사용자가 공용 네트워크(인터넷)를 통해 사설망에 안전하게 연결할 수 있도록 해주는 기술
등장 배경
과거에는 서로 물리적으로 떨어진 서버 간 안전한 통신을 위해 전용 회선이 필요했지만 몇 가지 문제가 있었습니다.
비용 문제: 전용 회선은 특정 기업이 독점적으로 사용하기 때문에 가격이 비쌈
대역폭 제한: 대역폭이 증가할수록 비용이 더 많이 발생해 많은 데이터를 전송할 때 부담이 큼
해결 방안 탐색
전용 회선 없이 공용 인터넷망을 이용해 사설망 간 안전하게 통신하는 방법이 필요했습니다
- 인터넷을 사용하므로 비용을 절감해야 함
- 데이터를 주고받는 과정에서 암호화를 적용해 보안 문제를 해결해야 함
= VPN이 공용 인터넷을 사용하면서도 보안성을 유지하는 방식으로 등장
VPN 구성
VPN은 터널링(Tunneling) 프로토콜을 사용하여 VPN 서버와 클라이언트 간에 가상 포트를 통해 안전한 연결을 제공
터널링 (Tunneling)
터널링은 공용 네트워크를 통해 안전하게 데이터를 주고받는 기술
VPN 터널링을 구성하는 3가지 핵심 요소가 있는데
- Passenger Protocol (탑재 프로토콜)
- VPN 터널을 통해 전송되는 데이터를 암호화하고 복호화하는 역할을 합니다.
- Encapsulating Protocol (캡슐화 프로토콜)
- Passenger Protocol을 감싸고, 암호화된 메시지를 전송하는 역할을 합니다.
- Carrier Protocol (전송 프로토콜)
- 캡슐화된 패킷을 운반하는 프로토콜로, 네트워크 장비들이 이해할 수 있어야 합니다.
- 보통 IP 프로토콜을 사용합니다.
이러한 방식으로 VPN은 인터넷을 경유하면서도 보안을 유지한 채 사설망 간 통신을 가능하게 합니다.
VPN의 종류
VPN은 보안 방식과 사용 목적에 따라 다양한 종류가 있는데 대표적인 방식이 IPSec VPN입니다.
IPSec (Internet Protocol Security)
IPSec은 인터넷 프로토콜(IP) 기반의 보안 프로토콜로, 각 IP 패킷을 암호화하고 인증하여 안전한 통신을 보장하는 역할
특징 및 역할
- 네트워크 계층(Layer 3)에서 동작하며, IP 패킷 단위로 보안 기능을 제공합니다
- 인증, 암호화, 키 관리 기능을 수행합니다
- 일반적으로 VPN에서 가장 많이 사용되는 방식 중 하나입니다
IPSec VPN의 활용 방식
IPSec VPN은 인터넷을 통해 기업의 본사 네트워크와 지사 네트워크를 연결하는 데 주로 사용됩니다.
이 방식은 아래와 같이 분류됩니다.
- Site-to-Site VPN
- 기업 본사와 지사 간의 네트워크를 하나의 가상 네트워크처럼 연결하는 방식입니다.
- 지사에 별도의 VPN 클라이언트 없이, 라우터 또는 방화벽에 VPN 설정을 적용하여 전체 네트워크가 본사와 연결됩니다.
- 주로 기업 내부의 여러 지점을 하나의 네트워크로 연결할 때 사용됩니다.
- Remote Access VPN (원격 접속 VPN)
- 개별 사용자가 어디서든 회사 내부 네트워크에 접속할 수 있도록 지원하는 방식입니다.
- 직원이 VPN 클라이언트 소프트웨어를 사용하여 회사 네트워크에 접속하는 형태로 운영됩니다.
- 주로 재택근무, 원격 근무 환경에서 사용됩니다.
IPSec VPN의 보안 기능
IPSec은 보안을 위해 여러 가지 보안 메커니즘을 활용
- AH (Authentication Header)
- 패킷의 무결성을 보장하고 데이터 위변조 및 스푸핑 공격을 방지하는 역할
- ESP (Encapsulating Security Payload)
- 데이터를 암호화하고 기밀성을 유지하는 기능을 제공
- IKE (Internet Key Exchange)
- 보안 키를 교환하고 세션을 설정하는 프로토콜로, 안전한 통신을 보장
IPSec VPN의 장점과 단점
장점
- 강력한 보안: 데이터 암호화와 인증을 통해 안전한 통신을 보장함.
- 고성능 네트워크 지원: 기업 환경에서 대규모 네트워크 연결이 가능함.
- 공용 인터넷망을 이용하여 비용 절감: 전용 회선 없이도 안전한 통신이 가능함.
단점
- 구성 및 관리가 복잡: 라우터, 방화벽 등의 설정이 필요하며, 설정이 복잡할 수 있음.
- 호환성 문제 발생 가능: NAT 환경에서 일부 프로토콜이 정상적으로 동작하지 않을 수 있음.
IPSec의 주요 서비스
IPSec은 보안 통신에 사용되는 프로토콜로, 다양한 보안 서비스를 제공합니다. 이 서비스는 인증(Authentication), 기밀성(Confidentiality), 무결성(Integrity)을 포함하며, 이를 통해 안전한 데이터 전송을 보장합니다.
주요 서비스
- 인증(Authentication)
- 발신자의 신원을 확인하고 데이터의 출처를 검증하는 서비스입니다. 이를 통해 중간자 공격(MITM)이나 스푸핑 공격을 방지할 수 있습니다.
- 기밀성(Confidentiality)
- 전송되는 데이터가 외부에 노출되지 않도록 암호화하여 데이터의 비밀을 보호하는 서비스입니다. 이는 암호화된 통신을 통해 제공됩니다.
- 무결성(Integrity)
전송된 데이터가 도중에 변조되지 않았음을 검증하는 서비스입니다. 데이터가 위변조되지 않았는지 확인하고, 변경된 데이터는 거부합니다.
IPSec의 동작 모드
IPSec은 두 가지 동작 모드를 제공하는데, 전송모드(Transport Mode)와 터널모드(Tunnel Mode)입니다. 이 두 가지 모드는 각각 다른 방식으로 데이터를 보호하며, 특정 상황에 맞게 선택하여 사용합니다.
1. 전송모드 (Transport Mode)
전송모드는 IP 패킷의 **페이로드(payload)**만 보호하는 방식입니다. 이 모드는 상위 프로토콜 데이터를 보호하는 데 중점을 둡니다.
작동 방식
- IP 헤더는 변형되지 않으며 그대로 전송됩니다.
- 페이로드 부분만 암호화되어 기밀성과 무결성이 보호됩니다.
- 트래픽 흐름은 노출될 수 있지만, 패킷의 상위 데이터만 보호됩니다.
- 장점
- 속도와 효율성이 상대적으로 빠르며, 네트워크상의 패킷 전송에 문제가 발생하지 않음.
- 용도
- 종단 간 데이터 보호를 위해 주로 사용됩니다. 예를 들어, 서버 간의 직접적인 연결에서 사용됩니다.
2. 터널모드 (Tunnel Mode)
터널모드는 IP 패킷 전체를 IPSec으로 캡슐화하여 전체 패킷을 보호하는 방식입니다. 이 모드는 IP 패킷의 원본 헤더까지 보호하므로, 데이터의 출발지와 목적지를 알 수 없게 만듭니다.
- 작동 방식:
- IP 패킷을 IPSec으로 캡슐화하여 새로운 IP 헤더를 추가합니다.
- 원본 IP 헤더는 보호되고, 새로운 헤더가 추가되므로 패킷의 출발지 및 목적지 정보는 외부에서 식별할 수 없습니다.
- 장점:
- 트래픽 정보의 기밀성을 보장하며, 패킷을 식별할 수 없기 때문에 더욱 강력한 보안을 제공합니다.
- 트래픽 흐름이 노출되지 않으며, 인터넷을 통한 안전한 데이터 전송을 가능하게 합니다.
- 용도
- 주로 네트워크 간 연결을 보호하는 데 사용됩니다. 예를 들어, 지사 간 VPN 연결에서 사용됩니다.
특징 | 전송모드 (Transport Mode) | 터널모드 (Tunnel Mode) |
보호 대상 | IP 패킷의 페이로드만 보호 | IP 패킷의 전체(헤더 및 페이로드) 보호 |
IP 헤더 | 변경되지 않음 | 새로운 헤더 추가 |
기밀성 보호 | 페이로드에 대해서만 기밀성 보호 | 패킷 전체에 대해서 기밀성 보장 |
사용 목적 | 종단 간 데이터 보호 (서버 간 통신 등) | 네트워크 간 보호 (Site-to-Site VPN 등) |
장점 | 속도 및 효율성이 높고, 네트워크상 패킷 전송에 문제 없음 | 트래픽 흐름 보호와 기밀성 보장 |
IPSec은 다양한 보안 서비스를 제공하여, 전송되는 데이터의 기밀성, 인증, 무결성을 보호합니다
전송모드는 상위 프로토콜의 페이로드만을 보호하며 속도와 효율성을 중요시하는 환경에서 사용되지만 터널모드는 패킷 전체를 보호하여 보다 강력한 보안을 제공하며, 네트워크 간 통신에서 주로 사용됩니다
'K-Shield Jr > 네트워크 (Network)' 카테고리의 다른 글
NAT (Network Address Translation) (2) | 2025.02.06 |
---|---|
DMZ (1) | 2025.02.05 |
OSI 7 Layer : 5~7계층 (2) | 2025.02.05 |
OSI 7 Layer : 4계층 (1) | 2025.02.05 |
OSI 7 Layer : 3계층 (2) | 2025.02.05 |