VPN(Virtual Private Network) - 가상 사설망 개념 및 구성요소

가상 사설망이란: 인터넷과 같은 공중 네트워크를 마치 전용회선처럼 사용할 수 있게 해주는 기술 혹은 네트워크를 통칭

공중망을 경유하여 데이터가 전송되더라도 외부인으로 부터 안전하게 보호되도록 주소 및 라우터 체계의 비공개, 데이터 암호화, 사용자 인증 및 사용자 엑세스 권한 제한등의 기능을 제공한다.

 

사설망(Private Network)

특정 조직 내에서만 사용되는 네트워크

인증된 자만 사용가능

보안성 우수 

거리에 따른 설치비용 부담

관리 비용 부담

 

공중망(Public Network) 

전화망이나 인터넷처럼 모두에게 공개

어느 누구와 언제든 정보 교환 가능 그래서 보안성이 취약함

IP 등의 공인된 표준을 따르는 통신 방법 채택

 

Tip 

VPN에서

Virtual(가상)은 공중망을 이용하여 필요시에만 전용선과 같이 사용할 수 있다는 것을 의미

Private(사설)는 사용자의 데이터 혹은 호스트에 대해 타인이 접근하지 못함을 의미

Network는 지역적 기능적 분산 네트워크의 통합을 의미

 

VPN 특징

1. VPN은 응용프로그램 하단 계층에 작동하므로 응용프로그램을 수정할 필요가 없기 때문에 투명성을 제공

2. 사용자가 필요에 따라 자체적으로 보안성을 적용한 네트워크를 구축할 수 있다.

3. 구축비용 부담이 적다

 

VPN 구현 기술

(가) 터널링

상용망상에서 전용망과 같운 보안효과를 주기 위한 기법으로 VPN 내의 두 호스트 간에 가상경로를 설정해 주어 사용자에게 투명한 통신서비스를 제공 또한 터널링되는 데이터를 페이로드라고 하며 터널링 구간에서 터널링 프로토콜을 통해 페이로드는 캡슐화되어 전송한다. 

 

(나) 암호화 및 인증

VPN에서는 기밀성 제공을 위해 대칭키 암호(DES, RC5, SEED, AES 등)를 사용한다.

암호화에 사용되는 대칭키는 공개키 암호방식(RSA, ElGamal 등)을  사용한 키 교환을 통해 공유된다. 

메시지 인증은 MAC 또는 해시함수를 이용하여 무결성을 보장

 

(다) 접근제어

필터링은 세밀하게 접근제어를 결정할 수 있지만 암호화하지 않은 IP 패킷 정보에서만 필터링 수행이 가능

암호화된 패킷에는 적용이 불가

 

즉 데이터 기밀성, 무결성, 데이터 근원 인증 및 접근 통제를 제공함.

 

VPN의 구성

1) 터널링

터널링되는 데이터를 페이로드라고 부르며 터널링 구간에서 페이로드는 그저 전송되는 데이터로 취급하여 그 내용은 변경되지 않는다.

 

터널링을 지원하는 프로토콜

2계층: PPTP(Point-toPoint Tunneling Protocol), L2TP(Layer 2 Tunneling Protocol),

L2F(Layer 2 Fowarding Protocol)

3계층: IPsec  ## MPLS는 2계층과 3계층 모두를 지원함

 

2계층 터널링 프로토콜

(가) PPTP(Point-toPoint Tunneling Protocol)

MS사에서 개발한 것으로 IP, IPX 또는 NetBEUI 페이로드를 암호화하고 IP헤더로 캡슐화하여 전송한다. 

PPTP는 터널의 유지/보수/관리를 위하여 TCP연결을 사용하고 이동통신사용자가 서버에 접속하기 용이하게 구성됨. 

PPP(Point-to-Point)에 기초 두 대의 컴퓨터가 직렬 인터페이스를 이용하여 통신할 때 사용한다. 전화선을 통해 서버에 연결하는 PC에서 자주 사용됨. 

 

PPTP(중요 체크!!)

클라이언트/서버 모델에서 동작,

PPP 연결을 확장하고 보호,

2계층(데이터링크)에서 동작,

IP 네트워크만을 통해서 전송

 

(나) L2F(Layer 2 Fowarding Protocol)

시스코사에서 제안된 프로토콜로서 NAS 개시 VPN형이기 때문에 사용자는 별도의 S/W가 필요 없다.

하나의 터널에 여러 개의 연결을 지원하여 다자간 통신이 가능

전송 계층 프로토콜로 UDP를 사용

 

(다) L2TP(Layer 2 Tunneling Protocol) 

L2TP는 PPTP와 L2F를 결합한 방법으로 MS와 시스코에서 지원하고 있으며 호환성이 뛰어남. 

 

L2TP(중요 체크!!)

L2F와 PPTP의 혼합 프로토콜

PPP연결을 확장하고 보호

데이터 링크에서 동작

IP뿐만 아니라 여러 종류의 네트워크를 통해서 전송

보안을 위해 IPsec와 결합 

 

3계층 터널링 프로토콜

(가) IPsec VPN

IP망에서 안전하게 정보를 전송하는 표준화된 3계층 터널링 프로토콜이다. IP계층의 보안을 위해 IETF에 의해 제안됨.

 

IPsec VPN은 AH(Authentication Header)와 ESP(Encapsulation Security Payload)를 통해 IP 데이터그램의 인증과 무결성 기밀성을 제공한다.

 

IPsec의 두 가지 모드

전송모드: IP 페이로드를 암호화하여 IP헤더로 캡슐화

터널모드: IP 패킷을 모두 암호화하여 전송 

 

IPsec의 헤더(이거 중요함!!)

AH: 데이터와 순서번호 보유 송신자를 확인하고 메시지가 송신되는 동안 수정 되지 않았음을 보장하는 헤더로 암호화 기능 없음

ESP: IP 페이로드를 암호화하여 데이터 기밀성을 제공하므로 3자의 악의에 의해 데이터가 노출되는 것을 차단함. 

 

IPsec(중요 체크!!)

동시에 다중 VPN 연결을 처리 

보안 인증과 암호화를 제공

IP 네트워크만을 지원

사용자 간보다는 LAN 사이의 통신에 집중

네트워크 계층에서 동작

 

SSL(Secure Sockets Layer) VPN 

IPsec VPN에 비해 설치 및 관리가 편리하고 비용 절감 가능

클라이언트와 서버 사이의 안전한 통신 채널 관리를 담당

데이터를 암호화와 인증을 통해 송수신 경로의 안정성 보장

PKI의 공개키/개인키를 이용한 웹사이트 통신 보안 가능

 

IPSec VPN과 SSL VPN 비교

인증

(가) 데이터 인증 

인증 프로토콜을 아용하여 패킷을 인증함으로써 무결성을 보장

인증을 위한 프로토콜로는 MD5,SHA-1 등 해시 알고리즘을 이용

 

(나) 사용자 인증

사용자 인증은 신분 확인을 통해 다른 사람이 자신이나 타인의 신분을 도용할 수 없도록하는 기능으로

VPN 보안에 있어서 필수적인 항목이다. 인증은 VPN 사용자, 특히 게이트웨이와 클라이언트 PC 사용자의 신원을 확인하는 역할을 수행한다. 

 

인증절차에는 두 가지 방식이 있는데 

상호 독립적인 Peer-Peer 방식과 주종관계인 클라이언트-서버 방식이 있다.

 

Peer-Peer 방식

PAP(Password Authentication Protocol): PPP 연결 시 사용되는 인증 프로토콜이다. 연결을 원하는 호스트는 사용자 계정과 패스워드를 목적지 호스트로 보내고 목적지 시스템은 요청 컴퓨터를 인증한 후 연결을 허용하는 두 단계의 핸드셰이킹으로 구성

 

CHAP(Challenge Handshake Authentication Protocol): PAP와 같은 용도에서 PPP 연결 인증과정의 보안을 위해 보안요소를 강화시킨 프로토콜 3단계 핸드셰이킹과 해시를 통해 보안요소를 첨가했지만, 컴퓨터 단위의 권한부여, 비밀키의 분배로 인한 불안전성, 사용자의 데이터베이스의 보관 문제를 가지고 있음

 

클라이언트-서버 방식

RADIUS: 외부에서 회사 네트워크로 다이얼 업 모뎀에 접속하는 사용자를 인증하고 내부 시스템에 액세스할 수 있는 권한을 부여하기 위해서 중앙서버와 통신할경우 사용될 수 있다. 

 

TACACS(Terminal Access Controller Access-Control System): 인증에 필요한 사용자 ID, 암호, PINs 및 암호키 정보를  인증서버에서 데이터베이스 형태로 관리 클라이언트로부터의 인증 요청을 처리한다. 

 

SSL(중요 체크!!)

트랜스포트 계층에서 동작하며 주로 웹 기반 트래픽을 보호

세분화된 접근 통제와 설정이 가능

웹 브라우저에 내재화되어 있기 때문에 채용이 용이

소수의 프로토콜 유형만을 보호하므로 인프라스트럭처 수준의 VPN 솔루션은 아니다.