VPN과 IPSec

1. VPN

VPN (Virtual Private Network, 가상사설망) 이란?

• 공중망 인프라를 공유하여 구축된 가상 사설망
• 장점 : 경제적 (공중 네트워크를 공유함)
• 단점 : 보안성이 다소 취약하고, QoS(서비스 품질)이 부족
• 사이버 보안 위협으로 인한 정보의 유출, 변조, 도용 등의 보안상의 문제점 때문에 많은 기관, 업체는 별도의 회선으로 전용망을 운영하지만 전용망은 보안상의 문제는 해결하지만 구축비용과 확장성의 한계가 존재
  → 기존 인터넷망을 사용하여 저렴한 비용으로 전용망을 구축할 수 있다
• VPN의 핵심 기술은 이터넷 상의 가상 경로를 설정하는 터널링 기술과 터널을 외부와 단절하고 안정성 보장을 위한 암호화/인증 기술, 암호화를 위한 키관리 기술

 

VPN 프로토콜

• PPTP, L2TP, IPSec, SSL, SOCK V5등이 사용
• 근래에는 IPSec VPN과 SSL VPN이 많이 쓰인다

 

VPN 기본 타입

• Remote Access (원격 접속) : 네트워크 제공자의 공유 네트워크를 통한 모바일 사용자, 재택 근무자 등과 회사 랜의 연결의 보안을 제공한다
• Site-to-Site (사이트 간) : 인트라넷과 엑스트라넷 / 본사와 지사 등 LAN 사이의 연결을 공유 네트워크를 통해 할 수 있다. 

 

2. IPSec VPN

IPSec

• 국제 인터넷 표준 기구인 IETF(Internet Engineering Task Force) 에서 개발된 오픈 표준 집합 프레임 워크
• 보안 프로토콜로 스푸핑이나 스니핑 공격에 취약한 IP프로토콜의 보안상 문제점을 해결하고 네트워크 계층에서의 보안성을 보장하기 위한 목적으로 개발되었다
• IPSec는 네트워크 계층에서 동작하며 IP기반의 모든 애플리케이션과 호환된다
• 데이터 기밀성, 데이터 무결성, 데이터 인증을 제공한다

 

운영모드

1. 터널모드
   • 보안 게이트웨이 (VPN 장비) 가 있는 경우에 사용된다
2. 전송모드
   • IPSec 프로토콜을 사용한 클라이언트 간의 통신에 많이 사용

 

구성요소

1. AH 헤더 (Authoritication Header)
   • 인증 처리
   • 인증과 무결성
   • MD5, SHA1 등의 알고리즘을 이용
2. ESP 헤더 (Encapsulation Security Payload) : 암호화 처리
   • 데이터의 도청을 방지하고 데이터의 기밀성을 보장
   • 암호화 알고리즘ㅇ을 사용
3. IKE (Internet Key Exchange)
   • 암호화 키를 관리하기 위한 키 관리 부분
   • ISAKMP (Internet Security Association & Key Management Protocal)을 기반으로 Oakley 키 알고리즘을 결합해서 SA의 협상과 키 교환 매커니즘을 제공하기 위해 제안한 표준 프로토콜 

 

VPN 터널을 이해 하기 위한 3가지 컨셉

1. 키 관리 터널 (IKE 터널) : IKE 프로토콜을 사용함, 종단을 인증하고, 데이터 터널을 성립하기 전에 보안 정책의 구성을 협상한다 
2. 데이터 관리 터널 (IPSEC 터널): 데이터 트레픽의 보안, AH와 ESP를 사용한다
   • 키 관리 터널에 의해 자동으로 수립되거나 수동으로 수립된다
   • 터널모드 : 종단의 인증과 데이터 기밀성을 모두 제공함. IP 패킷 전체를 보호하고, 이 위에 새로운 IP헤더를 추가하는 방식
   • 전송모드 : 데이터의 보호만 제공한다. 원래의 IP헤더를 대부분 그대로 이용한다
3. 보안 연결(SA) : 터널의 인증과 암호화를 위한 보안 파라미터의 집합. 각 종단점은 각 SA에 SPI라고 하는 유일한 식별자를 할당한다
   • 키 관리 터널은 트레픽의 양쪽 방향의  하나의 SA를 사용한다.
   • 데이터 관리 터널은 각 트레픽 방향의 최소 하나의의 SA를 사용한다. 

VPN 전송모드 별 패킷 구조

 

 

3. SSL VPN

SSL

• SSL 이란 서버와 클라이언트 간의 종간 간 안전한 통신을 위해 Netscape에서 고안된 전송 계층의 보안 프로토콜로 TCP상의 응용 프로토콜에 대한 안전한 통신을 제공한다
• SSL VPN은 기존 IPSec의 클라이언트 프로그램을 설치하여 통신하는 방식이 아닌 표준 웹 브라우저에 내장된 SSL을 활용해 언제 어디서나 손쉽게 인터넷을 통한 VPN 접속이 가능하다는 장점으로 인해 Remote Access VPN에 많이 쓰인다
• SSL의 동작 원래 3단계
  1. 서버 인증 단계 : 사용자 클라이언트가 서버에 대해 인증하는 단계
  2. 클라이언트 인증단계 : 서버가 클라이언트를 인증하는 단계
  3. 암호화 통신 단계 : 인증이 끝난 후 키교환이 이루어지며 암호화 통신을 시작하는 단계

동작 방식

• 프록시 방식 : SSL VPN(장비)가 프록시 서버 역할을 하며 클라이언트와 서버 사이를 중계해, 로그인 처리 시간이 터널 방식보다 빠르다
• 터널 방식 : 가상 클라이언트 IP를 할당하여 외부로부터 IP 해더를 보호하여 통신한다

 

VPN 관련 용어

• 3DES : 56비트 프라이빗 키를 사용해서 64바이트의 데이트 블록을 생성하는 데이터 암호화 표준. 미국에서만 사용된다
• AH : IPSec 패키지에 구성요소로, 기본 데이터 인증을 제공한다
• CA : 디지털 인증을 제공하는 서비스 제공 기관/서버. 이에 속한 클라이언트가 신원을 등록하고, 증명하여 통신에 사용할 수 있도록 함 (Certification Authority)
• CBC : 데이터 암호화를 제공하는 암호화 모드로, AH, ESP를 사용한 인증에 사용된다 (Cipher Block Chaining)
• DES : 56비트 키를 사용해서 64바이트 데이트 블로을 암호화 하는 데이터 암호화 표준 기술
• DH : 두 기기가 안전하게 키를 공유할 수 있는 프로토콜. 이산대수의 난해함을 이용하였다 (Diffie-Hellman Key Exchange)
• ESP : 암호화, 인증을 위한 터널링 서비스를 제공하는 프로토콜
• HMAC : 암호화의 해시를 사용하여 메세지 인증을 제공하는 기술(Hashed Message Authentication Code)
• IKE : IPSec 연결의 협상, 수립, 유지, 해제를 제어하는 프로토콜 (Internet Key Exchange), AH헤더 및 ESP 헤더와는 독립된 것이다
• IPSec : 인터넷 등과 같은 보호되지 않은 네트워크를 통한 연결의 데이터 기밀성, 데이터 무결성, 데이터 근원지 인증을 제공하는 공개 표준의 프레임워크
• ISAKMP : 두 장치 간에 보안 매개 변수를 교환할 수 있는 일반 프로토콜, 인증 및 키 교환 메커니즘을 독립적으로 수행 가능하게 하는 구조를 제시한다, IPSec의 일부로써 사용되어지면 RFC2408에 규정되어있음, IKE 키 교환을 실행하기 위한 메세지 형식 및 전달 방법을 정의하기 위해 설계됨  (Internet Security Association and Key Management Protocol)
• L2F 
• L2TP : VPN을 위한 IETF 표준 터널링 프로토콜로, PPP 트레픽을 LAN 또는 공개 네트워크로 터널링하도록 설계되었다
• LAC : L2TP 가 터널을 구축하게되는, 대개는 물리적인 회선의 종단 서버 또는 장치 (L2TP Accesss Concentrator)
• MAC : 메세지의 인증을 검증하기 위한 메세지 보안 체크섬
• MD5 : 데이터 무결성을 위해 메세지 압축, 축약, 다이제스트를 하는 해쉬 알고리즘, 임의 길이의 입력 메시지를 특정 고정 크기의 블럭으로 변환한다 (예 : hi there~ --> 374a8ef07537c59aba6dfcdb2e6ba838 )
• NAS : 망 접근을 허용하는 집중화 관리 장치, 일반적으로 터미널 에뮬레이션 소프트웨어를 통한 다수의 비동기 장치들을 네트워크에 접속시키는 역할을 하는 모뎀 풀 서버를 말함, 인터넷 접속 허용에 따른 주요 수행 기능은 1. 원격 단말에서 ppp연결 링크의 종단 역할을 수행(주로 망 사업자의 장차), 2.인증 수행(NAS에서 집접 수행하거나, RADIUS 서버를 이용하여 수행) 3. 유동 IP주소 할당(NAS에서 직접 수행하거나, DHCP 서버를 이용하여 수행), 4. PPP접속 수행 완료후 망계층 라우터로써 기능을 수행 (Network Access Server)
• PPP : 점대점 데이터링크를 통해 3계층 프로토콜들을 캡슐화시켜 전송하는 프로토콜, 주로 IP전송 위주이나, 그위에 여러 3계층 프로토콜의 복합 전송도 가능하다 (Point to Point Protocol)
• PNS : Device able to terminate PPTP tunnels from a PAC and terminate PPP sessions to remote systems through
  PPTP data sessions. (PPTP Network Server)
• PAC : 원격 시스템과의 통신을 종료하고, 원격 시스템과 PNS 와의 PPP 세션을 종료할 수 있는 디바이스  (PPTP Access Concentrator)
• PPTP : L2TP와 같은 2계층을 위한 마이크로소프트 프로토콜
• SA : 데이터의 안전한 전달을 위해 통신의 쌍방 간의 약속 / 암호 알고리즘, 키 교환 방법, 암호화 키 교환 주기 등에 대한 합의(Security Association, 보안 연합, 보안 연관)
• SHA : 메세지 인증을 제공하는 강력한 알고리즘 (Secure Hash Algorithm)
• SPI : 특정 보안 연결을 유일하게 식별하기 위해 IP주소와 보안 프로토콜과 함께 사용되는 일련의 번호 / 목적지 IP 주소와 ESP를 조합하여 데이터 그램에 대한 SA를 식별하게 해주는 32비트 값 (Security Paremter Index)