그룹 VPNv2

그룹 VPNv2에 대한 GDOI 프로토콜 이해하기

그룹 VPNv2는 RFC 6407, GDOI( Group Domain of Interpretation)를 기반으로 합니다 . 이 RFC는 그룹 구성원 간에 SA를 설정하기 위한 그룹 구성원과 그룹 서버 간의 프로토콜을 설명합니다. GDOI 메시지는 디바이스 그룹에 대한 SA를 생성, 유지 또는 삭제합니다. 그룹 VPNv2는 vSRX 가상 방화벽 인스턴스와 SRX5400, SRX5600 및 SRX5800 디바이스를 제외한 모든 SRX 시리즈 방화벽에서 지원됩니다.

GDOI 프로토콜은 UDP 포트 848에서 실행됩니다. ISAKMP(Internet Security Association and Key Management Protocol)는 IKE IPsec 터널에 대한 SA를 설정하기 위한 두 가지 협상 단계를 정의합니다. 1단계에서는 두 디바이스가 GDOI와 같은 다른 보안 프로토콜에 대한 ISAKMP SA 를 설정할 수 있습니다.

그룹 VPNv2를 사용하면 그룹 서버와 그룹 멤버 간에 1단계 ISAKMP SA 협상이 수행됩니다. 서버와 구성원은 동일한 ISAKMP 정책을 사용해야 합니다. 서버와 멤버 간의 GDOI 교환은 다른 그룹 멤버와 공유되는 SA를 설정합니다. 그룹 멤버는 다른 그룹 멤버와 IPsec을 협상할 필요가 없습니다. GDOI 거래소는 ISAKMP Phase 1 SA에 의해 보호되어야 합니다.

GDOI 거래소에는 두 가지 유형이 있습니다.

• 교환을 groupkey-pull 통해 구성원은 서버에서 그룹이 공유하는 SA 및 키를 요청할 수 있습니다. 그룹 멤버는 교환을 통해 그룹 서버에 등록해야 합니다 groupkey-pull .

• 교환은 groupkey-push 기존 그룹 SA가 만료되기 전에 서버가 그룹 SA와 키를 구성원에게 보낼 수 있도록 하는 단일 키 재입력 메시지입니다. 키 재입력 메시지는 서버에서 구성원에게 보내는 원치 않는 메시지입니다.

그룹 VPNv2 서버 및 구성원 이해하기

그룹 VPNv2는 SRX300, SRX320, SRX340, SRX345, SRX550HM, SRX1500, SRX4100, SRX4200 및 SRX4600 디바이스와 vSRX 가상 방화벽 인스턴스에서 지원됩니다. 그룹 VPNv2의 중심은 그룹 컨트롤러/키 서버(GCKS)입니다. 서버 클러스터를 사용하여 GCKS 중복성을 제공할 수 있습니다.

GCKS 또는 그룹 서버는 다음 작업을 수행합니다.

• 그룹 구성원 자격을 제어합니다.

• 암호화 키를 생성합니다.

• 구성원에게 새 그룹 SA 및 키를 보냅니다. 그룹 멤버는 그룹 SA와 그룹 서버가 제공하는 키를 기반으로 트래픽을 암호화합니다.

그룹 서버는 여러 그룹에 서비스를 제공할 수 있습니다. 단일 보안 디바이스는 여러 그룹의 구성원이 될 수 있습니다.

각 그룹은 1에서 4,294,967,295 사이의 숫자인 그룹 식별자로 표시됩니다. 그룹 서버 및 그룹 멤버는 그룹 식별자에 의해 함께 링크됩니다. 그룹당 하나의 그룹 식별자만 있을 수 있으며 여러 그룹이 동일한 그룹 식별자를 사용할 수 없습니다.

다음은 그룹 VPNv2 서버 및 멤버 작업에 대한 개괄적인 보기입니다.

1. 그룹 서버는 구성원이 등록할 수 있도록 UDP 포트 848에서 수신 대기합니다.

2. 그룹 서버에 등록하기 위해 구성원은 먼저 서버와 IKE(Internet Key Exchange) SA를 설정합니다. 멤버 디바이스는 그룹에 가입하기 위해 올바른 IKE(Internet Key Exchange) 1단계 인증을 제공해야 합니다. 구성원 단위의 사전 공유 키 인증이 지원됩니다.

3. 인증 및 등록에 성공하면, 멤버 디바이스는 GDOI groupkey-pull 교환을 통해 서버에서 지정된 그룹 식별자에 대한 그룹 SA와 키를 검색합니다.

4. 서버는 그룹의 구성원 자격에 구성원을 추가합니다.

5. 그룹 멤버는 그룹 SA 키로 암호화된 패킷을 교환합니다.

서버는 키 재생성(GDOI groupkey-push) 메시지를 통해 그룹 구성원에게 SA 및 키 새로 고침을 보냅니다. 서버는 SA가 만료되기 전에 키 재입력 메시지를 전송하여 그룹 멤버 간의 트래픽을 암호화하는 데 유효한 키를 사용할 수 있는지 확인합니다.

서버가 전송한 키 재입력 메시지에는 각 그룹 멤버의 승인(ack) 메시지가 필요합니다. 서버가 멤버로부터 ack 메시지를 수신하지 않는 경우, 키 재입력 메시지는 구성된 retransmission-period 시간에 재전송됩니다(기본값은 10초). 구성된 number-of-retransmission 후(기본값은 2회) 구성원의 응답이 없는 경우, 서버의 등록된 구성원에서 구성원이 제거됩니다. 서버와 구성원 간의 IKE(Internet Key Exchange) SA도 제거됩니다.

또한 서버는 그룹 SA가 변경되었을 때 구성원에게 새 키를 제공하기 위해 키 재입력 메시지를 보냅니다.

그룹 VPNv2 제한 사항 이해하기

그룹 VPNv2 서버는 RFC 6407, GDOI(Group Domain of Interpretation)를 지원하는 그룹 VPNv2 멤버와만 작동합니다.

그룹 VPNv2는 SRX300, SRX320, SRX340, SRX345, SRX550HM, SRX1500, SRX4100, SRX4200 및 SRX4600 디바이스와 vSRX 가상 방화벽 인스턴스에서 지원됩니다. 다음은 그룹 VPNv2에 대해 이 릴리스에서 지원되지 않습니다.

• SNMP입니다.

• Cisco GET VPN 서버의 정책을 거부합니다.

• 1단계 IKE(Internet Key Exchange) 인증을 위한 PKI 지원.

• 그룹 서버와 구성원의 공동 배치, 서버 및 구성원 기능이 동일한 물리적 장치에 공존합니다.

• 섀시 클러스터로 구성된 그룹 멤버.

• 구성 및 모니터링을 위한 J-Web 인터페이스.

• 멀티캐스트 데이터 트래픽.

그룹 VPNv2는 IP 주소를 보존할 수 없는 구축(예: NAT가 사용되는 인터넷)에서는 지원되지 않습니다.

그룹 VPNv2 서버 멤버 통신 이해하기

그룹 VPNv2는 SRX300, SRX320, SRX340, SRX345, SRX550HM, SRX1500, SRX4100, SRX4200 및 SRX4600 디바이스와 vSRX 가상 방화벽 인스턴스에서 지원됩니다. 서버 멤버 통신을 통해 서버는 GDOI groupkey-push (키 재생성) 메시지를 멤버에게 보낼 수 있습니다. 그룹에 대해 서버 멤버 통신이 구성되지 않은 경우 멤버는 GDOI groupkey-pull 메시지를 보내 서버에 등록하고 다시 등록할 수 있지만 서버는 멤버에게 메시지를 보낼 groupkey-push 수 없습니다.

서버 구성원 통신은 [edit security group-vpn server] 계층에서 server-member-communication 구성 문을 사용하여 그룹에 대해 구성됩니다. 다음 옵션을 정의할 수 있습니다.

• 서버에 대해 멤버를 인증하는 데 사용되는 인증 알고리즘(sha-256 또는 sha-384)입니다. 기본 알고리즘은 없습니다.

• 서버와 멤버 간의 통신에 사용되는 암호화 알고리즘입니다. aes-128-cbc, aes-192-cbc 또는 aes-256-cbc를 지정할 수 있습니다. 기본 알고리즘은 없습니다.

• 그룹 멤버에게 전송되는 키 재입력 메시지를 위한 유니캐스트 통신 유형입니다.

• KEK(키 암호화 키)의 수명입니다. 기본값은 3600초입니다.

• 그룹 서버가 응답 없이 그룹 구성원에게 메시지를 재전송하는 groupkey-push 횟수(기본값은 2회) 및 재전송 사이의 기간(기본값은 10초)입니다.

그룹에 대한 서버 구성원 통신이 구성되지 않은 경우 명령에 의해 show security group-vpn server registered-members 표시되는 구성원 목록에는 서버에 등록된 그룹 구성원이 표시되며 구성원은 활성 상태일 수도 있고 그렇지 않을 수도 있습니다. 그룹에 대한 서버 구성원 통신이 구성되면 그룹 구성원 목록이 지워집니다. 유니캐스트 통신 유형의 경우, show security group-vpn server registered-members 명령은 활성 멤버만 표시합니다.

그룹 VPNv2 주요 작업 이해

이러한 주제에는 다음 섹션이 포함됩니다.

• 그룹 키
• 메시지 키 재설정
• 회원가입

그룹 서버에 구성된 그룹 정책

VPN 그룹에서 서버가 구성원에게 푸시하는 각 그룹 SA와 키는 그룹 정책과 연결됩니다. 그룹 정책은 프로토콜, 원본 주소, 원본 포트, 대상 주소 및 대상 포트를 포함하여 키를 사용해야 하는 트래픽을 설명합니다. 서버에서 그룹 정책은 [edit security group-vpn server group name ipsec-sa name] 계층 수준의 옵션으로 구성됩니다match-policy policy-name.

동일한 그룹 정책(동일한 원본 주소, 대상 주소, 원본 포트, 대상 포트 및 프로토콜 값으로 구성됨)은 단일 그룹에 대해 존재할 수 없습니다. 그룹에 대해 동일한 그룹 정책을 포함하는 구성을 커밋하려고 하면 오류가 반환됩니다. 이 경우 구성을 커밋하기 전에 동일한 그룹 정책 중 하나를 삭제해야 합니다.

그룹 멤버에 구성된 IPsec 정책

그룹 멤버에서 IPsec 정책은 다음 정보로 구성됩니다.

• 그룹 트래픽에 대한 수신 영역(from-zone)입니다.

• 그룹 트래픽에 대한 나가는 영역(to-zone)입니다.

• IPsec 정책이 적용되는 그룹의 이름입니다. 하나의 그룹 VPNv2 이름만 특정 from-zone/to-zone 쌍에서 참조할 수 있습니다.

그룹 멤버가 그룹 VPNv2에 연결하는 데 사용하는 인터페이스는 나가는 영역에 속해야 합니다. 이 인터페이스는 [edit security group-vpn member ipsec vpn vpn-name] 계층 수준에서 문을 사용하여 group-vpn-external-interface 지정됩니다.

그룹 멤버에서 IPsec 정책은 [edit security ipsec-policy] 계층 수준에서 구성됩니다. IPsec 정책과 일치하는 트래픽은 그룹에 대해 구성된 제외 및 페일 오픈 규칙에 대해 추가로 확인됩니다.

페일 클로즈(Fail-Close)

기본적으로 그룹 서버에서 수신한 제외 또는 페일 오픈 규칙 또는 그룹 정책과 일치하지 않는 트래픽은 차단됩니다. 이를 장애 조치(fail-close)라고 합니다.

Exclude 및 Fail-Open 규칙

그룹 멤버의 경우 각 그룹에 대해 다음과 같은 유형의 규칙을 구성할 수 있습니다.

• VPN 암호화에서 제외된 트래픽입니다. 이러한 트래픽 유형의 예로는 BGP 또는 OSPF 라우팅 프로토콜이 있습니다. 그룹에서 트래픽을 제외하려면 구성을 사용합니다 set security group-vpn member ipsec vpn vpn-name exclude rule . 최대 10개의 제외 규칙을 구성할 수 있습니다.

• 고객의 작업에 중요하며 그룹 멤버가 IPsec SA에 대한 유효한 트래픽 암호화 키(TEK)를 받지 못한 경우 암호화되지 않은 일반 텍스트로 전송해야 하는 트래픽입니다. 페일 오픈 규칙은 다른 모든 트래픽이 차단되는 동안 이 트래픽 흐름을 허용합니다. 구성으로 fail-open을 set security group-vpn member ipsec vpn vpn-name fail-open rule 활성화합니다. 최대 10개의 fail-open 규칙을 구성할 수 있습니다.

IPsec 정책 및 규칙의 우선 순위

IPsec 정책 및 규칙은 그룹 멤버에 대해 다음과 같은 우선 순위를 갖습니다.

1. VPN 암호화에서 제외할 트래픽을 정의하는 규칙을 제외합니다.

2. 그룹 서버에서 다운로드된 그룹 정책입니다.

3. SA에 유효한 TEK가 없는 경우 일반 텍스트로 전송되는 트래픽을 정의하는 페일 오픈 규칙.

4. 트래픽을 차단하는 페일 클로즈 정책. 트래픽이 제외 또는 페일 오픈 규칙 또는 그룹 정책과 일치하지 않는 경우 기본값입니다.