2018.12.20 야간 보안 공부 - VPN

야간 보안 공부

2018년 12월 20일

상황 3반

 

 

 

 

 

[목 차]

1. VPN(Virtual Private Network, 가상 사설망)

1.1 VPN 등장배경

1.2 VPN이란 무엇인가?

1.3 VPN의 장점 및 단점

1.3.1 장점

1.3.2 단점

1.4 VPN의 구현 기술

1.4.1 암호화

1.4.2 터널링

1.5 구성형태에 따른 VPN 분류

1.5.1 Intranet VPN

1.5.2 Extranet VPN

1.5.3 Remote Accesss VPN

1.6 VPN 보안

1.6.1 IPSec

1.6.1.1 기능

1.6.1.2 인증 헤더(AH, Authentication Header)

1.6.1.3 캡슐 보안 페이로드(ESP, Encapsulation Security Payload)

1.7 결론

1. VPN(Virtual Private Network, 가상 사설망)

1.1 VPN 등장배경

 

[그림 1] VPN

조직이나 기업의 규모가 커짐으로써 본사와 지역적으로 떨어져 있는 다수의 지사 형태를 갖춘 기업이 많아졌다. 처음에는 WAN이나 전용선을 사용하여 통신 및 정보의 공유가 제공되어왔다. 이러한 네트워크 구축방법은 회사로 하여금 과도한 통신비용을 부담하게 하였다. 이런 문제점들을 해결하고 이동성을 지원하기 위하여 등장한 것이 바로 가상 사설 네트워크(이하, VPN)이다.

 

 

1.2 VPN이란 무엇인가?

VPN은 물리적으로 실제 사설 네트워크를 구성한 것이 아닌, 공중 네트워크를 이용하여 사설 네트워크가 요구하는 다양한 서비스를 제공할 수 있도록 네트워크를 공중 네트워크 내에서 가상으로 구성한 것이 때문에 가상 사설 네트워크라고 불린다. 즉, 인터넷과 같은 공중 네트워크를 마치 기업이나 개인의 전용회선처럼 사용할 수 있게 해주는 기술 혹은 이런 네트워크를 통칭한다.

 

1.3 VPN의 장점 및 단점

1.3.1 장점

1) ISP(Internet Service Provider)들이 제공하는 인터넷 네트워크를 이용하여 구축

2) 자사는 해당 ISP가 있는 곳이면 어디든 접속이 가능

3) 관리 비용 감소 (ISP가 장비를 직업 운영/관리하기 때문)

4) 다양한 구축 방법 (IPSec, MPLS를 이용한 방법등 구축방법이 다양)

5) 이동성 제공 (위치와 상관없이 해당 ISP의 POP(Point to Presence)d로 접속하면 인터넷을 이용하여 VPN 접속이 가능해서)

6) 네트워크의 유연성

 

※ POP(Point of Presence)란?

단어 뜻은 상호 접속 위치로, 인터넷에 접속할 때 접속하는 Point(라우터 혹은 스위치 등)이라고 생각하면 된다.

 

1.3.2 단점

1) 표준의 부재

2) 보안성의 부족

3) 성능 (IPS의 VPN 성능 정책에 미치지 못함)

 

 

 

1.4 VPN의 구현 기술

 

1.4.1 암호화

송신측은 데이터를 전송하기 전에 암호화하고, 수신측은 이를 복호화 함

1.4.2 터널링

전송하고자하는 데이터를 특정 프로토콜로 캡슐화하여 송수신함

 

1.5 구성형태에 따른 VPN 분류

VPN은 전용선 형태의 네트워크와는 달리 쉽게 확장될 수 있으며, 응용 분야에 따라 구성형태를 전환하는 것이 용이함

1.5.1 Intranet VPN

[그림 2] Intranet VPN 구성 예

Intranet은 기업 내 전용 네트워크를 표준화하여 서버를 기반으로 공유하는 사내 인터넷/업무용 네트워크를 뜻한다. 인터넷 네트워크를 이용하여 Intranet VPN을 구축하는 형태는 작게는 기업 내부의 각 부서 간을 연결한다.

 

1.5.2 Extranet VPN

[그림 3] Extranet VPN 구성 예

Extranet VPN은 자사와 밀접한 관계가 있는 고객사나 협력업체들에게 Intranet을 이용할 수 있도록 Intranet을 확장한 개념이다. 즉, 자사와 고객, 협력업체를 모두 VPN으로 구성하는 것이다.

 

 

 

1.5.3 Remote Access VPN

[그림 4] Remote Access VPN 구성 예

Remote Access VPN을 설명하기 위해 예시를 들자면, 영업사원 한 명이 급히 출장을 가서 필요한 문서를 갖고 오지 않았다. 이럴 때 사원이 자신의 컴퓨터 인터넷을 통해 자사 Intranet에 접속할 수 있게 해주는 것이 바로 Remote Access VPN이다. 재택 근무자나 원격 접속자는 가까운 ISP의 NAS(Network Access Server)에 접속한다.

 

※ NAS(Network Access Server)란?

독립 서비스 공급자 (ISP)가 연결된 고객에게 인터넷 액세스를 제공 할 수 있게 해주는 컴퓨터 서버

 

Remote Access VPN에서 가장 중요한 요소는 보안이며, 이는 IPSec 등을 이용하여 해결한다.

 

1.6 VPN 보안

VPN의 가장 중요한 요소 중 하나인 보안은 최근 IPSec의 활발한 도입으로 많은 발전을 이루었다.

 

1.6.1 IPSec(Internet Protocol Security)

IPSec은 IP 계층 보안을 위해 개방형 구조로 설계된 표준이다. IPSec은 상위 계층 프로그램의 변경이 필요하지 않은데, 이는 암호화된 패킷이 보통의 IP 패킷과 동일한 형태를 가져서 네트워크 장비의 내부 변경이 필요 없다는 뜻이다. 차세대 인터넷 프로토콜인 IPv6에서는 IPSec을 기본으로 포함하고 있으며, IPSec은 공개키 암호화 방식을 사용하고 있다.

 

1.6.1.1 기능

IPSec의 기능은 총 4가지로 아래와 같이 구성되어있다.

1) 데이터 원본 인증

2) 데이터 무결성

3) 데이터의 기밀성

4) Replay 보호 (제 3자가 데이터를 가로채어 분석 후 그 정보를 이용한 불법침입을 방지)

 

IPSec을 구성하는 프로토콜에는 AH, ESP등이 있다.

 

1.6.1.2 인증 헤더(AH, Authentication Header)

AH는 데이터 송신자의 인증을 허용하는 헤더로, IP 패킷에 대해서 무결성과 데이터 원본 인증을 제공한다.

 

1.6.1.3 캡슐 보안 페이로드(ESP, Encapsulation Security Payload)

ESP는 송신자의 인증과 데이터 암호화를 함께 지원하며, 데이터 기밀성, 패킷 단위의 무결성, 데이터 원본 인증 및 Replay에 대한 보호를 제공한다. AH와 비교해 ESP는 암호화를 제공한다는 점이 다르다.

1.7 결론

이번 장에서는 VPN의 등장배경부터 VPN이 무엇이고, 어떠한 특징이 있으며, 어떠한 구성 형태가 있는지 알아보았다. 또한, VPN의 보안을 위해 사용되는 IPSec의 기능과 프로토콜에 대해서도 알아보았다. 해당 내용을 통해 VPN을 이해하는데 도움이 되었길 바란다.

[참고 문헌]

 

[1] 정진욱, 안성진, 김현철, 조강홍, 유수현, 『컴퓨터 네트워크』, 생능 출판, 2018