가상 사설망으로 사용자가 인터넷과 같은 공용 네트워크를 통해 사설 망에 안전하게 연결할 수 있는 기술을 말한다.
VPN의 등장 배경
물리적으로 떨어져 있는 서버들은 안전한 통신을 위해 전용 회선이 필요하다
회선 일부를 독점 하기 때문에 가격이 비싸다
대역폭에 따라 가격 변동으로 인해 많은 데이터를 전송할 땐 더 많은 비용을 지불해야 한다.
해결 방안 탐색
전용 회선이 아닌 공인 인터넷망을 이용해 사설망과 사설망을 연결할 방법
공인 인터넷망을 지나가도 안전해야 하고, 암호화 문제를 해결할 방법
위 2가지 해결 방법을 고안해 탄생한 것이 VPN이다.
VPN 구성
VPN Client는 터널링 프로토콜이라는 특별한 TCP/IP 기반 프로토콜을 사용하여 VPN 서버의 가상 포트에 대해 가상 호출을 수행한다.
터널링은 공인망을 사용하여 별도의 라우팅 없이 사설망과 사설망의 통신을 제공하는 동시에 암호화된 통신을 제공하는 것을 의미한다.
터널링 3요소
Passenger Protocol : VPN 터널이 전달하는 프로토콜로, VPN 터널을 통해 전송되는 데이터를 암호화하고 해독하는 데 사용한다
Encapsulating Protocol : VPN 터널을 만드는 데 사용되는 프로토콜로 Passenger Protocol을 캡슐화 하고 암호화된 메세지를 공인망을 통해 안전하게 전송하는 역할을 한다.
Carrier Protocol : Encapsulating된 패킷을 운반하기 위한 프로토콜로 네트워크 장비들이 이해할 수 있는 프로토콜이다. 주로 IP를 사용한다.
VPN 종류
IPSEC( Internet Protocol Security )
통신 세션의 각 IP 패킷을 암호화하고 인증하는 안전한 인터넷 프로토콜 통신을 위한 인터넷 프로토콜이다.
네트워크 계층에서 IP 패킷 단위로 인증, 암호화, 키관리를 수행하며 주로 VPN에 사용한다.
주로 ISPC VPN은 인터넷을 이용해 본사 네트워크와 자사 네트워크의 LAN을 연결하는데 사용되어 Site to Site 또는 LAN to LAN 방식으로 칭한다.
IPSEC의 주요 서비스
보안 통신에 사용되는 프로토콜 이므로 인증, 기밀성, 무결성을 포함한 다양한 보안 서비스를 제공한다.
IPSEC Mode
전송 모드( Transport Mode )
IP 패킷의 페이로드를 보호하는 모드로 상위 프로토콜 데이터를 보호한다.
IP 헤더는 그대로 유지하므로 네트워크 패킷 전송에 문제가 발생하지 않는다.
IP 헤더를 보호하지 않기 때문에 트래픽 흐름이 노출될 수 있다.
종단 간( End-to-End ) 데이터 보호를 위해 사용한다.
터널 모드( Tunnel Mode )
IP 패킷 전체를 보호하는 모드로 IP 패킷 전체를 IPSEC으로 캡슐화 하여 IP 헤더를 식별할수 없기 때문에 네트워크상 전송이 불가능하다.
위의 문제를 해결하기 위해서 새로운 IP 헤더를 추가한다.
원본 IP 헤더를 보호하기 때문에 최초 출발지 및 최종 목적지에 대한 트래픽 정보는 기밀성이 보장된다.
주로 게이트웨이 구간 IP 패킷을 보호하는 목적으로 사용되며, 물리적으로 떨어진 본점과 지점 사이 구간 VPN 환경이 있다.
