VPN

이번 포스팅에서는 vpn에 대해서 다뤄 보도록 하겠습니다.

 

VPN이란?

가상 사설망(VPN)은 사용자가 사설망에 연결된 것처럼 인터넷에 액세스할 수 있도록 하는 인터넷 보안 서비스입니다. 따라서 인터넷 통신을 암호화할 뿐만 아니라 강력한 익명성을 제공합니다. VPN을 이용하는 가장 일반적인 이유 중 일부는 공용 WiFi에서 스누핑을 방지하거나, 인터넷 검열을 우회하거나, 원격작업을 위해 기업 내부 네트워크에 연결하는 것입니다.

 

그렇다면 왜 사설망이 아니라 가상 사설망을 쓸는 것일까요? 직접 사설망을 구축하여 전용회선으로 쓸 수 있습니다. 본사와 지사간에 사설망을 직접 구축하여 쓰면 데이터의 안전이 보장되고 안정적인 트래픽을 유지할 수 있습니다. 

 

하지만 사설망에도 단점이 있습니다. 본사와 지사가 멀리 떨어진 경우에는 거리에 따른 비용이 크게 올라게 되고 관리 비용 역시 많이 필요합니다. 그래서 이런 사설망의 단점을 보완하기 위해 가상 사설망 VPN이 등장하게 되었습니다.

VPN

 

VPN은 저렴한 공중망에 독자적인 사설망을 구축하기 때문에 비용을 아낄 수 있고 터널링과 보안 기술이 적용되어 데이터를 안전하게 송수신할 수 있습니다. 

---

VPN의 특징

VPN은 1985년 미국 AT&T사가 최초로 가상 전용선 서비스라는 명칭으로 도입했습니다. 국내에서는 1998년 KT의 가상 사설망, 데이콤의 국제 가상 사설망을 시작으로 서비스 제공을 시작했습니다. VPN은 저렴한 비용, 높은 보안성, 비용절감에 따른 확장성이 뛰어나 사설망을 필요하는 기업이 필수적으로 사용하는 기술이 되었습니다.

 

VPN 구축

 

VPN은 원격의 두 지점 간, 즉 본사와 지사, 지사와 지사 간 전용선 서비스를 제공하고 비용 부담을 해소 할 수 있습니다.뿐만 아니라 집이나 이동 중에 급하게 회서 서버로 접근해야 할 때에도 보안이 보장된 상태로 접근이 가능하게 됩니다.기업 뿐만 아니라 일반 가정에서도 해외에 가서 국내 IP 주소를 가지고 국내 스포츠 영상을 보거나 온라인 게임을 하는 등 국내로 접근이 가능하게 할 수 있습니다.

---

VPN의 종류

VPN은 연결 방식에 따라 Site-to-Site 방식과 Remote-Acess 방식으로 나눌 수 있습니다.

 

Site-to-Site

두 개의 물리적 사이트 사이에서 인터넷을 이용하여 구축한 사설 WAN입니다. LAN-to-LAN VPN이라고도 합니다. 본사와 지사, 지사와 지사간에 구축한 VPN(인트라넷 VPN)역시  여기에 속합니다.

지사뿐만 아니라 제한적인 액세스 권한을 부여받은 협력사까지 포함한 VPN을 엑스트라넷(Extranet) VPN 이라고 합니다.

 

Remote-Acess

재택근무자 또는 모바일사용자(출장, 고객사이트 방문등)와 같은 원격 사용자들이 인터넷을 통해 자사 네트워크 접속가능한 VPN입니다. 

원격 접속

웹 브라우저만 있으면 어디서든 간편하게 VPN에 접속할수있는SSL(Secure Sockets Layer) VPN도 원격접속VPN의 한 형태로 볼 수 있습니다.

---

터널링 기술

VPN을 구성하기 위해 라우터 간에 가상의 점대점 (Point-to-Point) 링크를 만들어야 하는데 이를 터널(Tunnel)라 합니다. 터널을 생성하고 관리하는 기술을 터널링이라고 합니다.

 

터널링 기술로는 GRE(Generic Routing Encapsulation)가 대표적입니다. GRE는 시스코에서 개발한 프로토콜로 RFC2784에 정의되어 있습니다. 데이터 전송 처리가 빠른 장점을 가진 반면, 데이터 암호화를 지원하지 않기 때문에 보안에 취약합니다.

 

GRE 터널

GRE 터널은 보안 기술이 적용되지 않아 제대로 된 VPN 터널이라 볼 수 없습니다. 그래서 IP 프로토콜의 보안성을 보장하는 표준화된 기술인 IPSec(IP Security) 프로토콜과 결합하면 VPN 터널(GRE IPSec 터널)로 사용될 수 있습니다.

---

VPN 보안 기술

VPN은필수적으로 보안 기술이 지원되어야 하는데 VPN 터널은 다음과 같은 4가지 기능을 가지고 있습니다.

 

● 비밀성(Confidentiality) : 키(key)와 암호화 알고리즘을 이용한 암호화/복호화를 통해 허가받지 않은 사용자에게 정보가 노출되는 것을 방지

 

● 무결성(Integrity) : 전달되는 정보가 위조되거나 변조되지 않았음을 보장합니다.

 

● 인증(Authentication) : 통신의 상대방이 합법적인 사용자 또는 장비임을 보증합니다.

 

● 재생방지(Anti-replay Protection) : 공격자가 전송 중인 패킷을 복사하여 중간에 자신의 패킷을 끼워 넣는부정행위 방지

 

---

GRE 터널 설정 

GRE는 IP, IPv6 등의 패킷을 또 다른IP 패킷에 실어 전달하는 터널링 프로토콜입니다.

GRE 패킷은 [ 20바이트의 new IP 헤더 + 4바이트의 GRE 헤더 + 원래패킷]의 형식을가집니다.

GRE 터널은 2대의 라우터 사이에 생성되며, 터널 내부에서 사용할 IP 주소와 터널의 시작점과 끝점을 나타내는 공인IP 주소를 지정해야합니다.

 

---

GRE VPN 라우팅

VPN 내부망에서 외부로 나가기 위해서는 라우팅 프로토콜을 사용할 수도 있지만 주로 디폴트 경로를 지정합니다. VPN 내부망이 사설IP 주소를사용하기때문에 NAT/PAT를 설정해야 외부망과 통신가능합니다.

 

 

NAT 설정

 

VPN으로 연결된 내부망 간의 라우팅을 위해 정적경로 또는 라우팅 프로토콜(RIP, EIGRP, OSPF) 사용 가능합니다. 라우팅 프로토콜 사용시 사설IP 주소로 구성된 내부망 번호를 외부망으로 광고하면 안됩니다. 내부망에서 사용되는 IP가 노출되게 되면 외부에서 내부망의 구조를 알게 되고 스캔 및 IP 스푸핑 공격을 시도할 수도 있기 때문입니다.  그리고 사설 IP는 인터넷에서 라우팅이 되지 않도록 설계되었습니다. ISP나 보안 장비(Firewall, IDS/IPS)에서는 사설 IP가 포함된 경로 광고를 차단합니다.

 

 

참고 자료