IPSec VPN 사용 목적과 아키턱처 20220920

IPSec VPN 사용 목적과 아키턱처

- public 망 인터넷을 통해 전용선과 같은 수준의 통신보안을 유지 이것은 End to End 연결하며 밴드위스는 보장되지 않음

- 기업은 전용회선비용 절감을 할 수 있으며 재택근무나 이동중인 작업자의 기업내부망에 접속이면 개인은 IP우회 목적으로 사용할 수고 있음

- IPSec Protocol이용 통신 대상 위치한 VPN 제품을 통해 구현

 

* 기업 통신망 일반적으로 MPLS VPN으로 구성

  - 개인이 재택근무 또는 모바일 디바이스에서 IPSec VPN을 이용하여

    회사의 VPN(IPSec)에 접속하고 이때의 터널링을 통한 접속시 회사에서 인정할 수 있는

    IP할당까지 진행하는 과정이 있음 요즘은 SSL VPN을 통한 Proxy를 이용하기도 한다

 

IPSec VPN - IPSec Protocol 기본구성요서

- IKE(ISAKMP,Oakley),AH,ESP 등의 프로토콜 집합, 암호학 기반의 보안 프로토콜

- Layer 3기반(SSL) , Network to Network 가능, tunnel mode/transport mode

- Public망에서 End to End간 통신의 보안 유지가 목적(Secure Channel 생성, 데이터 전달)

- IKE Protocol(UDP500) : 보안채널 생성/관리위한 키 교환 목적

- AH(IP50) or ESP(IP51) : 실제 사용자 데이터 전달 (Tunnel Mode, Transport Mode)

-IPv6에서는 IPSec이 default

 

- Transport Mode(전송모드) : IP 패킷 전체가 아닌 페이로드만을 보호

- Tunnel Mode(터널모드) : IP 패킷 전체를 보호

 

* 전송모드(Transport Mode)

 - 최종 단말사이에 터널이 생성되며 출발지와 도착지 주소를 기반으로 QOS를 제공할 수 있고 IP헤더를 제외한 PayLoad를 암호화하여 전송하는 모드

 

* 터널모드(Tunnel Mode)

- 터널 게이트웨이 사이에서 터널이 생성되며 사설 IP주소를 사용할 수 있고 IP 헤더를 포함한 전체 패킷에 대해서 암호화 되어 전송되는 모드

- ESP 패킷은 원본 패킷앞에 VPN 게이트웨이의 주소를 사용한 IP헤더를 추가하고 원본 패킷 전체와 ESP 트레이러까지를 암호화 하여 보호 하며 ESP 헤더 부터 ESP 트레이러까지의 정보를 이용하여 무결성 확인용 해시코드를 만들어 패킷의 뒤에 첨부한다

- AH 모드는 원본 패킷 앞에 VPN 게이트웨이의 주소를 사용한 IP헤더를 새로 추가한다

  AH는 새로운 헤더를 포함한 전체 패킷에 대해서 인증 및 무결성을 확인하는 기능을 제공

IPSec VPN은 암호화 장비가 2개 필요         - 3계층 보호(IP 계층)

SSL 통신은 수신측(서버)에 장비만 필요(1개) - 5계층 보호(전송 계층)

 

 

*IPSec VPN - IKE Protocol( 보안채널 생성관리)

- SA(Security Associate) : IPSec end point 간에 성립된 보안 관련계약 IKE를 통해 협상을진행하여 생성하고 관리한다

- Phase 1:  보안이 유지되지 않은 환경에서 보안채널을 만드는 목적으로 사용

- Phase 2:  실제 Data전달을 위한 보안 정보 생성 과니를 위한 항목 협상

 

IKE 는 두개의 Phase Protocol로 구성된다.(UDP 500 사용)

- Phase1

 = Authentication Method, Encryption Algorithm, Key exchange, Hash Algorithm, SA  renewal period

 = Main Mode or Aggressive Mode

 = 6개의 단계를 이용(보안이 유지되지 않는 상태에서 연결되므로 복잡)

 

- Phase2

  = ESP or AH 선택, Authentcation 방식 정의, ESP인경우 Encryption 알고리즘 결정

  = Quick Mode

 

문서3.rtf

2.11MB