본문 바로가기

네트워크

가상 사설네트워크 VPN 구성하기 Feat. IPsec -1부-

336x280(권장), 300x250(권장), 250x250, 200x200 크기의 광고 코드만 넣을 수 있습니다.

오랜만에 포스팅을 하게 되네요 ^^

 

매우 매우 날씨가 추워졌습니다. 건강 주의하시길 바랍니다.

 

오늘은 지난 시간 포스팅했던 터널링을 이용하여, 터널링에 암호화 를 적용한 VPN을 구성하도록 하겠

 

습니다. 실습은, 지난 터널링 이후로 이어서 진행되니, 터널링 구성까지 완료해 주셔야 합니다.

 

VPN을 구성하기위한 터널링 구성하기 

 

 

오늘 사용할 통신 망 입니다.

 

지난 시간에 구성한 GRE Tunnel 에 여러가지 방식의 암호화를 적용하여 VPN을 구성합니다.

 

VPN  (Virtual Private Network, 가상사설망) 이름에서 알수 있듯이 실제로 존재하는 망을 구성하기보다

 

가상의 사설망을 구성하여 주게 됩니다.

 

망에 대한 설명은 터널링 포스팅에 있고, 터널링에 PPTP, IPSec (IP Security) , L2TP 등의 프로토콜을

 

사용하여, 보안성을 입혀주게 된다고 생각하시면 됩니다.

 

VPN은 연결방식 과 터널링 방식에 따른 분류를 할수 있는데, 연결방식에 따른 분류로는

 

 가. Remote Access VPN

- 재택근무자, 출장 및 외근 직원 전용선

- Host-Host 또는 Network-Host 연결

 

 나. site - to site VPN

- 본사와 지사의 전용선

- Network - Network

 

두 가지를 연결 방식 으로 분류합니다.

 

 

터널링 방식에 따른 분류는

 

 가. Layer 2 VPN

- L2F, PPTP,L2TP 등

 

 나. Layer 3 VPN

- IPsec , ATMP , VTP 등

 

 다. Layer 4 VPN

- SSL (Secure Socket Layer)

 

세가지로 분류할수 있습니다.

 

Layer 2 VPN 인  PPTP프로토콜은, PPP(Point-to-Point) 접속방식의 확장판으로, 마이크로소프트 방식으

 

로 인터넷 프로토콜인 TCP/IP 방식을 사용하면서, 외부인이 접속하지 못하는 가상사설망을 구축하도록

 

해줍니다.

 

이 PPTP방식을 이용하여, 클라이언트는 PPP방식으로 서버에 접속하고, 서버에서 인증을 받으면 VPN

 

터널이 생성되며, 이를 통해 VPN연결이 가능하며, CHAP ID 를 암호화 하고, MS-CHAP, EAP 등의 인증

 

방식을 제공합니다.

 

L2TP 는 L2F + PPTP 로 보시면 되는데, PPTP의 단점인 확장성과, 보안을 향상시킨 프로토콜 입니다.

 

Layer 3 VPN 인 IPsec 는 Network layer에서 동작하는 표준 보안 프로토콜로 써,

 

인증, 무결성, 기밀성, 재생방지 등의 보안성을 제공합니다.

 

IPsec 구성 프로토콜은 다음과 같습니다.

 

가. IKE → 암호화 알고리즘을 위한 키 결정 / 인증키 협상

나. AH → 데이터 인증과, 재생을 방지함

다. ESQ → 데이터의 기밀성, 무결성을 제공합니다.

 

이러한 IPsec 은 VPN모드에 따라 패킷도 변화하게 되는데

 

 

 

전송모드 (Transport Mode), 와 터널모드 (Tunnel Mode) 가 패킷 구조가 다릅니다.

 

우선 전송모드 는 , 출발지 에서 목적지 까지 모든 트래픽을 암호화 해서 전달 한다고 볼수 있습니다.

 

그리고 L3의 SDU암호화로 IPsec(ESP/AH) 헤더가 L3와 L4 사이에 포함되어, L4부터 암호화를

 

수행합니다.

 

 

두번째로, 터널모드는 출발지에서 목적지 까지 모두 암호화 하는것은 동일하고,

 

L3의 PDU 암호화로 IPsec 헤더가 L2와 L3사이에 들어가 L3부터 암호화를 수행합니다.

 

IP헤더로 부터 암호화가 수행되므로, 목적지 까지 경로를 확인할수 없습니다. GRE를 생각하시면 될듯..

 

다음으로, 단계별 통신단계 입니다.

 

1단 계 로 협상메시지를 교환합니다.

 

 가. Message 1 (Main mode 1,2)

- IKE 협상을 위한 SA정보 교환

- 평문으로 전송

 

 나. Message 2 (Mian Mode 3,4)

- Diffie-Helman 키 교환

- Nonce 값을 교환하여 1단계 비밀키를 생성하는 단계 입니다.

 

 다. Message 3 (Main Mode 5,6)

- 장비 인증단계로 , '나' 단계에서 생성된 1단계 비밀키를 이용하여, 장비 인증정보를 교환, 인증을

  수행합니다.

 

1.5 단계 (Xauth)

  - Remote Access 구성일 때 추가로 진행되는 단계로,

    사용자 인증을 실시합니다. → PAP,CHAP,OTP,PSK .....

 

2 단 계 - 데이터를 암호화할 KEY를 생성하는 단계

  - 1단계 에서 만들어진 키로, 2단계에서 키를 생성에 필요한 협상메시지를 암호화 합니다.

    이때, 2단계 키는 단방향 키로, 데이터를 보낼때와 받을때 키가 다릅니다.

 

   - IPsec SAs

   - 메시지 협상 방식

1. Quick Mode → 3번의 메시지를 전달

 

2. Message 2

   - Destination → IPsec SA 생성에 필요한 협상 정보와 DH값을 전송함.

   - 양쪽 SA 구성 후 비밀키 생성 및 무결성 보장 값 생성 함.

 

3. Message 3

   - hash 값을 응답으로 전송하여 상호 인증 수행함.

 

 

이론으로 상당히 복잡한데요..

 

이제 VPN 중 IPsec 방식의 원리를 알아보았습니다.

 

편집점 (?) 을 찾아 이론은 여기서 마치고, 곧바로 실습에 들어가보도록 하겠습니다.

 

- 2부에 계속 -