vpn이란?
분산된 사설망들을 공중망을 이용하여 사설망처럼 사용하는 것이다. 사설망은 보안성이 높지만 거리에 따른 설치와 관리 비용이 크기때문에 해결책으로 vpn이 등장하였다. 공중망을 이용해도 데이터가 안전하도록 주소 및 라우터 체계의 비공개, 데이터 암호화, 인증 및 액세스 권한제한 등 보안이 강화된다.
vpn 특징
이미 구축되어있는 기존 사설망은 물론 모바일 환경도 연결이 가능하다. 즉, 추가 구축 비용이 절감한다는 것이다. 또한 와부와의 보안통신도 가능하다.
터널링과 암호화, 인증 기술을 통해 투명한 통신 서비스 제공한다.
다양한 구축방법과 프로토콜을 제공하여 원하는 vpn 구축 가능하다.
위치와 상관없이 해당 isp을 통해 접속하면 인터넷을 이용하여 vpn 접속이 가능하다.
단점
명확한 표준이 없어서 ISP업체마다 다른 기술을 사용해 서로 다른 ISP 간의 연동에서 문제가 발생할 가능성이 있다.
성능의 저하가 있다.
VPN 구성 유형
L2L(lan to lan)
본사와 지사 간을 연결하는 유형이다. 쌍방의 vpn 장비를 통해 연결하는 것이다.
L2C(lan to cient)
집, 출장 등 회사가 아닌 곳에서 연결하는 유형이다. 각 PC에 VPN client 프로그램을 이용하여 접속한다.
vpn 터널링 프로토콜 - 2계층과 3계층으로 나뉜다.
2계층 프로토콜
사용자와 접속하고자 하는 네트워크망을 연결해 주는 역할을 한다.
L2C를 위한 client-server model로 개발되어 remote access VPN에 주로 사용된다.
client가 접속할 때 아이디와 암호를 사용하여 인증 절차를 걸친 후 터널링을 시작한다.
PPP를 기반으로 하며 ATM, fram-releay를 지원한다.
2계층 프로토콜 - PPTP
PPP 를 확장하여 만든 규격이다. 터널을 확립하고 MS-CHAP와 RC4를 합성하여 암호화한다. 마이크로소프트사에서 개발했다.
로컬 네트워크 프로토콜(ip, IPX, netBEUI) 페이로드를 암호화하고 IP헤더로 캡슐화 하여 전송하는 방식이다.
PPP프레임을 IP데이터그램에 캡슐화하고 캡슐화된 PPP프레임의 페이로드에 대해 암호화 또는 압축이 가능하다.
터널의 유지, 보수, 관리를 위해 TCP연결을 사용한다.
모바일에서 서버에 접속하기 용이하게 구성되어 있다.
속도가 빠르고 거의 모든 기기에 내장되어 있어서 설치가 쉽다.
PPTP에서 사용하는 MS-CHAPv2 인증은 보안에 많은 취약점을 갖고 있어서 안전하지 않기 때문에 가정용이나 암호화 등급이 낮아도 될 경우에만 사용한다.
IP주소의 충돌을 피하기 위해 LAN의 IP와 원격지(접속자) LAN의 IP주소가 네트워크 대역이 달라야 한다.
2계층 프로토콜 - L2TP(Layer 2 Tunneling Protocol)
PPTP와 L2F를 결합한 방법.
마이크로소프트와 시스코에서 지원.
호환성이 뛰어남.
PPTP와 마찬가지로 PPP트래픽을 암호화하기에 다양한 상위 로컬 네트워크 프로토콜 사용 가능.
PPP에서 제공하는 사용자 인증, 암호화, 압축 등의 보안 기능 사용.
PPTP는 IP기반 네트워크만 지원하지만 L2TP는 패킷 중심의 지점 간 연결이기만 하면 통신 가능.
UDP 포트 사용.
PPTP는 두 지점 사이에 하나의 터널만 생성하지만
L2TP는 두 지점 사이에 여러개의 터널을 사용 할 수 있고, 터널에 따른 QoS 적용 가능.
3계층 프로토콜
IPsec이 대표적인 프로토콜이며 주로 L2L VPN에 이용.
L2L은 VPN 터널을 이용하여 LAN 단위의 네트워크(본사와 지사) 사이에 사용.
네트워크 계층 레벨의 VPN을 구성.
L2L 모델, 링크 계층과 독립적으로 구성.
우수한 보안성.
3계층 프로토콜 - IPsec(IP Security)
IP망에서 안전하게 정보를 전송하는 표준화된 3계층 터널링 프로토콜.
TCP/IP통신의 보안에 중점.
IETF에 의해 제안.
상위 계층 프로그램 및 네트워크 장비 변경이 필요 없음.
AH(Authentication Header)와 ESP(Encapsulation Security Payload)를 통해
IP데이터그램의 인증과 무결성, 기밀성 제공
전송모드와 터널모드가 존재.
전송모드 - IP 페이로드만 암호화하여 IP헤더로 캡슐화 하는 것.
터널모드 - IP 패킷을 모두 암호화하여 전송. 터널의 종단점과 1번째 라우터 사이는 평문으로 전송하고 라우터와 라우터 사이만 암호화가 되기에 주로 망 간의 연결에 사용.
IPsec 헤더는 AH와 ESP가 있음.
AH - 데이터와 순서번호를 보유. 송신자 확인(추적)하고 송신 중
메시지가 수정되지 않음을 보장. 즉, 기밀성 보장. 암호화 기능 x
전송모드에선 IP패킷 전체에 인증, 터널 모드에선 새로운 IP헤더+IP원본패킷전체 인증.
ESP - IP 페이로드를 대칭 암호화하여 데이터 기밀성을 제공. 즉, 데이터 노출 차단.
전송모드에선 전송 계층 세그먼트와 ESP트레일러를 암호화하고 ESP헤더+암호문 전체 인증
터널모드에선 IP원본패킷전체와 ESP트레일러를 암호화하고 ESP헤더+암호문 전체 인증
보안연관(SA)별로 일련번호를 유지하여 재전송 공격 방지.- AH
보안 정책 데이터베이스(SPD)와 보안 연관 데이터베이스(SAD)를 이용하여 접근 제어 수행.
SSL(Secure Socket Layer)
웹서버와 클라이언트간의 안전한 통신을 위해 보안을 제공하는 인터넷보안 프로토콜.
https의 s가 ssl을 뜻함.
SSL VPN
SSL기반의 VPN. 장소나 단말 종류와 관계없이 웹브라우저만을 이용해 내부 네트워크 접속 가능
어플리케이션 계층에서 SSL을 이용한 암호화 서비스를 제공.
clientless mode - 웹 브라우저를 사용
thin-client mode - HTTP를 제외한 다른 어플리케이션 지원. pop3, smtp, ssh, port포워딩
tunnel mode - cisco AnyConnect VPN 클라이언트 프로그램 사용.
CPE VPN(Customer Premise Equipment VPN)
'네트워크' 카테고리의 다른 글
패킷(packet) 생성 과정과 패킷 분석 방법 (0) | 2018.08.27 |
---|---|
OSI 7계층(layer)란? 간단한 정리 (0) | 2018.08.24 |