정보보안기사&산업기사 필기 30장 요약 - VPN (네트워크 보안)

* 2020 조현준 정보보안기사 산업기사 필기 + 핵심기출 1200제 정보보안기사 & 산업기사 필기 교재를 기반으로 요약하였습니다.

Section 30. VPN (네트워크 보안)

1. VPN

▶ 공중 네트워크를 사용하여 사설 네트워크가 요구하는 서비스를 제공할 수있도록 네트워크를 구성한 것

1) 기능

• 데이터 기밀성 : 송수신되는 데이터를 제 3자가 그 내용을 파악하지 못하도록 암호화하여 전송

• 데이터 무결성 : 송수신 도중 데이터의 내용이 변경되지 않았음을 보장하는 방법, 암호화 및 전자성명을 이용

• 데이터 근원 인증 : 수신한 데이터가 해당 송신자에 의해 전송된 것임을 확일할 수 있는 서비스 제공

• 접근 통제 : 인증된 사용자에게만 접근을 허용하는 긴으으로 협상내용을 모르는 제3자의 접근을 통제하는 서비스 제공

2) 구현 기술

• 터널링 : 송신자와 수신자 사이의 전송로에 외부로부터의 침입을 막기 위해 일종의 파이프를 구성하는 것

• 암호화 : 정보의 기밀성을 제공하기 위해 대칭키 암호를 사용하고 키 교환을 위해 공개키 암호방식을 사용

• 메시지 인증 :MAC 또는 해시함수를 이용하여 인증

• 사용자 인증 : VPN 접속 요구 시 보안서버로부터 인증을 받아야 접속이 허가(공유키, 공개키, 인증서, 전자서명 등)

• 접근제어 : 인증된 사용자에게만 접근을 허용. 암호화된 패킷에는 적용 불가.

3) 계층별 터널링 프로토콜 비교

2. IPsec(IP Security Protocol)

▶ IP 계층(3계층)의 보안 프로토콜

• 네트워크 계층의 보안을 위해 AH 프로토콜과 ESP 프로토콜을 사용하여 보안 연관 서비스를 제공

• IPsec은 IPv4와 IPv6를 모두 지원한다. IPv6에서 AH와 ESP는 확장 헤더의 한 부분

1) IPsec의 헤더

• AH : 데이터와 순서번호 보유. 인증을 제공하지만 암호화 기능은 없음

• ESP : IP 페이로드를 암호화하여 데이터 기밀성을 제공

2) 제공 서비스

• 접근제어 : 보안 정책(SP, Security Policy)과 보안 연관을 통해 송수신 IP 패킷에 대한 시스템 접근을 제어

• 비연결 무결성 : MAC을 통해 각 IP 패킷 별로 무결성을 보장

• 데이터 송신처 인증 : MAC을 통해 제공

• 재전송 공격 방지 : 보안연관(SA, Security Association, 보안연계)에 순서번호를 유지하여 방지

• 기밀성 : 대칭 암호화를 통해 지원 (ESP 프로토콜에서만 지원)

• 제한된 트래픽 흐름의 기밀성 : ESP/터널모드 적용 시 새로운 IP 헤더를 통해 보안/터널 게이트웨이 구간 정보는 노출이 되지만 기존 IP 헤더에 있는 최초 출발지/목적지 정보는 암호화되어 노출되지 않음

3) 동작 모드 종류

• 전송 모드 : 호스트와 호스트간의 메시지 무결성 제공

• 터널 모드 : IP 패킷 전체를 보호

3. AH/ESP의 전송/터널 모드 비교