본문 바로가기
보안/네트워크

VPN

모아이모아이 2015. 3. 6. 00:30

VPN



1. IPSec VPN


1) 요약

 - 거의 모든 IP 애플리케이션을 지원할 수 있다.

 - 원격 시스템의 IPSec VPN 클라이언트는 동일한 사용자 환경을 제공한다.

 - IPSec은 개별 사용자 권한에 따라 기업 네트워크의 IP 애플리케이션에 접근할 수 있게 해준다. 

 - 사용하기에 용이하며 인증, 데이터 기밀성 서비스와 함께 IP 패킷 계층에서 매우 견고한 데이터 암호화를 제공한다.

 - IPSec은 일관되며 언제나 접속이 필요한 상황에 이상적이다. 

 - 이 기술은 손상된 세션을 탐지할 수 있으며 , 일반적으로 기업이 보유하고 있는 시스템에서 접속이 이뤄지기 때문에 짧은 시간 지연도 없다.


2) 장단점

  (1) 장점 : 모든 통신, 포트를 암호화 하여 안전하다.

  (2) 단점 : 배포 및 관리 어렵다. 전용 agent app, 전용 VPN card 필요하다



3) AH + ESP

- AH(Authentication Header)란?


가. 인증을 위한 헤더를 덧 붙인다 . 

나. 트랜스 포트모드로 전송을 하면 아이피 헤더를 씌우고 별도의인증을 해둔다. 

다. 터널링 모드는 기존의 아이피 헤더를 새 배달물 넣고 

라. 보증 헤더를 그 앞에 붙이고 또 새로운 도착지를 위해 맨 앞에 또 새로운 헤더를 덧붙인다.


- ESP(Encapsulating Security Payload)란?



- ESP터널을 위한 암호화된 패이로드이다.(생략)


-AH + ESP ?



- A에서 출발하는 패킷은 B로 가겠다. (출발지 포트 도착지 포트)

- A-G1구간은 인증 받아서 VPN라인을(구름)을 통과하는 것이다. 

- 만약 없다면 블록 당하게 된다. 

- G1에서 G2갈때는 중간은 어떤 프로토콜 쓰는지에 대해는 신경 안 쓰고 배달만 신경쓴다. 

- 일단 G2만 빠져나가면 헤더트레일러를 벋겨내고  

- A-G1만남게된다.

- ESP헤더틀레일러는 맨 아래 점박 칠해진 것을 암호화하기 위해 덧붙인 것이다. 


2. SSL VPN


1) 요약


-사용자들이 VPN 클라이언트 소프트웨어를 미리 설치하지 않아도 브라우저를 통해 기업 네트워크에 안전하게 액세스할 수 있다는 점이다. 

- 모바일 직원들에게 큰 이점을 제공한다. 

- 예를 들면, 호출을 받은 의사의 경우 가정용 PC나 PDA를 사용해 환자의 진료 기록에 액세스할 수 있다. 

- 협력 업체는 특정 애플리케이션에서 원격 접속을 필요로 하는 공동 프로젝트에 질문을 올리거나 협업할 수 있다. 

- 또한 직원들이 인터넷 카페에서 기업용 문서나 이메일에 안전하게 액세스할 수도 있다.

- SSL VPN의 단점은 애플리케이션이 웹을 기반으로 하지 않을 경우 효력을 발휘할 수가 없다.

- 클라이언트가 없는 SSL 기반 VPN에 의해 지원되지 않은 애플리케이션에도 효과가 없다는 것이다. 

- 보다 복잡한 애플리케이션의 경우 다운로드를 통한 애플릿에 의해 지원되거나 프록시나 터널링을 실행해야 가능한 경우가 많다.


2) 장점

 - 비용 : 
- 인터넷에선 폐쇄망을 지원해줄 방법이 없다. 전용선하기엔 가격이 비싸므로 인터넷만 지원하여 적절하게 서비스해줄수있다. 웹 브라우저의 https 통신을 통해 VPN 접속하여 소프트웨어 배포할 필요가 없다. 편의성이 좋다

 - 거리 :
- 떨어져있더라도 하나의 VPN에서 역할을해줄 수 있다

 - 유연성 : 
- 새로 VPN을추가하고 삭제하고,이런 것에서 굉장히유용하다


3) 단점 : 웹 기반 프로토콜이 아닐경우 암호화를 지원하지 않는다.


4) 기타


- 클라이언트가 필요

- VPN 장비에서 암호화



가. VPN이 되는 전용 네트워크 카드를 사용 (또는 USB)


         - 전용 네트워크 카드를 피시에 유에스비타입이건 박아서 PC를 떠나는 순간부터 암호화해서 보낸다. 

         - 단 도착지에도 똑같은 것이 랜카드에 박혀있어야 한다. 

         - 이 방식은 업데이트될 시 펌웨어를 바꾸어야 하고 유지보수비가 크다는 단점이 있다. 


나. 암호화를 사용한 VPN


         - 위 방법보단 vpn 도착전 까지 암호화 하고 VPN터널부터 따로 암호화하고 

         - 다시 또 도착지에서부터 다시 암호화하는 방식을 주로 쓴다.

         - 출발지---(암호화)----VPN시작---(다시암호화)---VPN끝----(암호화)---도착지


- 내부에서의 통신은 내 맘대로니까 원래 실어서 갈 패킷이 있다면 

- 도착지 IP와 출발지 IP PORT등을 헤더에 등록해놓고 

- 출발한 패킷에 트레일러 까지 실어서 보낸다.

- (박스하나를 떠 씌워준다..이것을바로  인켑슐레이션이라고 한다) 



3.  결론


1) 교훈 : VPN은 새로운 방식이 아니다. 하지만 지속적으로 쓰일 것이고 VPN접속을 위해선 피씨에 에이전트가 내려가있을 것이므로 에이전트에 또 다른 일을 더 시키는 방식으로 가고 있다.  

2) configurable and programmable VPN : 회사에서 지정한 것이 깔리지 않으면 각 자산을 따져서 어느 목적지까지 갈 수 있을 지에 대해 동적으로 지정한다.

3) 요즘은 거의스마트폰에 VPN이들어가있다. 무선일 때는어떻게 VPN을들어갈것인가 ..생각했는데 솔직히 예전부터 우체국아저씨는 그 일을 하고  있었다.



4. 참고문헌


http://www.cisco.com/web/KR/about/packet/ts/20.html

'보안 > 네트워크' 카테고리의 다른 글

DDNS 서비스 서베이 (DDNS Service Survey)  (0) 2015.03.16
공유기 (wireless router)  (0) 2015.03.09
DDoS  (0) 2015.03.05
Slow Read  (0) 2015.03.05
Fire Walking  (0) 2015.03.05

'보안/네트워크' Related Articles

티스토리툴바