얼마 전 오랜만에 방화벽 설정을 수정할 일이 생겼는데요, 양쪽 방화벽이 다른 벤더 제품이다 보니 서로 보안 기준에 맞는 값으로 설정값을 하나씩 맞춰가면서 작업해야 했습니다.
그래서 이런 경우에 어떤 내용들을 고려해서 설정해야 하는지 정리해 보았습니다.
터널 인터페이스 없이 site-to-site 간 통신만 되면 되었기에 순수 IPsec 터널 모드로 설정하게 됐습니다.
먼저 IKE Phase 1 Policy 설정 시 공유되어야 할 항목입니다. 이건 ISAKMP Policy 라고 써있는 장비도 있습니다.
- 암호화 알고리즘 (AES, 3DES 등)
- 무결성 검증 알고리즘 (MD5, SHA-1, SHA-256 등)
- 대칭키 생성 알고리즘 (16, 19 등): 16=4096bit DH, 19=256bit ECDH
- Phase 1 SA 수명 (lifetime, 초)
- 인증 방식 (PSK, RSA-Signature, RSA-Encrypted)
- RSA-Sig는 서로 신뢰하는 CA에서 받은 인증서가 필요
- RSA-Encr은 서로의 인증서가 설치되어 있어야 함
다음으로 IKE Phase 2 Policy 설정 시 공유되어야 할 항목입니다. IPsec SA 라고 써있는 장비도 있습니다.
- 보호대상 트래픽 지정 (from 10.0.0.0/24, to 192.168.0.0/24): 반대쪽에서는 반대로 입력하면 됩니다.
- 무결성 검증 알고리즘 (AH-SHA-HMAC, ESP-SHA-HMAC 등): AH는 전송, ESP는 터널 모드를 말합니다.
- 암호화 알고리즘 (ESP-AES, ESP-3DES 등)
- Phase 2 SA 수명 (lifetime, 초)
마지막으로 peer 주소까지 입력하면 필수 설정은 끝입니다.
추가적으로 상대방 장비를 식별하기 위한 방법(hostname, IP 주소, 인증서 속성 등), 연결을 허용할 식별자를 설정할 수 있습니다. 이번 케이스에서는 한 쪽 장비의 SA lifetime 기본값이 12시간(보통 8시간)이어서 수정했습니다. SA lifetime이 다르면, 한 쪽 사이트의 lifetime이 끝나면 그 때 부터 터널이 down되니 맞춰주어야 합니다.