[Section 05] 네트워크 보안 프로토콜 (277~ 301pg)

 [01 가상 사설망 (VPN: Virtual Private Network)] 

개요

• 가상 사설망이란 인터넷과 같은 공중망을 이용하여 사설망이 요구하는 서비스를 제공할 수 있도록 구축한 망으로 공중망 내에서 마치 단일 회사만 사용하는 전용선처럼 사용하는 기술을 말한다.
• 공중망을 공유하기 때문에 낮은 비용으로 전용선과 같은 수준의 서비스를 제공하므로 많은 기업에서 사용하고 있다.
• VPN은 터널링 프로토콜과 보안과정을 거쳐 내부 기밀을 유지하여 보안성이 우수하고 외부로부터 안전하도록 주소 및 라우터 체계의 비공개와 데이터 암호화, 사용자 인증, 사용자 액세스 권한 및 제한의 기능을 제공한다.

VPN 프로토콜 종류

• PPTP(Point to Point Tunneel Protocol)
  • 지원계층 : 2계층
  • 특징
    • 마이크로소프트사가 설계한 프로토콜
    • Window NT4.0에서 처음으로 제공
    • PPP의 패킷을 IP 패킷으로 캡슐화하여 IP 네트워크에서 전송하기 위한 터널링 기법
    • 하나의 터널에 하나의 연결만을 지원하여 일대일 통신만 가능
• L2F(Layer 2 Forwarding)
  • 지원계층 : 2계층
  • 특징
    • 시스코사에서 제안한 프로토콜
    • 원격지의 ISP 장비에서 접근 서버측의 터널 서버로 L2F 터널을 생성시키며, 이 가상 터널은 Direct-dial PPP/RAS 세션을 생성함
    • 원격지 사용자의 홈사이트에서 주소를 할당하며 홈사이트의 게이트웨이에 서 사용자 인증을 함
    • 하나의 터널에 여러 개의 ㅇ녀결을 지원하여 다자간 통신을 가느하도록 함
    • PPP를 사용하며 인증으로 RADIUS와 TACACS+를 이용함
• L2TP(Layer 2 Tunneling Protocol)
  • 지원계층 : 2계층
  • 특징
    • 마이크로소프트와 시스코에서 제안한 프로토콜
    • L2F에 기반을 두고 PPTP와의 호환성을 고려하여 만들어진 터널링 프로토콜
    • IP, IPX, AppleTalk 프로토콜에 대해 지원되며 X.24, ATM, FrameRelay 등의 WAN 기술도 지원한다.
• IPsec
  • 지원계층 : 3계층
  • 특징
    • IP망에서 안전한 전송을 위해 표준화된 3계층 터널링 프로토콜로 IP 게층의 보안을 위해 IEFT에 의해 제안되어 VPN 구현에 가장 널리 사용되고 있다.
    • 네트워크상의 IP 계층에서의 보안에 중점을 두었으며, 사설 및 공중망을 사용하는 TCP/IP 통신을 보다 안전하게 유지하기 위한 IP 데이터그램의 인증, 무결성과 기밀성 등을 제공한다.
    • IP 계층에서 직접 서비스를 제공하기 때문에 상위 계층 프로그램의 변경이 필요 없다.
    • 암호화된 패킷은 보통의 IP 패킷과 동일한 형태를 갖기 때문에 네트워크 장비의 내부 변경 없이 네트워크를 통해 쉽게 라우팅이 가능하다.

 [02 IP 보안 (IP Security)] 

개요

• 국제 인터넷 기술 위원회(IETF)에서 IP 보안을 위하여 개방형 구조로 설계한 표준으로 IP 계층 보안에 대해서 안정적이고 표준화된 기초를 제공한다.
• 종단 노드 구간 또는 보안/터널 게이트웨이 구간에 IP 패킷 보안 서비스를 제공해주는 네트워크 계층 보안 프로토콜
• IP 계층에서 직접 보안 서비스를 제공함에 따라 상위 계층 프로그램의 변경이 필요하지 않다.
• 차세대 인터넷 프로토콜인 IPv6에서 IPSec을 기본적으로 포함하고 있다.

보안서비스 제공

1. 기밀성
   • 메시지가 제3자에 의해 도청되어도 그 내용을 알 수 없음을 보장해준다.
   • 대칭 암호화를 통해 기밀성을 제공해준다. 단, AH 프로토콜은 암호화를 지원하지 않으며 ESP 프로토콜만 암호화를 지원한다.
2. 비연결형 무결성
   • 메시지가 위변조되지 않았음을 보장해준다.
   • 메시지 인증 코드(MAC)을 통해 각 IP 패킷 별로 무결성을 보장해준다.
   • 송신측에서 인증 데이터/MAC값을 계산하여 전송하고 수신측에서 이를 검증한다.
3. 데이터 원천 인증/송신처 인증
   • 수신한 메시지가 올바른 송신처로부터 온 것임을 보장해준다.
   • 메시지 인증 코드를 통해 IP 패킷이 올바른 송신처로부터 온 것을 보장해준다.
4. 재전송 공격 방지
   • 송신측에서 IP 패킷별로 순서번로를 전송하고 수신측에 서 해당 보안연관(SA)에 순서번호를 유지하고 이를 검증함으로써 재전송 공격을 방지한다.
5. 접근 제어
   • 보안정책을 통해 송수신 IP 패킷에 대한 시스템 접근을 제어한다.
   • 접근제어 방식은 IP 패킷의 허용, 폐기, 보호 등이 있다.
6. 제한된 트래픽 흐름의 기밀성
   1. 트래픽 흐름이란 해당 패킷이 어디에서 출발해서 어디를 목적지로 향해 가는지에 대한 정보를 말한다.
   2. ESP/터널모드의 경우 New IP헤더를 통해 터널/보안 게이트웨이 구간의 트래픽 흐름 정보는 노출되지만 원본 IP 헤더는 암호화되어 있기 때문에 터널/보안 게이트웨이와 종단 노드 구간의 트래픽 흐름의 기밀성은 보장된다.