네트워크 보안(12)

안녕하세요, 오브입니다. 바로 시작하겠습니다.

<VPN(Virtual Private Network)>

1) VPN 정의
     - VPN(영어: virtual private network)은 공중 네트워크를 통해 한 회사나 몇몇 단체가 내용을 바깥사람에게 드러내지 않고 통신할 목적으로 쓰이는 사설 통신망
 
 2) VPN 종류
     - IPsec(Internet Protocol security): 네트워크에서의 안전한 연결을 설정하기 위한 통신 규칙 또는 프로토콜 세트. 암호화와 인증을 추가
     - SSL VPN(Secure Socket Layer Virtual Private Network): 
사설망과의 연결은 가상 터널을 통해 이루어지며, 이 가상 터널을 SSL 암호화로 보호하는 것. 
원격지에서 인터넷으로 내부 시스템 자원을 안전하게 사용 가능
     - L2TP(Layer 2 Tunneling Protocol): 2 계층(데이터링크 계층)에서 구현되는 터널링 기술 중 하나
     - WireGuard: 암호화된 가상 사설망을 구현하는 통신 프로토콜 및 무료 오픈 소스 소프트웨어. 사용 용이성, 고속 성능 및 낮은 공격 표면을 목표로 설계

3) VPN 구현 기술
가. 터널링
- 공중망상에서 마치 전용망과 같은 보안 효과를 주기 위한 기법으로 VPN 내의 두 호스트 간에 가상 경로를 설정해 주어 사용자에게 투명한 통신서비스를 제공
나. 암호화 및 인증
- 암호화에는 대칭키 암호(DES, RC5, SEED, AES)등 사용
- 메시지 인증은 MAC, 해시함수를 이용하여 인증
다. 접근제어 데이터 기밀성, 데이터 무결성, 데이터 근원 인증, 접근 통제

4) VPN의 유형
가. Intranet VPN - 기업 내부를 LAN을 통해 연결하며, 가장 단순한 형태 VPN
나. Extranet VPN - 자회사와 고객사, 협력업체 모두 VPN 구성
다. Remote Access VPN - 재택근무, 원격접속자 등까지 VPN 연결

5) VPN의 구성요소
가. 터널링
- 터널링은 송신자와 수신자 사이의 일종의 파이프를 구성
- 터널링 구간에서는 페이로드(Payload) 데이터를 전송
나. PPTP(Point-to-Point Tunneling Protocol)
- IP, IPX 또는 NetBEUI(Network BIOS Enhanced User Interface, IBM) 페이로드 암호화
- Point-toPoint에 기초하며 두 대의 컴퓨터가 직렬 인터페이스 통신
다. IPSec
- IP계층의 보안을 위해 IETF(Internet Engineering Task Force)에 의해 제안
- 전송모드: IP 페이로드를 암호화하며 IP 헤더로 캡슐화
- 터널모드: IP 패킷을 모두 암호화하여 전송
라. SSL(Secure Sockets Layer) VPN - 일반 사용자가 쉽게 사용이 가능한 보안 프로토콜
마. SOCKS v5 - 세션 계층의 프락시에서 동작하며 IPSec 보다 우수

 

<MPLS VPN>

https://opilizeb.blogspot.com/2018/03/34-mpls-label-format.html

가. MPLS(Multi-Protocol Label Switching)의 정의
- IP Header를 이용한 Routing 대신 4Byte의 단순한 Lavel을 참조하여 고속의 2계층 Forwarding 처리를 실현하기 위한 프로토콜
- 라벨(Label) : MPLS에서 사용하는 라벨을 표시
- EXP(EXPerimental) : OoS(Quality of Service) 값 표시
- BoS(Bottom of Stack) : Bos 비트 값이 1이면 마지막 레벨
- TTL(Time To Live) : 패킷의 루프 방지를 위한 필드

나. MPLS(Multi-Protocol Label Switching) VPN
- MPLS 기반의 VPN 제공하며 일반 VPN 구조에 비하여 서비스 도입과 운영관리가 간단하고 편리하며 저가의 VPN 서비스 제공
다. MPLS VPN 라우터의 종류
- PE(Provider Edge) : 고객사의 라우터와 물리적으로 연결
- P(Provider) : 고객사의 라우터와 물리적 연결이 없는 MPLS 라우터
- CE(Customer Edge) : ISP의 MPLS 라우터와 물리적으로 연결되는 고객사 라우터

 

<IPSec>

가. IPSec(IP Security Protocol)의 정의
- IP 계층의 보안 프로토콜로서 호스트와 호스트 간, 호스트와 보안 게이트웨이 간, 보안 게이트웨이와 보안 게이트웨이 간의 경로를 보호
나. IPSec 주요 서비스
- 접근제어(Access control)
- 비연결 무결성(Connectionless integrity)
- 데이터 발신처 인증(Data origin authentication)
- 재전송 패킷의 거부(Rejection of replayed packets)
- 기밀성(Confidentiality)
- 제한된 트래픽 흐름의 기밀성(Limited traffic flow confidentiality)

 

<AH 프로토콜>

https://www.researchgate.net/figure/Authentication-Header-Format_fig1_297336095

가. AH(Authentication Header, 인증 헤더)의 정의
- AH는 메시지 인증을 제공하는 확장 헤더이며 메시지 인증이 ESP(Encapsulating Security Payload)에 의해서도 제공되기 때문에 AH의 사용은 권고되지 않음

https://travelerstory.tistory.com/91

나. 인증용 데이터 생성 방법
- 전송모드(transport mode) : 단지 호스트와 호스트 간의 메시지의 무결성을 제공하고 계층 간의 캡슐화 과정을 통하여 상위 계층(TCP)의 데이터에 대한 인증 데이터를 생성

https://dongdd.tistory.com/133

- 터널모드(tunnel mode) : 네트워크 계층의 헤더를 포함한 모든 데이터(NPDU, Network Protocol Data Unit)에 대한 인증용 데이터를 생성

 

<ESP 프로토콜>

https://www.researchgate.net/figure/Encapsulated-Security-Payload-ESP-protocol-in-transport-mode_fig6_266477318

가. ESP(Encapsulating Security Payload)의 정의
- IP 데이터그램에 암호화 기능을 부가하여 데이터의 기밀성(Confidentiality)을 보장하며 재전송 공격 방지 서비스(Anti-Replay Service)와 제한된 트래픽 흐름 기밀성을 제공

https://blogs.vmware.com/cloud/2017/10/06/primer-ipsec-vpn/

나. 암호 데이터 생성 방법
- 전송모드(transport mode) : 계층 간의 캡슐화 과정을 통하여 상위 계층의 TPDU(Transport Protocol Data Unit) 데이터에 대하여 암호화 및 인증용 데이터를 생성

 

<인터넷 키 교환>

가. IKE(Internet Key Exchange) 정의
- IPSec에서 키 관리 프로토콜은 보안 정책을 협상하며 ESP, AH에서 사용하게 될 키를 관리하기 위한 프로토콜
나. IKE의 기반 구성
- 일련의 다른 프로토콜(ISAKMP, OAKLEY, SKEME 등) 참조
- 범용적인 키 교환 프로토콜의 기반구조(Framework)를 규정한 ISAKMP를 기초로 하고, 이를 토대로 만들어진, IPSec을 위한 키 교환 프로토콜 임
- ISAKMP에서 규정한 패킷 형식과 일부 동작 모드에다가 OAKLEY, SKEME 결정 방식

 

---

위에 학습한 내용은 아이티동스쿨의 정보보안기사 합격패키지에서 공부한 내용을 참고한 점 알려드립니다.

광고가 아닌 직접 결제하여 수강한 뒤 공부한 내용을 올리는 것입니다. 참고 바랍니다.

https://www.itsdong.com/it/package_detail.php?id=61

[특별할인] 정보보안기사 합격패키지 아이티동스쿨 No.1 IT 독학 강좌 인강