본문 바로가기
Studies

IPsec을 이용한 VPN이란?

_cham 2015. 1. 14. 16:19

출처

http://www.cisco.com/web/KR/about/packet/ts/20.html

http://www.krnet.or.kr/board/data/dprogram/690/T7-1%C0%CC%B1%A4%BC%F6.pdf

인터넷 보안 - IPsec / 이광수 / 숙명여대 정보과학부


VPN

기관이나 회사에서는 보안을 위해서 사설망(Private Network)를 구축하여 사용한다. 하지만 이것은 별도의 라우터, 링크, DNS 등 비용이 많이 든다. 


VPN에는 크게 2가지로 나뉜다.


1. 안전한 IPsec (Internet Protocol Security)

IPsec을 이용하여 두 망 개체간에 데이터그램을 암호화한다면 모든 페이로드의 내용을 보호할 수 있다. 

따라서 네트워크 계층에서 보안을 제공하면 상위계층은 모두 함꺼번에 보호될 수 있다("blanket coverage"). 그리고 Application으로부터 자유롭다.

하지만 복잡하고 결함이 존재한다.


2. 편리한 SSL (Secure Socket Layer)

소켓 계층에 존재(사용자 영역의 일부)

상대적으로 간단한 규격을 가지고 있다.



IPsec (Internet Protocol Security)

IPsec은 인터넷 프로토콜 통신 보안을 위한 프로토콜 스위트이다. 이 보안은 통신 세션의 개별 IP 패킷을 인증하고 암호화함으로써 처리된다.

IP계층 또는 그 상위 계층 프로토콜을 보호한다.

데이터 무결성, 출발지(source) 인증, 재사용 공격 방어, 기밀성 등을 제공한다.


1. 특징

o 보안 구조

개방형 표준이고, (1)인증 헤더(AH), (2)캡슐화 보안 페이로드(ESP), (3)보안 연관(SA) 등의 프로토콜을  사용하여 다양한 기능들을 수행한다.

o 동작 방식

전송 모드(Transport mode) - 상위 계층 프로토콜 보호

터널 모드(Tunnel mode) - 터널화된 IP 패킷에 대한 보안 서비스 제공

o 암호화 알고리즘

HMAC-SHA1

Triple DES-CBC

AES-CBC

o IPsec의 구현 위치

호스트나 방화벽, 라우터에 구현




2. 상세 설명


o 전송 모드 (Transport mode)

IPsec 데이터그램은 종단 시스템에서 출발하고 종단 시스템에서 수신된다. 전송중인 상위 계층의 모든 정보가 보호된다.



o 터널 모드 (Tunnel mode)

종단 라우터가 IPsec을 수행한다. 종단 호스트는 IPsec을 수행할 필요가 없다.



o 인증 헤더 (AH, Authentication Header)

출발지 인증(데이트 근원 인증)과 비연결형 데이터 무경성, 재전송 공격 방지 등을 보장한다. 하지만 기밀성은 보장하지 않는다.

메시지 checksum(ICV ; Integrity Check Value)을 이용하여 보안 서비스 제공


Next Header : 다음 헤더의 종류를 표시

Payload Len : AH 길이 (32비트 워드 단위)


- Transport mode에서의 AH


- Tunnel mode에서의 AH






o 캡슐화 보안 페이로드 (ESP, Encapsulating Security Payload)

출발지 인증, 비연결형 데이터 무결성, 기밀성, 재전송 공격 방지, 제한된 트래픽 흐름 기밀성 등을 보장한다. AH보다 널리 사용된다.

크게 4개의 조합이 있는데 가장 많이 사용되는 조합이 Tunnel mode with ESP 이다.

DES, 3DES, CAST-128, IDEA, RC5, Blowfish 등의 암호화 알고리즘을 사용하여 기밀성 제공









o 보안 연관 (SA, Security Association)

데이터를 보내기 전에 송신 개체와 수신 개체 사이에 가상의 연결이 설정되어야 한다. SA는 단방향이다.

송신과 수신 개체는 모두 SA에 관련된 상태 정보를 유지해야 한다. TCP호스트는 상태 정보를 유지한다. IP는 비연결형이지만 IPsec은 연결형이다.


SA는 트래픽에 보안 서비스를 제공하는 일방향 연결이다. 보안 서비스는 ESP나 AH 중의 하나이며, 두 가지 서비스를 모두 받기 위해서는 두 개의 SA가 필요하다. 양 방향 통신을 보호하기 위해서는 각 방향별로 별도의 SA를 필요로 하며, 두 SA의 서비스 내용이 다를 수 있다. IPsec 서비스 제공 전 송신자와 수신자 사이에서 협상해야 한다.


- SA의 기본 조합

CASE 1 : End-to-end security


CASE 2 : Simple VPN


CASE 3 : LAN-to-LAN VPN(CASE 1+CASE 2)

CASE 4 : Dialup Remote Access VPN, Mobile Host






저작자표시

'Studies' 카테고리의 다른 글

Linux WiFi 연결했던 AP 정보 저장된 파일  (0) 2015.02.06
Network 각종 프로토콜 정리  (0) 2015.01.14
TCP/IP Layer Model  (0) 2015.01.14
OSI 7 Layer Model  (0) 2015.01.14
laptop 에서 리눅스 설치시, 화면밝기 조절이 안될 때  (0) 2014.08.21

'Studies' Related Articles

티스토리툴바