2019년 3월 4일
IPsec VPN
I. 공중망 보안/QoS 제공 사설망, IPsec VPN
가. VPN(Virtual Private Network)의 개념
- 터널링 기법 사용하여 두 네트워크 연결을 전용회선처럼 사용하는 가상 사설 네트워크
나. VPN의 특징
안정성 | – IPsec/SSL VPN 터널링 구성, 안정성 제공 – Load-Balancing 기능 제공(회선 백업기능) |
확장성 | – 네트워크 증설 및 감속이 용이 – 통합구성으로 인한 관리의 편리성 |
구축 비용 | – 초고속망 기본 구성으로 인한 비용절감 – 본/지사 구축 시 비용 절감 |
II. IPsec VPN 구성도 및 기술요소
가. IPsec VPN 구성도
- TCP/IP 프로토콜의 IP계층에서 송신자의 인증을 허용하는 인증 헤더(AH, Authentication Header)와 기밀성(캡슐화를 통해)을 보장하는 ESP(Encapsulating Security Payload)를 이용한 IP 보안 서비스
나. IPsec VPN 기술 요소
기술 요소 | 설명 |
---|---|
키 관리 메커니즘 | – 보안 연관(SA, Security Association) – 송, 수신자 간 키교환, 인증, 암호화를 통한 협상 – Inbound와 Outbound 보안 연관을 생성하기 위해 설계된 프로토콜로 IPsec 위한 SA 생성 |
보안 프로토콜 | AH(Authentication Header) – IP 패킷을 인증하기 위해 필요한 정보를 포함하는 방법으로 데이터 인증과 무결성 보장 – 데이터 기밀성, 무결성 제공, IP 패킷 인증, 프라이버시 제공, AH 프로토콜 사용 후 설계되어 AH 기능에 추가 기능 포함 |
IPsec 정책 | SPD(Security Policy Database) 패킷에 대한 보안 정책을 적용하며, 모든 트래픽 처리 시 참조 – SAD 이용 전 호스트 패킷에 대한 정책 결정 – 종류:Drop(폐기), 통과(Bypass), 적용(Apply) 등 SAD(Security Authentication Database) – 양단 간 비밀 데이터 교환 위해 미리 설정되는 보안 요소들에 대한 데이터 관리 |
III. IPsec VPN 구축 절차
절차 | 설명 |
---|---|
IKE (Internet Key Exchange) Phase 정책설정 준비단계 | VPN 장비 간 인증 키 설정 – inbound와 outbound 보안 연관 생성위해 설계된 프로토콜로 IPsec 위한 SA 생성 – Key를 주고 받는 알고리즘, 공개된 네트워크 통해 IKE 교환 위한 메시지 전달 설정 ISAKMP(키 교환, 인증 위한 프레임워크, 양식) (Internet Security Association & Key Management Protocol) – 통신 당사자가 서로 인증해서 암호 키를 교환하기 위한 통신 규약, IPsec 일부로 RFC2408에 규정되어 있으며, 구체적인 알고리즘, 암호화기술, 암호 키 교환 규약 사용 방법을 상대에게 알리기 위한 메시지 형식 암호화 방식 지정 – 암호화를 설정하기 위한 AES방식, SPN방식, Hash 등 정책 설정 |
IPsec 정책 설정 단계 | VPN으로 적용할 트래픽 지정 → AH, ESP 등 인증(AH) 프로토콜 – 데이터 무결성과 IP 패킷의 인증 지원, 재생방지서비스를 제공, 기밀성은 제공 안함 암호화(ESP) 프로토콜 – 암호화 기법을 사용 데이터 무결성, 비밀성 기능을 제공하는 프로토콜, 프라이버시 제공 |
IPsec적용 활성화 단계 | 장비, 인터페이스에 IPsec VPN 적용을 통한 활성화 작업 활성화 통한 Host 간 연동 진행 |