ABOUT ME

    -

    Today
    -
    Yesterday
    -
    Total
    -
    • VPN (Virtual Private Network)
      네트워크 기초 2023. 11. 29. 16:46

      VPN (Virtual Private Network) 란

      인터넷과 같이 여러 사람이 공용으로 사용하는 공중망(Public Network)을 특정인이나 조직이 단독으로 사용하는 사설망(Prlate Network)처럼 동작 시키는 것을 말한다.

      VPN을 이용하면 본지사간의 네트워크를 전용선으로 구축하는 것에 비하여 훨씬 적은 비용으로 유지할 수 있다. 인터넷 전화 등 업무의 네트워크 의존도가 거의 절대적인 요즘의 상황에서 전용선의 장애에 대비하여 VPN을 이용한 네트워크의 이중화를 구현한다. 뿐만 아니라, 전용선을 이용한 사설 네트워크 환경에서도 데이터의 보안을 위하여 VPN의 사용은 필수적이다.

       

      - VPN은 공공 와이파이 네트워크에서 사용자의 데이터를 보호하고 암호화합니다. 이를 통해 해커나 악성 소프트웨어로부터 사용자의 민감한 정보를 보호할 수 있습니다.

      - VPN을 사용하면 사용자는 지리적으로 제한된 콘텐츠에 접근할 수 있습니다. 사용자가 특정 지역에 물리적으로 위치하지 않더라도 해당 지역의 인터넷 서비스를 이용할 수 있습니다.

      - VPN을 사용하면 사용자의 IP 주소가 VPN 서버의 IP 주소로 교체되므로 사용자의 실체 위치를 숨길 수 있습니다. 이는 온라인 익명성을 유지하는 데 도움이 됩니다.

       

      통신 상대방 확인 [peer 식별, 장비 인식]

       

      authentication - VPN 인증은 가상 사설망(VPN)연결에 참여하는 당사자의 신원을 확인하는 프로세스입니다. 이것은 VPN 및 해당 리소스에만 인가된 사용자 또는 장치만 액세스할 수 있도록 보안을 제공하는 VPN 보안의 중요한 부분입니다. 

       

      PSK (Pre-Shared Key) +IP - PSK와 IPsec를 결합하면, VPN 터널을 설정하는데 사용되는 사전 공유된 키를 나타냅니다. VPN 클라이언트와 서버는 사전에 동일한 PSK를 공유하고 있어야합니다. 이 PSK는 암호화 및 인증 알고리즘에 사용되며, IPsec 터널을 안전하게 설정하는데 필요합니다.

       

      IPsec - 네트워크에서의 안전한 연결을 설정하기 위한 통신 규칙 또는 프로토콜 세트입니다. 인터넷 프로토콜(IP)은 데이터가 인터넷에서 전송되는 방식을 결정하는 공통 표준입니다, IPsec은 암호화와 인증을 추가하여 프로토콜을 더욱 안정하게 만듭니다. 예를 들면 IPsec은 데이터를 소스에서 암호화한 다음 대상에서 복호화합니다. 또한 데이터의 소스를 인증합니다.

       

      Pre-Shared Key - 사전에 공유된 비밀 키로, 네트워크나 통신에서 사용되는 암호화된 연결을 설정할 때 양 측 간에 사전에 공유된 비밀 키를 의미합니다. PSK는 주로 네트워크 보안 프로토콜에서  특히 VPN에서 사용되는 중요한 개념 중 하나입니다.

       

      PKI - 공개키 기반구조(Public Key Infrastructure)은 온라인 디지털 정보를 안전하게 교환하는데 필요한 정책, 절차 및 기술의 조합입니다. 알고리즘을 사용하여 메시지와 파일을 안전하게 보호하고 의도된 수신자에게만 전달되도록 합니다. 

       

      데이터의 기밀성 유지

       

      대칭키

       

      DES - 데이터 암호화 표준, Data Encryption Standared 는 초기에는 표준으로 사용되었지만, 현재는 보안성이 낮아 더 강력한 알고리즘으로 대체되었습니다. DES는 IBM에서 개발된 Lucifer 암호를 기반으로 하여, 미국 국립표준기술연구소에서 1977년에 표준으로 채택되었습니다. 주로 블록 암호화를 수행하며, 키의 길이가 56비트이고 블록 크기가 64비트입니다.

      과거에는 안전하게 여겨졌지만, 현재에는 컴퓨팅 기술의 발전으로 인해 보안 취약점이 존재합니다. 따라서 AES와 같은 더 강력한 대안이 현재에는 권장되고 있습니다.

       

      AES - DES의 암호화 강도가 약해지면서 개발되었으며 향후 30년 정도 사용할 수 있는 안정성, 128비트 암호화 블록, 다양한 키의 길이(128/192/256 비트)를 갖춘 대칭형 암호 알고리즘이다 고급 암호화 표준이라고 합니다. AES는 대칭 키 암호화의 국제 표준으로 사용되며, 전 세계적으로 다양한 응용 분야에서 보안 통신, 데이터 보호, 암호화 저장 등에 널리 사용되고 있습니다. AES는 안정성, 효율성, 간결성 등의 측면에서 현대적인 보안 요구 사항을 충족시키기 위해 고안되었습니다.

       

      트리플 DES - 3DES(Triple DES)는 각 데이터 블록에 데이터 암호화 알고리즘(DES)을 세번 적용한 트리플 데이터 암호화 알고리즘(TDEA 또는 트리플 DES) 블록 암호에 대한 일반적이 이름입니다. 3DES 혹은 3중 DES라고 불리기도 합니다. NIST는 2005년 단순 DES를 공식적으로 퇴출하였으며, 2030년 까지 3DES의 사용을 승인하였습니다.

      DES가 전사공격으로 빠른 시간내에 해독되기 때문에 보다 강력한 트리플 DES가 탄생하였습니다. 평문은 DES에 의한 처리가 3번 일어나서 암호문이 되고 트리플 DES의 키는 56*3 = 168비트이다. 트리플 DES는 암호화를 3번하는 것이 아니라 암호화 -> 복호화 -> 암호화 과정을 거친다

       

      비대칭키

       

      DH [주로 세션키 생성에 사용] - VPN에서 주로 키 교환 메커니즘으로 사용됩니다. VPN에서 DH를 주요 목적은 안전한 터널을 생성하고 통신하는 양쪽 간에 공통의 비밀 키를 안전하게 교환합니다, VPN에서는 보안을 강화하기 위해 정기적으로 키를 교체하는 것이 일반적입니다. DH를 사용하면 비밀 키를 교체하는 데 용이합니다. DH를 사용하면 VPN 연결의 암호화 강도를 높일 수 있습니다. 다양한 키 크기를 선택할 수 있어 보안 강도를 조절할 수 있습니다.

       

      RSA - RSA 키 교환은 VPN에서 주로 인증 및 키 교환 단계에서 사용됩니다. VPN에서 RSA를 사용하는 주요 목적은 공개 키 암호화를 통해 안전하게 통신하는 양쪽 간의 비밀 키를 교환하는 것입니다. 보편적으로 사용되는 공개 키 암호화 알고리즘 중 하나이며, VPN에서는 키 교환 및 인증을 위해 효과적으로 활용됩니다. 그러나 계산 비용이 큰 편이므로 대칭 키 알고리즘과 조합하여 사용하여 전체적인 보안성과 성능을 균형있게 유지하는 것이 일반적입니다. RSA는 전자상거래, 전자 정부 및 기업 보안 등에서 사용됩니다.

       

      데이터 무결성 확인

       

      SPI - IPsec(IP Security)에서 사용되는 용어로, 통신 중에 특정 보안 매개변수를 식별하는 데 사용됩니다. IPsec은 네트워크 통신의 보안성을 확보하기 위한 프로토콜 스위트로서, VPN등에서 활용됩니다.

      - SPI는 특정 보안 연결에 할당되는 고유한 식별자입니다. 이를 통해 수많은 IPsec 연결 중에서 어떤 연결에 어떤 보안 매개변수가 사용되고 있는지를 식별할 수 있습니다.

      - SPI는 보안 연결에 대한 특정한 매개변수 집합을 식별합니다. 이러한 매개변수에는 보안 프로토콜(AH, ESP), 키 관리 방법, 특정 키 등이 포함될수 있습니다.

      - SPI는 IPsec 패킷의 헤더에 삽입되어 보내는 측과 받는 측이 어떤 보안 연결에 대한 처리를 해야 하는지를 알려줍니다. 이는 IPsec 패킷의 헤더에 위치하며, 보통 32비트의 길이를 가집니다.

       

      integrity - 정보 보안에서 중요한 원칙 중 하나로, 데이터가 변조되지 않고 무결한 상태를 유지하는 것을 의미합니다. 데이터 무결성은 데이터가 원래의 형태나 값에서 변경되지 않았음을 보장하는 것으로서, 데이터의 정확성과 신뢰성을 보존하는데 중요합니다. 

       

      무결성 인증 알고리즘 

       

      MD5(128bit) - 해시값을 이용한 인증 알고리즘

      SHA-1(160bit) - 해시값을 이용한 인증 알고리즘 MD5보다 강력합니다. 

      HMAC - MD5, SHA보다 강력한 인증 알고리즘

       

      hash code

      - 무결성 인증 알고리즘 생성 합니다. 

      - 해시코드를 패킷에 첨부하여 상대에게 전송한다

      - 패킷을 수신한 측에서는 동일한 패킷에 동일한 암호를 적용하여 해시코드를 계산한다

      - 이것이 첨부된 해시코드와 동일하면 변조가 되지 않았다고 판단한다

       

       재생방지 (Anti-replay)

       

      재생방지란 공격자가 자신의 패킷을 도중에 끼워넣는 것을 방지하는 것으로 패킷의 순서번호나 도착시간을 확인하여 그 목적을 달설할 수 있다.

       

      -암호의 구분 및 용도

      => VPN에서는 인증, 데이터 암호화 및 변조 방지를 위하여 암호(키)가 필요

      - 양측에서 사용된 것이 동일한지의 여부에 따라 대칭키와 비대칭키로 구분

      => 대칭키

      양측에서 사용하는 암호가 동일한 것

      -> 대표적인 대칭키

      - 약측에 미리 설정된 암호(PSK, pre-shared key)

      - 디피-헬먼(Diffie-Hellman) 알고리즘에 의해서 생성된 키

       

      => 비대칭키

      한쪽에서 사용한 암호와 상대가 사용하는 암호가 서로 다른 것

      - 대칭키는 암호화 및 복호화에 사용되는 키가 서로 다름

      -> 대표적인 비대칭키

      - 개발자 이름을 딴 RSA(Rivest, Sharmir, Adelman)키

       

      [출처] [정보보안] VPN|작성자 이루다

       

       

       

       

       

       

       

      '네트워크 기초' 카테고리의 다른 글

      VPN 과 IPsec VPN 차이  (0) 2023.11.30
      IPsecVPN  (0) 2023.11.29
      DHCP  (0) 2023.11.27
      OSPF  (0) 2023.11.27
      3-Tier  (0) 2023.11.22

      관련글 관련글 더보기

    Designed by Tistory.

    티스토리툴바