가상 사설망으로 사용자가 인터넷과 같은 공용 네트워크를 통해 사설 망에 안전하게 연결할 수 있는 기술을 말한다.
VPN의 등장 배경
- 물리적으로 떨어져 있는 서버들은 안전한 통신을 위해 전용 회선이 필요하다
- 회선 일부를 독점 하기 때문에 가격이 비싸다
- 대역폭에 따라 가격 변동으로 인해 많은 데이터를 전송할 땐 더 많은 비용을 지불해야 한다.
해결 방안 탐색
- 전용 회선이 아닌 공인 인터넷망을 이용해 사설망과 사설망을 연결할 방법
- 공인 인터넷망을 지나가도 안전해야 하고, 암호화 문제를 해결할 방법
위 2가지 해결 방법을 고안해 탄생한 것이 VPN이다.
VPN 구성
- VPN Client는 터널링 프로토콜이라는 특별한 TCP/IP 기반 프로토콜을 사용하여 VPN 서버의 가상 포트에 대해 가상 호출을 수행한다.
- 터널링은 공인망을 사용하여 별도의 라우팅 없이 사설망과 사설망의 통신을 제공하는 동시에 암호화된 통신을 제공하는 것을 의미한다.
- 터널링 3요소
- Passenger Protocol : VPN 터널이 전달하는 프로토콜로, VPN 터널을 통해 전송되는 데이터를 암호화하고 해독하는 데 사용한다
- Encapsulating Protocol : VPN 터널을 만드는 데 사용되는 프로토콜로 Passenger Protocol을 캡슐화 하고 암호화된 메세지를 공인망을 통해 안전하게 전송하는 역할을 한다.
- Carrier Protocol : Encapsulating된 패킷을 운반하기 위한 프로토콜로 네트워크 장비들이 이해할 수 있는 프로토콜이다. 주로 IP를 사용한다.
- 터널링 3요소
VPN 종류
IPSEC( Internet Protocol Security )
- 통신 세션의 각 IP 패킷을 암호화하고 인증하는 안전한 인터넷 프로토콜 통신을 위한 인터넷 프로토콜이다.
- 네트워크 계층에서 IP 패킷 단위로 인증, 암호화, 키관리를 수행하며 주로 VPN에 사용한다.
- 주로 ISPC VPN은 인터넷을 이용해 본사 네트워크와 자사 네트워크의 LAN을 연결하는데 사용되어 Site to Site 또는 LAN to LAN 방식으로 칭한다.
IPSEC의 주요 서비스
- 보안 통신에 사용되는 프로토콜 이므로 인증, 기밀성, 무결성을 포함한 다양한 보안 서비스를 제공한다.
IPSEC Mode
- 전송 모드( Transport Mode )
- IP 패킷의 페이로드를 보호하는 모드로 상위 프로토콜 데이터를 보호한다.
- IP 헤더는 그대로 유지하므로 네트워크 패킷 전송에 문제가 발생하지 않는다.
- IP 헤더를 보호하지 않기 때문에 트래픽 흐름이 노출될 수 있다.
- 종단 간( End-to-End ) 데이터 보호를 위해 사용한다.
- 터널 모드( Tunnel Mode )
- IP 패킷 전체를 보호하는 모드로 IP 패킷 전체를 IPSEC으로 캡슐화 하여 IP 헤더를 식별할수 없기 때문에 네트워크상 전송이 불가능하다.
- 위의 문제를 해결하기 위해서 새로운 IP 헤더를 추가한다.
- 원본 IP 헤더를 보호하기 때문에 최초 출발지 및 최종 목적지에 대한 트래픽 정보는 기밀성이 보장된다.
- 주로 게이트웨이 구간 IP 패킷을 보호하는 목적으로 사용되며, 물리적으로 떨어진 본점과 지점 사이 구간 VPN 환경이 있다.
'K-Shield > Jr' 카테고리의 다른 글
| [K-Shield][Jr] 웹의 통신 과정 (0) | 2025.04.27 |
|---|---|
| [K-Shield][Jr] 웹의 동작 방식 (0) | 2025.04.27 |
| [K-Shield][Jr] PAT( Port Address Translation ) (0) | 2025.04.27 |
| [K-Shield][Jr] NAT (0) | 2025.04.27 |
| [K-Shield][Jr] DMZ (0) | 2025.04.27 |