VPN

VPN이란

1. 공중 네트워크를 통해 사설 네트워크가 필요로 하는 서비스를 제공하는 방식으로 구성된 네트워크를
"가상 사설 네트워크(VPN)"라고 한다
즉, 인터넷과 같은 공중 네트워크를 마치 전용회선처럼 사용할 수 있게 해주는 기술 or 네트워크를 통칭한다

2. 공중망을 경유하여 데이터가 전송되더라도 외부인으로부터 안전하게 보호되도록 주소 및 라우터 체계의 비공개, 데이터 암호화, 사용자 인증 및 사용자 액세스 권한 제한 등의 기능을 제공한다.

특징

1. 사용자가 필요에 따라 자체적으로 보안성을 적용한 네트워크를 구축할 수 있다. 이는 IPSec이나 TLS/SSL 등의 보안 프로토콜을 네트워크 관리자의 구성이 아닌 사용자의 요구로 적용시킬 수 있다는 것이다.
2. 이미 구축 돼있는 사설망의 연결, 모바일 환경, 외부와의 보안통신이 가능하기 때문에 추가적인 구축비용 부담이 적다.

VPN  구현 기술

1. 터널링
   • 상용망상에서 전용망과 같은 보안효과를 주기 위한 기법으로 VPN 내의 두 호스트 간에 가상경로를 설정해 주어서 사용자에게 투명한 통신서비스를 제공한다.
   • IP패킷이 공중망을 통과할 때 사용자 간에 터널이 뚫린 것처럼 통로를 마련하여 이 통로를 통해 데이터를 안전하게 전송하는 것이다.
2. 암호화 및 인증
   • 네트워크를 통해 전달되는 IP패킷은 spoofing, session hijecking 등을 통해 패킷정보가 유출될 수 있는데 기밀성을 제공하기 위해 VPN에서는 대칭키 암호(DES, RC5, SEED, AES 등)를 사용한다.
   • 암호화에 사용되는 대칭키는 공개키 암호(RSA, ElGamal 등)를 사용한다
   • 사용자 인증은 VPN 접속요구 시 요구주체(시스템이나 사용자)의 신원을 확인하는 프로세스인데 보안서버로부터 인증을 받아야 접속이 허가된다
3. 접근제어
   • 필터링은 세밀하게 접근제어를 결정할 수 있지만 암호화하지 않은 IP패킷 정보에서만 필터링 수행이 가능하므로 암호화된 패킷에는 적용이 불가능하다

서비스	내용
데이터 기밀성	송수신되는 데이터를 제3자가 그 내용을 파악하지 못하도록 암호화하여 전송
데이터 무결성	송수신 도중 데이터의 내용이 변경되지 않았음을 보장하는 방법으로 암호화 및 전자서명을 이용
데이터 근원 인증	수신한 데이터가 해당 송신자에 의해서 전송된 것임을 확인할 수 있는 서비스 제공
접근통제	인증된 사용자에게만 접근 허용하는 기능으로 협상내용을 모르는 제3자의 접근을 통제하는 서비스를 제공

 

VPN의 구성

1. 터널링
   
   • 송수신자 사이의 전송로에 외부로부터의 침입을 막기 위해 일정의 파이프를 구성하는 것이다
   • 터널링되는 데이터를 페이로드라고 부르고 터널링 구간에서 페이로드는 그냥 전송되는데이터로 취급되어서 그 내용은 변하지 않는다.
   • 터널링을 지원한느 프로토콜에는 PPTP, L2TP, L2F, MPLS, IPSec 등이있다.
   • 몇계층에서 터널링을 지원하느냐에 따라서 분류되는데, PPTP, L2TP, L2F는 2계층 프로토콜이고 IPSec은 3계층 프로토코르 MPLS는 2계층과 3계층 모두를 지원한다.
2. 2계층 터널링 프로토콜
   
   • PPTP
     1. MS에서 개발한 것으로 IP, IPX, NetBEUI 페이로드를 암호화하고, IP헤더로 캡슐화하여 전송한다.
     2. PPTP는 터널의 유지,보수,관리를 위하여 TCP연결을 사용하고, 이동통신사용자가 서버에 접속하기 용이하게 구성되어있다.
     3. PPP에 기초하며 두 대의 컴퓨터가 직렬 인터페이스를 이용하여 통신할 때 사용한다.
   • L2F
     1. 시스코(Cisco)사에서 제안된 프로토콜로 NAS 개시 VPN형이기 떄문에 사용자는 별도의 SW가 필요 없다
     2. 하나의 터널에 여러 개의 연결을 지원하여 다자간 통신이 가능하다
     3. 전송계층 프로토콜로 TCP가 아닌 UDP를 사용한다
   • L2TP
     1. L2TP는 PPTP와 L2F를 결합한 방법으로MS와 Cisco에서 지원하고 있고, 호환성이 뛰어남
3. 3계층 터널링 프로토콜
   • IPSec
     1. IP망에서 안전하게 정보를 전송하는 표준화된 3계층 터널링 프로토콜이다. IP계층의 보안을 위해 IERF에 의해 제안되었으며 VPN 구현에 널리 쓰인다
     2. AH와 ESP를 통해 IP데이터그램의 인증과 무결성, 기밀성을 제공한다.
     3. IPSec의 두 가지 모드
        • 전송모드 : IP페이로드를 암호화하여 IP해더로 캡슐화
        • 터널모드 : IP패킷을 모두 암호화하여 전송
     4. IPSec의 헤더
        • AH : 데이터와 순서번호 보유, 송신자를 확인하고 메시지가 송신되는 동안 수정되지 않았음 보장하는 헤더로 암호화 기능이 있음
        • ESP : IP 페이로드를 암호화하여 데이터 기밀성을 제공하므로 3자의 악의에 의해 웨이터가 노출되는 것을 차단
4. SSL
   • SSL VPN은 일반 사용자가 쉽게 사용할 수 있는 보안 프로토콜로 특징을 알아보면
     1. IPSec VPN에 비해 설치 및 관리가 편리하고 비용 절감도 가능 
     2. 클라이언트와 서버 사이의 안전한 통신 채널 관리를 담당
     3. 데이터를 암호화와 인증을 통해 송수신 경로의 안전성 보장
     4. PKI의 공개키/개인키를 이용한 웹사이트 통신 보안 가능

구분	IPSec	SSL VPN
접근제어	애플리케이션 차원의 정교한 접근제어 미흡	애플리케이션 차원의 정교한 접근제어 기능
적용 계층	TCP/IP의 3계층	TCP/IP의 5계층
지원성	별도의 SW 설치 필요	웹 브라우저 지체 지원
암호화	DES/3DES/AES/RC4, MD5/SHA-1(패킷단위)	DES/3DES/AES/RC4, MD5/SHA-1(패킷단위)
적합성	Site to Site	Site to Remote
장점	종단간 보안 기능 종단 부하 없음	접속과관리의 편리성 Client Server 상호 인증