-
반응형
[정보보안 기사] 네트워크 보안 - 보안
VPN
- 공중망을 이용해 사설망이 요구하는 서비스를 제공할 수 있도록 구축한 망
- 낮은 비용으로 전용선과 비슷한 서비스 제공
- 터널링 프로토콜 : 전송로에 외부로부터의 침입을 막기 위해 파이프를 구성(보안성 향상)
- 페이로드 : 터널링되는 데이터(터널링 프로토콜에 의해 캡슐화)
VPN Protocol
1. PPTP(Point to Point Tunnel Protocol) - MS사 설계
- Datalink Layer(Layer 2) Protocol
- PPP 패킷을 IP Packet으로 캡슐화해서 IP 네트워크에서 전송하기 위한 터널링 기법
- 하나의 터널에 하나의 연결만 가능(일대일 통신)
2. L2F(Layer 2 Forwarding) - Cisco사 설계
- Datalink Layer(Layer 2) Protocol
- ISP 장비에서 접근 서버의 터널 서버로 L2F 터널 생성, 이 터널은 Direct-dial PPP/RAS 세션 생성
- 하나의 터널에 여러 개의 연결 가능(다자간 통신)
- PPP 사용, 인증으로 RADIUS, TACACS+ 사용
3. L2TP(Layer 2 Tunneling Protocol) - MS사, Cisco사
- Datalink Layer(Layer 2) Protocol
- L2F을 기반으로 하고 PPTP와의 호환성을 고려해 만든 터널링 프로토콜
- IP, IPX 등 프로토콜에 대해 지원, WAN 기술도 지원
4. IPSec(IP Security Protocol) - IETF
- Network Layer(Layer 3) Protocol
- IP망에서 안전한 전송을 위해 표준화된 3계층 터널링 프로토콜
- 보안에 중점(IP 데이터그램의 인증, 무결성, 기밀성 등 제공)
- IP 계층에서 직접 서비스를 제공하기 때문에 상위 계층 변경 불필요
- 암호화된 패킷은 IP패킷과 동일한 형태로 되어있기 때문에 장비 변경 불필요
IPSec
- IETF에서 IP 보안을 위해 개방형 구조로 설계한 표준
보안 서비스
1. 기밀성
- 대칭 암호화를 통한 기밀성 제공
- ESP 프로토콜만 암호화 지원
2. 비연결형 무결성
- MAC을 통해 패킷별로 무결성 지원
3. 인증
- MAC을 통해 인증 제공
4. 재전송 공격 방지
- 송신측에서 sequence number를 전송하고 수신측에서 보안연관(SA)에 sequnce number를 보관해 이를 검증
5. 접근 제어
- 보안 정책(SP)를 통해 IP 패킷에 대한 시스템 접근 제어
- 제어 방식 : 허용(Bypass), 폐기(Discard), 보호(Protect) 등
6. 제한적 트래픽 흐름 기밀성
- ESP/터널모드의 경우 터널/보안 게이트웨이 구간의 트래픽 흐름은 노출되지만, 원본 IP헤더는 캡슐화/암호화되어있기 때문에 터널/보안 게이트웨이와 종단 노드 구간의 트래픽 흐름 기밀성은 보장
IPSec 동작 모드
1. 전송 모드(Transport Mode)
- IP Packet의 페이로드 부분을 보호하는 모드
- Payload만 IPSec으로 캡슐화하고 IP 헤더는 그대로 유지
- IP header는 보호하지 않으므로 트래픽 흐름이 분석될 수 있음
- 보호 구간 : 종단 노드 구간의 IP 패킷 보호
2. 터널 모드(Tunnel Mode)
- IP 패킷 전체를 보호하는 모드
- IP 패킷 전체를 IPSec으로 캡슐화하여 IP 헤더를 식별할 수 없기 때문에 패킷 전송이 불가능해서 주소 정보를 담은 New IP Header를 추가함
- 원본 IP header를 보호하기 때문에 트래픽 기밀성 보장(새로운 IP header는 노출되므로 제한적 트래픽 흐름 기밀성이라고 함)
- 보호 구간 : 터널/보안 게이트웨이 구간, 터널/보안 게이트웨이와 종단노드 구간
IPSec 세부 프로토콜
1. AH(Authentication Header) Protocol
- MAC을 이용해 무결성, 송신 인증을 제공하는 프로토콜(기밀성 X)
- MAC 알고리즘과 인증 키를 통해 인증 데이터를 계산해 전송, 수신 측에서 검증(인증 데이터 계산 : 변경 가능한 필드를 제외한 IP 패킷 전체)
- 변경 가능한 필드 : TTL, Checksum, NAT 환경에서의 Source IP
1) AH 헤더 필드
- SPI : 보안연관(SA) 식별자
- Sequence Number : 재전송 공격 방지
- Authentication data : 변경 가능한 필드 제외 IP 패킷 전체에 대한 MAC 값(ICV)
2) 동작 모드
- 전송 모드 : IP 헤더 전송 중 변경 가능한 필드를 제외한 IP 패킷 전체 인증
- 터널 모드 : New IP 헤더 전송 중 변경 가능한 필드를 제외한 New IP 패킷 전체 인증
2. ESP(Encapsultion Security Protocol) Protocol)
- MAC과 암호화를 이용하여 무결성, 송신 인증, 기밀성 제공
- 인증 or 인증+암호화 적용 가능
- ESP는 IP header를 인증하지 않음
1) ESP 헤더 필드
- SPI : 보안연관(SA) 식별자
- Sequence Number : 재전송 공격 방지
2) ESP trailer 필드
- 블록 암호를 위한 패딩 정보, Payload의 프로토콜 타입 정보
3) ESP Auth 필드
- 인증 데이터 정보
4) 동작 모드
- 전송 모드 : IP Payload와 ESP trailer를 암호화하고 암호화된 데이터와 ESP 헤더 인증
- 터널 모드 : 원본 IP Packet 전체와 ESP trailer를 암호화하고 암호화된 데이터와 ESP 헤더 인증
반응형'네트워크보안' 카테고리의 다른 글
[정보보안기사] IPSEC 프로토콜 (0) 2020.11.27 알려져있는 해킹툴 사용 포트 리스트 (0) 2020.03.05 안드로이드 OS ADB취약점을 이용한 악성코드 (0) 2019.09.25 VPN을 통한 우회 접속 이용자 탐지 (0) 2019.08.29 라우터 Spoofing 방지 필터링 적용 (0) 2019.04.04