[Firewall] 인증서를 사용한 IPSec VPN 구성 (Firewall, Router 와 CA 서버간 인증)

 

인증서를 사용한 IPSec VPN LAB.txt

0.00MB

-   인증서를 발급해주는 CA 서버와 인증서를 발급받아서 사용하는 장비의 시간이 서로 일치해야 한다.

-   해당 LAB에서는 시간 서버(time.windows.com)로부터 시간을 동기화하려고 한다.

 

1. CE2, ASA 시간 동기화 설정

ip name-server 168.126.63.1

   네임서버 IP를 KT로 지정

ntp-server time.windows.com

   NTP 서버를 time.windows.com으로 지정

clock timezone KOR +9

   한국 시간대로 변경

 

<CE2> conf t ip domain lookup ip name-server 168.126.63.1 168.126.63.2 ntp server time.windows.com clock timezone KOR +9   <ASA> clock timezone KOR +9

NTP 시간 동기화 설정 확인

show ntp status

 

show clock

 

 

2. VPN 장비 RSA 키 생성

 

crypto key generate rsa general-keys label RSA1 modulus 2048

  general-key이름을 RSA1로 지정하고 키 길이를 2048bit로 설정

 

<CE2> hostname CE2 ip domain-name ictsec.com crypto key generate rsa general-keys label RSA1 modulus 2048

 

RSA 키 설정 확인

show crypto key mypubkey rsa

 

-   생성한 RSA 공개키 정보가 잘 설정되었는지 확인한다.

 

3. VPN 장비 인증서 발급 요청

-   설정을 완료하면 Base64로 인코딩 된 CRS를 확인할 수 있다.

 

crypto pki trust SVR2008-CA

   인증서 설정 이름 지정

subject-name ce=ce2.ictsec.com l=Seoul, c=kr

   인증서를 발급받고자 하는 인증서의 이름, 주소, 국가 설정

rsakeypair RSA1

   RSA1 공개키로 인증서를 생성한다.

revocation-check none

   인증서가 폐기되었는지 확인할 수 없으므로(실습환경에서 폐기하는 서버가 없다.) 설정을 해제한다.

 

crypto pki enroll SVR2008-CA입력 시 대화창 처리

 

 Include the router serial number in the subject name? [yes/no]: no

  라우터 시리얼 번호 포함시키지 않는다 
% Include an IP address in the subject name? [no]: no

   IP 정보를 포함시키지 않는다. (공인 IP가 아니기 때문에)
Display Certificate Request to terminal? [yes/no]: yes

  인증서 정보를 터미널에 띄울지 여부

Redisplay enrollment request? [yes/no]:  no

   다시 인증서를 띄울지 여부 

 

<CE2> crypto pki trust SVR2008-CA  enrollment terminal  subject-name cn=ce2.ictsec.com l=Seoul, c=kr  rsakeypair RSA1  revocation-check none  fqdn ce2.ictsec.com exit   crypto pki enroll SVR2008-CA

4. Client에서  CE2 인증서 발급

 

1. Client에서 CA에게 인증서 요청

-   2.2.2.1/certsrv로 접속한 후 인증서 요청을 클릭한다.

 

 

-  인증서 요청 항목에서 고급 인증서 요청을 클릭한다.

 

 

-  CE2에서 Base64 인코딩으로 설정했기 때문에 Base 64 인코딩 파일을 사용하여... 를 클릭한다.

 

 

-   이전에 CE2에서 생성한 CRS를 저장된 요청에 붙여서 제출을 클릭한다.

 

 

-   정상적으로 제출을 누르면 CA 서버에게 인증서 요청이 전송된다.

 

 

2.  CA 서버에서 인증서 발급

-   CA서버 설정 페이지로 들어간 후 Client에서 요청한 인증서를 발급해준다.

 

 

3. Client에서 인증서 다운로드

-  CA서버에서 발급한 인증서를 다운로드하기 위해서 보류 중인 인증서 요청 상태 확인을 클릭한다.

 

 

-   CA서버에서 발급해준 인증서가 정상적으로 뜨는지 확인한 후 저장된 요청 인증서를 클릭한다.

 

 

-   인증서를 라우터 장비에 적용해야 하기 때문에 Base 64로 인코드 항목을 체크한 후 인증서를 다운로드한다.

-   정상적으로 바탕화면에 CE2 인증서가 다운로드된 것을 확인할 수 있다.

 

 

 

5. Client에서 CA인증서 다운로드

-   CA 인증서는 이전 포스팅에서 CA서버를 구축하면서 만들었다. 만들었던 인증서를 클라이언트가 아닌 라우터에도 적용하려고 한다. 

-   Window Server에서 CA를 구축하는 방법은 아래 포스팅을 참고하면 된다.

 

https://peemangit.tistory.com/131

[Window Server] CA (Certification Authority) 서버 설치 및 구현, 확인

 

-   2.2.2.1/certsrv로 접속한 후 CA인증서 다운로드를 클릭한다.

 

 

-   CA서버를 확인한 후 CA 인증서 다운로드를 클릭한다.

 

 

-   CA인증서가 정상적으로 다운로드된 것을 확인할 수 있다.

 

 

6. 라우터 장비(CE2)에 인증서 적용

<CE2> conf t crypto pki authenticate SVR2008-CA

 

-   해당 명령어를 입력 후 메모장에 있는 파일을 CE2에 붙여 넣는다.

 

 

-   입력을 완료하면 확인 메시지가 나오면 yes를 입력한다.

 

-  crypto pki import SVR2008-CA certificate 명령어를 입력하여 CE2 라우터의 인증서 내용도 똑같이 복사/붙여 넣기 한다.

CE2에 CA인증서, CE2인증서 적용 확인

show crypto pki certificates verbose

 

 

7. ASA 방화벽에 CA인증서 적용

crypto ca enroll SVR2008-CA를 입력했을 경우 처리

 Would you like to continue with this enrollment? [yes/no]: yes
 Include the device serial number in the subject name? [yes/no]: no  
 Display Certificate Request to terminal? [yes/no]: yes

 

<ASA> hostname ASA domain-name ictsec.com crypto key generate rsa label RSA1 midulus 2048 crypto ca trustpoint SVR2008-CA  subject-name ca=asa.ictsec.com, l=seoul, c=KR  keypair RSA1  fqdn asa.ictsec.com  enrollment terminal exit crypto ca enroll SVR2008-CA

 

-   ASA에서도 CRS가 생성된 것을 확인할 수 있다.

 

 

8. Client_B에서  CE2 인증서 발급

-   Client_A와 같은 방식으로 ASA의 인증서를 발급받는다.

 

 

-   Client_A와 같은 방식으로 ASA의 인증서와 CA 인증서를 다운로드한다.

 

 

9. ASA 방화벽에 CA 인증서 적용

-   crypto ca import SVR2008-CA certificate 명령어를 통해서 Client_B에서 다운로드한 ASA 인증서를 적용한다.

 

 

-   붙여 넣기가 완료되면 quit버튼을 눌러 성공적으로 ASA 인증서를 적용시킨다.

 

crypto ca authenticate SVR2008-CA 명령어를 입력하여 동일한 방식으로 CA 인증서도 적용한다.

 

ASA 방화벽에 CA, ASA 인증서 적용 확인

show crypto ca certificate

-   ASA 기본 인증서, CA인증서, ASA 인증서 총 3개가 출력되면 정상이다.

 

 

10. CE2, ASA 인증서를 통한 IPSec VPN 구성

<CE2> conf t crypto isakmp policy 1  authentication rsa-sig  encryption aes  group 2  hash sha  lifetime 7200 exit ip access-list extended Branch->HQ  permit ip 1.1.1.0 0.0.0.255 10.10.1.0 0.0.0.255 ! crypto ipsec transform-set ICTSEC_VPN esp-aes esp-sha-hmac  mode tunnel ! crypto map Branch1_VPN 1 IPsec-ISakmp   match address Branch->HQ  set transform-set ICTSEC_VPN  set peer 1.1.100.10 ! int fa 0/1  crypto map Branch1_VPN   <ASA> conf t crypto ikev1 policy 1  authentication rsa-sig  encryption aes  group 2  hash sha  lifetime 7200 exit tunnel-group 1.1.100.6 type ipsec-l2l tunnel-group 1.1.100.6 ipsec-attributes  ikev1 trust-point SVR2008-CA  peer-id-validate cert ! access-list HQ->Branch permit ip 10.10.1.0 255.255.255.0 1.1.1.0 255.255.255.0 crypto ipsec ikev1 transform-set ICTSEC_VPN esp-aes esp-sha-hmac crypto map HQ_VPN 1 match address HQ->Branch crypto map HQ_VPN 1 set ikev1 transform-set ICTSEC_VPN crypto map HQ_VPN 1 set peer 1.1.100.6 crypto map HQ_VPN 1 set trustpoint SVR2008-CA chain crypto map HQ_VPN interface Outside crypto ikev1 enable Outside object network Branch  subnet 1.1.1.0 255.255.255.0 exit nat (Inside,Outside) source static HQ_NET HQ_NET destination static Branch Branch

IPSec 연결 확인

-   Client_A에서 Client_B로 Ping 테스트

 

 

-   Main Mode, Quick Mode를 거쳐서 정상적으로 연결이 되는 것을 확인할 수 있다.

 

 

-   IPSec이 연결된 후 ESP 암호화 통신을 하는 것을 확인할 수 있다.