You cannot see this page without javascript.

진주성 블로그 방문하기

보안 VPN

2017.11.01 07:34

구피천사 조회 수:5138

VPN (Virtual Private Network)

SSL VPN

site to client 지원
별도 장비 없이 웹 브라우저만으로 VPN 구현 가능, 뛰어난 사용성과 관리 편의성
네트워크 레이어의 암호화 방식이기 때문ㅇ HTTP 뿐만 아니리 NNTP, FTP 등에서 사용
SSL 자체의 부하 (암복호화 지연)

IPSEC VPN - 3계층

site to client
site to site
전송모드 : 데이터에 대해서 암호화 수행, IP 헤더에 대해서는 암호화 수행하지 않음
패킷의 출발지에서 암호화(인증)하고 목적지에서 복호화가 이루어 지므로 End-to-End 보안 제공
터널모드 : 보안 IPSEC 헤더를 추가하고 IP 헤더와 데이터 모두 암호화 
VPN 과 같은 구성으로 패킷의 출발지에서 일반 패킷이 보내지면 중간에서 IPSec 을 탑재한
중계 장비가 패킷 전체를 암호화(인증)하고 중계 장비의 IP 주소를 붙여 전송 
ESP Header, ESP Auth, ESP Trailer

 

  • IPSEC VPN 키 관리 담당

ISAKMP (Internet Security Association and Key Management Protocol) - Security Association 설정, 협상, 변경, 삭제 등 SA 관리와 키교환을 정의

IKE (Internet Key Exchange) 키 교환 담당 IKE 메시지는 UDP 프로토콜을 사용해서 전달되며 출발지 및 도착지 주소는 500 port 를 사용하게 됨

 

  • IPSEC VPN 인증과 암호화를 위한 Header

AH

데이터 무결성과 IP 패킷의 인증을 제공, MAC 기반
Reply Attack 로 부터의 보호 기능 , 순서번호 사용
인증시 MD5, SHA-1 인증 알고리즘을 이용하여 Key 값과 IP 패킷의 데이터를 입력한 인증 값을 계산하여 인증 필드에 기록
수신자는 같은 키를 이용하여 인증 값을 검증

ESP ( Encapsulating Security Payload)

전송 자료를 암호화하여 전송하고 수신자가 받은 자료를 복호화 하여 수신
IP 데이타그램에 제공하는 기능으로서 데이터의 선택적 인증, 무결성, 기밀성, Reply Attack 방지를 위해 사용
AH와 달리 암호화를 제공(대칭키, DES, 3DES)
TCP/UDP 등의 Transport 계층까지 암호화할 경우 Transport 모드
전체 IP 패킷에 대해 암호화 할 경우 터널모드를 사용
  • IPSEC AH(Authentication Header)구조
Next Header - 다음에 오는 헤더를 연결하기 위해서 헤더의 프로토콜 번호를 담고 있음
Payload Length - AH 길이를 측정
Reservation - 0
SPI - Destination IP Address 와 ESP 를 조합하여 Datagram에 대한 SA(Security Association)를 식별
Sequence Number : SA이 구성될때 0 으로 초기화 되는 특성을 지니고 있음, SA를 사용하여 데이터 그램이 송신될 때마다
                  값이 증가하며, 데이터 그램을 식별하여 데이터그램 재전송을 방지함으로써 재생 공격으로 부터 IPsec을 방어하는데 사용
Authentication Data : 무결성 검사값 (ICV)으로 구성되어져 있음

 

  • IPSEC ESP( Encapsulating Security Payload) 세부구조

 

ESP Header :  SPI - Destination IP Adderss 와 ESP (Encapsulating Security Payload) 를 조합하여  Datagram 에 대한 SA(Security Association)를 식별

                  Sequence Number - SA(Security Association) 이 구성될대 '0' 으로 초기화 되는 특성을 지니고 있다. SA를 사용하여 데이터그램이

                                             송신될때마다 값이 증가 하며, 데이터 그램을 식별하여 데이터 그램 재전송을 방지함으로써 재생 공격으로 부터

                                             IPSEC 을 방어하는데 사용

PayLoad : Payload Data - 다음 헤드 필드에 의해 묘사된 데이터를 포함하는 기변 길이 필드

ESP Trailer :  Padding - 암호화 또는 정렬을 위해서 추가적인 패딩 바이트가 포함 된 필드

                 Padding Length - 패딩 필드의 바이수수

                 Next Header - 다음 헤더의 프로토콜 번호를 포함하여 헤더를 연결하는데 사용

ESP Authentication Data - ESP 인증 알고리즘을 적용하여 계산된 ICV 값으로 구성

 

2계층 VPN 3계
PPTP VPN  - Point-to-Point Tunneling Protocol, ppp packet 을 IP Packet 으로 Encapsulation 하여 
            IP 네트워크에 전송하기위한 터널링 기법 , 2계층 작동
L2TP VPN - L2F 프로토콜과 PPTP 프로토콜과의 호환성을 고려하여 만들어진 터널링 프로토콜
MPLS VPN

진주성 블로그 방문하기
CLOSE