Cato IPsec 가이드: IKEv1 vs IKEv2

IPsec 사이트 모범 사례 - IKEv2로 마이그레이션

일반적으로, Cato는 IPsec IKEv2 사이트를 모범 사례로 사용할 것을 권장합니다. IKEv2의 몇 가지 개선 사항은 다음과 같습니다:

  1. IKEv2는 VPN 터널을 설정하기 위해 교환해야 하는 메시지 수를 줄임으로써 효율성을 높입니다. 터널은 더 빠르게 설정되며, 대역폭 사용이 감소합니다.

  2. IKEv2는 더 신뢰할 수 있습니다. IKEv2에는 터널이 다운될 때를 감지하기 위한 내장 활동성 확인 기능이 있습니다.

  3. IKEv2는 DoS 공격으로부터 보호합니다. IKEv1과 달리, IKEv2 응답자는 시작자가 광고된 IP 주소에서 메시지를 수신할 수 있음을 증명할 때까지 중요한 처리를 수행할 필요가 없습니다.

  4. NAT-T는 내장되어 있습니다. NAT-T 또는 NAT Traversal은 VPN 엔드포인트가 NAT를 수행하는 라우터 뒤에 위치할 때 필요합니다. IPsec 터널은 NAT와 호환되지 않는 캡슐화 보안 페이로드(ESP)를 사용하여 데이터를 전송합니다. 따라서 NAT-T는 UDP로 ESP 패킷을 캡슐화하여 NAT를 통해 라우팅할 수 있도록 사용됩니다.

IPsec IKEv2 사이트 사용의 이점에 대한 더 많은 정보를 보려면, RFC 4306을 참조하십시오.

IKEv2와 IKEv1의 유사점

아래는 IKEv1 및 IKEv2 터널에 대한 strongSwan 구성의 비교입니다. strongSwan은 여러 운영 체제, 포함하여 Windows 및 macOS에 대한 오픈 소스 IPsec 솔루션입니다.

IKEv1

IKEv2

conn cato-vpn
 auto=add
 compress=no
 type=tunnel
 keyexchange=ikev1
 fragmentation=yes
 forceencaps=yes
 ike=aes256-sha1-modp1024
 esp=aes256-sha1
 dpdaction=clear
 dpddelay=300s
 rekey=no
 left=172.16.1.62
 leftid=54.183.180.107
 leftsubnet=172.16.1.0/24
 right=45.62.177.115
 rightid=45.62.177.115
 rightsubnet=172.17.3.0/24
 authby=secret
conn cato-vpn
 auto=add
 compress=no
 type=tunnel
 keyexchange=ikev2
 fragmentation=yes
 forceencaps=yes
 ike=aes256-sha1-modp1024
 esp=aes256-sha1
 dpdaction=clear
 dpddelay=300s
 rekey=no
 left=172.16.1.62
 leftid=54.183.180.107
 leftsubnet=172.16.1.0/24
 right=45.62.177.115
 rightid=45.62.177.115
 rightsubnet=172.17.3.0/24
 authby=secret

유일한 차이는 단일 숫자입니다. keyexchange 값을 ikev1에서 ikev2로 변경하면 strongSwan을 IKEv1에서 IKEv2로 전환하는 데 충분합니다.

참고: IKEv1 및 IKEv2 사이트 모두에 대해 IPSec 사전 공유 키(PSK)를 최대 64자로 설정할 수 있습니다.

Cato 관리 애플리케이션에서 IKEv1에서 IKEv2로 전환하기

IKEv1에서 IKEv2 터널로 마이그레이션하는 데 필요한 단계는 다음과 같습니다.

사이트를 IKEv1에서 IKEv2 터널로 마이그레이션하려면:

  1. 네트워크 > 사이트 화면에서 IKEv1에서 IKEv2로 전환하려는 사이트를 선택합니다.

  2. 네트워크 > 사이트 > [사이트 이름] > 사이트 설정 > 일반 화면에서, 연결 유형 드롭다운에서 IPsec IKEv2를 선택합니다. 연결 유형을 변경하면 사이트의 기본 범위와 기타 네트워크가 손실됩니다.

    360002841277-image-0.png
  3. 네트워크 > 사이트 > [사이트 이름] > 사이트 설정 > 네트워크 화면에서 기본 범위와 기타 원격 네트워크를 입력하십시오. 이들은 원격 트래픽 선택기입니다.

  4. 네트워크 > 사이트 > [사이트 이름] > 사이트 설정 > IPsec 화면에서 기본 섹션에서 Cato IP(송신)을 선택하고 원격 VPN 게이트웨이의 사이트 IP를 입력하십시오.

    360002920918-image-1.png
  5. 기본 사전 공유 키 아래 비밀번호 필드에 PSK를 입력하십시오.

    360002841297-image-2.png
  6. 라우팅 섹션을 확장하고 네트워크 범위 아래 사이트의 라우팅 옵션을 추가하십시오. 이들은 카토 또는 카토 VPN 범위에 연결된 다른 사이트에서 이미 구성된 네트워크여야 합니다.

    360002841317-image-3.png
  7. Cato에 의한 연결 시작 체크박스를 선택하여 Cato가 VPN 연결을 시작하도록 합니다. 이 구성은 선택 사항이지만, 원격 VPN 게이트웨이가 연결을 시작하도록 설정되지 않았을 수 있기 때문에 권장됩니다.

  8. (선택 사항) 초기 메시지 매개변수 섹션을 확장하고 설정을 구성하십시오. 대부분의 IPsec IKEv2 지원 솔루션이 다음 초기 및 인증 매개변수의 자동 협상을 구현하기 때문에 방화벽 벤더의 특별한 지시가 없는 한, 이를 자동으로 설정할 것을 Cato는 권장합니다.

    초기 및 인증 메시지 매개변수가 IKEv1의 단계 1 및 단계 2 매개변수와 거의 동일하다는 것을 눈치챘을 수도 있지만, IKEv2에서는 PRF 및 무결성 알고리즘 구성 옵션이 있습니다. 대부분의 벤더는 서로 다른 PRF 및 무결성 알고리즘을 지원하지 않으므로, 의심스러운 경우 자동으로 설정하거나 동일한 값으로 설정되어 있는지 확인하십시오.

  9. 저장을 클릭하십시오.

IKEv2: 최후의 프론티어

요즘 시대에 1999년, 아니 1998년처럼 축하할 만한 한 가지 이유가 있습니다. 그것은 바로 VPN 연결의 한쪽이 IETF에 의해 처음으로 정의된 IKEv1만 지원하는 구형 디바이스에 종료될 때입니다. 주요 클라우드 제공자(AWS, GCP, Azure, Alibaba Cloud)는 IKEv2를 지원합니다. 따라서 이전 VPN 엔드포인트에 연결하지 않는 한, VPN 터널을 설정할 때는 IKEv2를 첫 번째 선택으로 고려하십시오.

도움이 되었습니까?

3명 중 3명이 도움이 되었다고 했습니다.

댓글 0개