Download presentation
Presentation is loading. Please wait.
1
Virtual Private Network
가상 사설망 Virtual Private Network 임수미
2
목 차 o IPSec VPN o 가상 사설망 - 정의 - 인증과 데이터 무결성 -`데이터 터널링 -`암호모드
목 차 o IPSec VPN - 정의 - 인증과 데이터 무결성 -`데이터 터널링 -`암호모드 -`IPSec 프로토콜 o 가상 사설망 - 정의 - 이점 - 구현 전략 - 분할된 터널링
3
개요 Q. 어떤 안전한 방법으로 사용자의 위치에 무관하게 IT서비스를 제공할 수 있을까?
최적의 솔루션은 공중망을 경유하여 IPSec 으로 암호된 가상사설망(VPN)을 이용하는 것
4
가상 사설망의 정의 인터넷과 같은 공중망을 마치 전용선으로 사설망을 구축한 것처럼 사용할 수 있는 방식
사설 인트라넷을 인터넷이나 다른 종류의 네트 워크 서비스를 이용하여, IPSec 와 같은 암호기법이 채용되는 프로토콜에 사용자 패킷을 수납하여 전송
5
VPN의 세가지 유형 ① 원격접근 VPN 다이얼업 사용자가 인터넷을 통하여 안전하게 본사 망에 연결되도록 함. 원격지의 작업 현장에서 본사의 LAN에 연결하기 원하는 종업원을 위해 제공되는 사용자와 LAN간 연결 원격지의 작업 현장에서 본사의 LAN에 연결하기 원하는 종업원을 위해 제공되는 사용자와 LAN간 연결
6
VPN의 세가지 유형 ② 사이트 대 사이트 VPN
서로 다른 곳에 있는 여러 사무실간에 인터넷을 경유한 가상 사설망. 다이얼업 방식과 달리 이들간에 연결이 항상 설정됨. 하드웨어 기반 VPN 인트라넷 또는 LAN 대 LAN VPN 이라 불림.
7
VPN의 세가지 유형 ③ 엑스트라넷 VPN 전자 상거래를 목적으로 하는 비즈니스 파트너 공급자, 고객에게 안전한 연결 제공 내부 네트워크 보호하기 위하여 방화벽을 가지고 있는 인트라넷 VPN의 확장 7
8
VPN 이점 ` 1. 통신비용을 현저히 줄일 수 있다. 2. 망 자원을 안전하게 접근하게 한다.
` 1. 통신비용을 현저히 줄일 수 있다. 2. 망 자원을 안전하게 접근하게 한다. 3. 전용선 연결과 관련된 운영경비를 줄일 수 있다. 4. 망의 구성이 간단해짐 5. 사무실 유지 경비를 절감 [단점] 적절한 통신속도 및 대역폭의 보장과, 무엇보다 정보에 대한 보안이 확실하지 않음 ` VPN 기술의 도입 이전에 , 원격지에 있는 종업원은 자신의 회사의 네트워크에 접근하기 위하여 장거리 전화번호로 다이얼업 했어야 했을 것이다. 사용자는 기존의 전용 장거리 전화망 연결을 인터넷을 통한 VPN 연결로 대체하면 통신비용을 현저히 줄일 수 있을것이다. `지리적인 위치에 무관하게 사용자의 망 자원을 안전하게 접근하게 한다. 원격 사이트가 사이트 대 사이트 VPN을 통하여 연결함으로써, 전용선 연결과 관련된 운영경비를 줄일 수 있다. 수십 군데의 사이트간에 일 대 일로 전용선을 거미줄처럼 설치하는 대신에 공중망에 연결된 오직 하나의 인터페이스만 가지므로 망의 구성이 간단해짐 종업원을 일주일에 삼일 동안 재택 근무시킴으로써 사무실 유지 경비를 절감할 수 있을 것이다. 재택 사용자는 일반적으로 높은 생산성을나타낸다. 단점 인터넷이라는 공중망을 기본으로 하기 때문에 적절한 통신속도 및 대역폭의 보장과, 무엇보다 정보에 대한 보안이 확실하지 않다는 점
9
VPN 구현 전략 [방화벽] Cisco사의 모든 방화벽은 스테이트풀 패킷 검사 기능을 갖는 VPN 기능이 내장되어 있음. 사이트 대 사이트 VPN 기능을 수행 [VPN 기능이 있는 라우터] 대부분의 라우터는 VPN 기능을 지원할 수 있도록 업그레이드 될 수 있음 [VPN 집중화기] 대부분의 VPN 집중화기는 전용 암호 처리 모듈을 가지고 있음. [클라이언트 소프트 웨어] VPN 클라이언트는 인터넷을 경유하여 HomeLAN에 설치된 VPN 장치까지의 안전한 터널을 구축함 VPN의 종류 또는 규모에 적합한 VPN의 구성을 위한 하드웨어를 결정할 때 ,[관리의 용이성,신뢰성, 확장성]을 고려해야 함
10
분할된 터널링 원격 또는 사이트 VPN 사용자가 사설 VPN을 접근함과 동시에 공중망 트래픽을 터널 내부에 두지 않으면서
공중 네트워크를 접근하는 것을 허용해야 할 때 발생 이러한 특성을 동작 가능케 하는 것이 항상 좋은 경우 는 아님.
11
IPSec VPN의 개요 IPSec는 IETF에 의해 표준화했기 때문에, VPN 벤더간의 호환성을 위하여 VPN을 구축하기 위한 최선의 선택 상호간 인증 및 암호 서비스를 제공하기 위한 표준화된 수단을 제공. IPSec 는 OSI 참조모델의 네트워크 계층에서 동작하며, 라우터나 방화벽 등과 같은 두 IPSec 장치간에 전달되는 IP패킷을 보호, 인증. `
12
IPSec VPN의 개요 o` 데이터 기밀성 패킷을 암호화함으로써, 해커가 데이터를 해독할 수 없도록 함 `o 데이터 무결성
데이터가 전송 도중에 변경되지 않았음을 확인하기 위하여 수신된 모든 패킷 무결성 검사를 수행 o 데이터 발신지 인증 패킷을 송신한 발신지가 거짓 송신지가 아닌지를 인증 검사 o 재생 공격 방지 수신자는 재생된 패킷 들을 검출하고 폐기 다음과 같은 네트워크 서비스를 제공한다. o` 데이터 기밀성 IPSec 송신자는 패킷을 전송하기 전에 패킷을 암호화함으로써, 해커가 데이터를 해독할 수 없도록 한다. `o 데이터 무결성 IPSec 수신 측은 데이터가 전송 도중에 변경되지 않았음을 확인하기 위하여 수신된 모든 패킷을 무결성 검사를 수행 o 데이터 발신지 인증 IPSec 수신측은 자신에게 IPSec 패킷을 송신한 발신지가 거짓 송신지가 아닌지를 인증 검사함. 무결성 동작과 동시 수행. o 재생 공격 방지 IPSec 수신자는 재생된 패킷들을 검출하고 폐기함.
13
인증과 데이터 무결성 인증이란? VPN을 통하여 트래픽을 전송하는 원격지 사용자와 HomeLAN의 VPN 상호간의 신분을 검증하는 과정 데이터 무결성이란? 수신한 패킷이 전송 도중에 내용이 변조되지 않았음을 확인하는 것을 의미. 일방향 해시 함수가 사용
14
데이터 터널링 전송할 데이터 패킷 전체에 대하여 인터넷을 통해 안전하게 전달될 수 있도록 새로운 패킷 속에 이를 수납하는 과정
① 패신저 프로토콜 원래의 패킷으로써, VPN상에 암호화 또는 무결성 처리되어 전송 ② 캡슐화 프로토콜 패신저 패킷을 수납하는 VPN전용 프로토콜 ③ 캐리어 프로토콜 VPN 종단 장치간에 공중 인터넷을 경유하여 캡슐화된 프로토콜을 운반하는 프로토콜로써, IP와 같은 네트워크 계층 프로토콜 터널링은 VPN이 인터넷을 통해 가상적인 사설망을 생성할 때 생성 전송할 데이터 패킷 전체에 대하여 인터넷을 통해 안전하게 전달될 수 있도록 새로운 패킷 속에 이를 수납하는 과정 세가지 프로토콜 네트워크 프로토콜은 이 캐리어 프로토콜을 사용하고, 이를 통하여 정보가 전달되도록 함.
15
암호모드 - 터널모드 : 패킷 헤더와 패킷 패이로드 모두를 암호화 - 트랜스포트 : 패이로드만을 암호화 터널 모드
공중 인터넷과 같은 신뢰할 수 없는 망을 통하여 연결되는 두 PIX 등의 방화벽 사이에서 구현되는 전형적인 방법 사용자 단말로부터 전달된 평문의 IP패킷을 암호화 또는 무결성 처리 -> 보안 게이트웨이간 설정된 IPSec터널 전용의 새로운 IP패킷에 수납 -> 상대방 보안 게이트웨이에 전송 ESP와 AH를 동시에 이용하거나 둘 중 하나를 이용
16
암호모드 트랜스포트 모드 단말과 서버간에 보통 사용됨.
단말이 직접 원래의 IP 헤더와 데이터 사이에 IPSec 헤더를 추가하고 데이터 부분을 암호화 두 모드의 차이점 터널 모드에서 IPSec은 원래의 IP 패킷 전체를 암호화하고, 각 패킷에 새로운 IP 헤더를 부착함으로써, 원래의 발신지 IP 주소와 목적지 IP 주소를 숨김 따라서, 터널 모드가 더 안전함
17
IPSec 프로토콜 1. 인터넷 보안 연계 키 관리 프로토콜
(ISAKMP :internet security association Key manag-ment protocol) VPN을 구축하기 위한 IPSec 연결을 협상하는 일반적인 패킷 형식이나 절차를 기술 - IPSec 암호화를 위한 키 교환 절차가 규정되어 있지 않음 인터넷 키 교환(IKE:Internet Key Exchange)방식은 키 교환 절차를 이용하여 쌍방간에 동일한 암호용 및 무결성을 위한 키 꾸러미를 도출하는 절차와 ISAKMP의 일부 절차를 결합하여 IPSec용 보안 연계 설정 절차 및 보안 파라미터 협상을 위한 프레임워크를 제공
18
IPSec 프로토콜 2. 캡슐화된 보안 프로토콜 (ESP:encapsulated security protocol)
- 데이터 기밀성과 선택적으로 인증과 재생-검출 서비스를 제공 - 안전하게 사용자 데이터 전체를 캡슐화 - 자기 자신과 함께 사용되거나, AH와 연계되어 동시에 사용됨 50번과 51번 포트상의 TCP를 사용하여 구동 3. 인증헤더 (AH :authentication header) - 인증과 항재생 서비스를 제공, 일방향 함수를 사용함. - 패킷에 대한 암호화는 하지 않음 - 단독으로 사용되거나, ESP와 함께 사용 - ESP에 의하여 대체될 수 있기 때문에 중요성이 낮게 평가됨.
19
IPSec 프로토콜 보안 연계 IPSec 장치간에 구축된 신뢰된 연결을 의미
SA 설정 절차 : 쌍방간에 일련의 보안 및 협상규칙을 합의하는 절차 SA에 대한 각각의 보안 연계는 IP주소, 보안 프로토콜 확인자, 고유 보안 파라미터 인덱스(SPI) 값에 의해 구분됨 SPI는 패킷 헤더에 삽입되는 32비트 정수
20
IPSec 프로토콜 인터넷 키 교환용 보안 연계 (IKE SA)
쌍방간에 암호 알고리즘, 인증방법, 해시 알고리즘, 마스터 키 교환 절차에 의해 설정되는 안전한 보안 연결 b. IPSec 보안 연계(IPSec SA) IKE SA상에서 안전하게 설정된 IPSec SA는 일방향이므로 각 방향 에서 독립된 IPSec SA들이 설정되어야 함. 설정된 IPSec SA를 이용하여 IPSec 패킷 들이 쌍방간에 안전하게 전송
21
IPSec 프로토콜 2. 인터넷 키 교환(IKE:internet Key cxchange)
쌍방간에 공통의 보안 정책 설정, 인증기능이 추가된 키 교환을 수행하는 IPSec SA 설정용 프로토콜 IPSec 트래픽이 처리되기 이전에, 각 라우터/방화벽/호스트 등위 개체의 신원을 증명할 수 있어야 함. 호스트에 수동적으로 입력된 사전 공유 키 또는 인증기관 서비스에 의해 수행될 수 있음.
22
IPSec 프로토콜 IKE SA는 단계1의 협상에 의해 설정되며, 단계 2에서는 안전한
IKE SA를 이용하여 IPSec SA 설정 협상 진행 [ IKE의 이점 ] ` - 쌍방간에 IPSec SA 용 보안 파라미터를 자동적으로 설정할 수 있도록 함 - IPSec SA의 수명을 설정할 수 있음 - IPSec 세션 동안 주기적으로 암호 키 자동 변경할 수 있도록 함 - 항-재생 공격 서비스를 제공 - 공인 인증 기관의 도움을 받을 수 있음. - 쌍방간의 능동적인 인증 절차를 가능하게 함.
23
IPSec 프로토콜 3. ISAKMP 개요 - 보안 정책의 협상과 키 교환 절차를 정의하는 프레임워크
파라미터의 안전한 전달을 제공 - 데이터 패이로드의 실질적인 암호를 위하여 IPSec 에의하여 사용되는 동일한 알고리즘을 사용함으로써 IPSec 파라미터의 안전한 전달 달성 - IPSec와 같이 프로토콜이 아니고 여러 능동적인 키 교환 방법을 관리하기 위한 인터페이스 - 두 등위 개체간에 SA의 협상이 안전하게 처리되는 것을 보장 하기 위한 여러 방법(디지털 서명, 인증서, 일방향 해시 알고리즘)을 정의
24
Q&A
Similar presentations