Network Security, IPSec VPN


Security, IPSec VPN

이 글은 Computer Networking의 Network Security(보안)를 설명합니다.
유튜브 채털 "Networking Class"의 "Network Security(보안)"를 정리한 것입니다.

1. Network Security 개념 및 중요성   [동영상] (18분)

  • 테이터 통신 경로상에서 정보 보안을 유지하기 위한 기술(아키텍처/솔루션)
  • 통신 가능한 경로를 구성 할 것인지? 경로를 만든다면 어떻게 보안 수준을 유지할 것인지?
  • 인증(Authentication), 무결성(Integrity), 암호화(Confidentiality, 기밀성)
  • Internet/Intranet/DMZ 아키텍처, VPN(Virtual Private Network) 기술, 네트워크 보안 솔루션
  • MPLS VPN: 망 기반의 VPN, ISP 등 망사업자 측이 제공/운용/관리하는 방식
  • IPSec VPN: CPE 기반의 VPN, 기업,고객 측이 독자적으로 구축/운용하는 방식
  • [정보통신기술용어해설]   IP-VPN IP 가상사설망
  • [engmoose]   CE, PE
    CE (Customer Edge Router) : PE라우터와 직접 연결되어 있는 고객사 장비이다.
    PE (Provider Edge Router) : incoming 패킷에 label을 붙이는 라우터들이다. CE와 직접 연결되어 있다.

IPSec(IP Security) VPN - 설명

2. Network Security Architecture   [동영상] (13분)

  • 데이터를 생성/처리하는 장비(device), 네크워크상에서 전달되는 데이터의 보안 레벨이 다양함.
    (기업 내 임지원들만 이용해야 하는 데이터, 파트너사도 이용해야 하는지? 외부 사용자도 이용해야 하는지)
  • Internet, Intranet(기업 내 network 간 연결), Extranet(웹서버 zone: 기업 내 network과 internet 연결)

3. 방화벽(Firewall)

4. VPN 개념 및 유형 (MPLS VPN & IPSec)   [동영상] (17분)

  • ISP-VPN(MPLS VPN), CPE-VPN(Access/Network, IPSec Protocol)
  • 고가의 전용선이 아닌 인터넷 회선을 이용하여 전용선의 통신 보안을 강화할 수 있는 솔루션
  • Network to Network, 터널링(Encapsulation)
  • VRF(Virtual Routing and Forwarding): 라우터가 여러개의 라우팅 테이블을 가질 수 있도록 하는 기술. MPLS VPN에서 이용.
  • 기업에서는 소규모 사업장, 외부 임직원의 내부 시스템 통신을 위해 네트워크 영역에서 보안을 강화

5. [IPSec VPN] 개요, 아키텍처, 효과   [동영상] (16분)

  • Public 망(인터넷)을 통해 전용선과 같은 수준의 통신 보안을 유지하기 위해 사용
  • 기업: 전용회선 비용 절감 목적, 재택/이동 근무자의 기업내무방 접속 (cf. 개인: IP 우회 목적)
  • IPSec protocol 이용, 통신 대상 위치한 VPN 제품을 통해 구현

6. [IPSec VPN] IPSec protocol 기본 구성요소   [동영상] (11분)

  • IKE(ISAKMP, Oakley), AH(Authentication Header) 헤더, ESP(Encapsulating Security Payload) 헤더 등의 프로토콜 집합, 암호 기반의 보안 프로토콜
  • Layer 3 기반 (cf. layer 4 SSL ) -> Network to Network 가능, Tunnel mode/Transport mode
  • Public 망에서 Ent to End 간 통신의 보안 유지가 목적(Secure channel 생성, 데이터 전달)
  • IKE protocol (UDP 500): 보안 체널 생성/관리를 위한 키 교환 목적
  • AH(IP 50) or ESP(IP 51): 실제 사용자 데이터 전달 Tunnel mode/Transport mode

7. [IPSec VPN] IKE(Internet Key Exchange) protocol (보안 채널 생성, 키 관리)   [동영상] (6분)

  • SA(Security Association): IPSec end point 간에 성립된 보안관련 계약, IKE를 통해 협상 -> 생성, 관리
  • Phase 1: 보안이 유지되지 않은 환경에서 보안채널을 만드는 목적으로 사용, ISAKMP SA, UDP 500
    Main mode (6개 양방향 메시지), Aggressive mode (3개)
    • Authentication Method
    • Encrption Algorithm
    • Key Exchage
    • Hash Algorithm
    • SA renewal period
  • Phase 2: 실제 데이터 전달을 위한 보안정보 생성/관리를 위한 항목 협상, IPSec SA
    Quick mode (3개, 각 방향 별도)
    • ESP or AH 선택
    • 추가적 인증(Authentication) 방식 정의
    • ESP인 경우 encrption algorithm 선택: DES, 3DES, RC5, IDEA, Three-key IDEA, CAST, Blowfish, AES 등 사용

8. [IPSec VPN] AH(Authentication Header), ESP(Encapsulating Security Payload) protocol (데이터 전달 방식)   [동영상] (11분)

  • AH(Authentication Header)
    • IP 50
    • 인증/무결성 지원, 암호화 미지원
    • 실무에서 많이 사용하지 않음
  • ESP(Encapsulating Security Payload)
    • IP 51
    • 인증/무결성/암호화 지원
    • 실무에서 대부분 사용
  • Tunnel mode: Gateway 간, New IP header 추가
  • Transport mode: Endhost 간, New IP header 사용하지 않음, Original IP header로 통신

9. [IPSec VPN] 암호학 기본 1 - 암호화키   [동영상] (7분)

  • Confidentiality (ciphering)
  • Integrity (one-way hash)
  • Authentication (secret key or digital signatures)
  • Non-reputation
  • Symmetric cryptography(대칭키) (one key): 데이터 보낼 때 사용
    • Asymmetric 방식에 비해 상대적으로 빠름: DES, 3DES, RC4, AES, 등.
  • Asymmetric cryptography(비대칭키) (two keys: public key, private key): 키 보낼 때 사용
    • 대칭키 방식보다 약 100 ~ 1000배 느림. Key 교환 등에 사용.
    • Confidentiality: 송신측에서 수신측의 public key를 이용하여 암호화함.
    • Authentication: 송신측에서 자신의 private key를 이용하여 암호화함(signature). RSA
    • 수신측에서 public key와 private key을 생성해서 public key는 송신측에 보낸다.
    • 송신측에서는 public key로 암호화를 한다.
    • 수신측에서는 private key로 복호화를 한다.
    • Diffie-Hellman: Bob과 Alice가 서로 key 쌍을 만들고 public key를 교환한 후 수학적인 algorithm을 이용하여 동리면 공통의 shared secret key를 생성

10. [IPSec VPN] 암호학 기본 2 - Hash function/MAC   [동영상] (6분)

  • 데이터 무결성 보장(Integrity): Hash functions (message digest)
    • 송신자는 데이터에 hash function을 적용해서 digest 값을 구해서 데이터+digest를 보낸다.
    • 수신자는 받은 데이터에 동일한 hash function을 적용해서 digest 값을 구해서 받은 digest와 같은지를 비교한다. 같으면 데이터는 송신자가 보낸 원본이 맞다.
    • Hash function의 종류: MD5, SHA-1,2(160bit), 등.
    • 데이터 자체를 암호화하는 것은 ESP에서 한다.
  • 상대방이 보낸 데이터가 맞는지(Authentication): MAC(Message Authentication Code)
    • 송신자는 "데이터+키"에 hash function을 적용해서 값을 구한다. 이것을 MAC(Message Authentication Code)라고 한다. 송신자는 데이터+MAC를 보내다.
    • 수신자는 받은 데이터에 hash function을 적용해서 MAC을 구해서 받은 MAC과 같은지를 비교한다.
    • Hash function + Cryptography
    • Symmetric cryptography = Hash + secret key -> IPSec 이용
    • Asymmetric cryptography = Hash + private key -> Digital signature

11. [IPSec VPN] 암호학 기본 3 - CA(Certificate Authority, 인증기관)   [동영상] (7분)

  • 비대칭키 방식은 man-in-the-middle attack(중간자 공격) 취약, public key의 안정성 공인 필요 -> CA 출현
  • X.509v3 Digital Certificate
  • Alice는 CA에 인증서 발급 요청
  • CA는 Alice의 public key 정보를 담은 인증서를 만들고 CA의 private key를 이용하여 sign을 하고 인증서를 배포한다.
  • Bob은 Alice의 인증서를 CA로 부터 받으며 인증서의 적절함을 CA를 통해 확인할 수 있다.
  • 인증서 내용을 통해 Alice의 public key를 얻는다.
  • CA의 signature를 통해 해당 public key가 Alice의 것임을 확인한다.

12. [IPSec VPN] VPN 터널 연결 및 데이터 전달 과정   [동영상] (16분)

  • IKE ISAKMP-SA: Main mode (6개 양방향 메시지), Aggressive mode (3개), DUP 500
  • IPSec SA 생성: Quick mode (3개, 각 방향 별도)
  • Interest Traffic(IPSec 터널을 이용하는 실제 사용자 트래픽) 전달(ESP/AH, Tunnel/Transport mode)

13. [IPSec VPN] 실무고려 1 - NAT Traversal & Gre over IPSec   [동영상] (20분)

  • 인터넷 구간에서NAT(PAT)시 문제
    NAT-Traversal (IKE 과정상에 NAT 여부를 확인하고, UDP 4500으로 wrapping하여 PAT 가능)
  • VPN 장비에서 IPSec SA 구별을 위한 SPI, IP를 가지고 확인 -> multicast 지원 문제
    Gre over IPSec (대상 multicast traffic을 GRE로 encapsulationn), GETVPN(Single SA)

13. [IPSec VPN] 실무고려 2 - MTU size & PMTUD 방식 설명   [동영상] (12분)

  • IPSec protocol은 기본적으로 헤더가 encapsulation되는 구조인데, GRE Over IPSec 및 UDP warpping 등으로 차게 헤더가 더 붙어 네트워크 전송상에 MTU size(1500) 관련된 문제 발생 가능
  • End to End 구간에 PMTUD(Path MTU Discovery)가 정상 동작하는 것이 가장 best
  • TCP MSS(Maxinum Segment Size), DF(Don't Fragmentation)

Email 返事がかかってなれば、メールでお知らせします。