서울에 본사가 있고, 대구에 지사가 있는 경우 이 두 곳의 통신을 안전하게 하려면 ISP를 통한 Leased 회선을 이용하는 방법이 있다. 이렇게 하면 1:1로 직접 연결된 것과 같은 효과가 있어서 보안성은 매우 우수하지만 비용이 비싸다는 단점이 있다. 하지만 VPN을 이용하면 비용이 저렴한 일반 회선을 이용하고도 안전하게 통신할 수 있다.
여러 사람들이 사용하는Public 네트워크를 Private 네트워크처럼 사용하는 기술을 말한다.(★)
VPN 사용하는 경우
- Leased 회선을 사용하지 않으므로 비용이 저렴
- 원격지에서도 안전하게 통신할 수 있음.
- 암호화 기능이 있어 보안성이 강화
- 일반 회선에 문제가 생길 경우 통신할 수 없다.
VPN 사용하지 않는 경우
- 라우팅 프로토콜에 Private 네트워크를 포함시키면 되지 않나?
- ISP에서는 Private IP주소를 차단시킨다.
- Private IP주소 대신 Public IP주소를 쓰면 되지 않나?
- 우리는 Public IP주소가 부족해서 아껴써야 합니다.
- Default Route 사용하면 되지 않나?
- 안전하지가 않다. (더군다나 ISP에서는 Private IP주소를 차단)
VPN 종류는 다양하지만 흔히 쓰는 것은 IPSec VPN 이다( IP Security VPN )
IPSec VPN은 단독으로 사용할 수도 있으나 GRE(Generic Routing Encapsulation) 터널과 같이 사용할 수도 있다.
GRE 터널링은 보안성이 없지만 IPSec VPN은 보안 성이 있기 때문에 동시에 사용하여 상호 보완해준다.
원래의 사용자 패킷의 내용을 감추기 위해 암호화를 수행한다.
IPSec은 "IP Security"의 줄임말로 VPN 사용자가 보낸 IP패킷에 보안을 적용한다.
IPSec은 비밀성, 무결성, 인증 을 그 목적으로 한다
비밀성(Confidentiallity)
최악의 경우 사용자 패킷에 담겨 있는 정보가 유출되더라도 그 정보를 알아볼 수 없게 만드는 것이다
암호화 와 복호화에 어떤 키(key)가 사용되는지에 따라 대칭형 키(Symmetrical Key) 와 비대칭형 키(Asymmetrical Key)로 구분할 수 있다
대칭형 키 (Symmetrical Key) => 대칭형 키는 암호화와 복호화에 동일한 키가 사용된다. 대칭키 비대칭형 키 (Asymmetrical Key) => 공개 키 암호화(PKI : Public key infrastrucutre) 비대칭형 키는 암호화와 복호화에 다른 키가 사용된다. 복호화
무결성
사용자가 보낸 정보가 전송 중에 가로채여진 후 조작되었는지 여부를 확인하기 위함이다
※ HMAC : 해시 정보를 암호화하는 것을 해시 기반 메시지 인증 코드(HMAC)라고 한다. 해커가 조작한 정보에 대한 새로운 해시 값을 계산하더라도 해시 암호화를 위한 키 정보 를 모르기 때문에 해시 값을 변경할 수 없다
인증(Authentication)
- IPSec은 자신과 정보를 공유하는 VPN Peer를 인증 함으로써 VPN 통신을 위한 세션을 시작한다.
- IPSec Peer의 인증은 사전에 공유된 키정보(PSK, Pre-Shared Key), 전자서명(Digital Signature), 인증서(Digital Cetificate) 등으로 이루어진다
반응형
IPSEC 설정 4단계
Step1 : IKE Phase 1(ISAKMP) 정책 설정 Step2 : IKE Phase 2(IPSec) 정책 설정 Step3 : Phase1 + Phase2 정책 조합 Step4 : 인터페이스에 IPSec VPN 적용(활성화)
Step 1 : IKE Phase 1 (ISAKMP) 정책 설정
① VPN 장비간 인증(Authentication) 키 설정
- pre-shared : 미리 설정한 대칭 키 사용
- rsa-encr : RSA(Rivest, Shamir, Adleman) 방식으로 미리 만든 비대칭 키 사용
- rsa-sig : RSA 방식으로 만들 비대칭 키 사용
② 암호화(Confidentiality) 방식 지정 : encryption
- AES(Advanced Encryption Standard)
- 3DES(Triple DES)
- DES(Data Encryption Standard)
③ 키 교환 방식
- Diffie-Hellman Group 1, 2, 5
④ 무결성(Integrity) 확인 방식 설정
- md5(Message Digest 5)
- sha(Secure Hash Standard)
⑤ 현재의 보안 정책 사용시간 : Lifetime 설정
Step 2 : IKE Phase 2 (IPSec) 정책 설정
① VPN으로 보호해야 할 트래픽 지정
② 트래픽 보호용으로 사용할 보안 방식 결정 : Transform set
- AH, ESP : 하나의 패킷내에서 보호되는 데이터의 범위 및 방식
- DES, 3DES, AES : 데이터 암호화 방식
- 무결성 확인(데이터가 중간에 변조되지 않았음을 확인) : MD5, SHA
※ 참고 IKE 인터넷이라는 Public에서 안전하게 키를 주고 받을 수 있을지에 대한 이슈 VPN에서 필수적으로 암호화를 하기 위해 필요한 것이 '키'인데, 그 키를 주고 받아야만 같은 키를 갖고 서로 데이터를 암/복호화 할 수 있다. 그 키를 어떻게 안전하게 주고 받을 수 있을 지에 대한 것을 정의 .
ESP IPsec 헤더. 무결성과 기밀성을 제공한다. AH 기밀성을 제공하지는 않지만, 무결성과 재생방지를 제공한다.
댓글