AWS Site-to-Site VPN 운영 시 알아야 할 기본용어 및 개념 정리, 지속 업데이트 예정
IPSec VPN
3계층(IP계층)에서 동작하는 터널링 프로토콜
- 헤더 프로토콜로 AH(Authentication Header)와 ESP(Encapsulation Security Payload)가 있음.
* Transport Mode : IP 헤더는 그대로 이용하며 나머지 데이터 부분만 보호
* Tunnel Mode : IP 패킷 전체를 보호하면서 그 위에 새로운 IP 헤더를 추가
터널링
IKE (Internet Key Exchange)
protocol used to set up a security association (SA) in the IPsec protocol suite.
통신에 사용할 암호화 방식에 대하여 보안 협상을 하고 공유할 비밀키를 서로 분배하는 과정
- IKE는 범용적인 키 교환 프로토콜의 기반구조(Framework)를 규정한 ISAKMP를 기초로 하여 만들어진 IPSec을 위한 키 교환 프로토콜
SA (Security Association)
one-way cryptographically protected connection involving.
IPsec 통신을 하기 위해서 정의하는 파라미터들의 집합(프로토콜, 알고리즘, 키, 그 외 속성들)
ISAKMP (Internet Security Association and Key Management Protocol)
인터넷 환경에서 안전하게 SA 및 세션 키를 관리(생성, 협상, 삭제) 할 수 있는 프로토콜
※ 수동 키 입력 방식 (manual keying) : 송신자와 수신자의 관리자가 직접 손으로 SA 정보를 입력하는 방식
- 수동 입력을 자동화
- SA 를 생성, 수정, 삭제하기 위한 절차(procedure) 및 패킷 구조(packet format)를 정의
ISAKMP 메시지 교환 형태 (2단계 협상)
* 1단계 SA
ISAKMP 서버 간에 단 1개만이 설정되는 SA 로서 이후 단계의 SA 메시지들을 보호하기 위한 SA 를 정의한다.
* 2단계 SA
2단계에서 설정되는 SA 는 IPsec 과 같은 보안 프로토콜에서 사용할 SA 를 협상한다.
이 2단계 협상을 위한 메시지 자체는 1단계 SA 에서 보호된다. 1단계 SA 는 ISAKMP 서버 간에 단 한 개만 존재하지만, 2단계 SA 는 IPsec 프로토콜의 필요에 따라서 여러 SA 들을 만들 수 있다.
IKE Phase 1&2
IKE Phase 1 (IKE SA)
IKE Phase 2에서 SA 관련 설정들을 안전하게 협상할 수 있도록 보안 채널을 생성하는 것 (준비 단계)
- 모드 : Main Mode, Aggressive Mode ( Main Mode : 3쌍의 메세지, 양방향 교환)
- 이 과정에서 생성된 SA를 IKE SA라 함
IKE Phase 2 (IPSec SA)
통신 데이터를 어떤 방식으로 보호할 것인지에 대한 협상 (실제 연결 단계)
- 모드 : Quick Mode ( 3개의 메세지, 단방향 교환)
- 이 과정에서 생성된 SA를 IPSec SA라 함
Quick Mode
ISAKMP SA 에 의해 메시지 교환이 암호화되어 보호된다.
- 퀵 모드로 IPSec SA 를 생성하기 위해서는 메인 모드나 어그레시브 모드 메시지 교환을 통하여 ISAKMP SA가 설정되어 있어야 한다. 따라서 IKE 는 ISAKMP SA 를 생성하는 1단계 키 교환과 실제 IPSec 프로토콜이 사용할 SA 를 정의하는 2단계 키 교환으로 이루어진다.
- 1단계에서 생성된 SA 는 방향성이 없고, 2단계에서 생성된 SA 는 방향성이 있다. 즉, ISAKMP 객체 둘 중에 하나가 시작하여 ISAKMP SA가 생성되었다면, 응답자가 2단계 키 교환 보호를 위해서 보내는 메시지도 이 ISAKMP SA에 의해서 보호할 수 있다. 그러나 2단계 SA(IPSec SA)는 방향성이 있으므로, 수신하기 위한 SA 와 송신하기 위한 SA 가 따로 설정되어야 한다.
DPD Timeout Action (AWS)
The action to take after dead peer detection (DPD) timeout occurs. By default, the IKE session is stopped, the tunnel goes down, and the routes are removed. You can specify that AWS must restart the IKE session when DPD timeout occurs, or you can specify that AWS must take no action when DPD timeout occurs.
- it should be noted that IKE initiation from the AWS side of the VPN connection is supported for IKEv2 only.
- docs.aws.amazon.com/vpn/latest/s2svpn/initiate-vpn-tunnels.html
참조
1) IPSec 키 관리 프로토콜(1) - ISAKMP(Internet Security Association and Key Management Protocol)
IPSec 키 관리 프로토콜(1) - ISAKMP(Internet Security Association and Key Management Protocol)
1. ISAKMP(Internet Security Association and Key Management Protocol) IPsec 의 AH 프...
blog.naver.com
2) IPSec 키 관리 프로토콜(2)
IPSec 키 관리 프로토콜(2) - IKE(Internet Key Exchange)
1. IKE(Internet Key Exchange) ISAKMP 프로토콜이 두 키 교환 개체 간의 SA(Security Ass...
blog.naver.com
3) IPSec VPN 파헤치기 3탄
IPSec VPN 파헤치기 3탄
Happy Little Merry Christmas~★" 오늘은 다가오는 크리스마스를 기념하여 준비한 IPSec VPN 3탄! IPSec VPN 터널링을 맺는 과정에 대해서 이야기를 해볼까 해요! ;-D 먼저 복습을 잠깐 하는 시간을 가져 볼까
run-it.tistory.com
4) IKE Internet Key Exchange
www.ktword.co.kr/abbr_view.php?m_temp1=2284
IKE [정보통신기술용어해설]
www.ktword.co.kr