Network Security, IPSec VPN


Security, IPSec VPN

이 글은 Computer Networking의 Network Security(보안)를 설명합니다.
유튜브 채털 "Networking Class"의 "Network Security(보안)"를 정리한 것입니다.

1. Network Security 개념 및 중요성   [동영상] (18분)

  • 테이터 통신 경로상에서 정보 보안을 유지하기 위한 기술(아키텍처/솔루션)
  • 통신 가능한 경로를 구성 할 것인지? 경로를 만든다면 어떻게 보안 수준을 유지할 것인지?
  • 인증(Authentication), 무결성(Integrity), 암호화(Confidentiality, 기밀성)
  • Internet/Intranet/DMZ 아키텍처, VPN(Virtual Private Network) 기술, 네트워크 보안 솔루션
  • MPLS VPN: 망 기반의 VPN, ISP 등 망사업자 측이 제공/운용/관리하는 방식
  • IPSec VPN: CPE 기반의 VPN, 기업,고객 측이 독자적으로 구축/운용하는 방식
  • [정보통신기술용어해설]   IP-VPN IP 가상사설망
  • [engmoose]   CE, PE
    CE (Customer Edge Router) : PE라우터와 직접 연결되어 있는 고객사 장비이다.
    PE (Provider Edge Router) : incoming 패킷에 label을 붙이는 라우터들이다. CE와 직접 연결되어 있다.

IPSec(IP Security) VPN - 설명

2. Network Security Architecture   [동영상] (13분)

  • 데이터를 생성/처리하는 장비(device), 네크워크상에서 전달되는 데이터의 보안 레벨이 다양함.
    (기업 내 임지원들만 이용해야 하는 데이터, 파트너사도 이용해야 하는지? 외부 사용자도 이용해야 하는지)
  • Internet, Intranet(기업 내 network 간 연결), Extranet(웹서버 zone: 기업 내 network과 internet 연결)

3. 방화벽(Firewall)

4. VPN 개념 및 유형 (MPLS VPN & IPSec)   [동영상] (17분)

  • ISP-VPN(MPLS VPN), CPE-VPN(Access/Network, IPSec Protocol)
  • 고가의 전용선이 아닌 인터넷 회선을 이용하여 전용선의 통신 보안을 강화할 수 있는 솔루션
  • Network to Network, 터널링(Encapsulation)
  • VRF(Virtual Routing and Forwarding): 라우터가 여러개의 라우팅 테이블을 가질 수 있도록 하는 기술. MPLS VPN에서 이용.
  • 기업에서는 소규모 사업장, 외부 임직원의 내부 시스템 통신을 위해 네트워크 영역에서 보안을 강화

5. [IPSec VPN] 개요, 아키텍처, 효과   [동영상] (16분)

  • Public 망(인터넷)을 통해 전용선과 같은 수준의 통신 보안을 유지하기 위해 사용
  • 기업: 전용회선 비용 절감 목적, 재택/이동 근무자의 기업내무방 접속 (cf. 개인: IP 우회 목적)
  • IPSec protocol 이용, 통신 대상 위치한 VPN 제품을 통해 구현

6. [IPSec VPN] IPSec protocol 기본 구성요소   [동영상] (11분)

  • IKE(ISAKMP, Oakley), AH(Authentication Header) 헤더, ESP(Encapsulating Security Payload) 헤더 등의 프로토콜 집합, 암호 기반의 보안 프로토콜
  • Layer 3 기반 (cf. layer 4 SSL ) -> Network to Network 가능, Tunnel mode/Transport mode
  • Public 망에서 Ent to End 간 통신의 보안 유지가 목적(Secure channel 생성, 데이터 전달)
  • IKE protocol (UDP 500): 보안 체널 생성/관리를 위한 키 교환 목적
  • AH(IP 50) or ESP(IP 51): 실제 사용자 데이터 전달 Tunnel mode/Transport mode

7. [IPSec VPN] IKE(Internet Key Exchange) protocol (보안 채널 생성, 키 관리)   [동영상] (6분)

  • SA(Security Association): IPSec end point 간에 성립된 보안관련 계약, IKE를 통해 협상 -> 생성, 관리
  • Phase 1: 보안이 유지되지 않은 환경에서 보안채널을 만드는 목적으로 사용, ISAKMP SA, UDP 500
    Main mode (6개 양방향 메시지), Aggressive mode (3개)
    • Authentication Method
    • Encrption Algorithm
    • Key Exchage
    • Hash Algorithm
    • SA renewal period
  • Phase 2: 실제 데이터 전달을 위한 보안정보 생성/관리를 위한 항목 협상, IPSec SA
    Quick mode (3개, 각 방향 별도)
    • ESP or AH 선택
    • 추가적 인증(Authentication) 방식 정의
    • ESP인 경우 encrption algorithm 선택: DES, 3DES, RC5, IDEA, Three-key IDEA, CAST, Blowfish, AES 등 사용

8. [IPSec VPN] AH(Authentication Header), ESP(Encapsulating Security Payload) protocol (데이터 전달 방식)   [동영상] (11분)

  • AH(Authentication Header)
    • IP 50
    • 인증/무결성 지원, 암호화 미지원
    • 실무에서 많이 사용하지 않음
  • ESP(Encapsulating Security Payload)
    • IP 51
    • 인증/무결성/암호화 지원
    • 실무에서 대부분 사용
  • Tunnel mode: Gateway 간, New IP header 추가
  • Transport mode: Endhost 간, New IP header 사용하지 않음, Original IP header로 통신

9. [IPSec VPN] 암호학 기본 1 - 암호화키   [동영상] (7분)

  • Confidentiality (ciphering)
  • Integrity (one-way hash)
  • Authentication (secret key or digital signatures)
  • Non-reputation
  • Symmetric cryptography(대칭키) (one key): 데이터 보낼 때 사용
    • Asymmetric 방식에 비해 상대적으로 빠름: DES, 3DES, RC4, AES, 등.
  • Asymmetric cryptography(비대칭키) (two keys: public key, private key): 키 보낼 때 사용
    • 대칭키 방식보다 약 100 ~ 1000배 느림. Key 교환 등에 사용.
    • Confidentiality: 송신측에서 수신측의 public key를 이용하여 암호화함.
    • Authentication: 송신측에서 자신의 private key를 이용하여 암호화함(signature). RSA
    • 수신측에서 public key와 private key을 생성해서 public key는 송신측에 보낸다.
    • 송신측에서는 public key로 암호화를 한다.
    • 수신측에서는 private key로 복호화를 한다.
    • Diffie-Hellman: Bob과 Alice가 서로 key 쌍을 만들고 public key를 교환한 후 수학적인 algorithm을 이용하여 동리면 공통의 shared secret key를 생성

10. [IPSec VPN] 암호학 기본 2 - Hash function/MAC   [동영상] (6분)

  • 데이터 무결성 보장(Integrity): Hash functions (message digest)
    • 송신자는 데이터에 hash function을 적용해서 digest 값을 구해서 데이터+digest를 보낸다.
    • 수신자는 받은 데이터에 동일한 hash function을 적용해서 digest 값을 구해서 받은 digest와 같은지를 비교한다. 같으면 데이터는 송신자가 보낸 원본이 맞다.
    • Hash function의 종류: MD5, SHA-1,2(160bit), 등.
    • 데이터 자체를 암호화하는 것은 ESP에서 한다.
  • 상대방이 보낸 데이터가 맞는지(Authentication): MAC(Message Authentication Code)
    • 송신자는 "데이터+키"에 hash function을 적용해서 값을 구한다. 이것을 MAC(Message Authentication Code)라고 한다. 송신자는 데이터+MAC를 보내다.
    • 수신자는 받은 데이터에 hash function을 적용해서 MAC을 구해서 받은 MAC과 같은지를 비교한다.
    • Hash function + Cryptography
    • Symmetric cryptography = Hash + secret key -> IPSec 이용
    • Asymmetric cryptography = Hash + private key -> Digital signature

11. [IPSec VPN] 암호학 기본 3 - CA(Certificate Authority, 인증기관)   [동영상] (7분)

  • 비대칭키 방식은 man-in-the-middle attack(중간자 공격) 취약, public key의 안정성 공인 필요 -> CA 출현
  • X.509v3 Digital Certificate
  • Alice는 CA에 인증서 발급 요청
  • CA는 Alice의 public key 정보를 담은 인증서를 만들고 CA의 private key를 이용하여 sign을 하고 인증서를 배포한다.
  • Bob은 Alice의 인증서를 CA로 부터 받으며 인증서의 적절함을 CA를 통해 확인할 수 있다.
  • 인증서 내용을 통해 Alice의 public key를 얻는다.
  • CA의 signature를 통해 해당 public key가 Alice의 것임을 확인한다.

12. [IPSec VPN] VPN 터널 연결 및 데이터 전달 과정   [동영상] (16분)

  • IKE ISAKMP-SA: Main mode (6개 양방향 메시지), Aggressive mode (3개), DUP 500
  • IPSec SA 생성: Quick mode (3개, 각 방향 별도)
  • Interest Traffic(IPSec 터널을 이용하는 실제 사용자 트래픽) 전달(ESP/AH, Tunnel/Transport mode)

13. [IPSec VPN] 실무고려 1 - NAT Traversal & Gre over IPSec   [동영상] (20분)

  • 인터넷 구간에서NAT(PAT)시 문제
    NAT-Traversal (IKE 과정상에 NAT 여부를 확인하고, UDP 4500으로 wrapping하여 PAT 가능)
  • VPN 장비에서 IPSec SA 구별을 위한 SPI, IP를 가지고 확인 -> multicast 지원 문제
    Gre over IPSec (대상 multicast traffic을 GRE로 encapsulationn), GETVPN(Single SA)

13. [IPSec VPN] 실무고려 2 - MTU size & PMTUD 방식 설명   [동영상] (12분)

  • IPSec protocol은 기본적으로 헤더가 encapsulation되는 구조인데, GRE Over IPSec 및 UDP warpping 등으로 차게 헤더가 더 붙어 네트워크 전송상에 MTU size(1500) 관련된 문제 발생 가능
  • End to End 구간에 PMTUD(Path MTU Discovery)가 정상 동작하는 것이 가장 best
  • TCP MSS(Maxinum Segment Size), DF(Don't Fragmentation)

Email 返事がかかってなれば、メールでお知らせします。

혹시 처음이세요?
레디스게이트에는 레디스에 대한 많은 정보가 있습니다.
레디스 소개, 명령어, SQL, 클라이언트, 서버, 센티널, 클러스터 등이 있습니다.
혹시 필요한 정보를 찾기 어려우시면 redisgate@gmail.com로 메일 주세요.
제가 찾아서 알려드리겠습니다.
 
close
IP를 기반으로 보여집니다.