VPN
공중 네트워크를 마치 전용회선처럼 사용할 수 있게 해주는 기술
응용프로그램을 수정할 필요가 없기 때문에 투명성을 제공
구축비용 부담이 적다
VPN 구현 기술
터널링
터널이 뚫린 것처럼 통로를 마련하여 데이터를 안전하게 전송
암호화 및 인증
정보의 기밀성을 제공하기 위해 대칭키 암호를 사용
대칭키는 공개키를 사용한 키 교환을 통해 공유
메시지 인증은 MAC 또는 해시함수를 이용
사용자 인증은 보안서버로부터 인증을 받아야 접속이 허가
접근제어
암호화하지 않은 IP 패킷 정보에서만 필터링 수행이 가능
VPN의 분류
Intranet VPN
기업 내부를 LAN을 통해 연결하는 데 사용
가장 단순한 형태의 VPN
Extranet VPN
자사와 고객, 협력업체를 모드 VPN으로 구성하는 것
Remote Access VPN
재택근무자나 원격접속자는 IPS의 NAS에 접속
보안이 제일 중요함
VPN의 구성
터널링
전송로에 외부로부터의 침입을 막기 위해 일종의 파이프를 구성
터널링 되는 데이터를 페이로드라고 부른다.
몇 계층에서 터널링을 지원하느냐에 따라서 분류
2계층 터널링 프로토콜
PPTP
IP, IPX 또는 NetBEUI 페이로드를 암호화하고, IP헤더로 캡슐화하여 전송
L2F
시스코사에서 제안된 프로토콜
NAS 개시 VPN형이기 때문에 사용자는 별도의 S/W가 필요 없다.
L2TP
PPTP와 L2F를 결합한 방법
3계층 터널링 프로토콜
IPSEC
IP망에서 안전하게 정보를 전송하는 표준화된 3계층 터널링 프로토콜이다.
VPN 구현에 널리 쓰이고 있다.
AH(Authentication Header)와 ESP(Encapsulation Security Payload)를 통해 IP데이터그램의 인증과 무결성, 기밀성을 제공
SSL
IPSec VPN에 비해 설치 및 관리가 편리하고 비용 절감도 가능
SOCKS v5
세션계층의 프록시에서 동작
다양한 인증 방법과 UDP 프록시를 지원
인증
데이터 인증
인증 프로토콜을 이용하여 패킷을 인증함으로써 무결성을 만족
사용자 인증
peer-peer 방식
PAP
PPP 연결 시 사용되는 인증 프로토콜
요청 컴퓨터를 인증한 후 연결을 허용하는 두 단계의 핸드셰이킹으로 구성
CHAP
PAP와 같은 용도에서 PPP 연결 인증 과정의 보안을 위해 보안요소를 강화시킨 프로토콜
3단계 핸드셰이킹과 해시를 통해 보안요소를 첨가
컴퓨터 단위의 권한부여, 비밀키의 분배로 인한 불안전성, 사용자 데이터베이스의 보관 문제 등의 단점을 갖는다.
클라이언트-서버 방식
RADIUS
내부시스템에 액세스 할 수 있는 권한을 부여하기 위해서 중앙서버와 통신할 경우 사용될 수 있다.
TACACS
인증서버에서 데이터베이스 형태로 관리하며 클라이언트로부터의 인증 요청을 처리
TACACS+에서는 해시함수를 추가하여 인증 데이터에 대한 보안기능을 강화
MPLS VPN
시스코사의 태그 수위칭과 IBM의 ARIS를 결합해 IETF에서 정한 표준
2계층의 스위칭 속도와 3계층의 라우팅 기능을 접목
레이블 부여는 LER에서만 수행
여러 가지 다양한 서비스 제공기능(Qos, VoLP, TE 등)
IPSec
침입차단시스템에 IPSec 프로토콜을 구현한 시스템
네트워크 계층 보호를 위해 널리 사용되고 있는 표준
강력한 암호화와 인증 방식을 가지며, 터널화된 통신을 가능하도록 한다.
IPSec 서비스
접근제어
접근제어 방식은 IP 패킷의 허용, 폐기, 보호 등이 있다
비연결 무결성
MAC를 통해 각 IP 패킷별로 무결성을 보장
데이터 발신처 인증
수신한 메시지가 올바른 발신처로부터 온 것임을 보장
재전송 패킷의 거부
송신축에서 IP 패킷별로 순서번호를 전송하고 수신 측에서 해당 보안연관에 순서번호를 유지하고 이를 검증
기밀성
AH프로토콜은 암호화를 지원하지 않으며 ESP 프로토콜만 암호화를 지원
제한된 트래픽 흐름의 기밀성
원본 IP 헤더는 암호화되어 있기 때문에 터널/보안 게이트웨이와 종단 노드 구간의 트래픽 흐름의 기밀성은 보장
AH프로토콜
AH 보안 서비스
네트워크 계층의 보안을 위하여 무결성, 인증, 재전송 공격에 대한 보호 서비스를 제공
AH는 메시지 인증을 제공하는 확장 헤더
메시지 인증이 ESP에 의해서도 제공되기 때문에 AH의 사용은 권고되지 않는다
AH 데이터 형식
Next Header, PayLoad Len, 보안함숫값, 순서 번호, 인증 데이터
인증용 데이터 생성 방법
전송 모드
호스트와 호스트 간의 메시지의 무결성을 제공하는 방법
터널 모드
네트워크 계층의 헤더를 포함한 모든 데이터에 대하여 인증용 데이터를 생성하는 방법
ESP 프로토콜
ESP 보안 서비스
IP 데이터그램에 암호화 기능을 부가한 것으로 기밀성, 재전송 공격 방지 서비스, 제한된 트래픽 흐름 기밀성에 대한 서비스를 제공
인증 서비스를 사용하는 경우에는 무결성, 인증과 같은 서비스가 추가로 제공
ESP 헤더 데이터 형식
보안 함숫값, 순서 번호, 페이로드 데이터, 패딩 데이터, Payload Len, Next Header, 인증 데이터
암호 데이터 생성 방법
전송 모드
호스트와 호스트 간의 전송 경로를 보호하는 방법
터널 모드
호스트와 호스트, 호스트와 보안 게이트웨이, 보안 게이트웨이와 보안게이트웨이 간의 전송 경로를 보호하는 방법
AH와 ESP의 비교
ESP는 추가적인 기능과 함께 AH가 하는 모든 기능을 제공
AH는 이미 일부 상업용 제품에 포함되어 있으므로 이들 제품이 사라질 때까지는 AH가 인터넷의 한 부분으로 남아있음
보안연계(SA)
보안 매개변수집합을 정의하는 역할
단방향이기 때문에 각각 인바운드 또는 아웃바운드 트래픽 중 하나만 담당
장비 A와 B는 각각 서로 다른 보안 수준을 설정 가능하고 2개의 SA를 가지고 있다.
AH 프로토콜과 ESP 프로토콜은 보안연계를 사용하여 보안서비스를 제공
보안 연계 서비스를 수행하기 위한 데이터베이스에는 SPD와 SAD가 있다.
IP 트래픽 처리
IPSec는 개별 패킷 기반으로 처리
인 바운드 패킷이 수신된 이후에는 각각 IPSec 로직에 의해 처리
인터넷 키 교환
IKE
내부적 및 외부적 보안 연계를 생성하기 위해 설계된 프로토콜
IKE에서 최초의 키를 안전하게 나누어 갖는 방법은 preshared key 방식과 public key 기반 방식이 있다.
'공부 > 정보보안기사필기정리' 카테고리의 다른 글
| 31. FTP 보안 (0) | 2023.05.22 |
|---|---|
| 30. 최신 네트워크 보안기술 (0) | 2023.05.21 |
| 28. 침입차단시스템 (0) | 2023.05.18 |
| 27. IDS/IPS (0) | 2023.05.17 |
| 26. 네트워크 기반 공격의 이해 (1) | 2023.05.16 |