본문 바로가기

Network, Security

VPN(Virtual private Network) - 가상 사설망

VPN(Virtual private Network)

가상 사설망은 내부망과 외부의 사용자 또는 외부의 다른 내부망끼리 안전하게 통신을 위해 사용한다. 예를 들어 서울에 있는 사무실과 부산에 있는 사무실이 연결되려면 가장 무식한 방법은 전용선을 서울에서 부산까지 연결하는 것이다. 하지만 이 작업은 시간과 비용이 너무 많이 들고 관리가 어려워서 힘들다. 이때, VPN을 이용하면 전용선을 연결한 것과 같은 효과를 줄 수 있다. 서울 사무실과 부산 사무실 사이에 VPN 서버를 두고 서버를 통해 서로 할당된 포트만 열여서 연결한다. VPN 서버를 통해 통신을 하게되는데 통신시 전송되는 데이터는 캡슐화, 암호화되어 목적지에 도착할 때 까지 어떤 IP에서 출발했는지, 어디에 도착하는지, 어떤 데이터가 들어있는지 볼 수 없다. 이러한 연결과 통신 방식을 통해서 전용선을 연결한 것과 같은 효과를 줄 수 있다.

 

VPN의 장단점

  • 장점 : 방화벽 설정을 효율적으로 가능하다. - VPN에 할당된 포트만 열면 되기 떄문에 방화벽 룰 설정을 효율적으로 가능하다.
  • 단점 : 방화벽 정책을 우회할 수 있다. - 실제로 접속하려는 포트를 속여서 접속할 수 있다. 이러한 포트를 만들게 되면 은닉 채널을 만들 수 있으며 은닉 채널은 지나가는 패킷을 볼 수 있는 채널이다.

 

핵심 기술

VPN의 핵심 기술은 IP 추적이 불가능한 것이다. 이는 캡슐화 때문인데 데이터를 VPN을 통해 전송하게 되면 해당 데이터를 목적지까지 캡슐화하여 전송한다. 이때, 패킷을 캡쳐하여 확인해도 캡슐화된 부분이 노출되기 때문에 실제 IP를 알 수 없다. 또한 패킷의 내용이 들어있는 부분은 암호화되어 전송되기 때문에 패킷의 내용 또한 볼 수 없다.

우리나라 IP로 접근할 수 없는 페이지가 있을 경우 우리는 VPN을 이용하여 해당 사이트를 접속하는데, 이 때 사용하는 VPN은 VPN서버가 해외에 있는 경우이다. 즉, 우리나라에 있는 사용자가 해외에 있는 VPN 서버로 데이터를 전송하고 해당 VPN 서버가 접속할 페이지로 다시 캡슐화하여 데이터를 전송한다. 이런 과정을 통해 VPN을 이용하여 우리나라에서 접속못하는 사이트를 접속할 수 있게 해준다. 단, 해외의 서버를 통해서 전송되기 때문에 통신 속도의 저하가 발생할 수 있다.

VPN

 

VPN의 핵심 IPsec

VPN은 통신시 암호화 통신을 한다. 이때, 캡슐화를 진행하는데 그때 핵심이 되는게 IPsec이다. IPsec은 패킷을 캡슐화하여 원래 패킷은 숨기고 그위에 새로운 IP와 헤더를 붙여서 전송한다.

 

IPsec은 두 가지의 모드와 두 가지의 캡슐화 방식이 있다.

IPsec 모드

전송모드 : IP Payload 만 보호하는 모드이다.

터널모드 : 패킷 전체를 보호하는 모드이다.

 

IPsec 전송 방식

AH(인증) : 패킷의 무결성을 보장한다. AH는 암호화가 없는 상태로 전송 되므로 VPN으로써의 기능을 할 수 없다.

AH + 전송모드
AH + 터널모드

 

ESP(암호화) : 패킷의 무결성과 기밀성을 보장한다. ESP + 터널 모드가 VPN의 핵심 기술이다. ESP + 터널모드를 사용하면 원본 패킷은 암호화되고 무결성 검사까지 하며 ESP로 인해 캡슐화되어 새로운 IP를 노출시키고 기존의 원본 패킷에 대한 데이터는 모두 숨긴다.

ESP + 전송모드

ESP + 터널모드

 

반응형

'Network, Security' 카테고리의 다른 글

DTLS(Datagram Transport Layer Security)  (0) 2021.01.03
DMZ(DeMilitarized Zone)  (0) 2021.01.01
SOAR(Security Orchestration Automation & Response)  (0) 2020.12.29
EDR / EPP  (0) 2020.12.29
APT(Advanced Persistence Threat)란?  (0) 2020.12.28