IPsec VPN

* IPsec? IPsec VPN?

IPsec(Internet Protocol Security)은 네트워크 계층의 보안 프로토콜로 VPN에 널리 쓰이고 있다. 그리고 이 IPsec 프로토콜을 사용한 VPN을 IPsec VPN이라고 한다. IPsec은 VPN을 구현하기 위해 만들어진 VPN 프로토콜이기 때문에 IPsec과 IPsec VPN은 동의어로 봐도 될 것이다.

* IPsec VPN

- IPsec을 한마디로 정의하자면 'IP 프로토콜에 보안성(암호+인증)을 입혀 사설망과 같은 보안 효과를 갖지만 가상 사설망이기 때문에 비용은 저렴한 방식'이라고 생각하면 된다.

- IPsec VPN은 패킷을 보호하기 위한 보안적인 필드가 없어서 IP 보안을 추가해주는 개념으로 나온 것이다. IP 패킷에 대한 암호화 및 인증을 실시하여, 데이터에 기밀성과 무결성을 보장한다.

+ IPv6 에서는 IPsec이 기본적으로 포함되어 있다.

* IPsec Protocol 유형

- IPsec은 하나의 프로토콜이 아니고 네트워크 계층에서 보안을 제공하는 서비스와 VPN 프로토콜 모음이다.

- 밑에서 소개하겠지만 IPsec 프로토콜로는 주로 ESP가 사용된다. 왜? ESP에서 암호화와 인증 둘다 가능하기 때문이다.

▶ AH(Authentication Header)

- protocol 번호 51번 사용 (프로토콜 번호는 4계층 TCP/UDP 포트번호가 아니라 3계층에서 사용하는 거)

- 데이터에 대한 무결성 보장, 변조 방지 (인증)

- 암호화 기능이 없고 인증만 가능함

▶ ESP(Encapsulation Security Protocol)

- protocol 번호 50번 사용

- 데이터에 대한 무결성 보장, 변조 방지 (인증)

- 데이터 유출 방지, 데이터에 대한 기밀성 보장 (암호화)

- 암호화 기능, 인증 기능 둘다 있음 (AH 방식보다 많이 사용되는 이유)

암호화와 인증에 대한 자세한 내용은 여기로!

* IKE(Internet Key Exchange) 키 교환 단계

1단계 : Main Mode(ISAKMP SA) 장비간의 검증을 하는 인증 단계(peer 협상)

로컬 라우터와 상대방 라우터가 서로 연결해도 되는지 장비간의 검증을 하는 인증 단계이다. 실제 data를 전송하는 2단계를 위해서 data를 전송해도 되는지 검증하는 ISAKMP SA협의 단계, 송-수신중 한쪽만 진행한다. 인증방식(Pre-shared, RSA, RSA 시그니처)

+ ISAKMP란 : IKE 키 교환을 실행하기 위한 메시지 형식 및 전달 방법을 정의하기 위해 설계된 프로토콜 (SA의 생성 / 수정 / 삭제를 위한 절차와 패킷 구조의 정의를 말한다.)

2단계 : Quick Mode(IPsec SA)

실제 data를 전송하기 위해서 data 암호화 및 인증을 하기 위한 IPsec SA 단계 송신(암호화), 수신(복호화)

* 페이로드(Payload)

- 페이로드란 목적지 시스템이 수신하는 유일한 데이터이다.

- 인터넷을 통해 데이터가 전송될 때 전송되는 각 장치에는 헤더 정보와 전송되는 실제 데이터를 모두 포함한다.

- 헤더는 패킷의 소스 및 대상을 식별하는 반면, 실제 데이터는 페이로드라고 한다.

* IPsec의 두 가지 모드

- IPsec은 '전송 모드'와 '터널 모드' 두 가지 모드를 지원한다.

- 전송 모드는 IP 패킷 전체가 아닌 페이로드만을 보호하고, 터널 모드는 IP 패킷 전체를 보호한다.

1) 전송 모드 (Transport Mode)

전송 모드는 IP 헤더를 제외한 IP 패킷 페이로드만을 보호하는 방식이다. 즉, IP 계층의 상위 프로토콜인 전송 계층의 데이터(TCP/UDP 헤더 + 데이터)만을 보호하는 것이다. 전송 모드의 패킷 모양과 본래 IP 패킷 모양을 비교해보면 IPsec 헤더가 추가되어 있는 것을 볼 수 있다.

IPsec 헤더가 추가됐다는 것만으로 IP 페이로드를 보호하는 것은 아니다. 어떠한 보안 프로토콜을 통해 보안성이 입혀지고 난 후 관련 정보를 표시해야하기 때문에 이 정보를 헤더에 담는 것이다.

이미지 출처 : https://liveyourit.tistory.com/4

이렇게 IPsec 헤더가 감싸는 구성에 IP 헤더는 포함되지 않으므로 전송 모드는 IP 헤더를 제외한 IP 페이로드만을 보호하는 방식이라고 하는 것이다.

2) 터널 모드 (Tunnel Mode)

터널 모드는 IP 패킷 전체를 보호한다. IPsec 헤더가 IP 패킷 전체인 IP 헤더 + IP 페이로드 앞에 위치해있다. 그리고 새로운 IP 헤더가 IPsec 헤더 앞에 추가되어 있다.

새로우 IP 헤더가 추가된건 본래의 IP 헤더가 IPsec 헤더 뒤에 위치하게 됐으니 이대로 패킷을 구성하게 되면, 라우팅 정보가 없게 되므로 패킷이 원하는 목적지에 도달할 수가 없다. 따라서 라우팅 정보 추가를 위해 본래의 IP 패킷은 보호하면서도 새로운 IP 헤더를 추가하는 것이다. 이렇게 되면, 전송 모드와는 다르게 트래픽 정보 노출을 방지할 수 있게 된다.