IPsec VPN

1. IPsec VPN

- Site to Site로 맺는 VPN입니다.
- IETF에서 권고하는 IPsec 기술을 준수하여 만든 VPN입니다.
- 각 Site의 게이트웨이 장비끼리 어떠한 방식으로 암호화를 할지 결정하여 동일하게 설정해야 합니다.
- 공인 IP가 아닌 사설 IP로 통신 가능합니다.
- Site to Site로 IPsec VPN을 맺기 위해서는 Remote 담당자와 아래 정보(종류, 모드, 알고리즘 등) 결정이 필요합니다.

2. IPsec VPN 종류와 모드

종류
- AH(Authentication Header) : 무결성, 인증만 검증합니다. 기밀성을 위한 암호화가 사용되지 않아 거의 사용하지 않습니다.
- ESP(Encapsulation Security Payload) : AH + 기밀성을 위한 암호화까지 검증합니다.

모드
- 전송 모드(Transport Mode) : IP 헤더를 제외하고 상위 계층만 암호화합니다. IP 헤더가 노출되기 때문에 Source to Destination 정보가 노출된다. 간단하게 정리해서 어떤 Source에서 어떤 Destiantion으로 보내는지 알 수 있다!

- 터널 모드(Tunnel Mode) : IP 헤더를 포함하여 모두 암호화합니다. IP 헤더가 노출되지 않기 때문에 아무것도 노출되지 않습니다. 다만 통신을 위하여 신규 IP 헤더가 붙는데 해당 헤더는 Gateway to Gateway 정보를 담고 있습니다. 간단하게 어떤 Gateway에서 어떤 Gateway로 가는지만 알 수 있다! 실제 Source와 Destinatio은 암호화되어 볼 수 없다!

3. IKE 프로토콜

IKE(Internet Key Exchange) 프로토콜
- IPsec VPN을 위하여 보안(SA : Security Association) 관련 설정/생성/협상/관리

IKE 프로토콜 버전
- 버전 1(Phase 1 : Main/Aggressive Mode, Phase 2 : Quick Mode) : 키 교환 과정은 최소 6번(Aggressive Mode/Quick Mode) 최대 9번(Main Mode/Quick Mode) 필요합니다. Main 모드는 세션 ID가 보호되지만 Aggressive 모드에서는 보호되지 않으며 교환 과정이 단축되었습니다.

Phase 1 : Main Mode

Phase 1 : Aggressive Mode

Phase 2 : Quick Mode

- 버전 2(Mode X): 키 교환 과정은 4번 필요합니다. 버전 1보다 가볍고 DDoS 공격 취약점이 개선되었습니다.

- 두 버전은 호환되지 않습니다.

IKE 프로토콜 Phase 1
- 보안 설정을 위하여 터널링(IKE/SAKMP SA)을 생성하기 위한 설정입니다.
- 생성된 대칭키(비공개키)는 Phase 2 암호화에 사용됩니다.
- 키 교환/암호화/해쉬 알고리즘과 Key Lifetime을 결정이 필요합니다.

IKE 프로토콜 Phase 2
- 실제 데이터를 암호화하기 위하여 터널링(IPsec/Child SA)을 생성하기 위한 설정입니다.
- 생성된 대칭키(비공개키)는 실제 데이터 암호화에 사용됩니다.
- 키 교환/암호화/해쉬 알고리즘과 Key Lifetime을 결정이 필요합니다.

인증 알고리즘
- 인증을 하기 위한 알고리즘입니다.
- Pre Shared Key, RSA Encryption, RSA Signature 등이 있습니다.

키 교환 알고리즘
- 암호화에 사용할 대칭키를 교환하기 위한 알고리즘입니다.
- DH 등이 있습니다.

암호화 알고리즘
- 데이터 기밀성을 검증하기 위한 알고리즘입니다.
- SEED, AES 등이 있습니다

해쉬 알고리즘
- 데이터 무결성을 검증하여 인증하기 위한 알고리즘입니다.
- MD5, SHA 1, SHA 256 등이 있습니다.

Key Lifetime
- 해당 시간동안 암호화 방식 저장합니다.

PFS(Perfect Forward Secrecy)
- DH 알고리즘을 통하여 키를 교환할 경우 사용할 수 있는 기능으로 세션 키를 지속적으로 변경하여 대칭키(비공개키)가 노출되더라도 과거의 데이터는 복호화할 수 없도록 하여 보안을 높입니다.

MTU Size
- IPsec VPN 트래픽의 MTU Size를 설정합니다. IPsec VPN을 맺을 경우 헤더가 늘어나 1500보다 낮게 MTU Size를 설정해줍니다.
- AWS와 IPsec VPN을 맺을 경우 MTU Size를 1399로 설정해줘야 합니다.

NAT Traveral
- IKE 프로토콜은 UDP 500을 통해 통신하고 실제 데이터에 ESP 프로토콜은 50을 통해 통신하게 되는데 ESP의 경우 IP 프로토콜이라 IP/Port NAT를 지원하지 못해 생긴 기능입니다.
- 해당 기능이 켜져있으면 최초 UDP 500으로 VPN 협상을 시도하다가 중간에 NAT 장비를 발견하게 되면은 UDP 4500으로 VPN을 협상합니다. (협상 완료 후에도 UDP 4500을 사용합니다.)

참고 :
https://liveyourit.tistory.com/4

[네트워크] IPSecVPN의 정의와 두가지 모드(전송모드, 터널모드)

https://www.omnisecu.com/tcpip/ikev2-phase-1-and-phase-2-message-exchanges.php

IKEv2 Phase 1 (IKE SA) and Phase 2 (Child SA) Message Exchanges

https://www.minzkn.com/moniwiki/wiki.php/VirtualPrivateNetwork#s-1.2.3.3

MINZKN

https://www.cisco.com/c/ko_kr/support/docs/security-vpn/ipsec-negotiation-ike-protocols/115936-understanding-ikev2-packet-exch-debug.html

IKEv2 패킷 교환 및 프로토콜 레벨 디버깅