[Network] IPSec

기업에서 사설망을 구성하여 내부 네트워크를 구축한다.

 

만약 새로운 sites(Office, IDC 등)에서 동일한 사설 네트워크를 사용하려면 다음과 같은 방법이 있음

1. 전용회선 연결
2. IPsec VPN 연결

전용회선의 경우 통신사와 회선을 계약해 다음과 같이 직접 스위치에 연결함 (실제로는 앞단에 xconn 같은 장비 필요)

 

 

 

 

하지만 전용회선 계약에는 상당한 비용이 들어감.

• 거리, 대역폭에 따라 비용이 더 커짐
• 해외 Office 연결까지 고려하면 부담이 큼

때문에 대안으로 IPsec VPN을 통해 site 간 네트워크 연결을 구성하는 경우가 많음

IPsec VPN

 

기존 IP 패킷에 인증 헤더(AH, Authentication Header) 또는 보안 페이로드(ESP, Encapsulating Security Payload) 를 추가해, 수신 VPN 장비에서 해당 헤더를 확인하고 인증 및 복호화를 진행

 

라우팅 과정에서는 예를 들어 사설 IP(10.10.10.10)로 가기 위해 패킷에 보안 관련 헤더를 추가해 VPN 장비까지 전달하고, 이후 VPN 장비에서 decapsulation을 거쳐 원래의 패킷을 복원

패킷 흐름

1. 내부 클라이언트 → VPN 게이트웨이
   • 사용자가 사설망(예: 10.10.10.10)으로 패킷을 전송
   • 이 패킷은 일반 라우팅 규칙에 따라 VPN 게이트웨이(방화벽/라우터)로 전달
2. VPN 게이트웨이에서 캡슐화
   • VPN 장비는 사설 패킷을 IPsec 헤더(AH 또는 ESP) 추가 
   • 외부망 통신이 가능하도록 새로운 공인 IP 헤더를 붙여 인터넷으로 전달
   • 사설 IP 목적지를 가진 원래 패킷은 공인 IP 패킷 속에 숨어서 이동
3. 인터넷 구간 전송
   • 인터넷 상에서는 단순히 공인 IP → 공인 IP 통신으로만 보임
   • 따라서 ISP 라우터들은 사설 IP를 알 필요 없이, 공인 IP 경로만 따라감
4. 수신 VPN 게이트웨이에서 Decapsulation
   • 수신 측 VPN 게이트웨이는 IPsec 헤더를 확인
   • 암호화되어 있으면 복호화, 인증값을 확인한 후 원래 사설 패킷을 복원
5. 목적지 사설망으로 전달
   • 최종적으로 복원된 사설 패킷은 내부 라우팅을 통해 목적지(예: 10.10.10.10)로 정상 전달

 

AH

인터넷 망을 통과하면서, 해당 패킷이 변조되었나(무결성), 패킷이 신뢰할 수 있는 송신자가 보냈나(인증)을 검증

Transport vs Tunnel Mode

 

AH의 두 가지 모드

• Transport 모드: 원래 IP 헤더는 그대로 두고, 페이로드만 보호. → IP 헤더 자체에 대한 인증은 불가능. 따라서 중간에서 IP 헤더가 변조되면 문제가 될 수 있음
• Tunnel 모드: 원래 IP 패킷 전체(IP 헤더 포함)를 새로운 IP 헤더로 감싸 인증. → 패킷 위·변조 방지 가능

보통 Tunnel 모드를 사용해 헤더까지 보호

AH는 암호화는 하지 않고 무결성과 인증만 제공한다는 점이 한계

 

ESP

ESP는 AH와 달리 무결성, 인증뿐 아니라 암호화(encryption)까지 제공 

즉, 단순히 패킷이 변조되지 않았는지를 확인하는 것에서 더 나아가, 데이터 자체를 암호화하여 기밀성을 보장

 

 

ESP 역시 Transport 모드와 Tunnel 모드를 지원

• Transport 모드: 원래 IP 헤더는 그대로 두고 페이로드만 암호화·보호. → 주로 호스트 간 통신에 사용
• Tunnel 모드: 원래 IP 패킷 전체를 암호화하고, 새로운 IP 헤더를 붙여 전달. → 주로 게이트웨이(방화벽, 라우터) 간 VPN 터널 구성에 사용

현업에서는 거의 항상 ESP in Tunnel mode를 활용

• 사설망을 안전하게 연결해야 하므로, 단순 인증만 제공하는 AH보다 암호화까지 제공하는 ESP가 적합
• 실제 기업의 Site-to-Site VPN, Remote Access VPN 대부분이 ESP 기반으로 구성