[네트워크] IPSecVPN의 정의와 두가지 모드(전송모드, 터널모드)
- 자격증,이론/보안이론
- 2020. 1. 17. 01:57
지난 포스팅에서는 VPN이란 무엇인지 간단히 알아보았다. 이번엔 VPN 중 하나로 보편적으로 사용되는 IPSecVPN과 두가지 모드인 전송모드와 터널모드에 대해 알아본다. 어떤 모드인지보다도 더 중요한 IPSec의 세부 보안 프로토콜인 AH와 ESP는 추가 예정이다.
관련포스팅
VPN이란 ? 정의/ 터널링/터널링 프로토콜(IPSecVPN, MPLSVPN, SSL 등)
[네트워크] VPN이란 ? 정의/ 터널링/터널링 프로토콜(IPSecVPN, MPLSVPN, SSL 등)
VPN(Virtual Private Network)는 의미 그대로 가상 사설망을 의미한다. VPN 이라는 말은 많이 들어봤는데... 가상 사설망이 정확히 뭔지? 왜 쓰는지? 관련 터널링 프로토콜에는 무엇이 있는지? 등을 이론적으로 간..
liveyourit.tistory.com
2020/01/18 - [네트워크] - [네트워크] 패킷 트레이서로 직접 확인해보는 VPN 터널링 구축
[네트워크] 패킷 트레이서로 직접 확인해보는 VPN 터널링 구축
VPN 관련 첫번째 포스팅에서 VPN 터널링이란 무엇인지에 대해 알아봤었다. 이번 포스팅에서는, 시스코 패킷 트레이서 프로그램을 사용해서 실제 터널링을 구축하고 터널링이 되어있으면 데이터 �
liveyourit.tistory.com
IPSecVPN (IP Security Protocol VPN) 이란?
IPSec은 이전 포스팅에서도 간단히 살펴본대로, 네트워크 계층의 보안을 위한 프로토콜로 VPN에 널리 쓰이고 있다. 그리고 이 IPSec 프로토콜을 사용한 VPN을 IPSecVPN이라고 한다.사실 IPSec은 VPN을 구현하기 위해 만들어진 VPN 프로토콜이기 때문에 그냥 IPSec과 IPSecVPN을 동의어로 봐도 될 것이다.
IPSec은 진짜 간단히 정리하자면 그냥 'IP 프로토콜에 보안성(암호+인증)을 입혀 사설망과 같은 보안 효과를 갖지만 가상 사설망이기 때문에 비용은 저렴한 방식'이라고 설명할 수 있겠다. 또한 IPSec은 IP 프로토콜이 3계층이기 때문에 당연하게도 3계층 터널링 프로토콜이다. 따라서 암호화 인증은 네트워크계층 상에서 IP 패킷 단위로 이루어진다.
3계층에서 보안성이 이루어진다면 어플리케이션 종속적이지 않게된다. 이게 무슨 뜻이냐면, 예를 들어 특정 어플리케이션을 위한 보안 솔루션이 만들어졌다고 해보자. 그러면 해당 보안 솔루션은 어플리케이션을 설치하는 시스템마다 전부 설치되어야하고, 어플리케이션이 업그레이드 혹은 패치라도되면 그에 맞게 보안 솔루션도 변경해야 하게 되는 것이다.
또한, 한가지 알아두어야 할 것이 IPv6에서는 IPSec이 디폴트라는 것이다. 그럼 이제, 아래에서 IPSec의 두가지 모드에 대해 알아보자.
IPSec의 두가지 모드
IPSec은 '전송 모드(transport mode)'와 '터널 모드(tunnel mode)' 두 가지 모드를 지원한다. 전송 모드는 IP 패킷 전체가 아닌 페이로드만을 보호하고 터널 모드는 IP 패킷 전체를 보호한다. 아래 설명과 그림을 함께 보며 좀 더 자세히 이해해보자.
참고로 해당 내용은 정보보안기사 실기 책을 많이 참조했다.
전송 모드 (Transport Mode)
전송 모드는 IP 헤더를 제외한 IP 패킷 페이로드만을 보호하는 방식이다. 즉, IP 계층의 상위 프로토콜인 전송 계층의 데이터(좀 더 자세히는 TCP/UDP 헤더 + 데이터)만을 보호하는 것이다. 전송 모드의 패킷 모양과 본래 IP 패킷 모양을 비교해보면 IPSec 헤더가 추가되어 있는 것을 볼 수 있다.
그리고 당연히도 IP 페이로드를 구성하는 요소에 IPSec 헤더도 들어가게 된다. 사실 이 헤더가 추가됐다는 것만으로 IP 페이로드를 보호한다는 것은 당연히 아니다. 어떠한 보안 프로토콜을 통해 보안성이 입혀지고난 후 (아래에서 자세히 살펴볼 예정) 관련 정보를 표시해야하기 때문에 이 정보를 헤더에 담는 것이다.
어쨌든 IPSec 헤더가 감싸는 구성에 IP 헤더는 포함되지 않으므로 전송 모드는 IP 헤더를 제외한 IP 페이로드만을 보호하는 방식이라고 하는 것이다. 그림을 직접 그리고 있는데 괜찮은가 모르겠다.
터널 모드 (Tunnel Mode)
전송 모드와는 달리 터널 모드는 IP 패킷 전체를 보호한다. 아래 그림을 보면, 위에서 살펴본 전송 모드와 패킷 구성이 어떻게 다른지 한눈에 알 수 있다. 터널 모드에서는 IPSec 헤더가 IP 패킷 전체인 IP 헤더 + IP 페이로드 앞에 위치해있다. 게다가 새로운 IP 헤더가 IPSec 헤더 앞에 추가되어 있다.
새로운 IP 헤더가 추가된건 본래의 IP 헤더가 IPSec 헤더 뒤에 위치하게 됐으니 이대로 패킷을 구성하게 되면, 라우팅 정보가 없게되므로 패킷이 원하는 목적지에 도달할 수가 없다. 따라서 라우팅 정보 추가를 위해 본래의 IP 패킷은 보호하면서도 새로운 IP 헤더를 추가하는 것이다. 이렇게되면, 전송 모드와는 다르게 트래픽 정보 노출을 방지할 수 있게 된다.
참고자료
[1] 네트워크 보안 기술의 원리와 응용 인터넷 보안, IPSec
[2] 알기쉬운 정보보안 기사/산업기사
'자격증,이론 > 보안이론' 카테고리의 다른 글
| [네트워크] 분산 서비스 거부 공격 (DDoS)의 정의, 유형 (0) | 2020.05.07 |
|---|---|
| [암호학] 양방향 vs 단방향 암호화 (해시함수, 메시지 인증코드란) (0) | 2020.05.05 |
| 침입탐지시스템(IDS)/침입방지시스템(IPS)/방화벽 차이 (2) | 2020.05.03 |
| [암호학] 대칭키 vs 공개키(비대칭키) 암호화 차이 (5) | 2020.05.02 |
| [네트워크] VPN이란 ? 정의/ 터널링/터널링 프로토콜(IPSecVPN, MPLSVPN, SSL 등) (0) | 2020.01.16 |