mVPN(Mobile VPN) 정보보안전공 28기 백도운
Contents What is MIP? VPN Define and Requirement VPN Principle (IPSec, SSL) M-VPN Principle M-VPN Issue & React Reference Data Q&A 제가 실제로 VPN 관련 업무를 하고있지 않아 인터넷 자료와 RFC 와 같은 표준에 대한 정보를 통해 작성한것이기 때문에 혹 잘못된 정보가 존재할수도 있으니 이때는 말씀해주시면 내용 변경을 할수 있도록 하겠습니다. 목차는 다음과 같습니다. 프리젠테이션에 앞서 Mobile IP에 대한 설명을 드릴예정이며 일반적인 유선상의 VPN의 개요와 모바일 VPN에 대한 설명을 예정입니다.
Define 1. What is MIP MIP (Mobile IP) 정의 이동기기 사용자로 하여금 한 네트워크에서 다른 네트워크로 이동하면서 IP주소를 유지하는 프로토콜 (IETF 표준 통신 프로토콜) 관련 표준 : RFC 2002, 2003~2006, 3344 동작 기능 Agent Discovery : 모바일 서비스 사용에 대해 알리거나 요청 Registration : MN, FA 가 HoA,CoA를 등록 및 해제 Tunneling : HA와 MN간 포워딩 라우팅 간접 라우팅 방식 직접 라우팅 방식 동작은 다음과 같은 것들이 있으며 바로 다음 장에서 상세히 설명 드리겠습니다. 간단히 설명을 드리자면 1. 에이전트 탐색 : HA나 FA가 MN에게 자신이 제공할 수 있는 서비스를 알려주기 위해서 사용하는 프로토콜, MN이 FA나 HA에게 요청하기 위해서 사용하는 프로토콜 2. 등록 : MN또는 FA가 MN의 HoA와 CoA를 등록 및 해제하기 위해서 사용하는 프로토콜 3. 터널링 : 데이터그램 포워딩 규칙, 오류조건처리규칙, 다양한 형태의 캡슐화처럼 HA가 데이터그램을 MN으로 포워딩하는 방법 이 있습니다. 관련된 용어에 대한 설명은 다음 장에서 상세히 드리도록 하겠습니다. 또한 실제 통신이 이루어질때 어떻게 IP를 인지하게 되는지 그에 관련된 라우팅방식이 존재하는데
Principle 1. What is MIP MIP 원리 Internet 1 2 3 Foreign Network 1 Home CoA + HoA Foreign Network 1 Handover MN Home Network MN Internet 1 FA HA CoA(New) + HoA Handover 2 모바일IP는 다음과 같이 동작합니다. 먼저 사용되는 용어에 대해 설명드리겠습니다. - MN, CN(중계, MN과 통신하는 노드), FA, … 모바일 IP는 기존 IP protocol과 다르게 이원화된 주소를 제공합니다. 그림에서 보듯이 CoA 와 HoA를 제공합니다. 이것을 binding이라고도 지칭합니다. Home Network - MN(Mobile Node) : 접속 네트워크를 변경하는 호스트 - CN(Correspondent Node) : MN과 통신하는 상대 노드 - Home Network : 네트워크 환경에서 MN의 영구적인 집 - Foreign Network : MN이 현재 머물고 있는 네트워크 - COA(Care Of Address) : MN이 home network이 아닌 foreign network에 있을 때를 위한 임시 포워딩 주소. - HOA(Home(static) Of Address) : MN을 식별하는 유일한 식별주소로서, 이동에 따라 변경되지 않음. - HA(Home Agent) : MN을 위해 이동성 관리 기능을 수행하는 Home Network의 개체 - FA(Foreign Agent) : 이동성 관리 기능을 수행하면서 MN을 도와주는 방문 네트워크의 개체. COA 생성 및 HA에게 COA를 알림. Foreign Network 1 3 MN : Mobile Node CN : Corresponde Node (Target) FA : Foreign Agent HA : Home Agent HOA : Home(static) of Address COA : Care of Address Home Network Foreign Network MN FA CN CoA(New) + HoA
Principle 1. What is MIP 간접 라우팅 (FA-CoA) MN은 FA를 거쳐 HA와 등록 요청 / 응답 과정 수행 CN이 MN의 위치를 모른 체 데이터 그램의 목적지 주소를 MN의 HoA로 전송 HA는 이 패킷을 전송 받게 되고 실제 위치를 가리키는 CoA의 주소를 데이터 그램에 캡슐화 하여 FA에 전송 FA는 자신의 테이블에 등록된 주소와 비교하고 매칭될 경우 MN에게 전송 MN은 송신지 주소를 확인하고 바로 CN에게 전송 Foreign Networks 모바일IP는 다음과 같이 동작합니다. 먼저 사용되는 용어에 대해 설명드리겠습니다. - MN, CN(중계, MN과 통신하는 노드), FA, … 모바일 IP는 기존 IP protocol과 다르게 이원화된 주소를 제공합니다. 그림에서 보듯이 CoA 와 HoA를 제공합니다. 이것을 binding이라고도 지칭합니다. Home Network Internet FA MN CN HA Home Networks
Principle 1. What is MIP 직접 라우팅 (Co-located CoA) MN은 FA와 상관없이 HA와 직접 등록 요청 / 응답 과정을 수행 CN이 MN의 CoA주소를 HA에게 요청하여 전달받는다. (당시 최신 CoA주소를 HA가 수신받았다는 가정) CoA를 획득한 CN은 CoA를 목적지 주소(CN)로 한 데이터 그램을 전송 Foreign Networks 모바일IP는 다음과 같이 동작합니다. 먼저 사용되는 용어에 대해 설명드리겠습니다. - MN, CN(중계, MN과 통신하는 노드), FA, … 모바일 IP는 기존 IP protocol과 다르게 이원화된 주소를 제공합니다. 그림에서 보듯이 CoA 와 HoA를 제공합니다. 이것을 binding이라고도 지칭합니다. Home Network Internet MN CN HA Home Networks
2. VPN Outline & Requirement Concept VPN 개념 외부의 영향 없이 안전하게 정보를 전송할 수 있는 가상의 연결 주요기능 터널링 암호화 / 인증 접근제어 요구사항 기밀성 무결성 가용성 익히 알고 계시겠지만 스니핑, 스푸핑, 맨인더미들 (중간자)공격 등) 다양한 네트워크 위협이 존재하는 인터넷 환경에서 저비용의 사설 전용선을 구성할 수 있도록 해주는 기술입니다. 터널링 : 해당 기능을 통하여 시작지점부터 목표지점까지 터널을 형성하여 보다 안전한 통신을 수행할 수 있도록 해준다. 이 터널링에 따라 PPTP, L2TP, IPSec, SSL 등이 나뉘게 된다. 암호화 / 인증 : Packet / Message 단위의 암호화/인증을 제공하고 2 factor 인증을 통해 보다 강력한 인증 대표적 암호 알고리즘으로는 3DES, AES, RSA 가 있고 인증 알고리즘으로는 해쉬함수를 사용한 MD5, SHA-1,HMAC 등이 있다. 접근제어 :
Classification 3. VPN Principle VPN 분류 Remote Access VPN (Gateway-to-Client) PC 및 Laptop 에 VPN Client (H/W or S/W)를 설치, 연결하여 본사 인증센터로부터 사용자 인증 단계를 거친후 VPN 통신 주로 단일 사용자 및 Local 내 소수 사용자 적용 OS 및 H/W 사양에 민감 관리 Point 증가 이동근무자 재택근무자 해외출장자 Site to Site VPN (Gateway- to-Gateway) 공통 PC에 별도의 제품 설치없이 WAN과 LAN 경계상에 VPN Gateway 구성 PC마다 별도의 사용자 인증 필요 없음 Local 내 다수 사용자 적용 관리 Point 감소 Intranet 본사 집중 관리 방식 지사/계열사는 종속 연결 본사-지사 Extranet 상호독립 보안정책 적용 및 대등 연결의 개념 협력사
Classification 3. VPN Principle VPN 개요 VPN 분류 Intranet VPN Internet 지사 VPN 본사 지사 일반적인 VPN 개요는 다음과 같습니다. 접속방식과 구현범위에 따라 다음과 같이 나누어집니다. 하지만 실 환경에서는 여러가지 방식을 혼합해 사용하는 경우가 일반적입니다. VPN VPN Internet HQ 지사
Principle 3. VPN Principle ~ VPN 분류 Extranet VPN Remote Access VPN Internet 지사 VPN 본사 협력사 Gateway to Gateway 는 일반적으로 본사와 지점 장비와 장비간의 VPN 터널링, 내부 IP 그대로 사용 Client to Gateway 는 출장자 또는 외근하는 사람이 회사의 내부 시스템을 사용하기 위해서 VPN을 사용하는 경우 웹브라우저를 이용하면 SSL VPN, 클라이언트 소프트웨어를 설치하여 본사의 VPN장비와 터널링하는 VPN은 IPSEC VPN이다 VPN Internet 본사
IPsec 3. VPN Principle IPSEC (IP Layer Security Protocol) 구성 Intranet Extranet 특징 기밀성 : 128비트 이상의 암호화 알고리즘 사용 무결성 : 상대방 데이터 수신시 변조되지 않았음을 확인 인접 장비간의 인증 Replay 공격 방지 : 다양한 시간대에 동일한 패킷 수신 방지 트래픽 분석이 불가하도록 함 접근제어
IPsec 3. VPN Principle IPSEC Interesting Traffic : VPN장비가 보호할 Traffic 을 인식한다. IKE Phase 1 : VPN 장비들간에 IKE Security Policy를 협상하고 Secure Channel을 설정한다. IKE Phase 2 : VPN 장비들 간에 IPsec data를 보호하기 위하여 사용되어지는 IPsec Security Policy를 협상한다. Data Transfer : VPN장비가 트래픽에 Security Service를 적용하고 그 트래픽을 전송한다. Tunnel Terminated : Tunnel을 종료 IPsec 을 적용할지 IPSec 을 Bypass할지 아니면 버릴지에 대한 결정을 한다. 다음과 같은일을 수행 IKE 통신을 암호화하기 위한 알고리즘, Hashes를 협상 공유 비밀키를 생성하기 위한 DH 교환 RSA Signature : peer 인증을 위한 디지털 인증서 교환 사용 IPsec SA(security parameters, transform sets 등등) 에 대한 협상을 수행 데이터 전송 (interesting traffic 이 Ipsec SA에 지정된 security service에 따라서 암/복호화 진행 터널 종료
SSL 3. VPN Principle SSL (Secure Socket Layer) 구성 Remote Access VPN 특징 상호 인증 : C/S 환경에서 인증을 위한 세션키 생성 및 메시지 교환 (X.509, RSA) 기밀성 : 다양한 형식의 암호화 통한 메시지 노출 방지 (3DES, IDEA, RC2, RC4) 무결성 : 전송메세지의 변조 방지 및 해쉬알고리즘을 이용한 전자서명 (MD5)
SSL 3. VPN Principle SSL 동작원리 접속 대상 포털 사이트의 URL 입력 HTTP 세션은 자동으로 HTTPS 로 전환( 세션 종료시까지) 클라이언트의 보안상태 점검 접속을 요청해 온 클라이언트 컴퓨터의 보안상태 점검 최신패치 적용여부, 백신설치여부, 개인방화벽 운영여부 점검 인증요청 사용자의 인증을 요청 기본인증 Username / Password 이나 SSL 인증서를 사용할 수 있으며 OTP와 같은 이차 인증수단과 연동 가능 (LDAP, AD, Radius) 업무프로그램 접속 세션 종료 및 캐시 클리닝
SSL 3. VPN Principle SSL 운영 모드 L7 모드 (Reverse Proxy Mode) 웹 브라우저를 통해 작동되는 어플리케이션 L4 모드 (Transparent Mode) 웹 및 전통적인 C/S 애플리케이션을 동시 지원 애플리케이션에 투명하게 작동 세션 유지 시간동안 자바 애플릿이 메모리에 상주 상용어플리케이션(Oracle, SAP, Citrix 등) 및 터미널, FTP 등 지원 L3 모드 IP기반의 모든 애플리케이션 지원(TCP, UDP, Netbios 등) 클라이언트에 자동으로 네트워크 어댑터 설치 SSL의 기본모드인 L7모드에서 IPSec 의 기능도 포함하는 L3모드까지 존재
SSL 3. VPN Principle SSL VPN 구성 1 DMZ에 구성 방화벽과 나란히 구성 방화벽 외부에 구성 지사 본사 1 VPN DMZ Extranet Intranet DMZ에 구성 방화벽과 나란히 구성 방화벽 외부에 구성 방화벽 내부에 구성 VPN DMZ 3 2 4 VPN VPN VPN
Client to Site, Site to Site 3. VPN Principle SSL IPsec VS SSL VPN SSL VPN IPsec VPN 인증방식 인증서 방식 비밀키 공유방식 제공 프로토콜 및 계층 TCP, UDP, 5계층 IP, 3계층 데이터 암호화 패킷 단위(풀터널), 메시지 단위(웹터널) 패킷단위 키관리 GSS-API / S니 ISAKMP / Oakley, SKIP 터널링 Session Multi PPP Tunnel / SA 암호 알고리즘 3DES, AES, SEED, ARIA, SHA256등 3DES, AES, MD5 SEED, ARIA, 3DES, AES, MD5 보안성 End to End 보안 Gateway to Gateway 보안 접근성 어디서든 접근 가능 VPN이 설치된 장소 사용자편의성 PnP (Active X) Client Software 설치 필요 적용환경 Client to Site, Site to Site Site to Site 도입비용 IPsec VPN 보다 낮다. 고비용 SSL VPN 특징은 전송계층(4~7 계층 사이)에서 동작하며 웹페이지에 내장된 SSL 모듈을 통해 암/복호화 수행하며 별도의 클라이언트 소프트웨어가 필요없이 URL을 통해 접속이 가능하다 장점은 커널 수정없이 사용자단에 웹브라우저만으로도 접속이 가능하다. IPSEC VPN 특징은 반드시 클라이언트 소프트웨어를 동반하며 IPSEC 장치간 인증이 이루어지는지 르 장점은 암호화와 데이터 서명을 이용해 네트워크 트래픽을 보호하며 SSL VPN에 비해 빠른 속도 및 다수의 동시접속자가 사용할수 있다. 단점은 암복호화 장비가 필요하며 IPSEC 장비 사이에서만 데이터가 암복호화 되므로 내부에서의 데이터 보안성은 장담할수 없다. 또한 커널을 수정해야하여 설치가 복잡하고 플랫폼 호환이 어렵다. 두 VPN 방식은 사용목적 및 구성환경에 따라 각기 장단점을 가진다.
MVPN 4. M-VPN Principle Mobile VPN (RFC 5265) 정의 받을 수 있도록 하는 기술 주요용어 MVPN : Mobile Virtual Private Network Mobike : Mobile IKE의 약자로 키변경없이 IP 주소 변경이 가능하도록 IKEv2를 확장한 프로토콜 Diameter : 기존의 PPP와 Roaming, Mobile IP 같은 새로 출현하는 정책과 AAA 서비스를 위한 확장 기능을 제공하기 위한 Peer 기반의 가벼운 AAA 프로토콜 Mobike : ikev2를 확장한 프로토콜로 모바일 환경에서 어려운 키변경을 가능하도록 한 프토토콜 한 호스트가 다수의 IP 주소를 소유하는 멀티홈잉이나 로밍 혹은 단말 노드의 이동으로 인하여 ip 주소가 변경되는 경우를 지원하기 위해 ikev2 를 확장한 프로토콜 Ipsec 터널 모드를 사용하는 두 호스트간에 한 호스트의 ip 주소가 변경되었을 때 이들 간에 맺은 Ipsec SA와 Ipsec 터널 설립시 사용된 키를 그대로 유지하고 터널모드 패킷의 바깐 쪽 IP 헤더 주소만을 변경시킨다. Diameter는 AAA 프로토콜 중 가장 널리 알려지고 많이 사용되는 Radius의 약점을 보완하고 서버간 통신을 지원하는 프로토콜 The Router Advertisement Daemon (Radvd) 를 설치 라우팅 광고 메시지 전송 데몬 Mipv6 모듈 커널 추가 해당 모듈을 추가하여 커널 패치할 경우 관련 기능 수행할수 있음
MVPN 4. M-VPN Principle Mobile VPN Based RFC 5265 MN i-HA MN DMZ mVPN FA x-HA X-HoA Extranet Intranet 우선 IPsec 에 기반한 구성으로 site to site 의 개념 으로 접근하기 때문에 두개의 VPN 사용자간의 통신이 문제가 된다. 문제 MN이 새로운 CoA를 획득할떄마다 IPsec 터널이 재설정되어야 하는 문제가 발생 IPsec으로 암호화되어 MIP 등록이 불가능해지는 경우 발생 MIP 등록시 발생되는 패킷 마저 암호화 되어 있기 때문에 FA는 이를 복호화할수 없다. 해결안 이에 대한 해결안으로 x-HA를 추가하여 터널링을 수행한다. x-HA 와 VPN GW와는 IPSec 터널링이 수립된다.(즉, 암/복호화가 가능하다.) x-MIP 터널 IPsec 터널 i-MIP 터널 MN MN MN i-FA
MVPN 4. M-VPN Principle Mobile VPN Static x-HA x-HA VPN GW MN FA i-HA internet x-HA VPN GW MN FA i-HA CN MN은 이동성 지원을 위해 x-HA와 x-MIP 터널을 형성한다. MN은 i-MIP 터널을 형성한다. 두 VPN 사용자의 통신은 다음과 같이 이루어진다. Foreign Network 1 Home Network MN x-MIP 터널 i-MIP 터널(MN1) i-MIP 터널(MN2) IPsec 터널 Foreign Network 2
MVPN 4. M-VPN Principle Mobile VPN Dynamic x-HA FA with AAAF VPN GW internet FA with AAAF VPN GW with AAAH x-HA1 MN i-HA CN x-HA 하나만 정적으로 할당함으로 인해 핸드오버 지연시간이나 종단 간 지연이 길어지는 문제와 어떻게 x-HA를 신뢰할 것인가에 대한 문제가 남아 이를 해결하고자 Diameter protocol 을 이용하여 AAA 서버를 통해 동적으로 x-HA를 할당하는 방안 Diameter Mip을 사용하여 각 MN이 외부 네트워크 에서 동적으로 할당 받은 x-HA를 사용하는 모바일 VPN 구조이다. 자신의 현재 위치와 가까운 x-HA를 두고 FA는 MN을 위해 Diameter 클라이언트 역할을 수행 동적 X-HA 할당을 위해 MN은 MIP 등록요청 메시지의 확장 필드에 x-HA의 할당과 x-HA와의 동적 MSA 설립을 요구하는 내용을 포함해야 한다. FA는 MN을 위해 diameter client 역할을 수행한다. 동적 MSA 설립을 위해 세션키를 생성한다. Foreign Network 1 Home Network x-HA2 x-MIP 터널 MN i-MIP 터널(MN1) i-MIP 터널(MN2) IPsec 터널 Foreign Network 2
MVPN 4. M-VPN Principle Mobile VPN with Mobike (Mobile IKE) Based RFC 5266 MN i-HA DMZ mVPN Extranet Intranet MN이 IP주소가 변경되는 경우 현재의 네트워크가 홈인지 외부인지를 인지하기 위해 VPN GW와 IKE mobility 를 교환함과 동시에 홈네트워크에 위치한 HA에게 VPN 캡슐화 없이 MIP 등록요청 메시지를 보낸다. MN이 홈이 아닐 경우 VPN GW와 IPSec 터널 재설립을 하게되는데 이때 IP주소가 변경되었으므로 SA 재설립을 해야한다. 이를 MOBIKE는 키변경없이 IP주소만 변경할 수 있도록 하게 한다. 기존 구성과 달리 X-HA 없이 구성이 가능하다. MN MN MN i-FA
Description 5. M-VPN Issue & React Mobile VPN Issue Mobile VPN React Mobile Device의 빈번한 IP 변경 IP주소의 지점의 변경이나 연결의 끊김으로 인한 터널링이 끊어짐 Handover에 따른 Delay Time 발생 Mobile VPN React IPv6 .. 일반적으로 라우팅 매커니즘은 고정된(항상 같은) 지점에서 인터넷을 접속하고 있다라고 가정하기 때문에 Mobile VPN에 위와 같은 문제들이 존재하는 것으로 보입니다. 제가 조사한 바로는 위와 같은 이슈들이 존재하며 이를 해결하기 위한 다수의 논문 및 표준들이 제안되고 있는 것으로 알고 있습니다. 향후 앞서 말씀드렸던 정적/동적 x-HA 를 사용하는 부분도 이러한 문제를 해결하기 위한 표준들이었고 이를 더욱 보완시키고자 하는 논문들이 많이 나온것으로 알고 있습니다. 제 사견으로는 앞으로 IPv6에 IPSEC이 포함되어 있기 때문에 mvpn의 사용이 좀더 원활하지 않을까 생각됩니다.
6. Reference IETF standard http://www.ietf.org/rfc/rfc5265.txt http://www.ietf.org/rfc/rfc5266.txt http://www.ietf.org/rfc/rfc3344.txt http://www.ietf.org/rfc/rfc2002.txt 논문 및 기타자료 MVPN 서비스 제공을 위한 효율적이고 안전한 핸드오버 방안(2006) Ahnlab VPN(가상사설망) 개요 모바일 VPN 사용자를 위한 보안 강화 경로 최적화 방안(2007) 스마트워크 환경에 적합한 모바일 VPN 구조(2011)
Q&A
Thank you