Secure Firewall – Tips – Site-to-Site VPN(Route-Based)

Kai Shin · ‎02-27-2023

안녕하세요! 커뮤니티 여러분?

오늘은 Secure Firewall기능중 Site-to-Site VPN(Route-Based)에 대해서 알아보겠습니다.

데모 구성도:

데모 장비 및 버전:

SFMCv - 7.3.0(build 69)

SFTDv - 7.3.0(build 69)

License – 90일 데모 라이선스

Site-to-Site VPN 요구사항 :

License : N/A

Site-to-Site VPN 소개 :

Cisco Secure Firewall에서 VTI (Virtual Tunnel Interface)는 가상 터널 인터페이스를 생성하여 IPSec VPN을 구성하는 데 사용됩니다. VTI를 사용하면 다음과 같은 이점이 있습니다.
- 단순성: VTI를 사용하면 IPSec VPN 구성이 간단해집니다. VTI를 구성하는 것은 물리적 인터페이스를 구성하는 것과 유사합니다. VTI를 사용하면 명령어 몇 개만 사용하여 VPN을 설정할 수 있습니다.
- 확장성: VTI는 다양한 네트워크 장비와 호환됩니다. VTI를 사용하면 서로 다른 공급 업체 간에 VPN을 구성할 수 있습니다.
- 안정성: VTI를 사용하면 물리적 인터페이스 대신 가상 인터페이스를 사용하므로 VPN 연결이 안정적입니다. 또한 VTI를 사용하면 가상 인터페이스를 사용하여 별도의 라우팅 구성이 가능하므로 다른 문제에 대해 더욱 강력한 제어가 가능합니다.
- 보안성: VTI를 사용하면 IPSec VPN 터널이 라우터 인터페이스에 바인딩되므로 인터페이스 노출에 대한 위험성이 줄어듭니다. 이는 공격자가 VPN 터널을 감시하거나 노출시키는 것을 방지할 수 있습니다.
요약하자면, VTI를 사용하면 IPSec VPN 구성이 간단하고 확장성이 높으며 안정적이며 보안성이 높아집니다.

Site-to-Site VPN(Policy based) Configuration :

HQ & BR FTD 에 각각 VTI Interface 를 생성합니다.

Devices > Device Management

Pencil 클릭

Add Interfaces > Virtual Tunnel Interface 클릭

Name : HQ-VTI-INT

Security Zone : hq-vti(VTI interface를 위한 security zone 신규생성)

Tunnel ID : 11

Tunnel Source : outside interface & IP address

IP Address : VTI Interface IP address

생성된 VTI Interface 확인

Add Interfaces > Virtual Tunnel Interface 클릭

Name : BR-VTI-INT

Security Zone : br-vti(VTI interface를 위한 security zone 신규생성)

Tunnel ID : 12

Tunnel Source : outside interface & IP address

IP Address : VTI Interface IP address

생성된 VTI Interface 확인

VPN 생성을 위해 페이지를 이동합니다.

Devices > VPN > Site to Site

Site to Site VPN 클릭

Topology Name : Site-to-Site-VPN-VTI

Node A : Device : HQ-FTD

Virtual Tunnel Interface : HQ-VTI-INT

Node B : Device : BR-FTD

Virtual Tunnel Interface : BR-VTI-INT

Save 클릭

HQ & BR 각각 NAT 예외처리를 위한 Identity NAT 설정

Devices > NAT

HQ Identity NAT 설정

BR Identity NAT 설정

HQ<>BR 통신을 허용하기 위한 rule 추가

Policies > Access Control > Access Control

HQ & BR 각각 양방향으로 허용 rule 추가

VTI Tunnel 을 통해 VPN 통신이 이루어 질 수 있도록 VTI 를 사용하여 통신하는 라우팅 테이블을 각 FTD에 추가

HQ

Interface : HQ-VTI-INT

Selected Network : br-inside

Gateway : 172.16.1.12(BR FTD VTI IP)

BR

Interface : BR-VTI-INT

Selected Network : hq-inside

Gateway : 172.16.1.11(HQ FTD VTI IP)

모든 설정이 완료된 후 Deploy.

각 FTD에서 RRI와 isakmp/ipsec에 대한 검증

HQ FTD

BR FTD

아래와 같이 Unified Events 에서 HQ <> BR 간 80/tcp 통신 로그를 확인 하실 수 있습니다.

또한 OS 7.3 버전부터 별도의 Site to Site VPN Dashboard 를 아래와 같이 제공하여 보다 VPN 상태 확인을 편리하게 사용하실 수 있습니다.

오늘도 긴 글 읽어 주셔서 감사드리며, 다음에는 더욱 좋은 컨텐츠로 찾아 뵙겠습니다.

감사합니다!!!