security
Network Security, IPSec VPN
Security, IPSec VPN
이 글은 Computer Networking의 Network Security(보안)를 설명합니다.
유튜브 채털 "Networking Class"의 "Network Security(보안)"를 정리한 것입니다.
- 1. Network Security 개념 및 중요성
- 2. Network Security Architecture
- 3. 방화벽 개념 및 작동원리, Stateful inspection, 이중화 구성
- 4. VPN 개념 및 유형 (MPLS VPN & IPSec)
- 5. [IPSec VPN] 개요, 아키텍처, 효과
- 6. [IPSec VPN] IPSec protocol 기분 구성요소
- 7. [IPSec VPN] IKE protocol (보안 채널 생성, 키 관리)
- 8. [IPSec VPN] ESP, AH protocol (데이터 전달 방식)
- 9. [IPSec VPN] 암호학 기본 1 - 암호화키
- 10. [IPSec VPN] 암호학 기본 2 - Hash function/MAC
- 11. [IPSec VPN] 암호학 기본 3 - CA
- 12. [IPSec VPN] VPN 터널 연결 및 데이터 전달 과정
- 13. [IPSec VPN] 실무고려 1 - NAT Traversal & Gre over IPSec
- 13. [IPSec VPN] 실무고려 2 - MTU size & PMTUD 방식 설명
1. Network Security 개념 및 중요성 [동영상] (18분)
- 테이터 통신 경로상에서 정보 보안을 유지하기 위한 기술(아키텍처/솔루션)
- 통신 가능한 경로를 구성 할 것인지? 경로를 만든다면 어떻게 보안 수준을 유지할 것인지?
- 인증(Authentication), 무결성(Integrity), 암호화(Confidentiality, 기밀성)
- Internet/Intranet/DMZ 아키텍처, VPN(Virtual Private Network) 기술, 네트워크 보안 솔루션
- MPLS VPN: 망 기반의 VPN, ISP 등 망사업자 측이 제공/운용/관리하는 방식
- IPSec VPN: CPE 기반의 VPN, 기업,고객 측이 독자적으로 구축/운용하는 방식
- [정보통신기술용어해설] IP-VPN IP 가상사설망
- [engmoose] CE, PE
CE (Customer Edge Router) : PE라우터와 직접 연결되어 있는 고객사 장비이다.
PE (Provider Edge Router) : incoming 패킷에 label을 붙이는 라우터들이다. CE와 직접 연결되어 있다.
IPSec(IP Security) VPN - 설명
- [네크워크 엔지니어 환영의 기술블로그] VPN 쉽게 이해하기
- [네크워크 엔지니어 환영의 기술블로그] IPSec VPN 쉽게 이해하기 #1
- [네크워크 엔지니어 환영의 기술블로그] IPSec VPN 쉽게 이해하기 #2
- [네크워크 엔지니어 환영의 기술블로그] IPSec VPN 쉽게 이해하기 #3
- [네크워크 엔지니어 환영의 기술블로그] IPSec VPN 쉽게 이해하기 #4
- [네크워크 엔지니어 환영의 기술블로그] SSL VPN 쉽게 이해하기 #1
- [REAKWON] IPSec 개념과 원리
조취(짐승 고기 냄새) -> 조치(벌어지는 사태를 살펴서 필요한 대책을 세워 행함) - [정보통신기술용어해설] IPSec(IP Security)
- L3 네트워크계층(IP 계층) 상에서, IP 패킷 단위로 '인증', '암호화', '키관리'를 하는 프로토콜
- 응용 소프트웨어 필요 없이, 대부분 운영체제/라우터에서 직접 제공
- '보안성'을 제공하기 위한 2가지 종류의 프로토콜 '헤더'
- AH (인증 헤더, Authentication Header): 발신지 인증, 데이터 무결성 만을 보장
- ESP (캡슐화된 보안 페이로드, Encapsulating Security Payload): 발신지 인증, 데이터 무결성, 기밀성 모두를 보장
- '키 관리'를 위한 기능 및 기반구조를 정의하는 프로토콜
- Internet Key Exchange(IKE): IPSec을 위한 SA(보안협약)을 생성하며, 그에따른 키 교환을 수행하는 복합 프로토콜
- ISAKMP (Internet Security Association and Key Management Protocol): IKE 교환을 위한 메세지 형식,전달 절차 등을 규정하는 기반구조로써 설계됨
- 재생공격 방지 (Replay Attack Protection)
- L3 네트워크계층(IP 계층) 상에서, IP 패킷 단위로 '인증', '암호화', '키관리'를 하는 프로토콜
- [정보통신기술용어해설] AH Header, ESP Header
- [정보통신기술용어해설] SA Security Association 보안 협약
- [정보통신기술용어해설] ISAKMP (Internet Security Association and Key Management Protocol)
- [AWS] IPSec이란 무엇인가요?
2. Network Security Architecture [동영상] (13분)
- 데이터를 생성/처리하는 장비(device), 네크워크상에서 전달되는 데이터의 보안 레벨이 다양함.
(기업 내 임지원들만 이용해야 하는 데이터, 파트너사도 이용해야 하는지? 외부 사용자도 이용해야 하는지) - Internet, Intranet(기업 내 network 간 연결), Extranet(웹서버 zone: 기업 내 network과 internet 연결)
3. 방화벽(Firewall)
- 1. 개념 및 작동원리 [동영상] (12분)
- 2. Stateful inspection [동영상] (10분)
- 3. 이중화 구성 [동영상] (10분)
- 서로 다른 보안레벨의 네크워크 경로 사이에 위치하며, 지나다니는 트래픽을 보고 통과시킬지 말지를 결정
- Proxy 방식, Packet Filtering, Stateful inspection(현재는 대부분 이 방식을 사용한다) -- UTM, NGFW
- 보안 기능 외 네트워크 장비로소의 기능과 관리(모니터링) 기능, 정채관리
- 이중화 방식, 세션 테이블 관리(TCP, UDP, Timeout), 로깅/관제
4. VPN 개념 및 유형 (MPLS VPN & IPSec) [동영상] (17분)
- ISP-VPN(MPLS VPN), CPE-VPN(Access/Network, IPSec Protocol)
- 고가의 전용선이 아닌 인터넷 회선을 이용하여 전용선의 통신 보안을 강화할 수 있는 솔루션
- Network to Network, 터널링(Encapsulation)
- VRF(Virtual Routing and Forwarding): 라우터가 여러개의 라우팅 테이블을 가질 수 있도록 하는 기술. MPLS VPN에서 이용.
- 기업에서는 소규모 사업장, 외부 임직원의 내부 시스템 통신을 위해 네트워크 영역에서 보안을 강화
5. [IPSec VPN] 개요, 아키텍처, 효과 [동영상] (16분)
- Public 망(인터넷)을 통해 전용선과 같은 수준의 통신 보안을 유지하기 위해 사용
- 기업: 전용회선 비용 절감 목적, 재택/이동 근무자의 기업내무방 접속 (cf. 개인: IP 우회 목적)
- IPSec protocol 이용, 통신 대상 위치한 VPN 제품을 통해 구현
6. [IPSec VPN] IPSec protocol 기본 구성요소 [동영상] (11분)
- IKE(ISAKMP, Oakley), AH(Authentication Header) 헤더, ESP(Encapsulating Security Payload) 헤더 등의 프로토콜 집합, 암호 기반의 보안 프로토콜
- Layer 3 기반 (cf. layer 4 SSL ) -> Network to Network 가능, Tunnel mode/Transport mode
- Public 망에서 Ent to End 간 통신의 보안 유지가 목적(Secure channel 생성, 데이터 전달)
- IKE protocol (UDP 500): 보안 체널 생성/관리를 위한 키 교환 목적
- AH(IP 50) or ESP(IP 51): 실제 사용자 데이터 전달 Tunnel mode/Transport mode
7. [IPSec VPN] IKE(Internet Key Exchange) protocol (보안 채널 생성, 키 관리) [동영상] (6분)
- SA(Security Association): IPSec end point 간에 성립된 보안관련 계약, IKE를 통해 협상 -> 생성, 관리
- Phase 1: 보안이 유지되지 않은 환경에서 보안채널을 만드는 목적으로 사용, ISAKMP SA, UDP 500
Main mode (6개 양방향 메시지), Aggressive mode (3개)- Authentication Method
- Encrption Algorithm
- Key Exchage
- Hash Algorithm
- SA renewal period
- Phase 2: 실제 데이터 전달을 위한 보안정보 생성/관리를 위한 항목 협상, IPSec SA
Quick mode (3개, 각 방향 별도)- ESP or AH 선택
- 추가적 인증(Authentication) 방식 정의
- ESP인 경우 encrption algorithm 선택: DES, 3DES, RC5, IDEA, Three-key IDEA, CAST, Blowfish, AES 등 사용
8. [IPSec VPN] AH(Authentication Header), ESP(Encapsulating Security Payload) protocol (데이터 전달 방식) [동영상] (11분)
- AH(Authentication Header)
- IP 50
- 인증/무결성 지원, 암호화 미지원
- 실무에서 많이 사용하지 않음
- ESP(Encapsulating Security Payload)
- IP 51
- 인증/무결성/암호화 지원
- 실무에서 대부분 사용
- Tunnel mode: Gateway 간, New IP header 추가
- Transport mode: Endhost 간, New IP header 사용하지 않음, Original IP header로 통신
9. [IPSec VPN] 암호학 기본 1 - 암호화키 [동영상] (7분)
- Confidentiality (ciphering)
- Integrity (one-way hash)
- Authentication (secret key or digital signatures)
- Non-reputation
- Symmetric cryptography(대칭키) (one key): 데이터 보낼 때 사용
- Asymmetric 방식에 비해 상대적으로 빠름: DES, 3DES, RC4, AES, 등.
- Asymmetric cryptography(비대칭키) (two keys: public key, private key): 키 보낼 때 사용
- 대칭키 방식보다 약 100 ~ 1000배 느림. Key 교환 등에 사용.
- Confidentiality: 송신측에서 수신측의 public key를 이용하여 암호화함.
- Authentication: 송신측에서 자신의 private key를 이용하여 암호화함(signature). RSA
- 수신측에서 public key와 private key을 생성해서 public key는 송신측에 보낸다.
- 송신측에서는 public key로 암호화를 한다.
- 수신측에서는 private key로 복호화를 한다.
- Diffie-Hellman: Bob과 Alice가 서로 key 쌍을 만들고 public key를 교환한 후 수학적인 algorithm을 이용하여 동리면 공통의 shared secret key를 생성
10. [IPSec VPN] 암호학 기본 2 - Hash function/MAC [동영상] (6분)
- 데이터 무결성 보장(Integrity): Hash functions (message digest)
- 송신자는 데이터에 hash function을 적용해서 digest 값을 구해서 데이터+digest를 보낸다.
- 수신자는 받은 데이터에 동일한 hash function을 적용해서 digest 값을 구해서 받은 digest와 같은지를 비교한다. 같으면 데이터는 송신자가 보낸 원본이 맞다.
- Hash function의 종류: MD5, SHA-1,2(160bit), 등.
- 데이터 자체를 암호화하는 것은 ESP에서 한다.
- 상대방이 보낸 데이터가 맞는지(Authentication): MAC(Message Authentication Code)
- 송신자는 "데이터+키"에 hash function을 적용해서 값을 구한다. 이것을 MAC(Message Authentication Code)라고 한다. 송신자는 데이터+MAC를 보내다.
- 수신자는 받은 데이터에 hash function을 적용해서 MAC을 구해서 받은 MAC과 같은지를 비교한다.
- Hash function + Cryptography
- Symmetric cryptography = Hash + secret key -> IPSec 이용
- Asymmetric cryptography = Hash + private key -> Digital signature
11. [IPSec VPN] 암호학 기본 3 - CA(Certificate Authority, 인증기관) [동영상] (7분)
- 비대칭키 방식은 man-in-the-middle attack(중간자 공격) 취약, public key의 안정성 공인 필요 -> CA 출현
- X.509v3 Digital Certificate
- Alice는 CA에 인증서 발급 요청
- CA는 Alice의 public key 정보를 담은 인증서를 만들고 CA의 private key를 이용하여 sign을 하고 인증서를 배포한다.
- Bob은 Alice의 인증서를 CA로 부터 받으며 인증서의 적절함을 CA를 통해 확인할 수 있다.
- 인증서 내용을 통해 Alice의 public key를 얻는다.
- CA의 signature를 통해 해당 public key가 Alice의 것임을 확인한다.
12. [IPSec VPN] VPN 터널 연결 및 데이터 전달 과정 [동영상] (16분)
- IKE ISAKMP-SA: Main mode (6개 양방향 메시지), Aggressive mode (3개), DUP 500
- IPSec SA 생성: Quick mode (3개, 각 방향 별도)
- Interest Traffic(IPSec 터널을 이용하는 실제 사용자 트래픽) 전달(ESP/AH, Tunnel/Transport mode)
13. [IPSec VPN] 실무고려 1 - NAT Traversal & Gre over IPSec [동영상] (20분)
- 인터넷 구간에서NAT(PAT)시 문제
NAT-Traversal (IKE 과정상에 NAT 여부를 확인하고, UDP 4500으로 wrapping하여 PAT 가능) - VPN 장비에서 IPSec SA 구별을 위한 SPI, IP를 가지고 확인 -> multicast 지원 문제
Gre over IPSec (대상 multicast traffic을 GRE로 encapsulationn), GETVPN(Single SA)
13. [IPSec VPN] 실무고려 2 - MTU size & PMTUD 방식 설명 [동영상] (12분)
- IPSec protocol은 기본적으로 헤더가 encapsulation되는 구조인데, GRE Over IPSec 및 UDP warpping 등으로 차게 헤더가 더 붙어 네트워크 전송상에 MTU size(1500) 관련된 문제 발생 가능
- End to End 구간에 PMTUD(Path MTU Discovery)가 정상 동작하는 것이 가장 best
- TCP MSS(Maxinum Segment Size), DF(Don't Fragmentation)
Email
返事がかかってなれば、メールでお知らせします。