redis education network security

Network Security, IPSec VPN

Security, IPSec VPN

이 글은 Computer Networking의 Network Security(보안)를 설명합니다.
유튜브 채털 "Networking Class"의 "Network Security(보안)"를 정리한 것입니다.

• 1. Network Security 개념 및 중요성
• 2. Network Security Architecture
• 3. 방화벽 개념 및 작동원리, Stateful inspection, 이중화 구성
• 4. VPN 개념 및 유형 (MPLS VPN & IPSec)
• 5. [IPSec VPN] 개요, 아키텍처, 효과
• 6. [IPSec VPN] IPSec protocol 기분 구성요소
• 7. [IPSec VPN] IKE protocol (보안 채널 생성, 키 관리)
• 8. [IPSec VPN] ESP, AH protocol (데이터 전달 방식)
• 9. [IPSec VPN] 암호학 기본 1 - 암호화키
• 10. [IPSec VPN] 암호학 기본 2 - Hash function/MAC
• 11. [IPSec VPN] 암호학 기본 3 - CA
• 12. [IPSec VPN] VPN 터널 연결 및 데이터 전달 과정
• 13. [IPSec VPN] 실무고려 1 - NAT Traversal & Gre over IPSec
• 13. [IPSec VPN] 실무고려 2 - MTU size & PMTUD 방식 설명

1. Network Security 개념 및 중요성   [동영상] (18분)

• 테이터 통신 경로상에서 정보 보안을 유지하기 위한 기술(아키텍처/솔루션)
• 통신 가능한 경로를 구성 할 것인지? 경로를 만든다면 어떻게 보안 수준을 유지할 것인지?
• 인증(Authentication), 무결성(Integrity), 암호화(Confidentiality, 기밀성)
• Internet/Intranet/DMZ 아키텍처, VPN(Virtual Private Network) 기술, 네트워크 보안 솔루션
• MPLS VPN: 망 기반의 VPN, ISP 등 망사업자 측이 제공/운용/관리하는 방식
• IPSec VPN: CPE 기반의 VPN, 기업,고객 측이 독자적으로 구축/운용하는 방식
• [정보통신기술용어해설]   IP-VPN IP 가상사설망
• [engmoose]   CE, PE
  CE (Customer Edge Router) : PE라우터와 직접 연결되어 있는 고객사 장비이다.
  PE (Provider Edge Router) : incoming 패킷에 label을 붙이는 라우터들이다. CE와 직접 연결되어 있다.

IPSec(IP Security) VPN - 설명

• [네크워크 엔지니어 환영의 기술블로그]   VPN 쉽게 이해하기
• [네크워크 엔지니어 환영의 기술블로그]   IPSec VPN 쉽게 이해하기 #1
• [네크워크 엔지니어 환영의 기술블로그]   IPSec VPN 쉽게 이해하기 #2
• [네크워크 엔지니어 환영의 기술블로그]   IPSec VPN 쉽게 이해하기 #3
• [네크워크 엔지니어 환영의 기술블로그]   IPSec VPN 쉽게 이해하기 #4
• [네크워크 엔지니어 환영의 기술블로그]   SSL VPN 쉽게 이해하기 #1
• [REAKWON]   IPSec 개념과 원리
  조취(짐승 고기 냄새) -> 조치(벌어지는 사태를 살펴서 필요한 대책을 세워 행함)
• [정보통신기술용어해설]   IPSec(IP Security)
  
  • L3 네트워크계층(IP 계층) 상에서, IP 패킷 단위로 '인증', '암호화', '키관리'를 하는 프로토콜
    
  • 응용 소프트웨어 필요 없이, 대부분 운영체제/라우터에서 직접 제공
    
  • '보안성'을 제공하기 위한 2가지 종류의 프로토콜 '헤더'
    - AH (인증 헤더, Authentication Header): 발신지 인증, 데이터 무결성 만을 보장
    - ESP (캡슐화된 보안 페이로드, Encapsulating Security Payload): 발신지 인증, 데이터 무결성, 기밀성 모두를 보장
    
  • '키 관리'를 위한 기능 및 기반구조를 정의하는 프로토콜
    - Internet Key Exchange(IKE): IPSec을 위한 SA(보안협약)을 생성하며, 그에따른 키 교환을 수행하는 복합 프로토콜
    - ISAKMP (Internet Security Association and Key Management Protocol): IKE 교환을 위한 메세지 형식,전달 절차 등을 규정하는 기반구조로써 설계됨
    
  • 재생공격 방지 (Replay Attack Protection)
• [정보통신기술용어해설]   AH Header, ESP Header
• [정보통신기술용어해설]   SA Security Association 보안 협약
• [정보통신기술용어해설]   ISAKMP (Internet Security Association and Key Management Protocol)
• [AWS]   IPSec이란 무엇인가요?

2. Network Security Architecture   [동영상] (13분)

• 데이터를 생성/처리하는 장비(device), 네크워크상에서 전달되는 데이터의 보안 레벨이 다양함.
  (기업 내 임지원들만 이용해야 하는 데이터, 파트너사도 이용해야 하는지? 외부 사용자도 이용해야 하는지)
• Internet, Intranet(기업 내 network 간 연결), Extranet(웹서버 zone: 기업 내 network과 internet 연결)

3. 방화벽(Firewall)

• 1. 개념 및 작동원리 [동영상] (12분)
• 2. Stateful inspection [동영상] (10분)
• 3. 이중화 구성 [동영상] (10분)
• 서로 다른 보안레벨의 네크워크 경로 사이에 위치하며, 지나다니는 트래픽을 보고 통과시킬지 말지를 결정
• Proxy 방식, Packet Filtering, Stateful inspection(현재는 대부분 이 방식을 사용한다) -- UTM, NGFW
• 보안 기능 외 네트워크 장비로소의 기능과 관리(모니터링) 기능, 정채관리
• 이중화 방식, 세션 테이블 관리(TCP, UDP, Timeout), 로깅/관제

4. VPN 개념 및 유형 (MPLS VPN & IPSec)   [동영상] (17분)

• ISP-VPN(MPLS VPN), CPE-VPN(Access/Network, IPSec Protocol)
• 고가의 전용선이 아닌 인터넷 회선을 이용하여 전용선의 통신 보안을 강화할 수 있는 솔루션
• Network to Network, 터널링(Encapsulation)
• VRF(Virtual Routing and Forwarding): 라우터가 여러개의 라우팅 테이블을 가질 수 있도록 하는 기술. MPLS VPN에서 이용.
• 기업에서는 소규모 사업장, 외부 임직원의 내부 시스템 통신을 위해 네트워크 영역에서 보안을 강화

5. [IPSec VPN] 개요, 아키텍처, 효과   [동영상] (16분)

• Public 망(인터넷)을 통해 전용선과 같은 수준의 통신 보안을 유지하기 위해 사용
• 기업: 전용회선 비용 절감 목적, 재택/이동 근무자의 기업내무방 접속 (cf. 개인: IP 우회 목적)
• IPSec protocol 이용, 통신 대상 위치한 VPN 제품을 통해 구현

6. [IPSec VPN] IPSec protocol 기본 구성요소   [동영상] (11분)

• IKE(ISAKMP, Oakley), AH(Authentication Header) 헤더, ESP(Encapsulating Security Payload) 헤더 등의 프로토콜 집합, 암호 기반의 보안 프로토콜
• Layer 3 기반 (cf. layer 4 SSL ) -> Network to Network 가능, Tunnel mode/Transport mode
• Public 망에서 Ent to End 간 통신의 보안 유지가 목적(Secure channel 생성, 데이터 전달)
• IKE protocol (UDP 500): 보안 체널 생성/관리를 위한 키 교환 목적
• AH(IP 50) or ESP(IP 51): 실제 사용자 데이터 전달 Tunnel mode/Transport mode

7. [IPSec VPN] IKE(Internet Key Exchange) protocol (보안 채널 생성, 키 관리)   [동영상] (6분)

• SA(Security Association): IPSec end point 간에 성립된 보안관련 계약, IKE를 통해 협상 -> 생성, 관리
• Phase 1: 보안이 유지되지 않은 환경에서 보안채널을 만드는 목적으로 사용, ISAKMP SA, UDP 500
  Main mode (6개 양방향 메시지), Aggressive mode (3개)
  • Authentication Method
  • Encrption Algorithm
  • Key Exchage
  • Hash Algorithm
  • SA renewal period
• Phase 2: 실제 데이터 전달을 위한 보안정보 생성/관리를 위한 항목 협상, IPSec SA
  Quick mode (3개, 각 방향 별도)
  • ESP or AH 선택
  • 추가적 인증(Authentication) 방식 정의
  • ESP인 경우 encrption algorithm 선택: DES, 3DES, RC5, IDEA, Three-key IDEA, CAST, Blowfish, AES 등 사용

8. [IPSec VPN] AH(Authentication Header), ESP(Encapsulating Security Payload) protocol (데이터 전달 방식)   [동영상] (11분)

• AH(Authentication Header)
  • IP 50
  • 인증/무결성 지원, 암호화 미지원
  • 실무에서 많이 사용하지 않음
• ESP(Encapsulating Security Payload)
  • IP 51
  • 인증/무결성/암호화 지원
  • 실무에서 대부분 사용
• Tunnel mode: Gateway 간, New IP header 추가
• Transport mode: Endhost 간, New IP header 사용하지 않음, Original IP header로 통신

9. [IPSec VPN] 암호학 기본 1 - 암호화키   [동영상] (7분)

• Confidentiality (ciphering)
• Integrity (one-way hash)
• Authentication (secret key or digital signatures)
• Non-reputation
• Symmetric cryptography(대칭키) (one key): 데이터 보낼 때 사용
  • Asymmetric 방식에 비해 상대적으로 빠름: DES, 3DES, RC4, AES, 등.
• Asymmetric cryptography(비대칭키) (two keys: public key, private key): 키 보낼 때 사용
  • 대칭키 방식보다 약 100 ~ 1000배 느림. Key 교환 등에 사용.
  • Confidentiality: 송신측에서 수신측의 public key를 이용하여 암호화함.
  • Authentication: 송신측에서 자신의 private key를 이용하여 암호화함(signature). RSA
  • 수신측에서 public key와 private key을 생성해서 public key는 송신측에 보낸다.
  • 송신측에서는 public key로 암호화를 한다.
  • 수신측에서는 private key로 복호화를 한다.
  • Diffie-Hellman: Bob과 Alice가 서로 key 쌍을 만들고 public key를 교환한 후 수학적인 algorithm을 이용하여 동리면 공통의 shared secret key를 생성

10. [IPSec VPN] 암호학 기본 2 - Hash function/MAC   [동영상] (6분)

• 데이터 무결성 보장(Integrity): Hash functions (message digest)
  • 송신자는 데이터에 hash function을 적용해서 digest 값을 구해서 데이터+digest를 보낸다.
  • 수신자는 받은 데이터에 동일한 hash function을 적용해서 digest 값을 구해서 받은 digest와 같은지를 비교한다. 같으면 데이터는 송신자가 보낸 원본이 맞다.
  • Hash function의 종류: MD5, SHA-1,2(160bit), 등.
  • 데이터 자체를 암호화하는 것은 ESP에서 한다.
• 상대방이 보낸 데이터가 맞는지(Authentication): MAC(Message Authentication Code)
  • 송신자는 "데이터+키"에 hash function을 적용해서 값을 구한다. 이것을 MAC(Message Authentication Code)라고 한다. 송신자는 데이터+MAC를 보내다.
  • 수신자는 받은 데이터에 hash function을 적용해서 MAC을 구해서 받은 MAC과 같은지를 비교한다.
  • Hash function + Cryptography
  • Symmetric cryptography = Hash + secret key -> IPSec 이용
  • Asymmetric cryptography = Hash + private key -> Digital signature

11. [IPSec VPN] 암호학 기본 3 - CA(Certificate Authority, 인증기관)   [동영상] (7분)

• 비대칭키 방식은 man-in-the-middle attack(중간자 공격) 취약, public key의 안정성 공인 필요 -> CA 출현
• X.509v3 Digital Certificate
• Alice는 CA에 인증서 발급 요청
• CA는 Alice의 public key 정보를 담은 인증서를 만들고 CA의 private key를 이용하여 sign을 하고 인증서를 배포한다.
• Bob은 Alice의 인증서를 CA로 부터 받으며 인증서의 적절함을 CA를 통해 확인할 수 있다.
• 인증서 내용을 통해 Alice의 public key를 얻는다.
• CA의 signature를 통해 해당 public key가 Alice의 것임을 확인한다.

12. [IPSec VPN] VPN 터널 연결 및 데이터 전달 과정   [동영상] (16분)

• IKE ISAKMP-SA: Main mode (6개 양방향 메시지), Aggressive mode (3개), DUP 500
• IPSec SA 생성: Quick mode (3개, 각 방향 별도)
• Interest Traffic(IPSec 터널을 이용하는 실제 사용자 트래픽) 전달(ESP/AH, Tunnel/Transport mode)

13. [IPSec VPN] 실무고려 1 - NAT Traversal & Gre over IPSec   [동영상] (20분)

• 인터넷 구간에서NAT(PAT)시 문제
  NAT-Traversal (IKE 과정상에 NAT 여부를 확인하고, UDP 4500으로 wrapping하여 PAT 가능)
• VPN 장비에서 IPSec SA 구별을 위한 SPI, IP를 가지고 확인 -> multicast 지원 문제
  Gre over IPSec (대상 multicast traffic을 GRE로 encapsulationn), GETVPN(Single SA)

13. [IPSec VPN] 실무고려 2 - MTU size & PMTUD 방식 설명   [동영상] (12분)

• IPSec protocol은 기본적으로 헤더가 encapsulation되는 구조인데, GRE Over IPSec 및 UDP warpping 등으로 차게 헤더가 더 붙어 네트워크 전송상에 MTU size(1500) 관련된 문제 발생 가능
• End to End 구간에 PMTUD(Path MTU Discovery)가 정상 동작하는 것이 가장 best
• TCP MSS(Maxinum Segment Size), DF(Don't Fragmentation)