보안이 강화 된 VPN 용 프로토콜 인 IPSec이란 무엇이며 작동 방식

VPN은“Virtual Private 네트워크“또는 가상 사설망으로도 알려져 있으며 인터넷 네트워크를 통해 LAN 통신을 확장 할 수있는 네트워크 기술이며 암호화를 사용하여이 모든 것을 완전히 안전한 방식으로 확장 할 수 있습니다. VPN을 사용하면 컴퓨터가 공유 또는 공용 네트워크에서 데이터를 보내고받을 수 있지만 논리적으로 모든 기능, 권한, 보안, 관리 정책 등을 사용하여 개인 네트워크에 있습니다.

VPN의 매우 일반적인 용도는 다음과 같습니다.

• 인터넷 연결을 사용하여 회사의 두 개 이상의 사무실을 서로 연결할 수 있습니다.
• 기술 지원 팀의 구성원이 집에서 회사로 연결할 수 있습니다.
• 사용자가 호텔과 같은 원격 사이트에서 집 컴퓨터에 액세스 할 수 있습니다.

이러한 모든 용도는 항상 우리 모두가 잘 알고있는 인터넷 인프라를 통해 이루어집니다.

VPN 내에는 주로 원격 액세스 VPN (Roadwarrior VPN 또는 모바일 클라이언트)과 Site-to-Site VPN (Site-to-Site VPN)의 두 가지 VPN 아키텍처가 있습니다. 필요에 따라 아키텍처를 구성해야합니다.

• 원격 액세스 VPN (Roadwarrior 또는 모바일 클라이언트) :이 VPN 아키텍처는 한 명 이상의 사용자가 VPN 서버에 연결하고 가정이나 회사의 모든 공유 리소스에 액세스 할 수 있도록 설계되었으며, 또한 트래픽 리디렉션을 수행 할 수 있습니다. VPN 서버 (및 VPN 서버의 공용 IP)를 통해 인터넷으로 이동합니다. 이러한 유형의 VPN은 인터넷을 통한 안전한 브라우징을 제공하는 것이 목적인 NAS 서버, 라우터 및 기타 장치에서 구성 할 수있는 가장 일반적인 VPN입니다. 이러한 엔터프라이즈 수준 VPN은 추가 인증이 필요한 영역 및 내부 네트워크 서비스를 격리하는 역할도 할뿐만 아니라 가정과 회사 모두에서 WiFi 연결을 사용하여 다른 암호화 계층을 추가 할 때마다 좋은 생각이 될 수 있습니다.
• 사이트 간 VPN (VPN 사이트 간) :이 VPN 아키텍처는 서로 다른 사이트를 상호 연결하도록 설계되었습니다. 예를 들어 회사가 서로 다른 사이트를 가지고 있다면 VPN을 통해 서로 연결하고 모든 리소스에 액세스 할 수 있습니다. 연결 설정은 원격 액세스 VPN의 경우처럼 최종 클라이언트에서 수행되지 않지만 라우터 또는 방화벽에 의해 수행됩니다. 이러한 방식으로 트래픽이 이동하더라도 전체 네트워크는 "하나"로 간주됩니다. 여러 VPN 터널을 통해.

다음 이미지에서 사이트 간 VPN (왼쪽)과 원격 액세스 VPN (오른쪽)의 두 모델이 모두 포함 된 VPN 아키텍처를 볼 수 있습니다.

보안을 유지하려면 VPN이 무엇을 보장해야합니까?

VPN (가상 사설망)을 통한 연결의 보안을 보장하려면 특정 기능이 보장되어야합니다. 그렇지 않으면 신뢰할 수없는 VPN에 직면 할 수 있습니다. IPsec 프로토콜은 기업에서 널리 사용되는 보안 VPN 프로토콜이기 때문에 이미 모든 프로토콜을 준수 할 것으로 예상합니다.

인증

인증은 VPN에서 가장 중요한 프로세스 중 하나이며,이 기능을 사용하면 사용자가 자신이 실제로 누구인지를 알 수 있습니다. 이를 증명하는 방법은 암호를 입력하거나 디지털 인증서를 사용하거나 두 가지 인증 형식을 조합하는 것입니다. 호스트가 소스에서 IPsec 데이터 그램을 수신하면 호스트는 데이터 그램의 소스 IP 주소가 이전에 성공적으로 인증 되었기 때문에 데이터 그램의 실제 소스인지 확인합니다.

기밀 유지

기밀성은 VPN의 또 다른 기본 특성입니다. 기밀성은 정보가 승인 된 엔터티 만 액세스 할 수 있어야 함을 의미합니다. 즉, 모든 통신은 지점 간 암호화되며 이전에 시스템에서 인증 한 사람 만 해당 정보에 액세스 할 수 있습니다. 교환 된 모든 정보를 해독 할 수 있습니다. 누군가가 통신의 중간에 들어 와서이를 캡처 할 수 있다면 대칭 또는 비대칭 키 암호화를 사용하기 때문에 암호를 해독 할 수 없습니다.

진실성

인증과 기밀성은 무결성만큼이나 중요합니다. 무결성이란 통신의 출처와 목적지 사이에 정보가 수정되지 않았 음을 보장 할 수 있음을 의미합니다. VPN의 모든 통신에는 오류 감지 코드가 포함되며 정보가 수정되지 않습니다. 수정되는 경우 패킷은 자동으로 삭제되며 보안상의 이유로 VPN 터널 충돌이 발생할 수도 있습니다. IPsec 프로토콜을 통해 수신 호스트는 데이터 그램이 대상으로 이동하는 동안 데이터 그램 헤더 필드와 암호화 된 페이로드가 수정되지 않았는지 확인할 수 있습니다.

VPN에 인증과 기밀성이 있지만 무결성이 없다고 가정 해 봅시다. 통신 중에 사용자가 일부 값을 수정하면 10 유로의 송금 대신에 1,000 유로로 변환 할 수 있습니다. 무결성 기능 덕분에 비트가 수정 되 자마자 패킷이 폐기되고 다시 전송 될 때까지 기다립니다.

나는 부인하지 않는다

이러한 암호화 특성은 디지털 인증서 또는 사용자 이름 / 암호 쌍에 의해 서명 되었기 때문에 정보를 보내지 않았다고 말할 수 없음을 의미합니다. 이러한 방식으로 사용자가 특정 정보를 보냈는지 확인할 수 있습니다. 부인 방지는 누군가 사용자 이름 / 암호 쌍 또는 디지털 인증서를 훔칠 수있는 경우에만 "회피"될 수 있습니다.

액세스 제어 (승인)

인증 된 참가자가 권한이있는 데이터에만 액세스 할 수 있도록하는 것입니다. 사용자의 신원을 확인하고 액세스 권한이있는 사용자로 제한해야합니다. 비즈니스 환경에서 이것은 매우 중요합니다. 사용자는 물리적 인 것과 동일한 액세스 수준과 동일한 권한을 가져야합니다. 또는 더 적은 권한을 가져야하지만 물리적으로 가진 권한보다 더 많은 권한을 가져서는 안됩니다.

활동 등록

적절한 작동과 복원력을 보장하는 것입니다. VPN 프로토콜은 소스 IP 주소, 인증 한 사람 및 제공된 가상 IP 주소를 기반으로 시스템에서 수행중인 작업을 포함하여 설정된 모든 연결을 기록해야합니다.

서비스 품질

전송 속도에 허용 할 수없는 저하가없는 것은 좋은 성능을 보장하는 것입니다. VPN 연결을 설정할 때 모든 트래픽이 점대 점으로 암호화되기 때문에 항상 실제 속도가 떨어지고 VPN 서버와 클라이언트의 강도에 따라 더 높거나 낮은 속도를 얻을 수 있습니다. 저속. VPN 배포를 시작하기 전에 장비의 하드웨어와 우리가 가질 수있는 최대 대역폭을 확인해야합니다.

IPsec 소개

IPsec 프로토콜은 가장 중요한 보안 프로토콜 중 하나이며 회사와 가정 사용자에게 널리 사용됩니다. 최근에는 제조 업체 등 ASUS, AVM 및 D-Link까지도 IPsec 프로토콜을 기반으로 홈 라우터에 VPN을 통합하고 있습니다. 이 프로토콜은 IP 계층과 TCP 및 UDP (인터넷 전송 계층)와 같은 모든 상위 프로토콜에 보안 서비스를 제공합니다. IPsec 덕분에 우리는 두 개 이상의 회사가 서로 또는 집에있는 사용자와 같이 안전한 방식으로 인터넷의 서로 다른 지점간에 통신 할 수 있습니다. IPsec은 두 "세계"의 VPN 요구 사항에 완벽하게 적합합니다.

IPsec의 매우 중요한 기능은 OSI (네트워크 계층)의 계층 3, OpenVPN 또는 기타 VPN 프로토콜에서 작동한다는 것입니다. 와이어 가드 계층 4 (전송 계층)에서 작동합니다. 후자의 두 계층은 각각 TLS와 DTLS를 기반으로 보안을 유지합니다. IPv4 네트워크의 IPsec은 IP 헤더 바로 위에 있지만 IPv6 네트워크에서는 "확장"섹션의 헤더 자체에 통합 (ESP)됩니다.

IPsec은 앞서 설명한 것처럼 통신 보안에 필요한 모든 서비스를 제공합니다. 이러한 서비스는 다음과 같습니다. 인증, 기밀성, 무결성 및 부인 방지 . 이러한 서비스 덕분에 통신 보안이 보장됩니다. 물론 액세스 제어, 서비스 품질 및 활동 로그도 있습니다.

IPsec의 또 다른 매우 중요한 기능은 두 VPN 아키텍처 모두 허용 , 원격 액세스 VPN 및 사이트 간 VPN 모두. 암호화 협상과 관련하여 IPsec은 협상 시스템을 통합하여 최종 팀이 지원하는 최상의 암호화를 협상하고 교환 키에 동의하며 공통된 암호화 알고리즘을 선택하도록합니다. 사용 된 IPsec 헤더 (AH 또는 ESP)에 따라 패킷의 진위 여부 만 확인하거나 전체 IP 패킷의 페이로드를 암호화하고 진위도 확인할 수 있습니다.

두 호스트가 IPsec 세션을 설정하면 TCP 세그먼트와 UDP 데이터 그램이 암호화되고 인증 된 사이에 전송되며, 또한 누군가가이를 수정하지 못하도록 무결성을 검사합니다. 따라서 IPsec은 통신 보안을 보장합니다.

IPsec의 몇 가지 장점은 모든 IETF 표준에서 지원되며 모든 장치가 호환되어야하는 VPN "표준"을 제공한다는 것입니다. IPSec은 OpenVPN 또는 WireGuard보다 훨씬 널리 사용되는 VPN의 "표준"이기 때문에 모든 통신 장비로부터 매우 중요한 지원을 받고 있습니다. 다음과 같은 모든 버전의 PC 운영 체제 Windows or Linux, MacOS 용 Apple 컴퓨터 및 Android 및 iOS IPsec 프로토콜을 지원합니다. 또한, 또 다른 매우 중요한 특징은 표준으로서 제조업체 간의 상호 운용성이있어 사용자에 대한 보증을 구성한다는 것입니다. IPSec의 또 다른 주목할만한 특징은 개방형 표준으로서의 특성이며 PKI (Public Key Infrastructure) 기술로 완벽하게 보완됩니다.

IPsec은 공개 키 기술 (RSA 또는 타원형 곡선), 대칭 암호화 알고리즘 (주로 AES, Blowfish 또는 3DES와 같은 다른 항목도 지원함), 해싱 알고리즘 (SHA256, SHA512 등) 및 X509v3 기반 디지털 인증서를 결합합니다.

IPsec 헤더

IPsec 프로토콜에는 여러 헤더가있는 아키텍처가 있습니다. "보장"하려는 항목에 따라 하나 또는 다른 헤더를 선택할 수 있으며 동일한 IPsec 터널에서 두 헤더를 동시에 선택할 수는 없습니다. 이 프로토콜에있는 헤더는 다음과 같습니다.

• 인증 헤더 (AH)
• 캡슐화 된 보안 페이로드 (ESP)

다음으로 두 헤더가 어떻게 작동하는지 자세히 설명하겠습니다.

인증 헤더 (AH)

이 헤더는 전송 된 IP 패킷에 인증 및 무결성을 제공하고이 IPsec 기능을 제공하기 위해 HMAC 지문을 사용합니다. 프로토콜 자체는 IP 패킷의 내용에 대한 해시 함수를 계산하는 역할을합니다.이 프로토콜에서 사용하는 해시 함수 중 일부는 안전하지 않은 MD5 또는 SHA-1이지만 안전한 SHA256 또는 SHA512도 지원합니다. .

이 헤더는 IP 패킷의 수신자에게 데이터의 출처를 인증하고 해당 데이터가 통신에서 변경되지 않았는지 확인하는 방법을 제공합니다. 매우 중요한 세부 사항은 이 헤더는 기밀성을 제공하지 않습니다. IP 패킷의 데이터를 암호화하지 않기 때문에 TLS 보안이 적용된 HTTPS 또는 FTPES와 같은 프로토콜을 사용하지 않는 한 제 XNUMX자가 교환 된 정보를 볼 수 있습니다.

AH는 표준 IP 헤더 (IPv4 및 IPv6 네트워크 모두)와 전송 된 데이터 사이에 삽입되는 인증 헤더입니다. 이 전송 된 데이터는 TCP, UDP 또는 ICMP 메시지 일 수 있으며 전체 IP 데이터 그램 일 수도 있습니다. AH 헤더 내에서 상위 계층 데이터가 표시되는 위치에 추가로 AH는 TOS, TTL, 플래그, 오프셋 및 체크섬과 같은 변수 변경을 제외하고 IP 헤더 자체의 무결성과 신뢰성을 보장합니다.

AH 프로토콜의 작동은 다음과 같습니다.

1. 보낸 사람은 전송할 메시지에서 해시 함수를 계산합니다. "인증 데이터"필드의 AH 헤더에 복사됩니다.
2. 데이터는 인터넷을 통해 전송됩니다.
3. 패킷이 수신자에게 도달하면 해시 함수를 적용하고 이미 가지고있는 것과 비교합니다 (둘 다 동일한 공유 비밀 키를 가짐).

지문이 일치하면 데이터 그램이 수정되지 않았 음을 의미하며 그렇지 않으면 정보가 변조되었다고 주장 할 수 있습니다.

캡슐화 된 보안 페이로드 (ESP)

캡슐화 보안 페이로드 (ESP라고도 함)는 IPsec을 통해 전송되는 데이터의 인증, 무결성 및 기밀성을 제공합니다. 즉,이 경우 전송 된 메시지를 암호화하지 않는 AH와 달리 모든 통신이 기밀이되도록 전체 데이터 필드를 암호화합니다. 이러한 보안 기능을 달성하기 위해 Diffie-Hellmann을 사용하여 공개 키 교환을 수행하여 두 호스트 간의 통신을 보장합니다.

IPsec에 통합 된 ESP 프로토콜의 주요 기능은 데이터에 기밀성을 제공하는 것입니다.이를 위해 ESP는 암호화를 정의하고 데이터가 새 IP 데이터 그램에 위치하는 방식을 정의합니다. 인증 및 무결성을 제공하기 위해 ESP는 AH와 유사한 메커니즘을 사용합니다. ESP는 AH보다 더 많은 기능을 제공하기 때문에 헤더 형식은 더 복잡합니다.이 형식은 헤더와 꼬리 (패킷 끝에 배치됨)로 구성되므로 ESP는 전송 된 데이터를 "둘러싸고"있습니다. 데이터와 관련하여 ESP를 사용하면 TCP, UDP, ICMP 및 전체 IP 패킷과 같은 모든 IP 프로토콜을 사용할 수 있습니다.

ESP 패킷의 구조는 다음과 같습니다.

ESP는 TCP / IP 내의 네트워크 수준에 속합니다. 데이터 영역은 완전 암호화 Walk Through California 프로그램, 데이터 그램 자체 인증을 통해 보안을 강화할 수도 있습니다. 데이터 암호화는 다음을 사용하여 수행됩니다. 대칭 키 알고리즘 , 일반적으로 블록 암호 (예 : AES)가 사용되며 데이터 암호화는 블록 크기 , 이러한 이유로 우리는 채우기 필드 인 "패딩"이 있습니다.

데이터를 암호화하기 위해 보낸 사람은 먼저 키를 사용하여 원본 메시지를 암호화하고 새 IP 데이터 그램 (ESP 헤더로 보호됨)에 삽입합니다. 누군가가 메시지를 가로채는 가상의 경우 (Man In The Middle), 메시지를 해독 할 비밀 키가 없기 때문에 의미없는 데이터 만 얻게됩니다. 메시지가 대상에 도달하면 데이터에 비밀 키를 적용하고 패킷을 해독합니다.

가장 널리 사용되는 알고리즘은 AES 모든 버전 (128 및 256 비트) 및 다음과 같은 다양한 암호화 모드 AES-CBC, AES-CFB 및 AES-OFB . 그러나 AEAD가 제공하는 AES-GCM을 사용하는 것이 좋으며 다른 것보다 훨씬 더 안전합니다. 따라서 사용하는 것이 필수적입니다 모든 데이터를 보호하는 좋은 암호화 알고리즘 , 안전한 방식으로 키를 배포하는 것이 매우 중요합니다. 민감한 문제는 통신의 양쪽이 알고리즘과 인증에 동의한다는 것입니다. 이것은 IKE 프로토콜에 의해 수행됩니다.

IKE : 정의 및 용도

이 IKE (Internet Key Exchange) 프로토콜은 다음을 설정하는 데 필요한 키를 생성하고 관리하는 데 사용됩니다. AH (인증 헤더) 및 ESP (Encapsulated Security Payload) 연결 . IPsec 연결의 두 명 이상의 참가자는 안전한 방식으로 연결을 설정할 수 있도록 암호화 유형 및 인증 알고리즘에 어떤 방식 으로든 동의해야합니다. 이 구성은 채널의 양쪽 끝에서 수동으로 수행하거나 프로토콜 ( IKE 프로토콜 ) 참가자의 자동 협상을 처리합니다 (SA = Security Association).

IKE 프로토콜은 키의 관리 및 관리뿐만 아니라 해당 참가자 간의 연결 설정도 담당합니다. IKE는 IPsec에있을뿐만 아니라 OSPF 또는 RIP와 같은 다른 라우팅 알고리즘에서도 사용할 수 있습니다.

IKE 협상 단계

보안 채널의 설정은 IKE 통신을 암호화하기 위해 Diffie-Hellman과 같은 키 교환 알고리즘을 사용하여 수행됩니다. 이 협상은 단일 양방향 SA를 통해 수행됩니다. 인증은 PSK (공유 키) 또는 RSA 인증서와 같은 다른 방법을 통해 이루어질 수 있습니다. 생성 된 보안 채널을 사용하여 IPsec (또는 기타 서비스) 보안 연결이 협상됩니다.

IKE의 일부 기능

IKE 지원 NAT 통과 , 참가자 중 한 명 또는 두 명 모두가 NAT 뒤에 있어도 많은 문제없이 연결할 수 있습니다. 그러나 NAT 뒤에있는 경우 VPN 서버에서 포트를 열어야합니다. 시퀀스 번호와 ACK는 신뢰성을 제공하는 데 사용되며 오류 처리 시스템도 포함합니다. IKE는 서비스 거부 공격에 내성이 있으며 IKE는 요청 엔드 포인트가 실제로 존재하는지 확인할 때까지 아무 조치도 취하지 않으므로 가짜 IP 주소의 공격으로부터 보호합니다.

현재 IKEv2는 모든 전문 방화벽 및 라우터에 널리 구현되어 있지만 아직 Android 또는 iOS 세계에서는 완전히 확장되지 않았습니다. 삼성 스마트 폰 사용자는 IKEv2로 IPsec을 지원합니다. Windows, Linux 및 macOS 운영 체제는이 프로토콜을 지원합니다.

IKEv2 : 변경된 사항

IKEv2는 널리 사용되는이 인터넷 키 교환 프로토콜의 두 번째 버전으로, NAT 통과에 대한 개선 사항을 통합하여 일반적으로 방화벽을 통과하고 쉽게 통신 할 수 있도록합니다. 또한 새로운 이동성 표준을 지원하여 매우 빠르게 통신을 재 연결할 수있을뿐만 아니라 스마트 폰, 태블릿 또는 노트북 사용자에게 이상적인 멀티 홈 (멀티 오리진)도 허용합니다. IKEv2는 VoIP에서 사용되는 SCTP를 사용할 수 있으며, 메시지 교환이 더 간단하며 가장 안전한 암호화 메커니즘 만 허용하는 암호화 메커니즘이 적습니다. 안전하지 않은 암호로 VPN을 사용하는 이유는 무엇입니까? IKEv2는 가장 안전한

작동 모드 : 운송 또는 터널

IPsec은 인증 헤더 (AH)와 캡슐화 된 보안 페이로드 (ESP) 모두에 대해 매우 다른 두 가지 작동 모드를 제공합니다. 이러한 작동 모드는 패킷 주소 지정 방식이 다릅니다. 다음으로 둘의 차이점을 더 자세히 설명합니다.

운송 모드

AH 또는 ESP 헤더는 원래 IP 주소가 유지되는 방식으로 데이터 영역과 IP 헤더 사이에 삽입됩니다. AH 또는 ESP 데이터 그램에 캡슐화 된 콘텐츠는 전송 계층에서 직접 가져옵니다. 따라서 IPsec 헤더는 IP 헤더 뒤와 전송 계층에서 제공하는 데이터 바로 앞에 삽입됩니다. 이러한 방식으로 페이로드 만 암호화되고 인증됩니다. 데이터 그램의 체계는 다음과 같습니다.

전송 모드는 종단 간 통신을 보장하지만 종단은 서로를 이해하기 위해 IPsec 프로토콜의 존재를 인식해야합니다.

터널 모드

터널 모드에서는 ESP가 사용되는 경우 전체 IP 패킷 (헤더 + 데이터)이 암호화되고 인증됩니다. 이 패킷은 새 IP 패킷에 캡슐화되므로 IP 주소는 마지막 IP 패킷의 주소로 변경됩니다. 따라서 AH 또는 ESP 헤더가 원래 패킷에 추가 된 다음 네트워크를 통해 패킷을 라우팅하는 역할을하는 IP 헤더가 추가됩니다.

터널 모드는 일반적으로 네트워크와 네트워크를 통신하는 데 사용되지만 네트워크와 컴퓨터를 통신하고 컴퓨터와 컴퓨터를 통신하는데도 사용할 수 있습니다 (실제로 사용됨). 이 작동 모드를 사용하면 노드가 통신중인 다른 노드로부터 자신의 ID를 더 쉽게 숨길 수 있습니다. 터널 모드를 사용하면 VPN 클라이언트 전용 서브넷을 가질 수 있습니다. 터널 모드는 주로 IPSec 게이트웨이가 동일한 IP 주소에서 보호하는 네트워크를 식별하여 컴퓨터에서 IPSec 트래픽 처리를 중앙 집중화하기 위해 사용합니다.

다음 이미지에서 항상 ESP를 사용하는 두 운영 체계 간의 비교를 볼 수 있습니다.

두 가지 작동 모드를 살펴보면 IPsec에 어떤 인증 방법이 있는지 살펴 보겠습니다.

인증 방법

IPsec 프로토콜에는 공유 키, RSA 디지털 서명, X.509 디지털 인증서 및 XAuth 사용자 그룹을 통한 인증의 총 XNUMX 가지 인증 방법이 있습니다. IPsec을 구현하려는 시나리오에 따라 하나 또는 다른 인증 방법이 사용되며 이러한 각 방법에는 언급 할 장단점이 있습니다. 다음으로이 네 가지 방법에 대해 자세히 설명합니다.

공용 열쇠

공유 키는 통신의 두 끝만 IPsec 연결을 설정하기 위해 알 수있는 문자열 (일생의) 문자열로 구성된 키입니다. 인증 알고리즘 (HASH)을 사용하여 해당 키를 공개 할 필요없이 키가 올바른지 확인합니다. 이 방법의 보안을 유지하려면 통신에 참여하는 각 참가자 쌍에 대한 키가 있어야합니다. 이 유형의 인증은 많은 수의 키가 있기 때문에 많은 참가자에게 적합하지 않습니다.

연결에서 키를 교환하는 데 해시가 사용되지만이 연결 전에 키가 통신의 양쪽 끝에 있어야하므로 키가 전송 될 때 캡처되었는지 확인할 수 없습니다. 우리는 손으로 배달하는 경우에만 안전을 보장 할 수 있습니다. 이 기술은 소규모 네트워크에 유용하지만 중대형 네트워크에서는 완전히 실현 불가능합니다.

RSA 디지털 서명

IPsec은 자동 키 관리 및 보안을 위해 IKE 프로토콜과 함께 작동하며 공개 및 개인 키 쌍을 통한 키의 안전한 교환을 위해 RSA 디지털 서명을 사용합니다. 이러한 키는 공유 키와 동일한 문제가 있습니다. 어떻게 든 키를 "다른 쪽"로 보내야하지만 IKE 프로토콜을 사용하여 안전하게 키를 수정할 수 있습니다.

따라서 네트워크 보안을 위해 이러한 키를 정기적으로 변경하는 것이 좋습니다. 이러한 RSA 서명은 네트워크에 인증 및 기밀성을 제공합니다.

X.509 인증서

IPsec에서 가장 안전한 인증 형식 중 하나는 디지털 인증서를 사용하여 해당 CA (인증 기관), 서버의 디지털 인증서 및 클라이언트의 디지털 인증서를 사용하여 PKI (공개 키 인프라)를 만드는 것입니다. 이러한 디지털 인증서 덕분에 매우 강력한 인증을 설정할 수있을뿐만 아니라 디지털 인증서로 작업 할 수도 있습니다. 이러한 인증서에는 소유자의 공개 키와 해당 ID가 포함되어 있습니다. 소유자는 또한 유효성 검사시 작동 할 공개 및 개인 키 쌍을 가지고 있습니다.

이러한 인증서를 사용하면 IPsec 통신에 관련된 노드를 인증하기 위해 PKI 프로토콜이 장면에 나타납니다. 이 PKI를 사용하면 새 인증서를 만들고 다른 인증서를 제거하는 작업에 도움이됩니다. 디지털 인증서의 유효성은 PKI에 의해 부여되며이 PKI는 공개 키와 소유자의 ID를 포함하는 CA를 통합합니다. IPsec 연결과 관련된 엔드 포인트는 CA의 복사본 (CA의 공개 키)을 소유하고 있으므로 CA를 유효한 것으로 인식합니다.

인증서 유효성 검사는 PKI에 저장된 CRL (인증서 해지 목록)을 사용하여 수행됩니다. 모든 참가자는 지속적으로 업데이트되는이 CRL의 사본을 갖게됩니다.

XAuth 사용자 그룹 인증

이 방법은 이전에 본 디지털 인증서 (X.509)에 사용자 및 암호를 추가하여 인증서 유효성 검사와 별도로 사용자 및 암호의 유효성도 검사합니다. 이러한 사용자 및 암호를 확인하기 위해 Radius 서버를 사용하거나 사용자 및 암호 목록이있는 작은 데이터베이스를 직접 사용할 수 있습니다.

연결 설정

IPsec 터널의 협상은 통신의 두 끝 사이에 암호화되고 인증 된 연결을 제공하는 IKE 프로토콜을 통해 수행됩니다. 연결 절차에서 IPsec 연결을 설정하는 데 사용되는 키와 보안이 동의됩니다. 연결 절차는 두 가지 다른 부분으로 수행됩니다. 이 두 부분을 아래에서 설명합니다.

1. 연결에 대한 인증 및 보안 제공

연결을 보호하기 위해 대칭 암호화 알고리즘과 HMAC 서명이 사용됩니다. 키는 Diffie-Hellman과 같은 키 교환 알고리즘을 사용하여 교환됩니다. 이 방법은 참가자가 자신이 말하는 사람임을 보장하지 않으므로 사전 공유 키 또는 디지털 인증서를 사용합니다.

통신의 첫 번째 부분은 보안 매개 변수가 합의되고 통신 채널이 보안되면 종료됩니다.

2. 데이터의 기밀성을 제공합니다.

우리가 설정 한 IKE 보안 채널은 특정 IPsec 보안 매개 변수 (AH 또는 ESP 헤더, 인증 알고리즘 등)를 협상하는 데 사용됩니다. 이러한 특정 매개 변수에는 VPN을 더욱 강력하게 만드는 데 적극 권장되는 PFS (Perfect Direct Confidentiality)를 구성한 경우 보안을 강화하기 위해 새로운 Diffie-Hellman 키가 포함될 수 있습니다.

IPsec에서 제공하는 보안 서비스

기밀 유지

기밀 서비스는 ESP 프로토콜에 포함 된 암호화 기능을 통해 획득됩니다. 이 경우 데이터의 무결성이 보장되지 않으면 암호화가 쓸모가 없으므로 인증 옵션을 활성화하는 것이 좋습니다. 이는 전송중인 사람이 데이터를 해석 할 수 없지만 유효한 트래픽으로 허용되는 메시지 수신자에게 의미없는 트래픽을 전송하여 변경 될 수 있기 때문입니다.

트래픽 암호화를 제공하는 것 외에도 ESP 프로토콜에는 수행중인 통신 유형을 숨기는 도구도 있습니다. 이를 위해 패킷 데이터의 내용에 채우기 문자를 입력 할 수 있으므로 패킷의 실제 길이가 숨겨집니다. 이는 공격자가 암호화 된 트래픽의 특성을 연구하여 유용한 정보를 추론 할 수 있도록하는 트래픽 분석 기술에 대한 유용한 보호입니다.

데이터 원본의 무결성 및 인증

AH 프로토콜은 암호화가 필요하지 않은 경우 가장 적합합니다. ESP 프로토콜 인증 옵션은 유사한 기능을 제공하지만 AH와 달리이 보호에는 IP 헤더가 포함되지 않습니다. 앞서 언급했듯이이 옵션은 IP 패킷 콘텐츠의 불변성을 보장하는 것이 중요한 애플리케이션에 매우 중요합니다.

반복 감지

인증은 IP 스푸핑으로부터 보호하지만 공격자는 여전히 유효한 패킷을 캡처하여 대상으로 전달할 수 있습니다. 이 공격을 피하기 위해 ESP와 AH는 모두 반복되는 패킷을 감지하는 절차를 통합합니다. 상기 절차는 ESP 또는 AH 헤더에 포함 된 시퀀스 번호를 기반으로하며, 발신자는 전송하는 각 데이터 그램에 대해 해당 번호를 증가시키고 수신자는이를 확인하므로 반복되는 패킷은 무시됩니다.

이 시퀀스는 두 프로토콜 (AH 및 ESP) 중 하나에 대한 무결성 옵션을 통해 보호되고이 번호를 수정하면 패키지의 무결성 검사에서 오류가 발생하므로 공격자가 수정할 수 없습니다.

액세스 제어 : 인증 및 권한 부여

ESP와 AH를 사용하려면 키에 대한 지식이 필요하며, 이러한 키는 두 노드가 서로를 인증하는 IKE 세션을 통해 안전한 방식으로 배포되므로 원하는 컴퓨터 만 통신에 참여할 수 있습니다.

IPSec은 권한 부여 기능도 제공하므로 유효한 인증이 리소스에 대한 전체 액세스를 의미하지는 않는다는 점을 명확히 할 가치가 있습니다. IKE 협상 중에 IPSec 연결을 통해 순환 할 IP 트래픽의 흐름이 지정됩니다. 이 사양은 프로토콜, 소스 및 대상 포트의 IP 주소, "TOS"바이트 및 기타 필드를 고려할 때 패킷 필터와 유사합니다. 예를 들어, IPSec을 사용하여 지점에서 센터의 로컬 네트워크로의 액세스를 허용 할 수 있습니다.

나는 부인하지 않는다

디지털 인증서 인증과 함께 IKE를 사용하여 부인 방지 서비스가 가능합니다. 이 경우 인증 절차는 참가자의 ID가 포함 된 메시지의 디지털 서명을 기반으로합니다. 이 서명은 공개 키와 디지털 인증서가 보장하는 ID 간의 링크 덕분에 특정 컴퓨터와 IPSec 연결이 설정되어 거부 할 수 없다는 확실한 증거입니다. 그러나 실제로이 테스트는 IKE 협상 메시지를 저장해야하므로 더 복잡합니다.

L2TP / IPsec – 이것은 무엇입니까?

L2TP (Layer 2 Tunneling Protocol)는 IETF 워킹 그룹이 PPTP의 상속인으로 설계 한 VPN에 사용되는 프로토콜로,이 프로토콜의 단점을 수정하고 표준으로 자리 잡기 위해 만들어졌습니다. L2TP는 PPP를 사용하여 전화 접속 액세스를 제공하며, 이는 인터넷을 통해 지정된 지점으로 터널링 될 수 있습니다. L2TP에는 PPP, PAP 및 CHAP의 인증 메커니즘이 포함되어 있으며 PPTP와 유사하게 RADIUS와 같은 이러한 인증 프로토콜의 사용을 지원합니다.

L2TP는 원격 LAN에 대한 액세스 및 액세스를 지원하는 다중 프로토콜을 제공하지만 특별히 강력한 암호화 특성은 없습니다. 인증 작업은 터널의 끝점 사이에서만 수행되며 터널을 통과하는 각 패킷에 대해서는 수행되지 않습니다. 이로 인해 터널 내부에서 스푸핑이 발생할 수 있습니다. 각 패킷의 무결성을 확인하지 않고 기본 L2TP 터널 또는 PPP 연결을 종료하는 가짜 제어 메시지를 사용하여 서비스 거부 공격을 수행 할 수 있습니다.

L2TP는 사용자 데이터 트래픽을 강력하게 암호화하지 않으므로 데이터를 기밀로 유지해야 할 때 문제가 발생합니다. 패킷에 포함 된 정보를 암호화 할 수 있다는 사실에도 불구하고이 프로토콜에는 자동 키 생성 또는 자동 키 새로 고침을위한 메커니즘이 없습니다. 이를 통해 네트워크에서 청취하고 단일 키를 발견 한 사람에게 전송 된 모든 데이터에 액세스 할 수있는 권한을 줄 수 있습니다.

L2TP의 이러한 모든 약점을 고려하여 IETF는 L2TP 터널을 통해 이동하는 데이터를 보호하기 위해 IPsec 프로토콜 자체의 프로토콜을 사용하기로 결정했습니다. 이러한 이유로 두 프로토콜이 동시에 사용되고이 공동 프로토콜이 널리 사용되기 때문에 항상 "L2TP / IPsec"로 작성됩니다. L2TP는 "링크"계층 수준의 프로토콜이고 보안이 없다고 말할 수 있지만 IPSec은이 프로토콜의 사용이 안전하도록 네트워크 계층에서 보안을 제공합니다.

이러한 이유로 두 프로토콜 모두 보안 VPN 연결을 사용하는 데 사용되기 때문에 항상 L2TP / IPSec 명명법을 함께 찾습니다.

결론

IPSec은 매우 강력하고 유연한 보안 표준입니다. 그 중요성은 IP 프로토콜의 기존 부족 인 보안을 해결한다는 사실에 있습니다. IPSec 덕분에 이제 기업 간의 비즈니스 트랜잭션과 같은 중요한 애플리케이션에 IP 네트워크를 사용할 수 있습니다. 동시에 애플리케이션에 관계없이 보안이 필요한 시나리오에 이상적인 솔루션이므로 IP 네트워크 보안의 필수 요소입니다. IPSec 프로토콜은 이미 오늘날 IP 네트워크의 기본 보안 구성 요소 중 하나입니다.