SYSADMIN'S CELLAR

기본적으로 IKE/IPsec은 산업 표준이므로 해당 표준을 잘 구현한 구현체들은 큰 문제 없이 연동이 됩니다. 혹시나 필요할 수도 있을까봐, 오픈소스 IKE 데몬 strongSwan과 Cisco ASA간의 순수 IPsec 터널 설정을 정리해서 올려둡니다. 192.168.0.0/24 - [SWAN] - WAN - [ASA] - 192.168.1.0/24 strongSwan ipsec.conf config setup # strictcrlpolicy=yes # uniqueids = no # 연결 설정 기본값으로, 다른 connection에게 상속된다. conn %default ikelifetime=1440m# IKE Phase 1의 수명으로, 기본 1일. keylife=60m# IKE Phase 2의 수명으로..

얼마 전 오랜만에 방화벽 설정을 수정할 일이 생겼는데요, 양쪽 방화벽이 다른 벤더 제품이다 보니 서로 보안 기준에 맞는 값으로 설정값을 하나씩 맞춰가면서 작업해야 했습니다. 그래서 이런 경우에 어떤 내용들을 고려해서 설정해야 하는지 정리해 보았습니다. 터널 인터페이스 없이 site-to-site 간 통신만 되면 되었기에 순수 IPsec 터널 모드로 설정하게 됐습니다. 먼저 IKE Phase 1 Policy 설정 시 공유되어야 할 항목입니다. 이건 ISAKMP Policy 라고 써있는 장비도 있습니다. 암호화 알고리즘 (AES, 3DES 등) 무결성 검증 알고리즘 (MD5, SHA-1, SHA-256 등) 대칭키 생성 알고리즘 (16, 19 등): 16=4096bit DH, 19=256bit ECDH Ph..