RAVPN에 대한 최신 TLS 및 DTLS 암호 구성

업데이트:2023년 7월 20일

문서 ID:220609

편견 없는 언어

본 제품에 대한 문서 세트는 편견 없는 언어를 사용하기 위해 노력합니다. 본 설명서 세트의 목적상, 편견 없는 언어는 나이, 장애, 성별, 인종 정체성, 민족 정체성, 성적 지향성, 사회 경제적 지위 및 교차성에 기초한 차별을 의미하지 않는 언어로 정의됩니다. 제품 소프트웨어의 사용자 인터페이스에서 하드코딩된 언어, RFP 설명서에 기초한 언어 또는 참조된 서드파티 제품에서 사용하는 언어로 인해 설명서에 예외가 있을 수 있습니다. 시스코에서 어떤 방식으로 포용적인 언어를 사용하고 있는지 자세히 알아보세요.

이 번역에 관하여

Cisco는 전 세계 사용자에게 다양한 언어로 지원 콘텐츠를 제공하기 위해 기계 번역 기술과 수작업 번역을 병행하여 이 문서를 번역했습니다. 아무리 품질이 높은 기계 번역이라도 전문 번역가의 번역 결과물만큼 정확하지는 않습니다. Cisco Systems, Inc.는 이 같은 번역에 대해 어떠한 책임도 지지 않으며 항상 원본 영문 문서(링크 제공됨)를 참조할 것을 권장합니다.

소개

이 문서에서는 최신 TLS(Transport Layer Security) 및 DTLS(Datagram Transport Layer Security) 암호를 구성하는 절차를 설명합니다.

사전 요구 사항

요구 사항

다음 주제에 대한 지식을 보유하고 있으면 유용합니다.

기본 RAVPN(Remote Access VPN) 및 SSL(Secure Sockets Layer) 지식
테스트 및 운영 중인 보안 방화벽의 RAVPN 구성

사용되는 구성 요소

이 문서의 정보는 다음 소프트웨어 및 하드웨어 버전을 기반으로 합니다.

Cisco Secure Firewall Management Center 7.2
Cisco 방화벽 위협 방어 7.2
Secure Client 5.0

이 문서의 정보는 특정 랩 환경의 디바이스를 토대로 작성되었습니다. 이 문서에 사용된 모든 디바이스는 초기화된(기본) 컨피그레이션으로 시작되었습니다. 현재 네트워크가 작동 중인 경우 모든 명령의 잠재적인 영향을 미리 숙지하시기 바랍니다.

보안 방화벽의 플랫폼 설정 구성

플랫폼 설정 소개

플랫폼 설정 정책은 시간 설정 및 외부 인증과 같이 구축의 다른 관리되는 디바이스와 유사할 수 있는 관리되는 디바이스의 측면을 정의하는 기능 또는 매개변수의 공유 집합입니다. 공유 정책을 사용하면 여러 관리되는 디바이스를 한 번에 구성할 수 있으므로 구축에 일관성을 제공하고 관리 작업을 간소화할 수 있습니다. 플랫폼 설정 정책을 변경하면 정책을 적용한 모든 관리되는 디바이스에 영향을 미칩니다. 플랫폼 설정에 대한 자세한 내용은 여기에서 확인하십시오.

플랫폼 설정을 변경하려면 아직 완료되지 않은 경우 정책을 생성합니다. 완료되면 Configure TLS / DTLS Ciphers(TLS/DTLS 암호 구성)로 건너뜁니다.

Devices(디바이스) > Platform Settings(플랫폼 설정)로 이동하고 New Policy(새 정책)를 선택하여 시작합니다.

정책에 방화벽 위협 방어 디바이스를 할당합니다.

TLS/DTLS 암호 구성

SSL 탭으로 이동하여 TLS/DTLS 컨피그레이션에 액세스합니다. Add(추가) 버튼을 선택하여 사용자 지정 암호 목록을 생성합니다.

보안 요구 사항에 맞게 적절한 Elliptical Curve / Diffie-Hellman 그룹 값과 함께 TLS / DTLS 버전을 변경합니다.

참고: 사용자 지정 지원 특성을 사용하여 사용자 지정 목록을 만들거나 다양한 지원 암호 수준에서 선택할 수 있습니다. 보안 요구 사항을 가장 잘 지원하는 목록과 암호를 선택하십시오.

프로토콜 및 암호 수준을 선택합니다.

Select TLSV1.2

Security Level High

DTLS에 대해 동일한 프로세스를 반복합니다.

Select DTLSv1.2 Protocol

DTLS Security Level High

Secure Firewall Management Center에서 컨피그레이션을 완료했습니다.

Completed configuration example

컨피그레이션을 저장하고 FTD에 변경 사항을 구축합니다.

참고: 이러한 변경 사항은 사용자가 연결되어 있는 동안 적용할 수 있습니다. Secure Client 세션에 대해 협상된 TLS/DTLS 암호는 세션의 시작 부분에서만 발생합니다. 사용자가 연결되어 있고 변경하려는 경우 기존 연결을 끊지 않습니다. 보안 방화벽에 대한 새로운 연결은 새로운 보안 암호를 사용하는 것입니다.

Deployed to firewall

다음을 확인합니다.

Secure Firewall Management Center에서 Threat Defense 디바이스에 컨피그레이션을 구축한 후에는 FTD CLI에 암호가 있는지 확인해야 합니다. 디바이스에 대한 터미널/콘솔 세션을 열고 나열된 show 명령을 실행하고 출력을 검토합니다.

FTD CLI 컨피그레이션에서 확인

선택한 TLS/DTLS 목록이 show run ssl과 함께 표시되는지 확인합니다.

FTD72# show run ssl     
ssl cipher tlsv1.2 high
ssl cipher dtlsv1.2 high
ssl ecdh-group group21

선택한 TLS 버전이 show ssl을 사용하는 Diffie-Hellman 버전과 함께 협상되도록 합니다.

FTD72# show ssl
Accept connections using SSLv3 or greater and negotiate to TLSv1.2 or greater
Start connections using TLSv1.2 and negotiate to TLSv1.2 or greater
SSL DH Group: group14 (2048-bit modulus, FIPS)
SSL ECDH Group: group21 (521-bit EC)

SSL trust-points:
  Self-signed (RSA 2048 bits RSA-SHA256) certificate available
  Self-signed (EC 256 bits ecdsa-with-SHA256) certificate available
Certificate authentication is not enabled

활성 보안 클라이언트 연결을 사용하여 FTD CLI에서 확인

Secure Client Session에 연결하고 FTD CLI의 출력을 검토합니다. 교환된 암호를 확인하려면 show vpn-sessiondb detail anyconnect filter name username 명령을 실행합니다.

AnyConnect VPN Connected

FTD72# show vpn-sessiondb detail anyconnect filter name trconner

Session Type: AnyConnect Detailed

Username     : trconner               Index        : 75
Protocol     : AnyConnect-Parent SSL-Tunnel DTLS-Tunnel
License      : AnyConnect Premium
Encryption   : AnyConnect-Parent: (1)none  SSL-Tunnel: (1)AES-GCM-256  DTLS-Tunnel: (1)AES-GCM-256
Hashing      : AnyConnect-Parent: (1)none  SSL-Tunnel: (1)SHA384  DTLS-Tunnel: (1)SHA384
Bytes Tx     : 24350                  Bytes Rx     : 20451
Pkts Tx      : 53                     Pkts Rx      : 254
Pkts Tx Drop : 0                      Pkts Rx Drop : 0
Group Policy : Split                  Tunnel Group : Split-4-CCIE
Login Time   : 08:59:34 UTC Fri Sep 9 2022
Duration     : 0h:01m:26s
Inactivity   : 0h:00m:00s
VLAN Mapping : N/A                    VLAN         : none
Audt Sess ID : c0a805810004b000631b0076
Security Grp : none                   

---Output Condensed-----

AnyConnect-Parent Tunnels: 1
SSL-Tunnel Tunnels: 1
DTLS-Tunnel Tunnels: 1

AnyConnect-Parent:
  Tunnel ID    : 75.1             
  TCP Src Port : 55581                  TCP Dst Port : 443                                       
  
SSL-Tunnel:
  Encryption   : AES-GCM-256            Hashing      : SHA384                 
  Ciphersuite  : ECDHE-RSA-AES256-GCM-SHA384                       
  Encapsulation: TLSv1.2                TCP Src Port : 55588                  

DTLS-Tunnel:
  Tunnel ID    : 75.3
  Encryption   : AES-GCM-256            Hashing      : SHA384                 
  Ciphersuite  : ECDHE-ECDSA-AES256-GCM-SHA384                     
  Encapsulation: DTLSv1.2               UDP Src Port : 64386

활성 보안 클라이언트 연결을 사용하여 클라이언트에서 확인

Secure Client 애플리케이션에서 협상된 암호를 확인합니다.

Secure Client 애플리케이션을 엽니다.

Statistics(통계) > AnyConnect VPN > Statistics(통계)로 이동하여 조사합니다. 나열되는 암호를 방화벽 위협 방어에 대해 교차 검사하여 확인해야 합니다.

AnyConnect VPN statistics

문제 해결

FTD CLI에서 디버그

TLS/DTLS 암호 교환과 관련된 Secure Client의 연결 오류는 이러한 debug 명령을 사용하여 Firewall Threat Defense CLI에서 조사할 수 있습니다.

debug ssl
debug ssl cipher 
debug ssl state 
debug ssl device 
debug ssl packet

보안 클라이언트에서 DART 수집

Secure Client DART 애플리케이션을 열고 Run(실행)을 선택합니다.

참고: 자격 증명을 입력하라는 메시지가 표시되면 관리자 수준 자격 증명을 입력하여 계속하십시오.

Secure Client Dart Module

DART를 수집하고 디버그를 통해 Cisco TAC를 활용합니다.

Secure Firewall Management Center와 방화벽 Threat Defense CLI에서 볼 수 있는 구축된 컨피그레이션이 일치하지 않는 경우 Cisco TAC에서 새 케이스를 여십시오.

개정 이력

개정	게시 날짜	의견
1.0	21-Jul-2023	최초 릴리스

기고자

Tristan Conner
정보 보안 엔지니어