IPsec VPN

I. 공중망 보안/QoS 제공 사설망, IPsec VPN

가. VPN(Virtual Private Network)의 개념

  • 터널링 기법 사용하여 두 네트워크 연결을 전용회선처럼 사용하는 가상 사설 네트워크

나. VPN의 특징

안정성– IPsec/SSL VPN 터널링 구성, 안정성 제공
– Load-Balancing 기능 제공(회선 백업기능)
확장성– 네트워크 증설 및 감속이 용이
– 통합구성으로 인한 관리의 편리성
구축 비용– 초고속망 기본 구성으로 인한 비용절감
– 본/지사 구축 시 비용 절감

 

II. IPsec VPN 구성도 및 기술요소

가. IPsec VPN 구성도

  • TCP/IP 프로토콜의 IP계층에서 송신자의 인증을 허용하는 인증 헤더(AH, Authentication Header)와 기밀성(캡슐화를 통해)을 보장하는 ESP(Encapsulating Security Payload)를 이용한 IP 보안 서비스

나. IPsec VPN 기술 요소

기술 요소설명
키 관리
메커니즘
– 보안 연관(SA, Security Association) – 송, 수신자 간 키교환, 인증, 암호화를 통한 협상
– Inbound와 Outbound 보안 연관을 생성하기 위해 설계된 프로토콜로 IPsec 위한 SA 생성
보안
프로토콜
AH(Authentication Header)
– IP 패킷을 인증하기 위해 필요한 정보를 포함하는 방법으로 데이터 인증과 무결성 보장


– 데이터 기밀성, 무결성 제공, IP 패킷 인증, 프라이버시 제공, AH 프로토콜 사용 후 설계되어 AH 기능에 추가 기능 포함
IPsec
정책
SPD(Security Policy Database)
패킷에 대한 보안 정책을 적용하며, 모든 트래픽 처리 시 참조
– SAD 이용 전 호스트 패킷에 대한 정책 결정
– 종류:Drop(폐기), 통과(Bypass), 적용(Apply) 등
 
SAD(Security Authentication Database)
– 양단 간 비밀 데이터 교환 위해 미리 설정되는 보안 요소들에 대한 데이터 관리

 

III. IPsec VPN 구축 절차

절차설명
IKE
(Internet
Key Exchange)
Phase
정책설정
준비단계
VPN 장비 간 인증 키 설정
– inbound와 outbound 보안 연관 생성위해 설계된 프로토콜로 IPsec 위한 SA 생성
– Key를 주고 받는 알고리즘, 공개된 네트워크 통해 IKE 교환 위한 메시지 전달 설정
ISAKMP(키 교환, 인증 위한 프레임워크, 양식)
(Internet Security Association & Key Management Protocol)
– 통신 당사자가 서로 인증해서 암호 키를 교환하기 위한 통신 규약, IPsec 일부로 RFC2408에 규정되어 있으며, 구체적인 알고리즘, 암호화기술, 암호 키 교환 규약 사용 방법을 상대에게 알리기 위한 메시지 형식
암호화 방식 지정
– 암호화를 설정하기 위한 AES방식, SPN방식, Hash 등 정책 설정
IPsec
정책 설정
단계
VPN으로 적용할 트래픽 지정 → AH, ESP 등
인증(AH) 프로토콜
– 데이터 무결성과 IP 패킷의 인증 지원, 재생방지서비스를 제공, 기밀성은 제공 안함
 암호화(ESP) 프로토콜
– 암호화 기법을 사용 데이터 무결성, 비밀성 기능을 제공하는 프로토콜, 프라이버시 제공
IPsec적용
활성화 단계
장비, 인터페이스에 IPsec VPN 적용을 통한 활성화 작업 활성화 통한 Host 간 연동 진행

 

콘텐츠 사용 시 출처 표기 부탁 드리고, 댓글은 큰 힘이 됩니다^^