Openvpn 은 SSL 기술을 통해 구현됩니다. 주로 애플리케이션 계층에서 일하기 때문에 효율성이 떨어집니다. 단위 유량이 비교적 크면 이것을 사용하지 않는 것이 좋다. 또 다른 사용은 SSL 기술이지, 우리가 흔히 말하는 SSL VPN 이 아니다.
현재 시장에서 비교적 유행하는 하드웨어 VPN 은 IPSec 기술을 채택하고 있다. 그래서 첫 번째 것을 선택하면 나중에 하드웨어를 교체하는 데 도움이 된다.
기본적으로 시중에 나와 있는 하드웨어 VPN 제품은 openvpn 과 같은 기술을 거의 채택하지 않는다.
IPSEC 의 작동 방식
--
가상 사설망은 공용 네트워크에 전용 네트워크를 구축하는 것을 의미하며, 데이터는 안전한' 파이프' 를 통해 공용 네트워크를 통해 전파됩니다. VPN 을 사용하면 비용 절감, 원격 액세스, 확장성, 관리 용이성, 전체 제어 등의 이점을 얻을 수 있으며 현재와 미래의 네트워크 서비스에 중점을 두고 있습니다. 따라서 가상 사설망의 기술적 특징을 충분히 이해하고 완벽한 서비스 체계를 구축해야 합니다. 가상 사설망 작동 원리
현재 가상 사설망을 구축하는 국제 표준은 IPSec (RFC1825-1829) 와 L2TP (draft-IETF-pppext-L2TP-/ L2tp (virtual private dial-up network protocol) 는 Microsoft 의 PPTP 와 Cisco 의 L2F 를 포함한 각 공급업체의 프로토콜에 따라 IETF 가 작성한 가상 전용 전화 접속 네트워크 프로토콜로, 아직 초안 단계에 있습니다. IPSEC 는 IETF 가 공식적으로 사용자 정의한 인트라넷, 엑스트라넷 및 인터넷을 포함한 IP 네트워크를 기반으로 하는 개방형 IP 보안 표준입니다. 그것은 가상 사설망의 기초이며, 이미 상당히 성숙하고 믿을 만하다. L2TP 프로토콜 초안은 (L2TP 표준) IPSEC 을 기반으로 해야 한다고 규정하고 있습니다 (초안-IETF-pppext-L2TP-security-01참조). 따라서 이 문서에서는 VPN 의 작동 원리를 설명하고 IPSEC 의 작동 원리를 주로 분석합니다.
IPSEC 는 공용 또는 전용 IP 네트워크를 통해 전송되는 전용 번호를 보호하기 위해 세 가지 다른 형식을 제공합니다.
인증-기능은 수신된 데이터와 전송된 데이터의 일관성을 보장하는 동시에 응용 프로그램의 발신자가 위장이 아닌 실제 발신자임을 보장하는 것입니다.
데이터 무결성-원본 위치에서 목적지로 데이터를 전송하는 동안 알 수 없는 데이터 손실과 변경 사항이 없도록 하는 기능입니다.
기밀성-해당 수신자가 데이터의 실제 내용을 알 수 없는 대신 전송된 실제 내용을 얻을 수 있도록 하는 데 사용됩니다.
IPSEC 에서 세 가지 기본 요소는 인증 프로토콜 헤더 (AH), 보안 로드 캡슐화 (ESP) 및 인터넷 키 관리 프로토콜 (IKMP) 의 세 가지 보호 형식을 제공합니다. 인증 프로토콜 헤더와 보안 로드 패키지는 단독으로 또는 함께 사용하여 원하는 보호 수준을 달성할 수 있습니다.
인증 프로토콜 헤더 (AH) 는 모든 패킷 헤더에 암호를 추가하는 것입니다. 이름에서 알 수 있듯이 AH 는 키 보유자만 알고 있는' 디지털 서명' 을 통해 사용자를 인증합니다. 이 서명은 패킷이 특수 알고리즘을 통해 얻은 유일한 결과입니다. AH 는 데이터 무결성도 유지할 수 있습니다. 전송 중 작은 변경 사항을 로드하면 헤더 디지털 서명을 감지할 수 있기 때문입니다. 그러나 AH 는 패킷에 로드된 콘텐츠를 암호화할 수 없기 때문에 기밀성이 보장되지 않습니다. 가장 일반적인 두 가지 AH 표준은 MD5 와 SHA- 1 입니다. MD5 는 최대값이 128 인 키를 사용하는 반면 SHA- 1 최대값이 160 인 키를 사용하면 더 강력한 보호 기능을 제공합니다.
보안 로드 캡슐화 (ESP) 는 패킷의 모든 데이터와 로드된 내용을 완전히 암호화하여 전송 정보의 기밀성을 엄격하게 보장함으로써 다른 사용자가 수신을 통해 정보 교환된 콘텐츠를 열지 못하도록 합니다. 이는 신뢰할 수 있는 사용자만 키를 통해 콘텐츠를 열 수 있기 때문입니다. ESP 는 인증을 제공하고 데이터 무결성을 유지할 수도 있습니다. 가장 중요한 ESP 표준은 DES (데이터 암호화 표준) 입니다. DES 는 최대 56 비트 키를 지원하며 3DES 는 최대 168 비트 키를 사용하는 것과 같은 3 개의 키 세트를 사용하여 암호화합니다. ESP 는 실제로 모든 데이터를 암호화하기 때문에 AH 보다 처리 시간이 더 많이 걸리고 성능이 저하됩니다.
키 관리에는 키 결정과 키 배포의 두 가지 측면이 포함되며 최대 4 개의 키 (AH 와 ESP) 가 필요합니다. 키 자체는 이진 문자열이며 일반적으로 16 진수로 표시됩니다. 예를 들어 56 비트 키는 5F39DA752E0C25B4 로 나타낼 수 있습니다. 총 길이 * * * 는 8 비트 패리티를 포함한 64 비트입니다. 56 비트 키 (DES) 는 대부분의 상용 어플리케이션에 충분합니다. 키 관리에는 수동 및 자동 방법이 모두 포함됩니다. 수동 관리 시스템은 제한된 보안 요구 사항에서 잘 작동할 수 있으며, 자동 관리 시스템은 다른 모든 애플리케이션 요구 사항을 충족할 수 있습니다.
수동 관리 시스템의 경우 키는 관리 사이트에 의해 결정되고 모든 원격 사용자에게 배포됩니다. 실제 키는 난수 생성기 또는 간단한 임의 패치 워크로 계산할 수 있으며 각 키는 그룹의 보안 정책에 따라 수정할 수 있습니다. 자동 관리 시스템을 사용하면 동적으로 키를 식별하고 배포할 수 있습니다. 이는 분명히 이름과 마찬가지로 자동입니다. 자동 관리 시스템에는 중앙 집중식 키 관리자가 있어 자신을 더욱 안전하게 하고 IPSEC 의 효과를 극대화할 수 있습니다.
IPSEC 구현
IPSEC 의 가장 기본적인 장점 중 하나는 * * * 네트워크 액세스 장치, 심지어 모든 호스트 및 서버에서도 네트워크 관련 리소스의 업그레이드를 크게 피할 수 있다는 것입니다. 클라이언트에서 IPSEC 아키텍처는 원격 액세스 라우터에 관련된 PC 및 워크스테이션 또는 소프트웨어로만 구성된 일반 모뎀을 사용할 수 있도록 합니다. ESP 는 전송 모드와 터널 모드의 두 가지 모드를 통해 어플리케이션에 더 많은 유연성을 제공합니다.
IPSEC 패킷은 터널 모드에서 원시 IP 주소와 데이터를 압축하는 데 사용할 수 있습니다.
ESP 가 호스트 (클라이언트 또는 서버) 에서 구현될 때 일반적으로 전송 모드를 사용합니다. 전송 모드는 원본 일반 텍스트 IP 헤더를 사용하며 TCP 및 UDP 헤더를 포함한 데이터만 암호화합니다.
터널 모드는 여러 호스트와 연관된 네트워크 액세스 개입 장치에서 ESP 를 구현할 때 일반적으로 사용됩니다. 터널 모드는 모든 TCP/IP 또는 UDP/IP 헤더 및 데이터를 포함한 전체 IP 패킷을 처리하며 자체 주소를 새 IP 헤더에 소스 주소로 추가합니다. 사용자 터미널 설정에 터널 모드를 사용할 때 내부 서버 호스트 및 클라이언트의 주소를 쉽게 숨길 수 있습니다.
가상 사설망 암호화 알고리즘의 해석
--
I. IPSec 인증
IPSec 인증 헤더 (AH) 는 IP 데이터그램 무결성 및 인증을 제공하는 메커니즘입니다. 무결성은 데이터그램이 의도하지 않거나 악의적으로 변경되지 않도록 하는 반면 인증은 데이터의 출처 (호스트, 사용자, 네트워크 등) 를 확인합니다. ). AH 자체는 어떠한 형태의 암호화도 지원하지 않으며 인터넷을 통해 전송되는 데이터의 신뢰성을 보호할 수 없습니다. AH 는 암호화된 수출, 수입 또는 사용이 현지 정부의 규제를 받는 경우에만 글로벌 인터넷의 보안을 강화할 수 있습니다. 모든 기능이 구현되면 IP 패킷 인증을 통해 IP 스푸핑 기반 공격 확률을 줄여 더 나은 보안 서비스를 제공합니다. AH 에서 사용하는 헤더는 표준 IPv4 와 IPv6 헤더와 TCP, UDP, I CMP 등과 같은 다음 상위 계층 프로토콜 프레임 사이에 있습니다. ).
AH 프로토콜은 IP 데이터그램 전체에서 메시지 다이제스트 계산을 구현함으로써 무결성 및 인증 서비스를 제공합니다. 메시지 다이제스트는 데이터그램의 고유한 디지털 지문을 만드는 특정 단방향 데이터 함수입니다. 메시지 요약 알고리즘의 출력은 AH 헤더 헤더의 Authentication_Data 영역에 배치됩니다. 메시지 다이제스트 5 알고리즘 (MD5) 은 단방향 수학 함수입니다. 그룹화된 데이터에 적용될 때 전체 데이터를 128 비트가 있는 여러 정보 그룹으로 나눕니다. 128 비트 그룹의 정보는 대용량 패킷 데이터의 압축 또는 추상적 표현입니다. 이런 식으로 사용할 경우 MD5 는 디지털 무결성 서비스만 제공합니다. 메시지 요약은 전송 전과 수신 후 데이터 세트에서 계산할 수 있습니다. 두 계산의 요약 값이 같으면 전송 중에 그룹화된 데이터가 변경되지 않습니다. 이것은 의도하지 않거나 악의적인 변조를 막을 수 있다. HMAC-MD5 인증 데이터 교환에서 발신자는 이전에 교환한 키를 사용하여 데이터그램의 64 비트 패킷에 대한 MD5 요약을 처음으로 계산합니다. 일련의 16 비트에서 계산된 요약 값을 하나의 값으로 합산한 다음 AH 헤더의 인증 데이터 영역에 배치한 다음 수신자에게 데이터를 보냅니다. 수신자는 정확한 메시지 다이제스트를 계산하고 수신된 인증 메시지 다이제스트에 맞게 키 값도 알아야 합니다. 계산된 요약 값이 수신된 요약 값과 같으면 데이터 그램은 전송 중에 변경되지 않으며 키만 아는 다른 쪽에서 보낸 것으로 간주될 수 있습니다.
둘째, IPSec 암호화
패킷 보안 프로토콜 (ESP) 헤더는 IP 데이터그램의 무결성 및 신뢰성 서비스를 제공합니다. ESP 프로토콜은 터널 모드와 전송 모드의 두 가지 모드에서 작동하도록 설계되었습니다. 차이점은 IP 데이터그램의 ESP 로드 섹션의 내용이 다르다는 것입니다. 터널 모드에서 전체 IP 데이터그램은 ESP 페이로드에서 캡슐화되고 암호화됩니다. 이렇게 하면 실제 IP 소스 주소와 대상 주소가 인터넷을 위해 전송된 일반 데이터를 숨길 수 있습니다. 이 모드의 일반적인 용도는 가상 사설 네트워크를 통해 방화벽을 방화벽에 연결할 때 호스트나 토폴로지를 숨기는 것입니다. 전송 모드에서는 상위 계층 프로토콜 프레임 (TCP, UDP, ICMP 등) 만 있습니다. ) 는 암호화된 IP 데이터그램의 ESP 페이로드 섹션에 배치됩니다. 이 모드에서는 소스 및 대상 IP 주소와 모든 IP 헤더 필드가 암호화되지 않습니다.
IPSec 는 모든 ESP 구현에 공통된 기본 알고리즘인 DES-CBC 알고리즘을 사용해야 합니다. 미국 데이터 암호화 표준 (DES) 은 매우 인기 있는 암호화 알고리즘입니다. 그것은 미국 정부에 의해 처음 발표되었고, 원래는 상업 응용에 사용되었다. 지금까지 모든 DES 특허의 보호 기간이 만료되었기 때문에 전 세계적으로 무료가 이루어졌습니다. IPSec ESP 표준은 모든 ESP 가 CBC 를 지원하는 DES 를 기본 알고리즘으로 구현해야 합니다. DES-CBC 는 전체 IP 패킷 (터널 모드) 또는 다음 상위 계층 프로토콜 프레임 (전송 모드) 을 구성하는 8 비트 패킷에 데이터 기능을 추가하는 방식으로 작동합니다. DES-CBC 는 8 비트 암호화되지 않은 데이터 (일반 텍스트) 대신 8 비트 암호화 데이터 (암호문) 를 사용합니다. 임의의 8 비트 초기화 벡터 (IV) 는 첫 번째 일반 텍스트 그룹을 암호화하는 데 사용되므로 일반 텍스트 정보의 시작이 같더라도 암호화된 정보의 무작위성을 보장할 수 있습니다. DES-CBC 는 주로 모든 통신자가 공유하는 동일한 키를 사용합니다. 따라서 대칭 암호화 알고리즘으로 간주됩니다. 수신자는 발신자가 데이터를 암호화하는 데 사용하는 키를 통해서만 암호화된 데이터를 해독할 수 있습니다. 따라서 DES-CBC 알고리즘의 유효성은 키 보안에 따라 다르며 ESP 에서 사용하는 DES-CBC 의 키 길이는 56 비트입니다.
IPSec 기반 VPN 기술 원리 및 구현
이 문서에서는 먼저 VPN 기술의 기본 원리와 IPSec 사양을 설명한 다음 VPN 기술의 구현 방법과 몇 가지 일반적인 응용 프로그램에 대해 설명합니다. 마지막으로 저자는 VPN 기술의 보급 응용에 대해 자신의 견해를 제시했다.
1. 소개
1998 은' 전자상거래의 해' 라고 불리며 1999 는' 정부 온라인 연도' 가 된다. 사실, 세계를 연결하는' 제 4 매체' 로서 인터넷은 이미 무한한 기회가 되었다. 인터넷을 이용하여 비즈니스 활동을 전개하는 방법은 현재 각 기업이 토론하는 핫한 화제이다. 그러나 인터넷이 실제로 비즈니스에 적용될 때 해결해야 할 몇 가지 문제가 있습니다. 그 중 가장 중요한 두 가지 문제는 서비스 품질과 보안입니다. 서비스 품질 문제는 관련 공급업체와 ISP 의 노력으로 점진적으로 해결되고 있으며 VPN 기술의 출현은 보안 문제를 해결할 수 있는 효과적인 방법을 제공합니다.
VPN(VirtualPrivate Network) 이란 공용 백본을 통해 물리적으로 다른 곳에 분포된 네트워크를 연결하여 형성된 논리적 가상 서브넷을 말합니다. 여기서 공용 네트워크는 주로 인터넷을 가리킵니다. 인터넷을 통한 정보 전송의 보안을 보장하기 위해 VPN 기술은 인증, 액세스 제어, 기밀성, 데이터 무결성 등의 조치를 채택하여 전송 중 정보를 엿보거나 조작하거나 복제하지 않도록 합니다. 인터넷을 사용하여 전송하는 비용이 전용 회선을 임대하는 비용보다 매우 낮기 때문에 VPN 의 출현으로 기업은 인터넷을 통해 개인 기밀 정보를 안전하고 경제적으로 전송할 수 있습니다.
비용 절감 외에도 VPN 기술에는 다른 기능이 있습니다.
● 네트워크 확장에 따라 확장성을 유연하게 확장할 수 있습니다. 새 사용자 또는 서브넷을 추가할 때 새 VPN 은 기존 네트워크 소프트웨어 구성을 수정하고 새로 추가된 클라이언트 또는 게이트웨이에 해당 소프트웨어를 설치하고 인터넷에 연결해야 작동합니다.
● 유연성: 새로운 서브넷을 엔터프라이즈 네트워크로 쉽게 확장할 수 있을 뿐만 아니라, 인터넷의 글로벌 연결성으로 인해 VPN 을 통해 기업은 언제든지 글로벌 비즈니스 파트너와 고객의 정보에 안전하게 액세스할 수 있습니다.
● 관리하기 쉬운 셔틀라인으로 기업에 연결된 서브넷을 관리할 때, 서브넷의 수가 증가함에 따라 필요한 셔틀라인의 수가 기하급수적으로 증가할 수 있습니다. VPN 을 사용할 때 인터넷은 HUB 와 같아서 각 서브넷을 인터넷에 연결하기만 하면 되며 각 회선을 관리할 필요가 없습니다.
VPN 은 인트라넷과 엑스트라넷을 구축하는 데 사용할 수 있습니다. 전 세계 전자 상거래가 부상함에 따라 VPN 의 응용이 점점 더 광범위해질 것이다. Infonetics Reseach 에 따르면 VPN 의 시장 점유율은 오늘날의 2 억 달러에서 2006 년 1 19 억 달러로 증가할 것으로 예상되며, 이 중 VPN 제품의 매출은 10 분의 1 을 차지할 것으로 전망된다.
IPSec 사양에 기반한 VPN 기술.
1)IPSec 프로토콜 소개
IPSec( 1P Security) 은 IP 계층의 보안을 제공하기 위해 IPv6 개발에 등장했습니다. TCP/IP 프로토콜을 지원하는 모든 호스트는 통신 시 IP 계층을 통과하므로 IP 계층의 보안을 제공하는 것은 전체 네트워크에 보안 통신의 기초를 제공하는 것과 같습니다. IPv4 의 광범위한 적용으로 인해 IPSec 개발에 IPv4 지원이 추가되었습니다.
첫 번째 IPSec 표준은 1995 년 IETF 에 의해 제정되었지만, 일부 미해결 문제로 인해 IETF 는 1997 부터1998 까지 새로운 IPSec 개발을 시작했습니다 그러나, 이 새로운 계약에는 여전히 몇 가지 문제가 있으며, IETF 는 가까운 시일 내에 다음 IPSec 개정을 진행할 것으로 예상된다.
2)IPSec 의 기본 작동 원리
IPSec 의 작동 방식 (그림 L 참조) 은 패킷 필터링 방화벽과 유사하며 패킷 필터링 방화벽의 확장으로 볼 수 있습니다. IP 패킷이 수신되면 패킷 필터링 방화벽은 해당 헤더를 사용하여 규칙 테이블에서 일치시킵니다. 일치하는 규칙이 발견되면 패킷 필터링 방화벽은 해당 규칙에 의해 설정된 방법에 따라 수신된 IP 패킷을 처리합니다. 여기에는 폐기 또는 전달이라는 두 가지 처리 작업만 있습니다.
그림 1 IPSec 작업 구조도
IPSec 는 SPD (보안 p 0 1 정책 데이터베이스 보안 정책 데이터베이스) 를 쿼리하여 수신된 IP 패킷 처리를 결정합니다. 그러나 IPSec 은 패킷 필터링 방화벽과 다릅니다. 전달 IP 패킷을 직접 버리는 것 외에 또 다른 방법은 IPSec 처리입니다. 패킷 필터링 방화벽보다 더 많은 네트워크 보안을 제공하는 새로운 처리 방법입니다.
IPSec 처리를 수행한다는 것은 IP 패킷 암호화 및 인증을 의미합니다. 패킷 필터링 방화벽은 한 사이트의 IP 패킷 통과만 제어할 수 있으며, 외부 사이트의 IP 패킷은 특정 내부 사이트에 대한 액세스를 거부하거나 내부 사이트의 일부 외부 웹 사이트에 대한 액세스를 거부할 수 있습니다. 그러나 패킷 필터링 방화벽은 인트라넷에서 나가는 가방이 차단되지 않으며 인트라넷에 들어가는 가방이 변조되지 않았다고 보장할 수 없습니다. IP 패킷을 암호화하고 인증해야만 인터넷을 통해 새로운 보안 통신을 할 수 있는 외부 네트워크로 전송되는 패킷의 기밀성, 신뢰성 및 무결성을 보장할 수 있습니다.
IPSec 는 IP 패킷, 인증만 또는 둘 다를 암호화할 수 있습니다. 그러나 암호화든 인증이든 IPSec 에는 두 가지 작동 모드가 있는데, 하나는 이전 섹션에서 언급한 프로토콜과 유사한 터널 모드이고 다른 하나는 전송 모드입니다.
그림 2 에서 볼 수 있듯이 전송 모드는 IP 패킷의 페이로드만 암호화하거나 확인합니다. 이 시점에서 이전 IP 헤더를 계속 사용하여 IP 헤더의 일부 필드만 수정하고 IP 헤더와 전송 계층 헤더 사이에 IPSec 프로토콜 헤더를 삽입합니다.
그림 2 전송 모드 다이어그램
그림 3 과 같이 터널 모드는 전체 IP 데이터 색상을 암호화하거나 인증합니다. 이때 새로 생성된 IP 헤더와 이전 IP 패킷 사이에 IPSec 헤더를 배치하여 새 IP 헤더를 생성해야 합니다.
그림 3 터널 모드 다이어그램
3)IPSec 의 세 가지 주요 프로토콜.
앞서 언급했듯이 IPSec 의 주요 기능은 암호화 및 인증입니다. 암호화 및 인증을 위해 IPSec 는 암호화 및 인증에 필요한 키를 제공하고 키 사용을 관리하는 키 관리 및 교환 기능도 필요합니다. 위의 세 가지 측면은 AH, ESP, IKE 의 세 가지 프로토콜에 의해 규정되어 있습니다. 이 세 가지 프로토콜을 소개하기 위해서는 매우 중요한 용어인 보안 관련 SA 를 소개해야 합니다. 보안 연관이란 보안 서비스와 해당 서비스 사업자 간의 "연결" 을 말합니다. AH 와 ESP 모두 SA 를 사용해야 합니다. IKE 의 주요 기능은 SA 의 설립과 유지 관리입니다. AH 와 ESP 가 구현되면 SA 를 지원해야 합니다.
통신 양측이 IPSec 를 사용하여 안전한 전송 경로를 설정하려면 암호화 알고리즘, 키, 키 수명 등 사용할 보안 정책을 미리 협의해야 합니다. 양측이 사용하는 보안 정책에 합의했을 때, 우리는 쌍방이 이미 SA 를 설립했다고 말했다. SA 는 AH 또는 ESP 가 제공할 수 있는 데이터 전송을 위한 IPSec 보안을 제공하는 간단한 연결입니다. SA 가 주어질 때 암호화, 인증 등과 같이 IPSec 에 의해 수행되는 처리를 결정합니다. SA 는 인접한 터널과 중첩된 터널을 전송하는 두 가지 방법으로 결합할 수 있습니다.
1)ESP (패키지 안전 부하)
ESP 프로토콜은 주로 IP 패킷을 암호화하는 데 사용되며 인증에 대한 지원도 제공합니다. ESP 는 특정 암호화 알고리즘과는 별개이며 DES, TripleDES, RC5 등 거의 모든 종류의 대칭 키 암호화 알고리즘을 지원합니다. 다양한 IPSec 구현 간의 상호 운용성을 보장하기 위해 현재 ESP 는 56 비트 DES 알고리즘을 지원해야 합니다.
ESP 프로토콜 데이터 단위 형식은 헤더 및 암호화된 데이터 부분 외에도 인증을 구현할 때 선택적 꼬리를 포함하는 세 부분으로 구성됩니다. 헤더에는 SPl (보안 정책 색인) 과 일련 번호 (Sequence 번호) 의 두 필드가 있습니다. 보안 통신에 ESP 를 사용하기 전에 사용된 알고리즘, 키 및 키의 유효 기간을 포함하여 사용할 암호화 정책을 협상해야 합니다. 보안 정책 인덱스는 발신자가 IP 패킷을 처리하는 데 사용하는 암호화 정책을 결정하는 데 사용됩니다. 수신자는 이 일련 번호를 볼 때 수신된 IP 패킷을 처리하는 방법을 알고 있습니다. 일련 번호는 동일한 암호화 정책 세트를 사용하는 서로 다른 패킷을 구별하는 데 사용됩니다. 원본 IP 패킷의 페이로드 외에도 암호화된 데이터 섹션 및 채워진 필드 (암호화된 데이터 섹션이 블록 암호화의 길이 요구 사항을 충족하는지 확인하는 데 사용됨) 는 전송 중 암호화됩니다. "다음 헤더" 는 순부하 부분에 사용되는 프로토콜을 나타내는 데 사용됩니다. 전송 계층 프로토콜 (TCP 또는 UDP) 또는 IPSec 프로토콜 (ESP 또는 AH) 일 수 있습니다.
일반 ESP 는 IP 의 페이로드로 전송할 수 있으며, jip 의 UKB 헤더는 다음 프로토콜이 TCP 와 UDP 가 아닌 ESP 임을 나타냅니다. 이러한 패키지 형태로 인해 ESP 는 이전 네트워크를 사용하여 전송할 수 있습니다.
앞서 언급한 IPSec 암호화에는 두 가지 작동 모드가 있습니다. 즉, ESP 프로토콜에는 전송 모드와 터널 모드의 두 가지 작동 모드가 있습니다. ESP 가 전송 모드에서 작동할 때 현재 IP 헤더를 사용합니다. 터널 모드에서 전체 IP 패킷은 ESP 의 페이로드로 암호화되며, ESP 헤더 앞에 게이트웨이 주소를 소스 주소로 하는 새 IP 헤더를 추가하면 NAT 역할을 할 수 있습니다.
2)AH (인증 헤더)
AH 는 인증만 포함하고 암호화는 포함하지 않습니다. AH 는 기능적으로 ESP 와 중복이 있지만 AH 는 IP 보고 헤더와 IP 페이로드를 인증할 수 있습니다. 주로 데이터 쌍을 처리하여 IP 헤더를 인증할 수 있으며 ESP 의 인증 기능은 주로 IP 순부하를 대상으로 합니다. 가장 기본적인 기능을 제공하고 상호 운용성을 보장하기 위해 AH 에 HMAC 지원이 포함되어야 합니까? /font > 모래와/font > MD5(HMAC 는 SHA 및 MD5 에서 지원하는 대칭 인증 시스템입니다.)
AH 는 단독으로 사용하거나 터널 모드에서 사용하거나 ESP 와 함께 사용할 수 있습니다.
3)IKE (인터넷 키 교환)
IKE 프로토콜은 주로 키 교환을 관리하며 주로 다음 세 가지 기능을 포함합니다.
● 사용되는 프로토콜, 암호화 알고리즘 및 키를 협상합니다.
편리한 키 교환 메커니즘 (정기적인 실행이 필요할 수 있음).
이러한 프로토콜의 구현을 추적합니다.
3.3 의 디자인. 가상 사설망 시스템
그림 4 에서 볼 수 있듯이 VPN 구현은 관리 모듈, 키 배포 및 생성 모듈, 인증 모듈, 데이터 암호화/암호 해독 모듈, 패킷 패키징/분해 모듈 및 암호화 라이브러리로 구성됩니다.
관리 모듈은 전체 시스템의 구성 및 관리를 담당합니다. 관리 모듈은 사용할 전송 모드와 암호화/암호 해독할 IP 패킷을 결정합니다. 암호화된 IP 패킷은 시스템 자원을 소비하고 네트워크 지연을 증가시키기 때문에 두 보안 게이트웨이 사이의 모든 IP 패킷에 VPN 서비스를 제공하는 것은 비현실적입니다. 네트워크 관리자는 관리 모듈을 통해 암호화할 IP 패킷을 지정할 수 있습니다. 인트라넷 사용자는 또한 자신의 IP 패킷에 암호화 서비스를 제공하기 위해 텔넷 프로토콜을 통해 전송되는 특수 명령을 통해 VPN 시스템을 지정할 수 있습니다.
키 관리 모듈은 인증 및 데이터 암호화에 필요한 키 생성 및 배포를 담당합니다. 키는 무작위로 생성됩니다. 보안 게이트웨이 간 키 배포는 수동 배포를 사용하며 보안 게이트웨이 간 키 전송은 네트워크 전송 이외의 보안 통신을 통해 수행됩니다. 각 보안 게이트웨이의 키는 비밀 데이터베이스에 저장되어 IP 주소를 키로 하는 빠른 쿼리 및 획득을 지원합니다.
인증 모듈은 IP 패킷에 대한 디지털 서명 작업을 완료합니다. 디지털 서명의 전체 프로세스는 그림 5 에 나와 있습니다.
그림 5 디지털 서명
먼저 발신자가 데이터 H = H (m) 를 해시한 다음 통신 키 K 로 H 를 암호화하여 Signature = {H} 키를 얻습니다. 발신자는 서명을 일반 텍스트에 첨부하여 함께 수신자에게 보냅니다. 데이터를 수신하면 수신자는 먼저 키 K 해독 서명으로 H 를 받고 H(m) 와 비교합니다. 일관성이 있으면 데이터가 완전하다는 뜻입니다. 디지털 서명은 데이터 무결성을 보장할 뿐만 아니라 키만 있어야 데이터에 올바르게 서명할 수 있기 때문에 인증 역할을 합니다.
데이터 암호화/암호 해독 모듈은 IP 패킷 암호화 및 암호 해독을 완료합니다. 선택적인 암호화 알고리즘은 IDEA 알고리즘과 DES 알고리즘입니다. 전자는 소프트웨어로 구현하면 더 빠른 암호화 속도를 얻을 수 있다. 시스템 효율성을 더욱 향상시키기 위해 특수 하드웨어를 사용하여 데이터를 암호화하고 해독할 수 있으며 DES 알고리즘은 더 빠른 암호화 속도를 얻을 수 있습니다. 컴퓨터 컴퓨팅 능력이 향상됨에 따라 DES 알고리즘의 보안이 어려워졌습니다. 보안 요구 사항이 높은 네트워크 데이터의 경우 데이터 암호화/암호 해독 모듈은 3 중 DES 암호화 서비스를 제공합니다.
패킷 캡슐화/분해 모듈은 IP 패킷을 안전하게 캡슐화하거나 분해합니다. 보안 게이트웨이에서 IP 데이터 그룹화를 전송할 때 데이터 그룹화 캡슐화/분해 모듈은 IP 데이터 그룹화에 ID 를 연결합니다.
인증 헤더 AH 및 보안 데이터 패키지 헤더 ESP. 보안 게이트웨이가 IP 패킷을 수신하면 패킷 캡슐화/분해 모듈은 AH 및 ESP 프로토콜을 구문 분석하여 헤더 정보에 따라 인증 및 데이터 암호 해독을 수행합니다.
암호화 라이브러리는 위 모듈에 통합 암호화 서비스를 제공합니다. 암호화 라이브러리 설계의 기본 원칙 중 하나는 통합 함수 인터페이스를 통해 위 모듈과 통신하는 것입니다. 이것은 실제 요구를 기반으로 할 수 있습니다.
확실한 것은 암호화 알고리즘과 암호화 강도가 다른 라이브러리를 연결할 때 다른 모듈을 변경할 필요가 없다는 것입니다.
몇 가지 일반적인 VPN 응용 프로그램
VPN 응용 프로그램에는 전화 접속 VPN 과 전용 VPN 의 두 가지 기본 유형이 있습니다.
전화 접속 VPN 은 모바일 사용자와 원격근무 사용자에게 원격 인트라넷 액세스를 제공하며 현재 가장 인기 있는 형태입니다. 전화 접속 VPN 서비스는 "회사 전화 접속 아웃소싱" 이라고도 합니다. 터널이 설정된 위치에 따라 전화 접속 VPN 은 사용자의 PC 또는 서비스 공급업체의 네트워크 액세스 서버 (NAS) 의 두 가지 유형으로 나눌 수 있습니다.
사설 VPN 에는 여러 가지 형태가 있으며, 동일한 요소는 사용자에게 IP 서비스를 제공하는 것입니다. 일반적으로 보안 장치나 클라이언트의 라우터는 IP 네트워크에서 서비스를 완료하는 데 사용됩니다. IP 서비스는 프레임 릴레이 또는 ATM 네트워크에 IP 인터페이스를 설치하여 제공할 수도 있습니다. 사설 서비스 어플리케이션은 WAN 을 통해 원격 사무실을 기업 인트라넷 및 외부 네트워크에 연결합니다. 이러한 서비스는 다중 사용자 및 고속 연결이 특징입니다. 완벽한 VPN 서비스를 제공하기 위해 기업과 서비스 공급업체는 사설 VPN 과 원격 액세스 시나리오를 결합하는 경우가 많습니다.
현재 VPN 인식 네트워크가 부상하고 있으며, 서비스 공급업체는 곧 기업에 특수한 부가 가치 서비스를 제공할 때 확장성과 유연성에 대한 공급업체의 요구를 충족하기 위해 일련의 신제품을 출시할 예정입니다.
5. 끝말
결론적으로 VPN 은 종합적인 네트워크 신기술로, 인터넷이 고도로 발달한 미국에서도 강력한 생명력을 보이고 있다. 씨스코, 3Com, Ascend 등은 모두 자신의 제품을 내놓았다. 그러나 VPN 제품이 널리 받아들여질 수 있는지 여부는 주로 VPN 체계가 유선 속도로 암호화될 수 있는지 여부에 따라 달라집니다. 그렇지 않으면 병목 현상이 발생할 수 있습니다. 두 번째는 VPN 데이터 스트림을 예약하고 네트워크의 다른 관리 도메인으로 부팅할 수 있는지 여부입니다.
국내에서는 인터넷 인프라가 비교적 낙후되어 컴퓨터 응용 수준이 높지 않아 현재 VPN 기술에 대한 수요가 높지 않아 대부분의 업체들은 아직 관망단계에 있다. 그러나 국가 경제 정보화 과정이 가속화됨에 따라, 특히 정부 인터넷과 전자상거래가 추진됨에 따라 VPN 기술은 큰 도움이 될 것이다.