칭키) 암호화된 data 암호화된 data 암호화된 data 암호화된 data data를 암호화하는 방법 설명 비밀키으로 복호화 data 비밀키으로 암호화 암호화된 data IKE로부터 받은 비밀키를 이용하여 data암호화,복호화 암호화 방식 비밀키방식 비밀키 비밀키방식로 암호화 데이터 암호화된 데이터 비밀키방식로 복호화 비밀키 암호화 방식 공개키방식 개인키 개인키로 암호화 비밀키 암호화된 비밀키 복호화키로 복호화 <개인키+공개키> = 복호화키 인증 방식 인증방식에 대해서는 잘 알지 못하다 대충 설명하자면 data 인증키를 이용한 인증 인증을 하면 데이터 전체를 감싸서 보호하게 됨 감싼 부분이 조금이라도 깨지면 인증은 실 data data 라우터 라우터 data IPSec의 동작 [Phase 1] 1. 세션키를 이용한 라우터끼리의 세션연결 라우터 SA 라우터 2. Phase 2에서 데이터 암호화, 복호화하기 사용되는 비밀키 방식의 비밀키를 암호화하기 위한 개인키(공개키방식) 설정 3. 비밀키를 공유하기 위한 공개키방식 설정 비밀키 방식의 암호화된 비밀키 공개키 방식의 개인키, 공개키 공개키방식으로 비밀키암호화 키 분배 라우터 SA 비밀키 라우터 키 분배에는 암호화와 인증이 사용됨 키 분배를 위해 ike프로토콜 이용함 ike프로토콜은 Key의 생성과 교환, 그리고, 안전성을 높이기 위해 열쇠의 정기적으로 갱신을 자동적으로 실시, 세션키를 통한 세션연결 키 분배를 받고 암호화된 비밀키를 공개키방식으로 복호화하여 비밀키를 얻고 그 비밀키를 이용하여 데이터를 암호화하는 것임 IPSec의 동작 [Phase 2] 1. 데이터 암호화, 인증을 위한 방식 설정 암호화 방식 : 예)esp-3des 인증 방식 : 예)esp-sha-hmac 2. 데이터 암호화, 인증을 위한 세션 설정(설정없이 자동으로 설정됨) ipsec 소스내용를 크게 본다면 crypto map crypto isakmp phase 1 인터페이스 crypto map적용 crypto ipsec transform-set phase 2 수동키를 이용한 ipsec (ccnp책 91쪽) no crypto isakmp enable (자동키 disable) ---------------------------------------------------------------------설명 : isakmp은 phase1을 나타냄 ---------------------------------------------------------------------access-list 110 permit ip 150.1.13.0 0.0.0.255 150.3.13.0 0.0.0.255 인증방식 암호화방식 ! crypto ipsec transform-set CISCO esp-des esp-md5-hmac ---------------------------------------------------------------------설명 : phase2 설정 (데이터 암호화, 인증 설정) ---------------------------------------------------------------------crypto map IPSEC 10 ipsec-manual ---------------------------------------------------------------------설명 : crypto map을 통해서 ipsec을 interface에 적용하게 됨 IPSEC = crypto map의 이름, 10 = IPSEC에서 적용되는 순서를 나타냄 IPSEC 10 나이 20 이름 30 성별 위의 내용을 이어서 ipsec-manual (수동키 설정) ---------------------------------------------------------------------set peer 13.13.10.3 (상대방 phase2 장비의 주소) set transform-set CISCO (앞에서 정의한 transform-set CISCO phase2 조 건 적용) set session-key outbound esp 768 cipher abcd1234 authenticator 1234 --------------------------------------------------------------------------설명 : seesion-key (세션키 정의를 하겠다는 의미) outbound (세션은 입력과 출력별 각각 필요) esp 768 (세션키 정의, 상대방과 같아야 함) chipher abcd1234 (암호화키 정의, 16진수 짝수이어야 함, 상대방과 같아야 함, 여기서 outbound로 설정 했으므로 상대방은 inbound이어야 함) authenticator 1234(인증키 정의, 16진수 짝수이어야 함, 상대방과 같 아야 함, 여기서 outbound로 설정 했으므로 상대방은 inbound이어야 함) --------------------------------------------------------------------------match address 110 (앞에서 정의한 access-list 110에 일치한다면 crypto map 적용) 자동키를 이용한 ipsec (ccnp책 95쪽) acess-list 110 permit ip 150.1.13.0 0.0.0.255 150.3.13.0 0.0.0.255 crypto isakmp policy 10 ---------------------------------------------------------------------------------------isakmp (phase 1)적용, 자동키 사용 설정 policy 10 = policy가 적용되는 순서를 나타냄 10 나이 20 이름 30 성별 ----------------------------------------------------------------------------------------encryption 3des (공개키방식의 암호화방식 설정) hash sha (공개키방식의 인증방식 설정) group 2 (키 교환 방식 설정 – 밑의 authentication과는 별개, 비밀키를 어떻게 받을 것인 authentication pre-share ----------------------------------------------------------------------------------------비밀키 방식의 비밀키를 어디서 받을 것인지 설정 키 분배 하는 방식 1. 한번 비밀키 정해지면 바꾸지 않음 2. 공개키 방식의 키를 생성하는 서버에서 받음 3. 자동으로 ike에서 생성해서 받음 crypto isakmp key 6 cisco address 13.13.10.3 --------------------------------------------------------------------------------------------isakmp (phase 1을 나타냄) 6 (적용되는 순서를 나타냄) cisco (비밀키 방식의 개인키 = phase 2에서 사용) address (상대방의 ip주소를 설정) 여기까지가 phase 1설정 인증방식 암호화방식 --------------------------------------------------------------------------------------------crypto ipsec transform-set CISCO esp-3des esp-sha-hmac --------------------------------------------------------------------------------------------phase2 설정 --------------------------------------------------------------------------------------------crypto map IPSEC 10 ipsec-isakmp --------------------------------------------------------------------------------------------set peer 13.13.10.3 (상대방 ip주소 설정) set transform-set CISCO (crypto phase2의 설정 적용) match address 110 (access-list 110에 해당되면 crypto map을 적용) int s1/1.13 crypto map IPSEC (인터페이스에 crypto map 적용) 수동키를 이용한 ipsec은 세션키를 설정해야하지만 자동키를 이용한 ipsec은 세션키를 자동으로 생성하여 자동설정함