네트워크 보안 (4)

가상사설망(VPN : Virtual Private Network) 

- 인터넷의 개방적이고 분산된 하부 구조로 사용 가능

- ISP에 POP(Point of Presence)로 연결

- 전송데이터 암호화 및 인증 등 보안기능을 제공

 

가상사설망 기술 

ㄱ. 터널링 기술

- End-to-End 전용회선 연결과 같은 효과. 두 종단간 사이에 가장적인 터널을 형성하는 기술

- 암호화와 인증 제공

- 각 네트워크 계층별 터널링 프로토콜이 존재

ㄴ. 키(Key) 관리 기술

- VPN 서비스 보안사항 협상에 사용되는 키 관리 프레임 기술

- ISAKMP, OAKLEY 등

ㄷ. VPN 관리 기술

- 효과적, 안정적으로 VPN 서비스를 지원하는 기술

- QoS를 보장하는 기술

 

가상사설망 장단점 

ㄱ. 장점

- 폐쇄망. 전송 데이터가 외부에 노출되지 않는다

- 신규 노드 확장이 쉽고 빠르다

- 전송회선 비용이 절감

- 네트워크 확장이 용이

ㄴ. 단점

- 공중망. 대역폭 보장이 어렵다

- 모든 장비가 호환되지 않는다

 

터널링 

- 송신자와 수신자 사이의 전송로에 외부의 침입을 막기 위해 일종의 파이프를 구성하는 기술

- 터널링되는 데이터 : 페이로드(Payload)

 

터널링 프로토콜 : PPTP, L2TP, Sock v5, IPSec 

 

 PPTP(Point-to-Point Tenneling Protocol) : 2계층 

- 이동 사용자가 홈서버에 접속하도록 구성. 클라이언트는 변하지 않고 터널 끝점이 자주 변할 때 유용

 

 L2TP(Layer 2 Tunneling Protocol) : 2계층. L2 업계 표준 

- 하나의 터널 안에 여러 세션이 가능

- 트래픽을 암호화하고 IP헤더로 캡슐화하여 인터넷을 경유하여 전송

- 원격 다이얼업 사용자가 공중망을 통하여 터널링을 통하여 사설망에 연결 가능하도록 하는 기능을 제공

 

 Sock v5 

- 세션 레이어에서 프록시 프로토콜로 사용

- 클라이언트 인증, 암호화, 프록시 등 보안기능이 추가

- SSL/TLS 결합 사용이 가능

- 뛰어난 액세스 제어 기능 제공

- Extra VPN에 적합

 IPSec : 3계층 

- AH(Authentication Header), ESP(Encapsulation Security Payload) 프로토콜, 보안구조 관련 DB 이용

- 터널 양단간에 협상 과정을 위한 키 관리 프로토콜이 필요

 

 AH(Authentication Header) 보안 프로토콜 

- 무결성(Integrity)을 보장하기 위한 프로토콜. IP 패킷이 정당하다는 인증에 사용되는 헤더

- 해쉬 알고리즘(MD5, SHA-1 등)을 사용하여 Key값과 데이터를 입력으로 한 인증값을 계산하여 AH의 인증필드에 기록

- 수신자는 같은 키를 이용하여 인증값을 검증

ㄱ. 전송모드

- 원래 IP헤더를 그대로 이용하여 호스트간 터널 형성에 주로 사용

- IP header -- AH -- IP payload

ㄴ. 터널모드

- 데이터그램 전체를 AH로 캡슐화 후 새로운 IP헤더를 추가

- 송수신자를 새로 지정 가능

- 주로 보안 게이트웨이 사이의 터널 형성에 사용

- New IP header -- AH -- [ IP header -- IP payload ] 캡슐화

 

 ESP(Encapsulation Security Payload) 

- 선택적 인증, 무결성, 기밀성, 재전송공격 방지 기능 제공

- 터널 종단간 협상된 키와 암호화 알고리즘으로 데이터그램을 암호화

- ESP 단독 적용, ESP+AH 조합 형식 적용

ㄱ. 전송모드

- IP header -- ESP header -- IP payload -- ESP trailer -- ESP auth

- Encrypted : IP payload + ESP trailer / Authenticated : ESP header + Encrypted

ㄴ. 터널모드

- New IP header -- ESP header -- IP header -- IP payload -- ESP trailier -- ESP auth

- Encrypted : IP header + IP payload + ESP trailer / Authenticated : ESP header + Encrypted

 

 AH와 ESP 차이

- AH는 ESP보다 인증의 범위가 넓음

- ESP는 암호화 제공

 

전송모드와 터널모드 

- 전송모드 : 종단 시스템에서 송/수신. 전송중 상위계층 모든 정보 보호

- 터널모드 : 종단 라우터가 송/수신. 종단 호스트에서 IPSec을 수행할 필요가 없는 모드

 

SSL VPN(Secure Socket Layer Virtual Private Network) 

- 장소, 단말에 관계없이 내부 네트워크에 접속할 수 있는 SSL 기반 가상 사설망

- 정보의 암호화로 정보 유출시에도 내용을 보호할 수 있는 기능을 갖춘 프로토콜

- 암호화 및 프록시, 인증 및 접근 제어 가능

- 인트라넷용으로 구축된 어플리케이션으로 수정없이 인터넷에 접근 가능

- 하드웨어나 소프트웨어 불필요, 인터넷이 가능한 어떤 PC에서도 접속 가능, 다양한 어플리케이션 지원