VPN ( Virtual Private Network )
: VPN 4가지 구성 요소: 암호화, 인증, 터널링, QoS
** RSVP는 서비스 품질을 위해 네트워크 자원을 예약하는 프로토콜로 QoS 용도로 사용
VPN은 언제 사용하냐?
- 원격지 지사 회사에서 본사 인트라넷에 접속해야할 때! (말그대로 Private 해야함)
- 핵심 포인트는 인터넷을 사용하지만 다른 사람은 접근 못하게끔!!
- 통신사에서 이쪽으로 들어온 것을 저쪽으로만 리다이렉션 해줘야함.
(직접 뚫는건 돈이 너~무 많이 듦, ‘MPLS VPN‘이라고 부름, 물론 이것도 돈이 많이 듦)
** MPLS ( Multi Protocol Label Switching ) 이란??
: IP Routing 시에 IP 주소 대신 특정 라벨을 붙혀 전송 및 식별하는 기술
그래서 대체 방법으로 다른 VPN 프로토콜을 사용
1. IPSec(IPSecurity) 체계를 많이씀 (통신사의 지원 없이!!)
gate to gateway, gateway to host(Remote Access=RAS) 둘다 가능함
a. IKE ( Internet Key Exchange ) = 키 교환.
b. AH ( Authentication Header ) = 누가 보낸건지 검증 가능, 무결성과 인증(MAC 이용)
- (누구나 볼 수 있음=암호화 안함), 거의 안씀
- SA ( Security Association ) : 송수신 트래픽에 양방향 보안서비스 제공.
- 송수신용 두개의 SA가 필요.
- AH의 구성요소, SPI라는 SA 파라미터가 들어있고 인덱스,
목적지 IP, 보안프로토콜 식별자로 구성되어 있음
c. ESP( Encapsulating Security Payload ) = 암호화된 데이터 전송. = 무결성, 기밀성
- IKE로 키 교환하고 ESP로 암호화된 데이터 전송.
- 만약 지사의 사설 IP 에서 본사의 사설IP로 접속하면 실제로는 앞에
공인아이피가 달려서 전송. 그리고 그냥 전송하면 보안이 취약하니까 암호화.
2. VPLS( Virtual Private LAN Service )
- VPN의 일종인데 MPLS를 이용하고 원격의 LAN과 LAN을 하나의 LAN처럼 연결
- 무슨 말이냐면 VPN이라 함은 보통 원격 호스트이 내부서버로 터널링 하는 것이잖아?
근데 원격 호스트들끼리 하나의 LAN 처럼 연결되는 것 - ex) 보통 원격에서 -> 내부서버라면, VPLS는 원격1 -> 원격2가 하나의 LAN처럼 동작
VPN 터널링 프로토콜 종류
| 터널링 프로토콜 | 특징 | 터널 서비스 |
| PPTP | - DataLink 계층(2계층)에서 동작 - PPP로 암호화, 원격접속 - 키 관리 없음 |
- 단일 PPP 터널 - PAP/CHAP 인증 |
| L2TP | - DataLink 계층(2계층)에서 동작 - PPP로 암호화, IPSEC으로 보고 - 키 관리 없음 |
- 단일 PPP터널 - PA/CHAP로 인증 |
| IPSEC | - Network 계층에서 동작 - Peer to Peer 방식 - ISAKMP 및 IKE로 키교환 |
- SA 기반 다중 터널 - AH로 인증하고 ESP로 암호화 |
| SOCKS v5 | - Session 계층에서 동작 - GSS_API 및 SSL로 키 교환 |
- 세션별 터널을 제공 - GSS_API로 암호화 및 인증 |
----------------추가 설명 ----------------
- 원본 데이터 (Payload 설명)
| 원본 | ||
| 사설 IP (오리지널 아이피) |
ip페이로드 | |
| 192.168.100.1/24 | tcp | http |
| 192.168.0.1/24 | ||
- Transport Mode - ESP ( gateway to host = Remote Access )
| 원본 헤더 | 추가 | 암호 |
추가 | |||
| 사설 IP (오리지널 아이피) |
ESP Mode(암호화) |
ip페이로드 | ESP Trailer | ESP Authentication |
||
| 출발IP | 192.168.100.1/24 | --> | tcp | http | 생략 될 때도 있음. | 페이로드, ESP Trailer 인증정보 |
| 도착IP | 192.168.0.1/24 | --> | ||||
- Transport Mode - AH ( gateway to host = Remote Access )
| 원본 헤더 | 추가 | 암호화 X | ||
| 사설 IP (오리지널 아이피) |
AH (해싱값-무결성) |
ip페이로드 | ||
| 출발IP | 192.168.100.1/24 | tcp | http | |
| 도착IP | 192.168.0.1/24 | |||
- Tunnel Mode - ESP ( gate to gateway )
| 추가 | 암호화 | 추가 | |||||
| NEW IP | ESP Mode |
사설 IP (오리지널 아이피) |
ip페이로드 | ESP Trailer | ESP Authentication |
||
| 출발IP | 2.2.2.2(지사의 공인) | 암호화 | 192.168.100.1/24 | tcp | http | 생략 될 때도 있음. | 오리지널 아이피, 페이로드, ESP Trailer 인증정보 |
| 도착IP | 2.2.2.1(본사의 공인) | --> | 192.168.0.1/24 | ||||
- Tunnel Mode - AH ( gate to gateway )
| 추가 | 암호화 X | ||||
| NEW IP | AH 해싱값- 무결성) |
사설 IP (오리지널 아이피) |
ip페이로드 | ||
| 출발IP | 2.2.2.2(지사의 공인) | 192.168.100.1/24 | tcp | http | |
| 도착IP | 2.2.2.1(본사의 공인) | 192.168.0.1/24 | |||
참고 : https://raisonde.tistory.com/entry/IPSec-%EC%B4%9D-%EC%A0%95%EB%A6%A
'보안&네트워크 > 보안' 카테고리의 다른 글
| SSO (Single Sign On) (0) | 2022.01.12 |
|---|---|
| 스텔스 스캔(Stealth) (0) | 2022.01.06 |
| 커버로스(Kerberos) (0) | 2022.01.06 |
| SNI (서버 이름 표시자) (0) | 2022.01.03 |
| 메일 관련 공격 (0) | 2021.12.31 |
댓글