RV Series Router와 ASA 5500 Series Adaptive Security Appliance 간 Site-to-Site VPN 터널 구성

목표

보안은 비즈니스의 지적 재산을 보호하는 동시에 비즈니스 연속성을 보장하고 회사 리소스에 언제 어디서나 액세스해야 하는 직원에게 기업 업무 공간을 확장할 수 있는 기능을 제공하는 데 필수적입니다.

VPN 보안 솔루션은 중소기업에서 더욱 중요해지고 있습니다.VPN은 글로벌 인터넷과 같은 공용 네트워크 인프라 내에 구축된 사설 네트워크입니다.VPN은 지리적으로 분리된 사무실 위치 간에 사설 네트워크를 확장합니다.호스트 컴퓨터는 모든 기능을 갖춘 사설 네트워크의 핵심 요소이기 때문에 공용 네트워크를 통해 데이터를 보내고 받을 수 있습니다.VPN은 분산된 조직의 보안을 강화하여 네트워크에 영향을 주지 않고 직원들이 다른 사이트에서 더 쉽게 작업할 수 있도록 합니다.VPN을 사용하는 동기는 조직의 커뮤니케이션 및 통신 경제성의 일부를 "가상화"해야 하는 요구 사항입니다.

다양한 VPN 토폴로지가 있습니다.허브 및 스포크, 포인트 투 포인트, 풀 메시이 스마트 팁은 네트워크 리소스를 원격 사무실, 홈 오피스 및 비즈니스 파트너 사이트로 확장할 수 있는 인터넷 기반 인프라를 제공하는 사이트 간(지점 간) VPN을 다룹니다.사이트 간 모든 트래픽은 IPsec(IP Security) 프로토콜을 사용하여 암호화되며 라우팅, QoS(Quality of Service), 멀티캐스트 지원과 같은 네트워크 기능이 통합됩니다.

Cisco RV Series 라우터는 경제성을 중요시하는 중소기업에게 강력하고 관리하기 쉬운 VPN 솔루션을 제공합니다.Cisco ASA 5500 Series Adaptive Security Appliance는 조직이 보안과 생산성 간의 균형을 이루도록 지원합니다.업계에서 가장 많이 구축된 스테이트풀 인스펙션(stateful inspection) 방화벽과 다음과 같은 포괄적인 차세대 네트워크 보안 서비스를 결합합니다.애플리케이션 및 마이크로 애플리케이션, 웹 보안, IPS(Intrusion Prevention System), 매우 안전한 원격 액세스 등에 대한 가시성과 세부적인 제어
이 짧은 설명서에서는 RV 시리즈 라우터와 ASA 5500 Series Adaptive Security Appliance 간에 Site-to-Site IPsec VPN을 구축하는 설계의 예를 설명하고 구성 예를 제공합니다.

적용 가능한 디바이스

· Cisco RV0xx Series VPN Router
· Cisco ASA 5500 Series Adaptive Security Appliance

소프트웨어 버전

· 4.2.2.08 [Cisco RV0xx Series VPN Router]

사전 구성

다음 이미지는 RV-Series 라우터(원격 사이트) 및 ASA 5500(주 사무실)을 사용하는 Site-to-Site VPN 터널의 샘플 구현을 보여줍니다.



이 컨피그레이션을 사용하면 원격 사이트 네트워크 122.166.12.x에 있는 호스트와 VLAN 1에 있는 호스트가 서로 안전하게 통신할 수 있습니다.

주요 기능

IKE(Internet Key Exchange)

IKE(Internet Key Exchange)는 IPsec 프로토콜 제품군에서 SA(Security Association)를 설정하는 데 사용되는 프로토콜입니다.IKE는 Oakley 프로토콜 및 ISAKMP(Internet Security Association and Key Management Protocol)를 기반으로 하며, Diffie-Hellman 키 교환을 사용하여 암호화 키가 파생되는 공유 세션 암호를 설정합니다.모든 피어에 대한 보안 정책을 수동으로 유지 관리해야 합니다.

IPSec(Internet Protocol Security)

IPsec은 암호화 보안 서비스를 사용하여 IP(Internet Protocol) 네트워크를 통한 통신을 보호합니다.IPsec은 네트워크 수준 피어 인증, 데이터 원본 인증, 데이터 무결성, 데이터 기밀성(암호화) 및 재생 보호를 지원합니다.IPSec에는 많은 구성 요소 기술과 암호화 방법이 포함되어 있습니다.그러나 IPSec의 작업은 5가지 주요 단계로 나눌 수 있습니다.
1단계. "흥미로운 트래픽"이 IPSec 프로세스를 시작합니다. - IPSec 피어에서 구성된 IPSec 보안 정책이 IKE 프로세스를 시작할 때 트래픽이 흥미로운 것으로 간주됩니다.
2단계. IKE 1단계 - IKE는 IPSec 피어를 인증하고 이 단계에서 IKE SA를 협상하여 2단계에서 IPSec SA를 협상하기 위한 보안 채널을 설정합니다.
3단계. IKE 단계 2 - IKE는 IPSec SA 매개변수를 협상하고 피어에서 일치하는 IPSec SA를 설정합니다.
4단계. 데이터 전송 - IPSec 매개 변수와 SA 데이터베이스에 저장된 키를 기반으로 IPSec 피어 간에 데이터가 전송됩니다.
5단계. IPSec 터널 종료 - IPSec SA는 삭제 또는 시간 초과로 종료됩니다.

ISAKMP

ISAKMP(Internet Security Association and Key Management Protocol)는 두 엔드포인트 간의 터널을 협상하는 데 사용됩니다. 인증, 통신 및 키 생성 절차를 정의하며 IKE 프로토콜에서 암호화 키를 교환하고 보안 연결을 설정하는 데 사용됩니다.

설계 팁

VPN 토폴로지 — 사이트 대 사이트 VPN을 사용하면 모든 사이트와 다른 사이트 간에 보안 IPsec 터널이 구성됩니다.다중 사이트 토폴로지는 일반적으로 사이트 간 VPN 터널의 전체 메쉬로 구현됩니다(즉, 모든 사이트에는 다른 모든 사이트에 대한 터널이 설정되어 있음). 원격 사무실 간에 통신이 필요하지 않을 경우 허브 스포크 VPN 토폴로지를 사용하여 VPN 터널 수를 줄입니다(즉, 각 사이트가 주 사무소에만 VPN 터널을 설정합니다).
WAN IP 주소 지정 및 DDNS — 두 공용 IP 주소 간에 VPN 터널을 설정해야 합니다.WAN 라우터가 ISP(Internet Service Provider)로부터 고정 IP 주소를 수신하는 경우 고정 공용 IP 주소를 사용하여 VPN 터널을 직접 구현할 수 있습니다.그러나 대부분의 중소기업에서는 DSL이나 케이블 모뎀과 같은 비용 효율적인 광대역 인터넷 서비스를 사용하며 ISP로부터 동적 IP 주소를 수신합니다.이 경우 DDNS를 사용하여 동적 IP 주소를 FQDN(정규화된 도메인 이름)에 매핑할 수 있습니다.
LAN IP 주소 지정 — 각 사이트의 프라이빗 LAN IP 네트워크 주소는 중복되지 않아야 합니다.각 원격 사이트의 기본 LAN IP 네트워크 주소는 항상 변경해야 합니다.
VPN 인증 — VPN 터널을 설정할 때 VPN 피어를 인증하는 데 IKE 프로토콜이 사용됩니다.다양한 IKE 인증 방법이 있으며 사전 공유 키가 가장 편리한 방법입니다.강력한 사전 공유 키를 적용할 것을 권장합니다.
VPN 암호화 — VPN을 통해 전송되는 데이터의 기밀성을 보장하기 위해 암호화 알고리즘을 사용하여 IP 패킷의 페이로드를 암호화합니다.DES, 3DES 및 AES는 세 가지 일반적인 암호화 표준입니다.AES는 DES 및 3DES와 비교할 때 가장 안전한 것으로 간주됩니다.Cisco에서는 AES-128비트 이상의 암호화(예: AES-192 및 AES-256)를 적용하는 것이 좋습니다. 그러나 암호화 알고리즘이 강력할수록 필요한 처리 리소스가 많아집니다.

구성 팁

사전 구성 체크리스트
1단계. ASA와 RV 라우터가 모두 인터넷 게이트웨이(ISP 라우터 또는 모뎀)에 연결되어 있는지 확인합니다.
2단계. Cisco RV 라우터를 켜고 내부 PC, 서버 및 기타 IP 장치를 RV 라우터의 LAN 스위치 또는 스위치 포트에 연결합니다.
3단계. ASA 뒤의 네트워크에 대해서도 동일하게 수행합니다.4단계. 각 사이트에 LAN IP 네트워크 주소가 구성되어 있으며 일반 서브넷인지 확인합니다.이 예에서 주 사무실 LAN은 192.168.10.0/24,and을 사용하고 있으며 원격 사이트 LAN은 122.166.12.0/24을 사용하고 있습니다.
4단계. 로컬 PC와 서버가 서로 또는 라우터와 통신할 수 있는지 확인합니다.

WAN 연결 식별

ISP에서 동적 IP 주소를 제공하는지 또는 고정 IP를 수신했는지 확인해야 합니다.일반적으로 ISP는 동적 IP를 제공하지만 컨피그레이션을 완료하려면 이를 확인해야 합니다.

원격 사무실에서 RV042G 구성

1단계. 웹 UI에 로그인하고 VPN > 게이트웨이 섹션으로 이동합니다.LAN-to-LAN 연결을 추가하므로 엔드포인트는 각 네트워크의 게이트웨이가 됩니다.



2단계. 라우터에서 로컬 및 원격 엔드포인트 구성
a) 이미 구성한 다른 터널에서 식별하도록 터널 이름을 구성합니다.



b) Local Group Setup(로컬 그룹 설정)은 VPN 터널에서 허용할 로컬 호스트를 구성합니다.터널을 통해 허용하려는 네트워크에 대한 올바른 서브넷 및 마스크가 있는지 확인합니다.



C) Remote Group Setup(원격 그룹 설정)은 라우터가 찾을 원격 엔드포인트 및 네트워크 트래픽을 구성합니다.  게이트웨이 IP 주소 필드에 연결을 설정하려면 원격 게이트웨이의 고정 IP를 입력합니다.  그런 다음 원격 사이트(주 사무실 LAN)에서 VPN에 허용되는 서브넷을 입력합니다.



3단계. 터널 설정을 구성합니다.
a) 최적의 결과를 위해 사전 공유 키를 구성할 수 있습니다.
1단계와 2단계는 서로 다른 인증 단계이며, 1단계에서는 초기 터널을 생성하고 협상을 시작하고 2단계에서는 암호화 키 협상을 완료하고 터널이 설정되면 데이터 전송을 보호합니다.
b) DH 그룹은 ASA의 crypto isakmp 정책 그룹에 해당하며, 다음 섹션에 나와 있습니다. ASA에서 기본값은 Group 2이고, ASA 코드의 최신 버전에는 DH Group 2 이상이 필요합니다. 일반적으로 비트가 더 높으므로 CPU 시간이 더 많이 소요됩니다.
c) 1단계 암호화는 사용되는 암호화 알고리즘을 정의합니다. RV 시리즈의 기본값은 DES이지만 ASA의 기본값은 3DES입니다. 그러나 이전 표준이며 현재 구현에서는 효율적이지 않습니다. AES 암호화가 더 빠르고 안전하며, 최상의 결과를 얻으려면 최소한 AES-128(또는 AES)을 권장합니다.
d) 1단계 인증은 패킷 무결성을 확인합니다. 옵션은 SHA-1 및 MD5이며, 유사한 결과를 생성할 때 작동해야 합니다.
2단계 컨피그레이션은 1단계와 동일한 규칙을 따릅니다.  IPSec 설정을 구성할 때 ASA의 설정이 RV042G의 설정과 일치해야 합니다. 일치하지 않는 부분이 있으면 디바이스에서 암호화 키를 협상할 수 없으며 연결이 실패합니다.

참고:이 페이지에서 벗어나기 전에 설정을 저장해야 합니다!

CLI(Main Office)에서 ASA 5500 구성

참고:"write mem" 명령을 자주 사용하여 컨피그레이션이 손실되지 않도록 합니다.먼저 ASA에서 구성한 인터페이스를 소개합니다.  다른 구성이 있을 수 있으므로 해당 컨피그레이션을 적절히 변경해야 합니다.



1단계. 암호화 관리(ISAKMP) 구성
첫 번째 단계는 터널의 암호화를 협상하는 데 사용되는 ISAKMP 정책을 설정하는 것입니다. 이 컨피그레이션은 두 엔드포인트에서 동일해야 합니다.  여기서 RV 구성의 1단계와 일치하도록 암호화 설정을 구성합니다.



2단계. 트래픽 선택
이는 RV042G의 Local and Remote Security Group과 동일합니다. ASA에서는 VPN에서 허용하는 "흥미로운 트래픽"으로 네트워크가 간주하는 것을 정의하기 위해 access-list를 사용합니다.
먼저 원격 사이트 및 로컬 사이트에 대한 네트워크 개체를 구성합니다.



그런 다음 액세스 목록을 구성하여 다음 객체를 사용합니다.



서브넷을 직접 사용할 수도 있지만, 대규모 구현에서는 객체 및 객체 그룹을 더 쉽게 사용할 수 있습니다.
3단계. IPSec 터널 구성(2단계 인증)
여기서는 "Transform Set" 및 터널 그룹을 구성하며, 이 그룹은 Phase-2 인증을 설정합니다.  Phase-2를 Phase-1과 다르게 설정하면 다른 변형 집합이 생성됩니다.  여기서 esp-aes는 암호화를 정의하고 esp-sha-hmac은 해시를 정의합니다.
tunnel-group 명령은 사전 공유 키와 같이 연결별 터널 정보를 구성합니다.  원격 피어의 공용 IP를 터널 그룹 이름으로 사용합니다.



4단계. 암호화 맵 컨피그레이션
이제 ASA가 VPN을 설정하고 올바른 트래픽을 전송할 수 있도록 "암호화 맵"에 1단계 및 2단계 컨피그레이션을 적용해야 합니다.  이를 VPN의 여러 요소를 하나로 묶는다고 생각해 보십시오.



5단계. VPN 상태 확인
마지막으로 VPN 연결이 작동 및 작동하는지 확인하려면 엔드포인트를 확인합니다.  연결이 자체적으로 나타나지 않으므로 ASA에서 이를 탐지하고 연결을 설정하려고 시도할 수 있도록 트래픽을 전달해야 합니다.ASA에서 "show crypto isakmpsa" 명령을 사용하여 상태를 표시합니다.



RV42G에서 VPN > Summary 페이지로 이동하여 Status(상태)를 확인합니다.

대체 시나리오:네트워크의 여러 서브넷

당황하지 마네트워크를 설정할 때 이 과정이 매우 복잡한 프로세스처럼 보일 수 있지만, 앞서 언급한 하드 부분은 이미 처리했습니다.여러 서브넷에 대해 VPN을 구성하려면 몇 가지 추가 컨피그레이션이 필요하지만 (서브넷 구성이 광범위하지 않은 경우) 복잡성은 거의 없습니다. 이 섹션에서 사용한 예제는 각 사이트에 2개의 서브넷을 사용합니다.업데이트된 네트워크 토폴로지는 매우 유사합니다.

RV042G 구성

전과 마찬가지로 먼저 RV042G를 구성합니다.RV042G는 단일 터널을 통해 여러 서브넷을 구성할 수 없으므로 새 서브넷에 대한 추가 항목을 추가해야 합니다.이 섹션에서는 여러 서브넷에 대한 VPN 컨피그레이션만 다루며 추가 설정 컨피그레이션은 다루지 않습니다.
1단계. 첫 번째 터널 구성
단일 서브넷 예와 마찬가지로 각 터널에 동일한 컨피그레이션을 사용합니다.  이전과 같이 VPN > 게이트웨이에 게이트웨이로 이동하여 새 터널을 추가하거나 기존 터널을 사용하는 경우 VPN > 요약 페이지로 이동하여 기존 터널을 편집합니다.
a) 터널 이름을 구성합니다. 그러나 둘 이상의 변경 사항이 있으므로 변경할 수 있습니다.



b) 이제 이전과 동일한 로컬 그룹을 구성합니다.  액세스가 필요한 서브넷 중 하나에 대해서만 이 설정을 구성합니다.  122.166.12.x 및 122.166.13.x 서브넷에 대한 터널 항목이 있습니다.



c) 이제 위와 같은 절차를 사용하여 원격 사이트를 다시 구성합니다.



d) 마지막으로 암호화 설정을 구성합니다.  이 설정을 구성하는 두 터널 모두에서 동일하게 설정하려는 경우 이 설정을 기억하십시오.



2단계. 두 번째 터널 구성
서브넷 1이 VPN 터널에 대해 구성되어 있으므로 VPN > 게이트웨이에 게이트웨이로 이동하여 두 번째 터널을 추가해야 합니다.  이 두 번째 항목은 첫 번째 항목과 거의 동일하게 구성되지만 각 사이트의 보조 서브넷은 구성됩니다. 
a) 어떤 연결인지 알 수 있도록 해당 연결의 이름을 지정해야 합니다.



b) 두 번째 서브넷을 "로컬 보안" 그룹으로 사용합니다.



C) 두 번째 원격 서브넷을 "원격 보안" 그룹으로 사용합니다.



d) 1단계 및 2의 암호화를 첫 번째 터널에 대해 동일하게 구성합니다.

ASA 구성

이제 ASA의 컨피그레이션을 수정하겠습니다.  이 구성은 매우 간단합니다.  위와 동일한 컨피그레이션을 사용할 수 있습니다. 동일한 암호화 설정을 모두 사용하며 사소한 변경 사항만 있습니다.  방화벽에서 VPN을 통해 전송하려면 추가 트래픽을 "관심"으로 태그해야 합니다.   흥미로운 트래픽을 식별하기 위해 access-list를 사용하기 때문에 이 access-list를 수정하기만 하면 됩니다.
1단계.  먼저 ASA에서 객체를 수정할 수 있도록 이전 액세스 목록을 삭제합니다.  CLI에서 컨피그레이션을 제거하려면 명령의 "no" 형식을 사용합니다.
2단계.  ACL이 제거되면 관련된 새 서브넷에 대해 새 객체를 생성하겠습니다(해당 서브넷을 설정할 때 이 작업을 아직 수행하지 않았다고 가정).  또한 더 설명적인 내용을 만들고 싶습니다.
아래의 VLAN 컨피그레이션에 따라 다음을 수행합니다.



기본 내부 네트워크(192.168.10.x)와 엔지니어링 네트워크(192.168.20.x)에 대한 객체 그룹이 필요합니다.  다음과 같이 네트워크 객체를 구성합니다.



3단계.  이제 관련 네트워크 객체가 구성되었으므로 적절한 트래픽에 태그를 지정하도록 액세스 목록을 구성할 수 있습니다.  ASA 뒤의 두 네트워크에 대해 두 원격 서브넷에 대한 액세스 목록 항목이 있는지 확인합니다.  최종 결과는 다음과 같습니다.



4단계.  이제 이전 액세스 목록을 삭제했으므로 이전과 동일한 명령을 사용하여 암호화 맵에 다시 적용해야 합니다.

연결 확인

그게 다야!이제 터널이 작동해야 합니다.연결을 시작하고 ASA에서 "show crypto isakmpsa" 명령을 사용하여 상태를 확인합니다.



RV-Series에서 상태가 VPN > 요약 페이지에 표시됩니다.