꾸준히

VPN 본문

Ping!

VPN

Jii- 2023. 2. 23. 21:31

VPN

VPN은 Virtual Private Network으로 고가의 전용선이 아닌 인터넷 회선을 이용하여 전용선의 통신 보안을 강화하는 솔루션이다. 즉, public 망을 이용하여 private망처럼 사용하는 것이다. 

IPSec VPN

IPSec VPN은 public망(인터넷)을 통해 전용선과 같은 수준의 통신 보안을 유지하기 위해 사용한다. 기업 입장에서는 전용회선 비용 절감 목적과 재택 혹은 이동 근무자의 기업 내부망 접속을 위해 사용한다. (개인의 경우 IP 우회 목적으로 사용하기도 한다.)

IPsec VPN

IPSec VPN은 IPSec 프로토콜을 따른다. IPSec 프로토콜은 Layer 3이며 public 망에서 end to end 간 통신의 보안 유지가 목적이다. IKE, AH, ESP 등의 프로토콜 집합으로 암호학 기반의 보안 프로토콜이다.

  • IKE 프로토콜 : 보안 채널 생성 및 관리를 위한 키 교환이 목적이다. 

 

IPSec은 보안 채널을 크게 두 가지 형태로 생성한다. IKE 프로토콜을 이용해 1단계(Phase 1)인 ISAKMP SA 를 먼저 생성하고 2단계(Phase 2)인 IPsec SA를 생성한다. ISAKMP SA의 메인 모드에서는 6개의 양방향 메세지가 오고 간다. 이 메시지들에서 인증 방식, 암호화 방식, 키 교환 방식 결정, 키 생성, 암호화된 데이터 전달, 인증 등의 절차가 이루어진다.

IPSec SA에서는 3개의 메세지가 각 방향 별도로 오고 간다. ESP, AH 중 데이터를 실제로 어떤 식으로 전달할 건지, ESP를 사용한다면 암호화 방식은 어떤 걸로 할지 등을 결정한다. 

  • AH, ESP 프로토콜 : 실제 사용자에게 데이터를 전달을 목적으로 한다. AH는 인증/무결성이 보장되나 암호화가 불가능하며 ESP는 인증/무결성/암호화 모두 지원한다. 

AH, ESP 프로토콜과 Tunnel Mode, Transport Mode

 

MPLS VPN

우선, 통신 사업자가 공중망을 만들어 놓는다. 사용자는 가장 가까운 국사까지만 전용 회선을 깔아 놓고 다른 사용자들과 통신사 망을 공유하여 쓴다. 이 구간에 대한 통신 보장은 통신사가 한다. 여기서 통신 보장은 성능뿐만 아니라 라우팅을 분리하여 전용망으로 사용할 수 있게 하는 보장까지 의미한다.

MPLS VPN

 

+ 암호학 기본

암호학 방식

  • Symmetric cryptography (대칭키 방식) : 상대적으로 빠르다. 단, 암호화와 복호화에 같은 키가 사용되므로 키 전달이 필요한데 이때 비대칭키 방식이 사용된다. 
  • Asymmetric cryptography (비대칭키 방식) : 대칭키 방식보다 약 100 ~ 1000배 느리며 기밀성, 인증 등에 사용된다. 
  • Hash function (해시 함수)

무결성 보장

해시 함수를 이용한다. 송신자는 메세지를 보낼 때 해시 함수로 암호화한 암호문을 함께 보낸다. 수신자는 받은 메시지를 같은 암호 방식으로 메시지를 암호화하여 전달받은 암호문과 일치하는지 확인한다. 

인증

첫 번째는 해시 함수와 대칭키 방식을 섞은 방식이다. 송신자는 메세지를 키와 함께 해시 함수로 암호화하여 메시지와 암호문을 함께 보낸다. 수신자는 받은 메시지를 본인이 가지고 있는 키와 함께 같은 암호 방식으로 암호화하여 전달받은 암호문과 일치하는지 확인한다. 이 방식은 대칭키 방식을 이용하므로 송신자와 수신자 모두 키를 가지고 있어야 한다. IPSec에서 이와 같은 인증 방식을 사용한다. 

두 번째는 해시 함수와 비대칭키 방식을 섞은 방식이다. 이는 디지털 서명에 쓰인다. 

 

(이전 글 참고)

2023.02.09 - [Ping!] - 2주차_암호학1, 쿠키, 세션, 토큰, JWT

 

2주차_암호학1, 쿠키, 세션, 토큰, JWT

암호학(Cryptography) 암호학(Cryptography)은 비밀이라는 뜻의 "crypto"와 방법이라는 뜻의 "graphy" 결합으로 비밀을 다루는 방법이다. 암호의 3가지 특성에는 기밀성, 무결성, 인증이 있다. 기밀성(Confidenti

ji-s-blog.tistory.com

CA

비대칭키는 man-in-the-middle attack에 취약하기 때문에 공개키의 안정성 공인이 필요하다. 이 역할을 하는 기관이 CA이다. 

(man-in-the-middle attack : 네트워크 통신을 조작하여 통신 내용을 도청하거나 조작하는 공격 기법. 공개키를 전달하는 과정에서 제삼자가 이를 낚아채서 다른 공개키를 바꿔치기하는 경우가 생길 수 있다.)

 

(이전 글 참고)

2023.02.16 - [Ping!] - 3주차_SSL

 

3주차_SSL

HTTP vs HTTPS HTTP HTTP는 Hypertext Transfer Protocol의 약자이다. Hypertext란 문서와 문서가 링크로 연결되어 있는 형태의 문서 체계를 의미하며 Hypertext의 가장 중요한 문서 체계가 HTML이다. HTML을 전송하기

ji-s-blog.tistory.com

 

참고 강의 : 

https://youtube.com/playlist?list=PLQFHF6cwEgwM5svibsvonT5ZcGV02sOgb 

저작자표시 (새창열림)

'Ping!' 카테고리의 다른 글

MySQL, PHP를 이용한 간단한 게시판 구현  (1) 2023.03.14
ARP 스푸핑 실습  (1) 2023.03.02
SSL  (1) 2023.02.16
암호학1, 쿠키, 세션, 토큰, JWT  (2) 2023.02.09
정보보안과 해킹 기초, 네트워크 기본  (1) 2023.02.02
'Ping!' Related Articles more