VPN (Virtual Private Network)

EBAB!·2023년 7월 8일
network

Network

목록 보기
16/17

Virtual + Private Network

PN만 놓고보자면 사설망, 사설 네트워크를 의미한다. 물리적으로 통제가 가능하고 개념적으로 LAN으로 볼 수 있다.

그렇다면 사설 네트워크을 쓰는 이유는?
말 그대로 사적으로 네트워크를 사용해야 하는 경우이다.(회사의 영업 통계 및 보안 자료 DB)

따라서 보안성을 위해 퍼블릭 네트워크를 논리적으로(virtual) 프라이빗하게 만드는 것이 VPN이다.

VPN 기술

  • 보안 서비스 기술
    • 내부 사설망을 외부로부터 스스로 보호하고, 사용자 인증을 통한 접근통제가 가능해야 한다.
  • 데이터 인증 및 암호화 기술
    • 사설망 간의 Traffic을 무결성과 기밀성을 유지하기 위해서 모든 traffic에 인증 메커니즘을 적용하거나 정보 유출을 방지하기 위해서 암호화 할 수 있어야 한다.
  • 터널링 기술
    • 기존의 공개 네트워크에서 VPN을 구성하기 위해서, 기존 네트워크에서 정보 이동이 가능하도록 정보를 캠슐화하고 다시 풀어내어 논리적으로 두 네트워크를 연결하는 기술(망 연계) 이다.


IPSec VPN과 터널링 개념

IPSec

  • IPSec은 네트워크 계층에 보안 서비스를 제공하며 패킷 단위에 적용된다. IPSec은 현재 사용중인 IPv4, IPv6 모두 지원한다. IPSec은 GtoG,GtoE(G:Gateway,E:Endpoint)를 모두 지원하고 GtoG VPN 구현을 위해서 현재 가장 많이 사용되고 있는 방식이다.

    IPSec 제공 서비스

    • Access control
    • Coneectionless integrity
    • Data original authentication
    • Protection against replay
    • Confidentiality
  • IPSec은 IP수준(L3) 보안을 제공한다. 따라서 응용 프로그램에 대한 의존성이 없고 IP 기반 통신을 모두 보호할 수 있다는 장점이 있다.
  • IPSec VPN은 대부분 GtoG VPN에 주로 활용한다.


IPSec Protocol

ISAKMP

• Internet Security Association Key Management Protocol은 보안 협상 및 암호화 키들을 관리하는 메커니즘을 제공한다.

IP AH (Authentication Header)

• AH는 데이터의 원본 인증 및 무결성 재연공격 방지 기능을 제공한다.

IP ESP (Encapsulation Security Payload)

• ESP는 데이터의 기밀성, 원본 인증 및 기밀성 및 재연공격 방지 기능을 제공한다.

VPN Tunneling

  • 첫 데이터그램의 패킷이 원본이라면
  • 암호화를 거치면 두번째 패킷처럼 변하게 된다.
  • 두번째 암호화를 자세히 본 것이 세번째 패킷.

순서

인터넷을 통해 PN의 서버에 데이터를 전송할 때,

  1. 외부의 컴퓨터에서 SG(Secure Gateway)로 트래픽 전송.

  2. SG에서 패킷을 확인했더니 사설망으로 보내는 비밀 트래픽임을 확인하고 패킷을 통째로 암호화. 암호화된 패킷에서 여전히 목적지를 알 수 있으므로 다음 SG는 전송 가능.

    이 때 원래 IP는 Inner IP, 암호화된 새로운 IP는 Outer IP라 한다.
    같은 원리로 헤더 또한 Inner Header, Outer Header라 부른다.

  3. 암호화된 패킷을 받으면서 Outer Header을 제거하며 복호화를 한 뒤 원본 패킷을 전송.

  4. 서버에서는 원본 패킷을 받는다.


VPN 악용

  • IP주소 세탁에 사용
    • 만약 중국에 있지만 한국의 VPN SG를 통해 접속한다면 전달받는 사이트는 한국의 패킷으로 인식하게 됨.
  • 주로 불법 마케팅(SNS 수신)에서 VPN에서 클린IP(사용되지 않는 IP)를 받아 보내고 블락되면 다시 클린IP를 받아 보내는 방식

PPTP (Point-to-Point Tunneling Protocol)

•MS사가 개발한 것으로 IP, IPX, NetBEUI를 암호화하고 IP 헤더로 캡슐화 한다.

  1. PPP 링크 설정
  2. 물리적인 연결을 설정함
  3. 사용자 인증
  4. Call back 제어 단계(Option)
  5. Call back이 구현되어 있다면, 인증서버가 사용자 인증 후 연결을 종료하고 다시 클라이언트에게 연결함
  6. 네트워크 제어 프로토콜 호출 단계
  7. 사용자에게 동적으로 주소 할당
  • 우리나라의 iptime이 PPTP를 지원한다.
  • iptime의 사용자가 iptime관리를 안하고 잘 사용하지 않으면 iptime 자체를 해킹한다.
  • iptime은 PPTP VPN을 제공하므로 해킹한 iptime으로 불법 행위를 저지르며 누명을 쓸 수 있다.
profile
EBAB!
공부!
이전 포스트

부하 분산 시스템 작동원리

다음 포스트

네트워크 요약

0개의 댓글