728x90
<VPN> 가상사설망
- IPv4의 대역 중 일부를 Private IP로 지정하여 근거리 통신망(LAN)에서 사용
- IP 주소를 절약하고 별도의 네트워크를 구성해 외부와 내부의 네트워크를 분리하여 내부 네트워크 보호 > 내부 네트워크는 필요한 경우에 NAT을 이용해 사설 IP를 공인 IP로 변경해 인터넷 통신
- 전용회선을 사용하는 것보다 더 폭넓은 대역을 저렴하게 사용 가능
- 터널링 Tunneling: 공인 인터넷에서 IP 패킷을 캡슐화하고 데이터를 암호화하여 주고받는 기술
<VPN 종류>
- IPSec VPN: Site to Site 방식
- 예를 들어 기업의 본사와 지사 네트워크 연결(장소 - 장소)로, 사설망과 사설망을 연결하고자 할 때도 사용
- 전송 모드(Transport): IP 헤더를 변형하지 않고 그대로 사용하면서 데이터 부분만 인증하고 보호
- 터널 모드(Tunnel): 새로운 IP 헤더를 추가적으로 씌워 캡슐화하고 IP 패킷 전체를 인증하고 보호
- IPSec VPN의 대부분은 터널 모드를 사용
- 프라이빗 서브넷에 생성하고 라우팅 테이블 셋팅 후 IPsec VPN 설정하여 ping 테스트 진행하여 설정
- 터널 모드를 사용할 때, 패킷에 특정 헤더를 추가하면서 암호화하며 인터넷 프로토콜의 취약점을 보완하는데, 여기에 사용되는 기술
- AH: 패킷의 무결성 (패킷이 변질되지 않았다)과 인증에만 사용되어 암호화에는 관여하지 않음
- ESP: 패킷 암호화 기능을 갖춘 프로토콜 헤더
- IKE: 키 관리 프로토콜로 패킷 암호화/인증할 알고리즘과 암호화 키를 안정적으로 교환할 수 있는 과정
- SSL VPN: Client to Site 방식
- 사용자가 어느 장소에서든 VPN을 통해 사설 네트워크로 접속할 수 있는 방법으로 사용 예시는 재택근무를 생각하면 됨 (웹 브라우저를 통해 접속하는 경우가 많음)
- VPN 장비를 2대 이상 필요로 하지 않음
- 접속하고자 하는 SSL VPN이 진짜인지, 인가된 사용자인지 검증하며 암호화 프로토콜 제공
- 주로 DMZ 네트워크에 존재하는데, 내부와 외부 네트워크를 모두 접하고 있어야 하기 때문 > 외부와 접하는 것은 외부 공격에 취약하기 때문에 방화벽을 함께 설치하여 운영
- SSL VPN에 공인 IP를 설정하여 SSL VPN을 외부 직접 목적지로 설정 /
- 외부 통신: SSL VPN에 공인 IP를 설정
- 내부 통신: 방화벽에서 SSL VPN의 공인 IP 보유
- 트래픽을 모두 방화벽이 감당해야 하기 때문에 트래픽 사용량이 많음
- 사용자 트래픽 제어: 사용자의 내부 및 외부 접근 제어를 의미하며, 사용자가 인터넷 사용 시 SSL VPN이 정한 라우팅 정책을 준수해야 함
- 사용자 인증 제어: MFA, OTP
- 사용자 사용 환경 제어: OS 버전이나 백신 설치 여부>> 사용 환경이 보안 기준을 충족하지 않으면 접근 거부나 사용 환경을 갖출 수 있는 사이트로 리다이렉트
'Network' 카테고리의 다른 글
| Timeout과 3 Way-Handshake (0) | 2024.08.21 |
|---|---|
| VPC Peering과 Transit Gateway(TGW) (0) | 2024.08.19 |
| IPv4와 IPv6 비교 / HTTP와 TCP 비교 (0) | 2024.06.07 |
| 부하분산, L4 / L7 로드밸런서의 개념 및 차이점 (0) | 2024.05.30 |
| 라우팅 프로토콜 (Routing Protocol) vs 라우티드 프로토콜 (Routed Protocol) (0) | 2024.05.21 |