GRE over IPsec

 

GRE란?

GRE Tunneling

 

 

IPsec이란?

- 네트워크 계층에서 보안을 제공하는 서비스와 프로토콜 모음을 말하는 용어

- 데이터 인증, 데이터 무결성 및 기밀성을 제공한다.

- 주로 VPN을 설정하는 데 사용되며 IP 패킷을 암호화하고 패킷의 출처를 인증하는 방식으로 작동한다.

 

IPsec의 작동 과정 중에는 IKE(Internet Key Exchange)과정이 있다.

 

IKE란?

- ISAKMP IPsec에서 사용되는 키 관리 프로토콜

 

IKE 1단계 

- 암호화된 데이터를 송수신하기 위한 준비 과정

- 목적 : IKE 2단계에 사용할 수 있도록 보안 터널을 만드는 것

정책	내용
VPN 장비간 사용할 인증 방식 (authentication)	Pre-Share Key, RSA Encryption, RSA Signature
암호화 방식 (encryption)	DES, 3DES, AES
키 교환 방식 (group)	DIffie-Helman Group (1, 2, 5, 14)
무결성 확인 방식 (hash)	MD5, SHA

 

IKE 2단계

- 암호화된 데이터를 송수신하는 과정

정책	내용
보호 대상 트래픽	access-list 구문 사용
IPsec 프로토콜	AH ESP
암호화 방식	DES, 3DES, AES
무결성 확인 방식	MD5, SHA
보안 정책 사용 기간	Lifetime
IKE 1단계 / 2단계 정책 연동	crypto map 명령어 사용

 

IKE는 터널을 구성하지만 사용자 데이터를 인증하거나 암호화하지는 않는다. 

이를 위해 다른 두 가지 프로토콜을 사용하는데 바로 AH(인증 헤더)와 ESP(보안 페이로드 캡슐화)이다.

- AH : 인증, 무결성 지원

- ESP : 인증, 무결성, 암호화 지원

 

위의 두 프로토콜은 두 가지 모드를 지원한다.

- Transport Mode (전송 모드) : 패킷만 암호화

- Tunnel Mode (터널 모드) : IP 헤더도 암호화

 

GRE over IPsec이란?

- GRE 와 IPsec을 같이 사용하는 방식이다.

 

GRE over IPsec을 사용하는 이유?

- GRE에서 Dynamic Routing을 사용할 수 있게 된다.

- 암호화를 지원하지 않는 GRE를 암호화하여 보안성을 높혀준다.

 

GRE over IPsec 세팅

// 아래 명령어는 GRE Tunnel이 구성되어 있다는 가정하에 진행된다.

공통
1. Router(config)# crypto isakmp policy 10
2. Router(config-isakmp)# encryption aes
3. Router(config-isakmp)# authentication pre-shared
4. Router(config-isakmp)# hash sha
5. Router(config-isakmp)# group 14

6. Router(config)# crypto ipsec transform-set strong esp-des esp-sha-hmac 

7. Router(config)# crypto ipsec key [key] addresss [상대 ip]

8. Router(config)# access-list 100 permit gre host [내 물리 인터페이스 ip] host [상대 물리 인터페이스 ip]
// access-list이기에 당연하게도 host 대신 [IP 주소] [서브넷 마스크]도 된다.

9. Router(config)# crypto map TS 10 IPsec-isakmp
10. Router(config-crypto-map)# match address 100
11. Router(config-crypto-map)# set transform-set [transform name]
12. Router(config-crypto-map)# set peer [상대 물리 인터페이스 ip]

13. Router(config)# int [적용할 인터페이스]
14. Router(config-if)# crypto map TS

1. isakmp 정책을 생성한다

2. aes 암호화 알고리즘으로 암호화한다.

3. pre-shard 방식으로 인증한다.

4. 무결성 확인 방식을 sha 알고리즘으로 지정한다.

5. DH group을 14로 설정 // 14 = 2048bit

6. IKE 2단계 설정 및 IPsec 정책 설정을 한다.

7. IPsec 키 값을 생성한다. 

address가 특정한 상황에서 상대를 모르거나 any라면 0.0.0.0

8. 보호 대상 (gre 패킷 전송 방식) 트래픽을 설정한다.

11. transform 이름을 설정한다.

12. peer를 생성한다.