▣ VPN (Virtual Private Network), PPTP, L2TP, IPSec, Open VPN, SSTP, MPLS
응용 애플리케이션 하단에 동작하기 때문에 애플리케이션을 수정할 필요가 없으며, 터널링 기술과 암호화 및 인증 기술을 사용하여 사용자에게 투명한 통신 서비스를 제공
터널링은 상용망에서 전용망과 같은 보안효과를 주기 위한 기법으로 VPN 내의 두 호스트 간의 가상 경로를 제공하며, 인터넷과 같이 안전하지 않은 공중망에서 사용자간 마치 터널이 뚫린 것처럼 통로를 마련하여 데이터를 안전하게 전송하는 방식
다양한 프로토콜과 방식을 통해 다양한 VPN 구축이 가능
위치에 상관없이 해당 ISP의 POP (Point of Presence, ISP망의 상호간 접속점으로 가입망에서 인터넷 백본망 접근을 위한 접속점)로 접속하면 VPN 접속이 가능하기 때문에 이동 사용자의 접속 부담이 감소
L2L (LAN to LAN) :본사, 지사간의 연결 유형을 가지고 있으며, VPN 장비를 설치하여 네트워크에 접속
L2C (LAN ro Client) : 재택근무, 이동근무 등과 같은 소규모에 사용되며 각 PC에서 Client를 통해 접속
단, ISP간의 기술이 다른 문제점으로 다른 ISP 간의 연동문제가 발생할 수 있으며, 성능저하의 문제가 발생할 수 있음
■ 통신규격
1. PPTP (Point to Point Tunneling Protocol)
라우터와 클라이언트에서 일반적으로 많이 사용되는 통신 규격으로 PPP (Point-to-Point Protocol) 기술을 확장하여 개발
마이크로소프트가 주도하여 개발한 MS-CHAP과 RC4를 합성하여 암호화
일반적으로 대부분의 OS가 지원하지만 시간이 지날 수록 많은 보안상의 결함이 발견되어 애플의 경우 PPTP를 사용하지 않고 있음
단, 가정용이나 높은 수준의 암호화 등급에 의존하지 않은 경우 사용하기 충분하기 때문에 12자리의 복잡한 암호를 사용할 것을 권장
IP, IPX 또는 NetBEUI (Network BIOS Enhanced User Interface, IBM) 페이로드를 암호화하고, IP헤더로 캡슐화 하여 전송하는데, PPTP는 터널의 유지, 보수, 관리를 위해서 TCP를 사용하고 이동통신에서 사용하기에 적합한 구조를 가지고 있음
IP주소를 설정할 때는 주소의 충돌을 피하기 위해서 LAN의 IP주소가 원격지의 VPN의 LAN 주소와 달라야 함
2. L2TP (Layer 2 Tunneling Protocol)
L2F (Layer 2 Forwarding Protocol) 와 PPTP를 결합하여 만든 규격이기 때문에 PPP를 기본적으로 지원
L2TP는 터널을 만들어주기만 하며, 암호화는 IPSec을 사용
PPTP는 IP 기반의 네트워크만 지원하는 반면 L2TP는 패킷 중심의 지점 간 연결이기만 하면 통신이 가능
또한, 두 지점 사이의 하나의 터널만을 생성하는 PPTP와 다르게 두 지점사이에 여러 개의 터널을 사용할 수 있으며, 터널에 따른 QoS 적용도 가능하다는 장점이 있음
L2F은 시스코에서 제안한 터널링 프로토콜임
자제적인 암호화나 기밀을 제공하지 않으며, PPP 트래픽을 터널링 하도록 설계
단, 하나의 터널의 여러 개의 연결을 지원하기 때문에 다자간 통신이 가능하며 UDP를 사용
3. IPSec (IP Security)
IPSec은 보안성이 부족한 기존 IP프로토콜을 보완하기 위한 보안 기술로써, 기존 IPv4에서는 보안이 필요한 경우에만 선택적으로 사용되었지만 IPv6에서는 기본 스팩에 포함된 필수 기술
AH (Authentication Header)와 ESP (Encapsulation Security Payload)를 통해 IP 데이터그램의 인증과 무결성, 기밀성을 제공
IP계층의 보안을 위해서 IETF에 의해 제안되었으며 VPN 구현에 널리 사용되고 있는 기술
IKE(Internet Key Exchange)와 ESP(Encapsulation Security Payload) 암호화 방식이 사용되는데 해당 암호화 패킷을 차단하면 이를 사용하는 L2TP도 사용할 수 없음
터널모드 : 전체 데이터 패킷을 암호화화며, 터널의 종단점과 첫 번째 라우터 사이는 평문으로 전송하고 라우터와 라우터 사이만 암호화가 되기 때문에 주로 망 간 연결에 사용함
전송모드 : IP 페이로드를 암호화하여 IP헤더로 캡슐화함 이를통해 데이터 패킷의 메시지가 암호화됨
4. OpenVPN
오픈소스 VPN이라는 뜻으로 기초규격은 L2TP를 따르고 있으나 L2TP와 다르게 세개의 레이어를 확립할 수 있다는 장점이 있음
다양한 OS를 지원하고 있지만 오픈소스라는 한계때문에 기본적으로 내장되어 있지 않으나 프로파일 하나만 있으면 어떤 OS라도 쉽게 연결할 수 있음
3DES, AES, Camellia, Blowfish, CAST-128등과 같이 다양한 암호화 방식을 지원하기 때문에 상당히(매우) 안전하며, 대부분의 방화벽도 우회할 수 있다는 장점을 가지고 있음
단, 설치 및 운영에 어려움이 있으며, 서드파티 소프트웨어를 통해 사용해야 한다는 불편함이 있음
5. SSTP (Secure Socket Tunneling Protocol)
마이크로소프트에 의해 개발되어 윈도우 비스타 서비스팩1에 추가
SSL v3 규격을 기반으로 제작되었으며, 현재는 리눅스와 RouterOS에서 사용할 수 있으나, 윈도우 전용 플랫폼으로 사용되고 있음
다만 마이크로소프트가 SSTP를 독점 소유하고 있으며 NSA(미국 국방수 산하 국가안보국)에서 운영한다고 알려져 있어서 신뢰성에서 많은 의구심을 가지고 있는 전송규약임
6. MPLS (Multi-Protocol Label Switching)
MPLS(Multi-Protocol Label Switch)은 여러 프로토콜들을(Multi-Protocol), 라벨을 이용하여(Label), 스위칭 해주는 기술임
출발지 노드와 목적지 노드 사이에는 무수히 많은 노드가 존재함. 출발지->목적지 노드들이 데이터를 전달하는 행위를 포워딩(Forwarding)혹은 라우팅(Routing)이라고 함
포워딩(Fowarding)은 OSI Layer2(2계층)에 속하는 기술이고, 라우팅(Routing)은 OSI Layer3(3계층)에 속하는 기술임.
MPLS는 3계층이 하는 라우팅을 2계층이 하는 스위칭으로 바꾸어 주는 기술임(2.5계층 동작)
MPLS는 다양한 프로토콜(3계층 뿐만 아니라 2계층 프로토콜도 가능)의 헤더에 'Label'이라는 고정된 길이(24비트)의 값을 추가함. Label은 하나 혹은 하나 이상이 추가 될 수 있음
라우터들은 바로 이 Label을 이용해 데이터를 스위칭함. LER(Label Edge Router, 가장자리 라우터로 패킷을 받아들이거나 외부로 배출하는 역할)에서 들어온 MPLS패킷은 LSR(Label Switch Router, 실제 패킷을 전달하는 역할)을 통해 스위칭 됨. 스위칭 되는 기준은 패킷 안의 Label 정보임.
MPLS는 패킷 안의 Label 정보만 보고 간단히 전달(스위칭)할 수 있기 때문에 매우 심플하고 빠름. MPLS라우터는 이러한 스위칭을 하드웨어로 만들어 동작함.(하드웨어로 만들 수 있는 이유는 Label 길이가 고정이며 비교가 심프하기 때문임. 반면에 IP라우팅은 대부분 소프트웨어를 통해 동작됨)
위의 그림에서 파란색 경로가 라우터가 자동적으로 잡아준 경로(최적 경로)임. 그러나 때에 따라서는 관리자가 수동으로 경로를 세팅해 줄 필요가 있는데, 이렇게 경로를 수정할 수 있는 기술을 Traffic Engineering이라고 함. 위의 그림에서 빨간색 경우에 해당함. Traffic Engineering은 QoS를 위해 꼭 필요한 기술임
Traffic Engineering을 통해 MPLS는 가상의 사설망(VPN)을 구성할 수 있음
MPLS는 자체적인 암호화 기능은 제공하지 않음. MPLS는 2계층에서 동작하는 간단한 Label을 이용해 스위칭하는 기능뿐이므로 복잡한 암호화를 제공할 역량이 없음. MPLS는 원래 패킷에 24비트(4바이트)의 Label을 추가하는 것에 불과함
기존 네트워크 환경에서 라우터는 네트워크 계층(L3)의 헤더만 보고 각 패킷의 포워딩 정책을 실행함
각 패킷이 라우터에 도착할 때마다 라우터는 패킷을 보낼 다음 지점을 계산해야 하며, 이러한 작업을 위해 라우팅 테이블을 확인하여 수행함
이러한 문제점 때문에 VoIP, 영상과 같은 민감하고 빠른 처리가 필요한 환경에서는 처리속도가 떨어진다는 된다는 단점을 가지고 있음
MPLS 기술은 기존의 라우팅 방식을 기반으로 ATM의 고속 멀티 서비스 교환 기능을 결합하여 IP 패킷을 전달하는 방식으로 대규모의 망에서 고속의 데이터 전송과 QoS 등의 기능을 제공을 목적으로 제시하게 되었음
MPLS은 미리 결정된 고효율 경로를 설정하는 방법으로 성능 문제를 해결하는데, 패킷이 처음 네트워크로 진입할 때 특정 FEC(Forwarding Equivalence Class)에 할당되며, 이는 패킷에 짧은 비트 시퀀스(레이블)로 표시됨
■ VPN 계층별 프로토콜 요약
| 계층 | 프로토콜 | 내용 |
| 2 | L2F | Layer 2 Forwarding 원격지의 ISP장비에서 접근, 서버측의 터널 서버로 L2F터널 생성 |
| PPTP | Point-to-Point Tunneling Protocol PPP의 확장, Client/Server 방식 동작 |
|
| L2TP | Layer 2 Tunneling Protocol PPTP + L2F, non-IP Network 환경에서도 가능 멀티 Protocol 지원 : IP, IPX등 X.25/ATM/Frame Relay/SONET에서 모두가능 |
|
| MPLS | Multi Protocol Label Switching IP패킷 앞에 Label을 붙여 Label 스위칭 통해 전송 |
|
| 3 | IPSec | VPN Tunneling 부분의 defacto표준 IPv6에서 보안 Protocol로 사용 무결성/인증 : Authentication Header Protocol(AH) 기밀성 : Encapsulating Security Payload(ESP) |
| 4 | SSL | Secure Socket Layer Client와 Server간 handshake통한 암호화 프로토콜 인증 : Shakehand Protocol 무결성 : Record Protocol -> 메시지 압축기능 제공 |
2013년 99번
정답 : 2번
RCTP는 VoIP에서 사용되는 스트리밍 제어 프로토콜임
2014년 108번
정답 : 2번
IMAP(Internet Message Access Protocol)은 전자메일 프로토콜임
2015년 116번
정답 : 1번
IP 및 Port기반으로 트래픽을 차단하는 솔루션 : 방화벽, 침입차단 시스템
외부에서 내부망으로 접근하여 업무 수행시 암호통신 지원 솔루션 : VPN
2016년 88번
정답 : 2번
2)번 MPLS는 자체적인 암호화 기능을 제공하지 않음
MPLS(Multi-Protocol Label Switch)은 여러 프로토콜들을(Multi-Protocol), 라벨을 이용하여(Label), 스위칭 해주는 기술임
출발지 노드와 목적지 노드 사이에는 무수히 많은 노드가 존재함. 출발지->목적지 노드들이 데이터를 전달하는 행위를 포워딩(Forwarding)혹은 라우팅(Routing)이라고 함
포워딩(Fowarding)은 OSI Layer2(2계층)에 속하는 기술이고, 라우팅(Routing)은 OSI Layer3(3계층)에 속하는 기술임.
MPLS는 3계층이 하는 라우팅을 2계층이 하는 스위칭으로 바꾸어 주는 기술임(2.5계층 동작)
MPLS는 다양한 프로토콜(3계층 뿐만 아니라 2계층 프로토콜도 가능)의 헤더에 'Label'이라는 고정된 길이(24비트)의 값을 추가함. Label은 하나 혹은 하나 이상이 추가 될 수 있음
Traffic Engineering은 QoS를 위해 꼭 필요한 기술임. Traffic Engineering을 통해 MPLS는 가상의 사설망(VPN)을 구성할 수 있음
MPLS는 자체적인 암호화 기능은 제공하지 않음. MPLS는 2계층에서 동작하는 간단한 Label을 이용해 스위칭하는 기능뿐이므로 복잡한 암호화를 제공할 역량이 없음. MPLS는 원래 패킷에 24비트(4바이트)의 Label을 추가하는 것에 불과함
2017년 102번
정답 : 4번
SSL 프로토콜은 4계층 이상(TCP 프로토콜 기반)에서 동작함. 원격 다이얼 업을 사용하는 VPN프로토콜은 2계층(L2TP, PPTP 등)에서 동작함
| 계층 | 프로토콜 | 내용 |
| 2 | L2F | Layer 2 Forwarding 원격지의 ISP장비에서 접근, 서버측의 터널 서버로 L2F터널 생성 |
| PPTP | Point-to-Point Tunneling Protocol PPP의 확장, Client/Server 방식 동작 |
|
| L2TP | Layer 2 Tunneling Protocol PPTP + L2F, non-IP Network 환경에서도 가능 멀티 Protocol 지원 : IP, IPX등 X.25/ATM/Frame Relay/SONET에서 모두가능 |
|
| MPLS | Multi Protocol Label Switching IP패킷 앞에 Label을 붙여 Label 스위칭 통해 전송 |
|
| 3 | IPSec | VPN Tunneling 부분의 defacto표준 IPv6에서 보안 Protocol로 사용 무결성/인증 : Authentication Header Protocol(AH) 기밀성 : Encapsulating Security Payload(ESP) |
| 4 | SSL | Secure Socket Layer Client와 Server간 handshake통한 암호화 프로토콜 인증 : Shakehand Protocol 무결성 : Record Protocol -> 메시지 압축기능 제공 |
'시스템구조' 카테고리의 다른 글
| Linux VFS(Virtual File System), superblock, inode, file, dentry (0) | 2021.12.22 |
|---|---|
| VLAN(Virtual Local Area Network)_가상랜 (0) | 2021.12.22 |
| 안드로이드(Android)_4대 구성요소, 액티비티, 서비스, 방송수신자, 콘텐트 제공자, 지속 애플리케이션 데이터 (0) | 2021.12.16 |
| 네트워크_VoIP (0) | 2021.12.16 |
| 네트워크 구조_무선랜 다중화 기술 FHSS, DSSS, OFDM, TDMA (0) | 2021.12.16 |