이전 포스팅에선 SSL VPN 과 IPSec VPN과의 차이점을 확인하고 왔습니다.
https://steven-life-1991.tistory.com/156
이번 시간에는 IPSec VPN에 대해 보다 자세히 알아보려고 합니다.
IPSec VPN은 SSL VPN과는 다르게 VPN장비 끼리의 연결(네트워크끼리 통신)이라고 했었습니다.
> 아래 표 참고
|
IPsec VPN
|
SSL VPN
|
성격
|
네트워크와 네트워크를 연결
|
클라이언트와 네트워크를 연결
|
프로토콜
|
IP
|
TCP
|
OSI Layer
|
3 Layer
|
6 Layer
|
특징
|
2개의 서버 장비 필요
|
1개의 서버 장비 필요
|
소프트웨어 설치가 필요
|
웹브라우저만으로 사용
|
|
다양한 어플리케이션과 호환
사설망에 직접 연결된 것처럼 사용가능
|
SSL 포탈을 통해서 연결됨
|
이때 두 장비간에 트렁크를 연결하여 (Gate-Gate) 통신을 하게 되는데 여기서 트렁크 연결은 어떤방식으로 연결되는지 알아야 각 장비에 어떤 설정을 해야하는지 알 수 있겠죠?
IPSec VPN은 Transport Mode와 Tunnel Mode로 나뉘는 운용모드가 존재하는데 단말에서 단말로 직접 터널연결할 것인지, VPN을 양쪽 네트워크에 두고 VPN간 터널을 연결할 것인지를 결정하고 운용하는 기능입니다. 전자를 전송 모드, 후자를 터널 모드라고 하며 아래 그림을 보면 이해가 쉬워질것입니다.
전송 모드는 IP Header를 변경하지 않고 그대로 사용하면서 IP Header를 제외한 데이터 부분만을 인증/보호하며 단말이 이 모든 과정을 담당하기에 단말과 단말 간 통신이 가능하다는 특징이 있습니다.
터널 모드는 새로운 IP Header(공인 IP)를 추가하여 기존 IP Header(사설 IP)를 캡슐화 하고 IP 패킷 전체를 인증/보호하며, VPN 장비가 이를 도맡아 하므로 사설 네트워크와 사설 네트워크간 통신을 가능하게 합니다.
현재 대부분 터널모드를 운용하고 있다고 보면 됩니다.
터널링 구성을 위해 기존 IP Header에 인증/암호화 패킷이 추가되는데 위에서 보이는 AH(Authentication Header) 와 ESP(Encapsulating Security Payload)가 추가됩니다. 각각 UDP 500과 IP 50에 해당하죠.
그 아랫칸에는 터널 생성 시 서로 인증하기 위한 인증서/데이터 패킷을 암호화 하는데 사용되는 알고리즘인 DES, 3DES, AES가 있으며, 패킷이 변질되지 않음을 증명하기 위한 MD5, SHA가 있고 키를 생성하기 위한 Diffie-Hellman 알고리즘들이 있습니다.
IPSec 터널을 생성하고 키를 생성/관리하는 가장 중요한 프로토콜은 [키관리 프로토콜]인 IKE(Internet Key Exchange) 입니다. IKE는 터널을 안전하게 생성하기 위한 VPN간 협상 과정을 책임지고 패킷을 암호화하기 위한 알고리즘 등을 협의하고 결정하는데 중요한 역할을 합니다. IKE가 수행하는 터널 생성 과정 및 암호화 키 생성 과정에서 위 그림에서 나온 프로토콜 헤더와 알고리즘이 모두 사용됩니다.
IPSec 연결에도 두가지 운용 모드가 존재하고 터널링을 구성하기 위해 여러 알고리즘이 사용된다는것을 알 수 있었습니다.
다음 포스팅은 AH/ESP/IKE 알고리즘에 대해 알아보도록 하겠습니다.
'IT > Security' 카테고리의 다른 글
[SECURITY] 잘알려진 포트 및 취약포트 정리 (0) | 2022.07.12 |
---|---|
[XSS] 크로스사이트스크립팅 [WEB] (0) | 2022.07.04 |
[인프라] 서버 이중화 (Active-Active, Active-Standby) (0) | 2022.06.29 |
[VPN] IPSec VPN #2 AH/ESP/IKE (0) | 2022.06.24 |
[VPN] SSL VPN과 IPsec VPN의 차이 (0) | 2022.06.22 |