지난 주말에 우리는 사이트를 클라우드 환경에 연결하는 VPN 게이트웨이 중 하나에서 자동 보안 업그레이드를 수행했습니다. 문제 해결을 수행한 후(Wireshark를 통한 기본 네트워크 문제 해결을 통해) 최신 보안 업데이트 중 하나가 이 문제의 원인임을 확인했습니다. 우리는 시스템을 알려진 양호한 상태로 복원했으며 영향을 받은 패키지를 보류 상태로 설정했습니다.
linux-image-aws가 설치된 AWS의 Ubuntu 20.04 LTS 인스턴스입니다. 우리는 IPsec을 사용하여 여러 EdgeRouter를 프라이빗 클라우드 환경에 연결하고 있습니다.
업그레이드 후에는 모든 사이트가 평소대로 연결되고 통신합니다. 예를 들어 ICMP는 작동하지만 프라이빗 클라우드 환경에서 특정 서비스(예: RDP 또는 SMB)에 액세스할 수 없습니다.
관련 패키지의 변경 로그에는 링크된 변경 사항이 명확하게 표시되지 않으므로 근본적인 내용이 누락된 것은 아닌지 궁금합니다. 이 구성/설정은 현재 1년 넘게 아무 문제 없이 잘 작동했습니다.
알려진 좋은 버전: linux-image-aws 5.8.0.1041.43~20.04.13
문제가 있는 버전: linux-image-aws 5.8.0.1042.44~20.04.14 이상(영향을 받는 것으로 보이는 최신 5.11도 테스트했습니다)
IPsec 구성 추출
# MAIN IPSEC VPN CONFIG
config setup
conn %default
keyexchange=ikev1
# <REMOVED>
conn peer-rt1.<REMOVED>.net.au-tunnel-1
left=%any
right=rt1.<REMOVED>.net.au
rightid="%any"
leftsubnet=172.31.0.0/16
rightsubnet=10.35.0.0/16
ike=aes128-sha1-modp2048!
keyexchange=ikev1
ikelifetime=28800s
esp=aes128-sha1-modp2048!
keylife=3600s
rekeymargin=540s
type=tunnel
compress=no
authby=secret
auto=route
keyingtries=%forever
dpddelay=30s
dpdtimeout=120s
dpdaction=restart
미리 감사드립니다.
편집 1: 또 다른 테스트 업그레이드 후 실패한 RDP 연결에서 또 다른 tcpdump를 캡처할 수 있었는데 이는 다음과 같습니다.
21:43:01.813502 IP <LOCAL>.51099 > <REMOTE>.3389: Flags [S], seq 2706968963, win 64954, options [mss 1460,nop,wscale 8,nop,nop,sackOK], length 0
21:43:01.813596 IP <LOCAL>.51099 > <REMOTE>.3389: Flags [S], seq 2706968963, win 64954, options [mss 1460,nop,wscale 8,nop,nop,sackOK], length 0
21:43:01.814238 IP <REMOTE>.3389 > <LOCAL>.51099: Flags [S.], seq 152885333, ack 2706968964, win 64000, options [mss 1460,nop,wscale 0,nop,nop,sackOK], length 0
21:43:01.839105 IP <LOCAL>.51099 > <REMOTE>.3389: Flags [.], ack 1, win 1025, length 0
21:43:01.839168 IP <LOCAL>.51099 > <REMOTE>.3389: Flags [.], ack 1, win 1025, length 0
21:43:01.840486 IP <LOCAL>.51099 > <REMOTE>.3389: Flags [P.], seq 1:48, ack 1, win 1025, length 47
21:43:01.840541 IP <LOCAL>.51099 > <REMOTE>.3389: Flags [P.], seq 1:48, ack 1, win 1025, length 47
21:43:01.843746 IP <REMOTE>.3389 > <LOCAL>.51099: Flags [P.], seq 1:20, ack 48, win 63953, length 19
21:43:01.922120 IP <LOCAL>.51099 > <REMOTE>.3389: Flags [.], ack 20, win 1025, length 0
21:43:01.922212 IP <LOCAL>.51099 > <REMOTE>.3389: Flags [.], ack 20, win 1025, length 0
21:43:01.932646 IP <LOCAL>.51099 > <REMOTE>.3389: Flags [P.], seq 48:226, ack 20, win 1025, length 178
21:43:01.932729 IP <LOCAL>.51099 > <REMOTE>.3389: Flags [P.], seq 48:226, ack 20, win 1025, length 178
21:43:01.940677 IP <REMOTE>.3389 > <LOCAL>.51099: Flags [P.], seq 20:1217, ack 226, win 63775, length 1197
21:43:01.967343 IP <LOCAL>.51099 > <REMOTE>.3389: Flags [P.], seq 226:408, ack 1217, win 1020, length 182
21:43:01.967417 IP <LOCAL>.51099 > <REMOTE>.3389: Flags [P.], seq 226:408, ack 1217, win 1020, length 182
21:43:01.969452 IP <REMOTE>.3389 > <LOCAL>.51099: Flags [P.], seq 1217:1324, ack 408, win 63593, length 107
21:43:02.044376 IP <LOCAL>.51099 > <REMOTE>.3389: Flags [.], ack 1324, win 1020, length 0
21:43:02.044471 IP <LOCAL>.51099 > <REMOTE>.3389: Flags [.], ack 1324, win 1020, length 0
21:43:02.135594 IP <LOCAL>.51099 > <REMOTE>.3389: Flags [P.], seq 408:637, ack 1324, win 1020, length 229
21:43:02.135653 IP <LOCAL>.51099 > <REMOTE>.3389: Flags [P.], seq 408:637, ack 1324, win 1020, length 229
21:43:02.136796 IP <REMOTE>.3389 > <LOCAL>.51099: Flags [P.], seq 1324:2609, ack 637, win 63364, length 1285
21:43:02.212871 IP <LOCAL>.51099 > <REMOTE>.3389: Flags [.], ack 2609, win 1025, length 0
21:43:02.212940 IP <LOCAL>.51099 > <REMOTE>.3389: Flags [.], ack 2609, win 1025, length 0
답변1
자세히 알아보지 않고도 sha1 및 aes128과 같은 오래되고 약한 암호를 제거할 수 있을까요? 작동 중인 커널 버전에서 aes256-sha256-modp2048로 변경한 다음 업그레이드하여 여전히 중단되는지 확인하세요. 또한 ikev1 대신 ikev2를 사용할 수도 있나요? 그러나 이는 커널 설정이 아니라 사용자 공간 문제입니다.
한번 시도해 보세요…