CS🖥️/Network

IPSec VPN이란? (IP Sec이랑 다름) - On-premise 첫 걸음

code_wizard 2025. 10. 11. 15:48

https://aws-hyoh.tistory.com/162

IPsec(Internet Protocol Security)

IPsec은 IP 계층에서 데이터 통신의 기밀성, 무결성을 보장하기 위한 네트워크 보안 프로토콜 집합

TCP/IP 프로토콜 3 계층(Network Layer)에서 동작

 

- 두 지점간의 암호화된 통신 터널을 제공하는 기술(Site-to-Stie VPN)

물리적으로 멀리 떨어져 있어도 실제 사용자는 같은 네트워크에 연결 된 것처럼 사설(내부) IP로 통신 가능

 

- 암호화 수행때문에 보안성이 높다.

- 데이터를 빼내는 스푸핑 같은 공격에도 비교적 안전하다. 

기업을 예시로 들자면 

본사(Site) 네트워크

지사(Site) 네트워크 

를 VPN으로 연결하는 방식이라고 정의 

 

또한 패킷을 함호화함으로써 Layer3의 단점인 데이터 암호화를 해결합니다.

Tunneling Protocol이 있기에 가능한 것입니다.

- 패킷의 이동

- 패킷의 암호화

는 전적으로 VPN이 책임지기 때문에 VPN 하단의 장비와 PC들은 라우팅만 신경 씀.

사실 기업에서는 VPN만을 사용하지는 않습니다.

- (라우터, 스위치) 등의 네트워크 장비

- 방화벽, IPS 등의 보안 장비

함께 사용

다양한 장비 결합 운용에서 네트워크의 IPSec VPN이 어떻게 배치되는지가 중요하다.

 

그렇다면 IP Sec이란?

통신 세션의 각 IP 패킷을 암호화하고 인증하는 프로토콜 스위트(Protocol Suite)이다.

IPSec VPN이라 부르는 이유는

- VPN 터널을 생성하고 데이터를 암호화하는 방식에 있어 IPSec의 규칙을 따르기 때문이다.

 

따라서 IPSec의 역할은

- 인터넷 경유 구간에서 안전한 터널링 생성

- 패킷 인증 수단 제공

- 패킷 암호화할 키 관리 및 제공

 

추가적으로 2가지 운용 모드가 존재한다.

1. Transprot Mode(전송모드) -> 단말to단말 직접 터널 연결

2. Tunnel Mode(터널모드) -> VPN을 양쪽 네트워크에 두고 VPN 간 터널을 연결

 

Transprot Mode

- IP Header를 변형하지 않고 그대로 사용

- 헤더를 제외한 데이터 부분만을 인증 or 보호

- 단말이 모든 과정을 담당하기에 단말 간 통신 

 

Tunnel Mode

New IP Header(공인 IP)를 encapsulation 추가적으로 씌운다.

- Original IP Header(사설 IP)까지 캡슐화 -> IP 패킷 전체를 보호

VPN 장비가 이를 도맡아 하므로 사설<->사설 간 통신을 가능케 합니다.

현재 대부분의 IPSec VPN은 터널 모드를 사용

 

IP 초창기 설계에는 암호화 아이디어가 반영되어 있지 않다.

약점 해결을 위해: 특정 헤더 추가(인증/암호화) 프로토콜의 취약점 보완

 

그게 바로 

AH(Authentication Header)

ESP(Encapsulating Security Payload)

터널 생성 시 인증하기 위한 인증서 / 데이터 패킷 암호화 알고리즘(DES, 3DES, AES)

패킷 변질되지 않았음을 증명(MD5, SHA)

 

IPSec 터널을 생성하고 키를 생성/관리하는 가장 중요한 프로토

 

A라는 IP대역을 가진 네트워크랑

B라는 IP대역을 가진 네트워크가 통신을 해야 하는데

물리적으로 떨어져 있다 보니 전용선을 끌어다가 쓸 수 있음(통신사업자한테 견적이라는 형태로 비용을 제공받음)

*견적 포함 내용: 20Mbps bandwidth를 가지는 회선을 쓰고 싶다, 얼마 기간 동안 낸다.

(국내 3사, 드림라인)

거리가 길수록

b/w가 높을수록

사용기간이 짧을수록

비싸진다.

 

인터넷망에서 100MByte라고 쓰여있는 것은 End to End로 이런 네트워크 품질을 보장한다는 뜻이 아니라

접속만 100Mbyte를 보장한다는 뜻.

IPsec 프로토콜을 지원하는 장비를 양쪽에 설치를 한다.

A to B가 있는데, 할당받은 공인 IP가 있는데 공인 IP를 IPsec에 할당(물론, DHCP로 IP가 바뀔 텐데)

 

VPN 나는 A를 가지고 있지만 인터넷에서는 C로 보인다.

IPSec Protocol

인터넷(Public N/W) 에서 보안 수준을 높이려면 Secure 한 채널이 생겨야 하는데

 그래서 있는 거임.