다 작성하면 올리려고 했는데 계속 임시저장 상태에만 뒀다가는 평생 미뤄질 것 같아서 일단 올려놔야 보기 싫어서라도 추가하겠지 파이팅
Network 보안 기술 VPN :
6강부터 14강까지 수강 후 라이트업 작성해주시면 됩니다!
https://www.youtube.com/playlist?list=PLQFHF6cwEgwM5svibsvonT5ZcGV02sOgb
[추가과제]
IpSec VPN 과 함께 방화벽에 관련된 내용도 함께 정리 -> 3-5강이 방화벽 관련 내용이라 시간 되시는 분들은 함께 수강해주셔도 좋을 것 같습니다!
감사합니다 다들 수고 많으셨습니다! 편안한 밤 되세요!
1. 네트워크 보안 개념 및 중요성
-데이터의 통신 경로상에서 정보 보안을 유지하기 위한 기술 (아키텍쳐/ 솔루션)
-통신 가능한 경로를 구성 할 것인지? 경로를 만든다면 어떻게 보안 수준을 유지할 것인지?
-인증, 무결성, 암호화
-internet/intranet/DMZ 아키텍쳐, VPN(Virtual Private Network) 기술, 네트워크 보안 솔루션
실제 주고받는 데이터들이 정보보안을 유지되며 데이터가 주고받아지냐를 논하는 것이 네트워크 보안이다. 실은 경로를 만드는 것부터가 중요한 내용이 될 수 있다. 따라서 기업의 정보보안 관점에서 네트워크가 차지하는 비중이 크다. 길을 만들 때 해커가 이 길을 지나다닐 수 없게 하는 방법이 존재하다. 전용망, private network.이 전용망 자체를 구성함으로써 주고 받고자 하는 해커로부터 데이터를 보호한다. 데이터 센터, brench site에서 주로 통신하는 주체가 데이터 센터 안에 있는 it 시스템이 될 것이다. 이 경로를 보안이라는 컨셉으로 전용망을 구성한다. private link 쓸 때 거리나 B/W에 따라서 통신 사업자한테 임차로 나만 사용할 수 있기에 비용을 지불해야 한다. 전용선을 사용하는 게 아닌 인터넷 망 (ex. adsl, 광 lan, office lan) 을 정의할 때 B/W 보장을 따로 안해준다. 가까운 Internet pop에 회선만 끌어다주는 것. 단순 포트 B/W만 지정하는 경우도 있다. 이 인터넷이라는 존재는 우리 사업장과 내가 원하는 임직원 뿐만 아니라 전세계의 모든 사용자가 인터넷망을 사용하기에 아무 것도 보장되지 않는다. 통신 보안 3요소가 보장이 되면 정보 보안 수준을 갖고 있다 이야기 하는데 크게 인증 (누구랑 통신하는지 명확하게 알고 있느냐), 무결성 (A라는 데이터가 정상적으로 A로 전달이 되었는가), 암호화 (보낸 데이터를 다른 사람들도 알게 될 수 있는가) 가 있다. 전송선을 썼을 때는 그 양단에 나만 사용할 수 있는 전용 길을 뚫은 것이기에 이 길을 따라가면 내가 통신할 수 있는 대상은 얘밖에 없기에 3가지 측면을 모두 만족한다. 인터넷을 사용하면 모든게 보장이 되지 않기 때문에 별도의 장비를 사용하게 된다. 그 중 하나가 IPsec 프로토콜. 이 3가지 측면을 유지시켜줄 수 있는 device를 양쪽에 구성시켜줘야 한다. 인터넷을 통해 사용할 때 IPsec endpoint를 양쪽에 두고 걔를 통해서 이 3가지 통신보안을 어떤 식으로 유지할지를 뒤에서 살펴볼 것. 나만이 통신할 수 있다는게 라우팅과도 일맥상통. 내가 누구와 통신할 수 있는지가 라우팅 테이블이기 때문. 네트워크라는게 It 보안 관점에서 매우 중요한 역할을 하고 비용적으로도 네트워크 설계를 잘 했느냐를 따지는게 보안을 얼마나가 유지하고 있는지를 알고 구성, 설계를 했냐이다. VPN 사업자가 제공하는 기술이 있는데 이게 MPVS VPN이다. 사업자가 망을 구성해놓고 망을 지역적으로 각각 자기네들 pop을, 서비스를 받을 수 있는데를 구성해놓고 특정 고객사를 붙이는 것. 노드는 쉐어. 구성은 실제 고객사대로 자기네들 망을 가지게 되는 것처럼 이용할 수 있는게 MPVS VPN 테크닉이다. 인터넷 회선을 통해 사업자들끼리 통신을 할 수 있게 특별한 IPsec VPN 장비를 놓고 가져다 쓰는게 CPE VPN 이다.
2. Network Security Architecture
-Data를 생성/처리하는 Device, Network상에서 전달되는 Data의 보안 레벨이 다양함. (기업 내 임직원들만 이용해야하는 Data, 파트너사까지 이용되어야 하는지? 외부에도 이용되어야 하는지)
-Internet, Intranet, Extranet
컴퓨터 네트워킹 라는 게 어차피 데이터들이 지나다니게 하는 디바이스 간에 데이터를 지나다니기 위한 과정이다. 디바이스, 데이터, 전달되는 경로가 보안적으로 중요하게 봐야하는 것들이다. 그렇다보니 데이터를 생성 처리하는 디바이스들과 네트워크들을 생성, 처리 하는 데이터에 보안적 레벨이 존재한다. 보안에서 더 높은 레벨로 관리되어야 하는 디바이스, 데이터와 외부에 오픈되도 상관없는 데이터가 존재한다. 따라서 데이터 위치 장소나 통신 경로를 분리하고 있다. 가장 기본적으로 기업 같은 경우 임직원들의 사업장, 본사에 저장되는 데이터가 있을 수 있고 공장단에서 나오는 데이터, 데이터센터에 이러한 물리적으로 떨어져있는 사업장, 본사, 공장단에 데이터를 주고받을 수 있는 데이터를 어떻게 구현을 할 것인가.
6. VPN 개념 및 유형 (MPLS VPN & IPsec)
-SP-VPN(MPLS VPN), CPE-VPN(Access/Network,IPsec Protocol)
-고가의 전용선이 아닌 인터넷 회선을 이용하여 전용선의 통신 보안을 강화 할 수 있는 솔루션
-Network to Network, 터널링 (Encapsulation)
-기업에서는 소규모 사업장, 외부임직원의 내부 시스템 통신을 위해 네트워크 영역에서 보안을 강화
vpn이라는 컨셉은 왜 나왔을까? it 인프라 쪽에 특히 virtual이라는 게 들어가면 물리적으로 이미 그런 기능들을 제공하는데 가상화된 관점으로 기존의 요구사항들을 meet 시킬 수 있게 기술적 접근을 제공하겠다. 더 적은 비용으로 기존 서비스를 유지할 수 있게끔. vpn이라는 개념은 회선비, 가장 기업 네트워크에서 전용망을 꾸미기 위해 많이 들어가는 cost 내역 중 하나는 회선비를 절감하기 위한 기술이다. 전용 회선. private network를 다 구성해서 it 보안에 대한 중요성 때문에 전용망을 구성해서 쓴다. 전용망에 대한 개념은 우리 회사 소속 인원들이 사용하는 시스템, 서버들끼리만 사용할 수 있는 통신 경로, 네트워크를 확보하자라는 차원이다. 물리적으로 떨어진 사업장과 데이터센터를 위해 전용 회선을 끌어야 하고, 통신 사업자들이 제공하는 통신 서비스를 이용할 수 밖에 업다. 이 통신 회선의 비용을 결정하는 요소가 거리, B/W (bps로 환산된다. 초당 얼마의 비트를 보낼 수 있느냐), 계약 기간 등이 있다. 또 시스템을 쓰려면 인터넷도 연결해야 한다. 인터넷을 직접 나가게끔 adsl 같은 걸 연결해 사용하면 보안상 이슈가 되기 때문에 방화벽 같은 보안 장비를 두고 접근 제어를 한다. 이렇게 보면 얘를 전용 회선, WAN이라 한다. 품질이나 보안성 측면에서는 좋지만, 이렇게 되면 비싸기 때문에 좀 더 저렴한 회선을 이용하기 위해 나온 개념이 VPN이다.
VPN의 개념은 public 망을 사용해서 private 망처럼 구성하기 위한 컨셉이다. 완전한 인터넷 회선, 접속만 제공하는 가장 가까운 pop까지만 물리적으로 연결하는 저가의 인터넷 회선으로 연결하면 구간의 회선비가 훨씬 저렴하겠지만 보안적으로 전혀 보장받지 못한다. 그러다보니 인터넷을 활용해 쓰는데 앞 단에 보안 장비를 두고 통신 보안을 일으켜 보자는 개념이 CPE, 장비 기반의 IPsec이라는 프로토콜 규칙을 이용한 VPN이다. SP, 사업자 기반의 서비스는 인터넷이라기 보다는 전국적 통신 사업자가 중간에 pop을 넣고 전국적으로 유지를 하는 것이다. 어떤 특정한 망을 만든다. 통신 사업자망. 이 지역에 가장 가까운 국사까지만 전용 회선을 끌고 통신 사업자 망으로 고객들과 함께 share를 하면서 쓴다. 대신 구간에 대한 통신 보장은 통신 사업자가 해준다. 망 분리하는 관점으로 접근해 들어와 통신해 트래픽이 들어오면 내가 갈 수 있는 지점이 내가 붙어있는 사업장까지만 경로가 잡히게끔 해 다른 고객사는 내 사업장과 통신이 아예 안되게끔, 라우팅이 분리되는 개념이 SP 기반의 VPN 망이다. 여기서 사용되는 기술은 MPLS 이라는 기술이다. 일반적인 ip 기반의 라우팅이 아니고 태그(lable) 기반의 라우팅을 하게끔 해 VPN이라는 서비스를 할 수 있게 한다. 둘다 터널링이라는 컨셉이다. 데이터가 전달되는 과정 상의 실제 A라는 PC와 B라는 서버 간에 통신을 한다고 하면 구간 상에는 ip에 의해 통신이 되는게 아닌 통신 사업자가 정해놓은 정보에 따라서 길이 정해지고 고객 별로도 길이 분리된다 이해하면 된다. IPsec이라는 기술을 이용하는 CPE기반 에서는 A와 B가 통신하는데 실제 인터넷 구간 상에서는 VPN 장비가 가지고 있는 outbound ip만 보이게끔. L3 기반의 인캡슐레이션이 됐다. 터널링이 된다고 용어를 이해.
7. IPSec VPN - 개요, 아키텍쳐, 효과
-Public망(인터넷)을 통해 전용선과 같은 수준의 통신 보안을 유지하기 위해 사용
-기업 : 전용 회선 비용 절감 목적, 재택/이동 근무자의 기업내부망 접속(cf. 개인: ip 우회 목적)
-IPSec Protocol 이용, 통신 대상 위치한 VPN 제품을 통해 구현.
전용회선이 가지고 있는 특징이 있다. 본사에 여러 네트워크가 있는데 그 중 A라는 네트워크와 지사의 B라는 네트워크가 서로 통신을 해야하는데 물리적으로 떨어져 있다보니 전용선을 끌어 쓸 수 있다. 이 전용선은 통신사에게 견적이라는 형태로 제공받는다. 견적에 포함되어야 하는 내용은 20Mbps를 가지는 회선을 얼마의 기간 동안 사용하고 싶다고 하면 통신사업자들이 거리 베이스로 견적을 주고, 이 비용이 많이 비싸다. (거리가 멀 수록, B/W 가 높을 수록, 사용기간이 짧을 수록) 이렇게 구성해서 사용하면 A에서 B를 나만이 사용할 수 있는 보안도, 품질도 유지 되는 도로망이 형성이 된다. A와 B만 사용할 수 있는 회선. 하지만 이게 비용이 너무 비싸니 좀 더 싸면서도 품질은 좀 떨어지더라도 나만이 사용할 수 있는 보안 수준은 갖춰보는 걸 희망 -> A와 B 모두 근처 통신사업자와 가까운 pop에 인터넷에 접속할 수 있는 접속 회선을 요청하고 IPsec 라는 프로토콜이 지원하는 제품을 양쪽에 설치하고 실제 공인 ip를 할당해주면 (C, D) C와 D를 이용해 IPsec를 제공하는 VPN 장비가 인터넷 구간 상 보안 채널을 연다. 실제 A와 B가 통신할 수 있는 보안 채널을 C와 D가 만들어준다. 이 방법은 IPsec라는 protocol 할 때 이야기.
추가 설명 과제
방화벽 나오기 전에는 통신 전송을 위해 라우터 필터 기능으로 트래픽 제어 기능 사용. 패킷 헤더에 목적지 출발지 ip 주소랑 서비스 포트를 확인해서 필터 정보와 비교해 허용/차단하는 방식 -> 문제는 필터가 증가하면 라우터 부하 증가해 본래 기능에 문제 발생 -> 방화벽 출현. 단순하게 들어오는 패킷을 필터링하는게 아닌 클라이언트와 서버의 통신 상태를 모니터링 해 따로 테이블을 만들고 관리하면서 세심한 트래픽 제어 가능. 방화벽 라우터에서 내부 네트워크로 연결되는 사이에 설치.
SSL VPN 과 IPsec VPN의 차이
IPsec VPN 장비는 특정한 위치에 고정되어 있는게 특징인 반면, SSL VPN은 출장 재택근무와 같이 위치가 유동적일 때 VPN 연결을 지원.
