AWS VPN 터널링에 대해 알아보기
AWS VPN 터널링에 대해 알아보기
VPN
자체적으로 정보통신망을 보유하지 않은 사용자가 공중 데이터 통신망을 이용해 마치 자체적으로 구축한 통신망과 같이 이를 직접 운용, 관리할 수 있는 네트워크를 말합니다. 기업의 본사와 지사 또는 지사간에 전용회선 대신 인터넷을 이용해 연결하는 통신 수단의 하나로 전용회선의 사용료보다 훨씬 저렴한 비용으로 원거리통신망(WAN)을 구축할 수 있는 네트워크 솔루션을 의미 합니다.
VPN의 기술
VPN 기술은 한 조직의 내부 사용자간 또는 외부 사용자와의 통신에서 암호화 기술과 터널링 기술을 이용한 안전한 통신 채널을 제공하는 기술을 말합니다.
따라! 서, VPN은 공중망을 통해 데이터를 송신하기 전에 데이터를 암호화하고, 수신측에서 복호화 합니다. 암호화는 데이터 뿐 아니라, 보안으로서 송수신지의 네트워크 주소도 포함됩니다. VPN의 주요 기술로는 '암호기술'과 '터널링 기술'이 있습니다. '터널링 기술'은 인터넷 상의 가상 정보보호 흐름통로를 이용하여 다양한 고객들의 트래픽을 분리하고, 변환된 특정 패킷으로 특정 사용자끼리 전용망처럼 사용할 수 있게 합니다. 터널링 기술에는 IPSec, PPTP, L2TP, L2F등이 있으며 이 중에서 인터넷의 TCP/IP 패킷을 사전에 암호화하는 방법을 규정한 IPSec 기술이 업계 표준으로 통용되고 있습니다.
공중망에서 사용하는 VPN장비에서 채용한 암호 알고리즘에는 DES, 3DES, RC4/5, IDEA, CAST, DEED 등이 있으며, DES(Data Encryption Standard, 자료 암호화 표준으로 미�! �� 상무부 표준국에서 공표)는 국제적으로 통용! 되는 대표적인 사설키 암호화 방식이며, 국내에서는 순수 국산 알고리즘인 SEED 알고리즘의 사용을 권장하고 있습니다. SSH는 원격 컴퓨터에 안전하게 액세스 하기 위한 유닉스 기반의 명령 인터페이스 및 프로토콜로서, Secure Socket Shell 이라고 불리기도 합니다. SSH는 네트워크 관리자들이 웹서버를 포함한 여러 종류의 서버들을 원격지에서 제어하기 위해 널리 사용됩니다. SSH는 실제로 초창기 유닉스 유틸리티인 rlogin, rsh, rcp에 보안기능이 추가된 버전, slogin, ssh, 그리고 scp 등 세 가지 유틸리티들의 모음입니다.
SSH 명령은 몇 가지 방식으로 암호화가 보장
1. 클라이언트 서버 연결의 양단은 전자서명을 사용하여 인증되며, 패스워드는 암호화 됨으로써 보호
2. SSH는 쌍방의 접속과 인�! ��을 위해 RSA 공개 키 암호화 기법을 사용합니다. 암호화 알고리즘에는 Blowfish, DES 및 IDEA 등이 포함되며, 기본 알고리즘은 IDEA 입니다.
PSec VPN의 단점을 보완한! SSL VPN의 특징
SSL VPN은 App 종류에 대한 제약이 없습니다. IPSec VPN이 지원하는 대부분의 IP 기반 App 사용이 가능하며, Client S/W 설치와 관리부담이 감소합니다. SSL VPN가 웹 App인 경우 웹브라우저가 Client 역할을 합니다. 내부 자원에 대한 세밀한 접근 통제가 가능하며, 이는 ID와 역할, 접속 단말 종류, 접근 방식, 인증의 강도, 보안상태 등에 따른 통제가 가능함을 말합니다. 또한, 동적접근 권한관리 및 접근통제의 독립적 운영이 가능하며, 다계층 위험관리 구조를 통해 보안 유출 위험을 원천 차단 시킵니다.
SSLVPN
장소나 단말의 종류와 관계없이 내부 네트워크에 접속할수 있는 SSL기반의 가설사설망(VPN), SSL은 웹 브라우저와 서버간의 통신에서 정보를 암호화함으로써 도중에 해킹을 통해 정보�! � 유출되더라도 정보의 내용을 보호 할 수 있는 기능을 갖춘 보안 솔루션을 말합니다. 이를 기반으로 한 SSLVPN은 원격지에서 인터넷으로 내부 시스템 자원을 안전하게 사용할수 있습니다.
-----------------
* VPN에 대해서 다시 한번 잘 알아보는 시간을 갖다.
가상 프라이빗 게이트웨이
가상 프라이빗 게이트웨이는 VPN 연결의 Amazon 측 VPN 집선기입니다. 가상 프라이빗 게이트웨이를 만든 후 VPN 연결을 생성할 VPC에 연결합니다.
가상 프라이빗 게이트웨이를 생성할 때 Amazon 측 게이트웨이의 프라이빗 자율 시스템 번호(ASN)를 지정할 수 있습니다.
VPN 연결을 만들기 위해 AWS에서 고객 게이트웨이 디바이스에 대한 정보를 AWS에 제공하는 고객 게! 이트웨이 리소스를 만들어야 합니다.
�! ��음 표는 고객 게이트웨이 리소스를 만들 때 필요한 정보에 대한 설명입니다.
* 작업순서
1. AWS 상에서 가상의 On-premise 환경 구성(Tokyo Region / Openswan 설치) - 실제 IDC 환경과 VPN 장비 구성 시에는 생략
2. AWS VGW 환경 구성(Virginia Region)
3. On-premise 환경 VPN 구축 및 실행(Tokyo Region / Openswan)
4. On-premise / AWS VGW 환경 Routing Table 수정
5. IPsec Tunnel을 통해 On-premise / AWS Private 구간 Ping 테스트
6. iperf3 Tool을 이용하여 On-premise / AWS Private 구간 성능 측정
VPC를 만들어주자.
EC2 서비스로 돌아오면 VPN_NAT가 �! ��성되어 있을 것이며,
여기에 테스트 목적을 ! 위한 Public, private에 ec2 하나씩 생성해 주자.
- EC2 Instance Console로 돌아오면 NAT Instance가 생성되어 있음(VPN_NAT)
- On-prem! ise VPC Gateway로 사용될 EC2 Instance를 구성한 Public Subnet에 생성(VPN_Openswan_ec2), 선택
- Private 테스트를 위해서 EC2 Instance를 구성한 Private Subnet에 생성(VPN_Private_ec2)
- 테스트 목적으로 Security Group은 All open 구성
Actions ->Networking -> Change Src/Dst- >Disable
이 과정을 다른 리젼(ex - 서울리젼) 에서 똑같이 구성하였다.!
서울리전에서 VPN을 구성해보자.
새로 만든 리전에서 VPC 서비스로 넘어와서 VPN Gateway 생성 시작
--------------
도쿄(openswan - public) -> 서울 private ping 될 떄
by CCL A from http://soul0.tistory.com/525
댓글
댓글 쓰기