[정보보안기사] 29. VPN(Virtual Private Network) 개념

1. VPN (Virtual Private Network) 

1) VPN 개념

인터넷과 같은 공중 네트워크를 마치 전용 회선처럼 사용할 수 있게 해주는 기술 또는 네트워크

주소 및 라우터 체계의 비공개, 데이터 암호화, 사용자 인증 및 사용자 엑세스 권한 제한 기능 제공한다.

두 호스트간 터널링을 이용하여 암호화 통신을 수행한다.

데이터 기밀성, 데이터 무결성, 접근 통제, 데이터 근원 인증 기능을 제공한다.

 

2) 암호화 및 인증

암호화를 수행하기 위해 대칭키 암호(DES, RC5, SEED, AES 등)을 사용한다.

공개키 암호방식(RSA, EIGamal 등)을 통한 대칭키 교환을 수행한다.

메시지 인증은MAC 또는 해시함수를 사용하여 무결성을 검증한다. (MD5, SHA-1)

사용자 인증은 보안서버로부터 인증을 받아야 접속이 허가된다. (공유키, 공개키, 인증서, 전자 서명)

기밀설, 무설정, 인증, 접근통제 기능 제공한다.

 

3) VPN의 분류

Intranet VPN: 기업 내부를 LAN을 통해 연결하는데 사용, 넓게는 지사까지 연결

Extranet VPN: 지사와 밀접한 관계가 있는 고객사나 협력업체에 Intranet VPN을 이용할 수 있도록 한것

Remote Access VPN: 재택 근무자나 원격 접속자가 접근시 사용

 

2. VPN의 구성

1) 터널링

송신자와 수신자 사이의 전송로에 외부로부터 침입을 막기 위해 암호화 통신을 수행한다.

터널링 되는 데이터를 페이로드라 부르며 터널링 구간에서 페이로드는 전송되는 데이터로 취급되고 내용이 변경되지 않는다.

 

2계층: PPTP, L2TP, L2F

3계층: IPSec, GRE

2,3 계층: MPLS

4계층: SOCK v5

 

VPN 구축 순서: ISAKMP 설정 → IPSec SA 설정 및 ACL 작성 → 크립토 맵 작성 → 인터페이스 적용

 

2) IPSec VPN

3계층 터널링 프로토콜으로 AH와 ESP를 통해 IP데이터그램의 인증과 무결성, 기밀성을 제공한다.

 

2.1) IPSec의 두가지 모드

전송모드: IP 페이로드를 암호화하여 IP헤더로 캡슐화한다. (End to End 전송)

터널모드: IP 패킷을 모두 암호화하여 전송한다.

 

2.2) IPSec의 헤더

AH: 송신자를 확인하고 메시지가 송신되는 동안 수정되지 않았음을 보장한다. 무결성, 인증, replay attack 방어 제공한다.

ESP: IP 페이로드를 암호화하여 무결성, 인증, replay attack방어, 기밀성을 제공한다.

대칭키 기반의 MAC 방식 또는 MD5, SHA 등과 같은 Hash 방식을 지원한다.

 

 

3) SSL (Secure Socket Layer) VPN 

Site-to-Remote 방식으로 웹 브라우저를 통해 VPN 접근이 가능하다. 

IPSec VPN에 비해 설치 및 관리 편리하고 비용을 절감할 수 있다.

PKI의 공개키/개인키를 이용한 웹사이트 통신 보안 가능하다.

 

4) MPLS VPN

L2헤더와 L3사이에 존재하는 4byte의 레이블(label)을 이용하여 목적지 네트워크로 스위칭한다.

레이블을 기반으로 경로가 결정되기 때문에 속도가 빠르고 대규모 VPN연결에 효율적이다.

레이블 부여는 LER(Label Edge Router)에서만 수행한다.

QoS, VoIP, TE(Traffic Engineering)기능을 제공한다.

 

예시

PE1(1.1.1.1)에서 PE2(5.5.5.5)로 ICMP 패킷을 전송하려고 할 때 PE1에서 2.2.2.2 remote binding에 등록되어있는 21번을 Push 하고 P1에서는 4.4.4.4 remote binding에 등록되어있는 21번으로 Swap 한 후 P3에서 5.5.5.5에는 태그 정보가 없으므로 21번 태그를 Pop 한 후 PE 2번에게 패킷을 전송한다.

 

 

3. 인증 방식

1) 데이터 인증

MD5, SHA-1 등과 같은 해시 알고리즘을 이용하여 패킷을 인증하여 무결성을 만족할 수 있다.

 

2) 사용자 인증

2.1) Peer-Peer 방식

PAP(Password Authentication Protocol)

Plain Text(평문)을 사용하여 인증한다.

인증 절차가 2-Way-Handshake로 동작한다.

 

CHAP(Challenge Handshackes Authentication Protocol)

Hash(MD5) 방식을 사용하여 인증한다.

인증 절차가 3-Way-Handshake로 동작한다.

 

2.2) Client-Server 방식

RADIUS

인증, 인가, 계정관리인 AAA 기능 구현을 위한 인증 프로토콜이다.

ISP에서 사용하는 전화 등에 의한 원격 접속에 대한 인증용 서버를 지칭한다. 분산형 클라이언트/서버 기반의 동작으로 사용자 관리는 중앙집중식으로 수행된다.

 

TACACS

CISCO에서 지원하는 인증 프로토콜이다.

TACACS+에서는 MD를 추가하여 인증 데이터에 대한 보안성을 강화 하였다.

 

구분	Peer-to-Peer 방식	Client-Server 방식
프로토콜	PAP, CHAP	TACACS, RADIUS
원격접속 유형	IPSec	L2TP
보안	매우 뛰어남	보통
특징	구축 복잡, 다양한 서비스 연계	기존 시스템 활용

 

4. 보안 연계 (SA, Security Association)

한 장비와 다른 장비 사이에 맺은 특정한 종류의 보안 연결을 설명하는 보안 정보(SAD에 포함)

SA는 단방향 설정이기 때문에 장비A와 B는 각각 두 개의 SA를 가지고 있음

 

SPD: IPSec 환경 하에서 보안 정책을 수행하기 위한 데이터 베이스

SAD: 각각의 보안 연계(AH SA, ESP SA, ISKMP SA)와 관련된 매개 변수 값을 저장하는 데이터 베이스

 

5. 인터넷 키 교환 (IKE, Internet Key Exchange)

내부적 및 외부적 보안 연계를 생성하기 위해 설계된 프로토콜

Oakley, SKEME, ISKMP 프로토콜을 사용