'vpn'에 해당되는 글 13건

  1. 2009.05.20 OpenVPN 설정 for Windows
  2. 2009.05.11 Internet Security Association and Key Management Protocol (1)
  3. 2009.02.20 방화벽 + VPN 구축 실습세미나 - [IDS/Firewall/IPS/UTM/VPN/암호학] (1)
2009. 5. 20. 13:57

OpenVPN 설정 for Windows

1 프로그램 다운로드
윈도우즈 용은 OpenVPN GUI로, 다운로드는 다음과 같다.
http://openvpn.se/download.html
프로그램 다운로드 : http://openvpn.se/files/install_packages/openvpn-2.0.9-gui-1.0.3-install.exe

2. 설치
기본 설치로 하면 Program FileOpenVPN에 깔린다.

3. 키 설정 (http://openvpn.net/howto.html#pki)
1) 준비
- 커맨드 쉘로 C:\Program Files\OpenVPN\easy-rsa 폴더로 이동
init-config
vars
clean-all

2) 기본 ca 작성
(입력을 편하게 하려면 vars.bat파일의 set KEY_COUNTRY=US등의 내용을 변경하세요... 안해도 무방)
build-ca
다음과 같이 물어봅니다.
Country Name (2 letter code) [KG]:
State or Province Name (full name) [NA]:
Locality Name (eg, city) [BISHKEK]:
Organization Name (eg, company) [OpenVPN-TEST]:
Organizational Unit Name (eg, section) []:
Common Name (eg, your name or your server's hostname) []:OpenVPN-CA
Email Address [me@myhost.mydomain]:

여기는 적당히 채우세요~
다만 Common Name은 앞으로 만들 키에서 전체적으로 중복되면 안됩니다.

3) 서버 키 작성
build-key-server server
앞에 입력한 것과 비슷하게 나옵니다. Common Name만 다르게 하시고
나머지는 똑같이 입력하세요.
y/n 묻는 건 당연히 y겠죠.

4)클라이언트 키 작성
build-key client1
동시에 여러 클라이언트가 접속한다면 동접 갯수만큼 client1를 숫자나 적당한 것으로 바꿔서 키를 만들면 됩니다. client1를 원하는 이름으로 바꾸세요.
예를 들어 세명이 동시에 사용한다면
build-key client1
build-key client2build-key client3
이런식으로 만들어 주면 되겠죠.
그리고 처음 키를 만들때와 같은 걸 물어보는데 Common name에 client1같은 각각의 이름을 넣어주면 됩니다.

4. DH parameter 생성
build-dh

5. ta 키 생성
keys 디렉토리로 이동해서..
openvpn --genkey --secret ta.key 라고 하면 ta.key가 만들어집니다.

6. key 파일 복사.
config 폴더에 다음과 같은 파일을 복사합니다.
ca.crt
ca.key
dh1024.pem
server.crt
server.key
ta.key

7. Server config 설정
1) sample-config 폴더에서 server.ovpn 파일을 config 폴더로 복사합니다.
2) 복사한 server.ovpn 파일을 메모장으로 열어서 다음 항목을 찾아 필요한 값을 설정합니다.
port
proto
tls-auth ta.key 0
cipher BF-CBC

port는 원하는 포트번호를 proto는 udp나 tcp를 설정합니다.
tls-auth, cipher 는 앞에 있는 커맨트 ; 를 지워줍니다.
설정이 되었으면 저장하세요.

8. 서버 실행
config 폴더에서 openvpn server.ovpn 이라고 입력합니다.
나오는 내용을 확인해 보시고..에러가 없으면 F3인가 F4인가를 눌러 종료합니다.
그리고 제어판->관리도구->서비스 에서 OpenVPN 서비스를 자동으로 하시고 시작 하시면 컴퓨터가 부팅될 경우 자동으로 실행이 됩니다.

9. 클라이언트 설정
1) 서버와 똑같이 프로그램을 설치합니다. (같은 프로그램으로 서버와 클라이언트를 사용함)

2) 위의 서버에서 만든 다음과 같은 키 파일을 config 폴더에 복사합니다.
ca.crt
ca.key
client1.key
client1.crt
ta.key

3) sample-config 폴더에서 client.ovpn을 config 폴더로 복사합니다.
이때 client.ovpn을 client1.ovpn으로 이름을 맞춰 주는 게 좋습니다.
(여러곳의 연결설정을 할때 편함)

4) client.ovpn을 메모장으로 열어서 다음 항목을 수정합니다.
proto
remote
cert
key
tls-auth
cipher

; proto는 서버에서 설정한 것으로 udp/tcp로 맞춰주시고, remote는 remote 서버ip 포트번호 로 하시면 됩니다.
cert는 client1.crt
key는 client1.key 로 파일 이름을 맞춰 주세요.
tls-auth는 앞의 ;를 지워주시고
cipher도 서버와 같이 cipher BF-CBC로 맞춰 주시면 됩니다.

5) 연결 확인
openvpn client1.ovpn으로 해보시면 되고
평상시에는 오른쪽 아래의 트레이에 있는 OpenVPN GUI의 오른쪽 클릭을 하면
Connect가 나옵니다. 문제없이 연결되면 아이콘이 초록색으로 변경됩니다.

6) 서버 접속
서버의 ip를 변경할수 있지만 여기서는 기본 설정이므로 10.8.0.1이 서버의 ip입니다.


출처 : http://sglsh82.x-y.net

Trackback 0 Comment 0
2009. 5. 11. 19:07

Internet Security Association and Key Management Protocol

ISAKMP[ Internet security association & key management protocol ]

통신 당사자가 서로 인증해서 암호 키를 교환하기 위한 통신 규약. IPSEC의 일부로서 RFC 2408에 규정되어 있으며, 구체적으로는 어떠한 인증 알고리듬, 암호화 기술, 암호 키 교환 규약을 사용할 것인지 등의 보안 수단을 상대방에게 알리기 위한 메시지 형식이다. 사용자 데이터그램 프로토콜(UDP) 패킷 형태로 송수신되며, 머리부에서 쿠키라는 이용자 ID를 주고받음으로써 제3자에 의한 서비스 거부(DoS)를 방지하는 규약이다. IPSEC의 인터넷 표준 암호 키 교환 프로토콜인 IKE의 일부로 규정되어 있지만, 전송 계층 보안(TLS) 등 IPSEC 이외의 암호화 기술을 선택, 사용해도 지장이 없다.

1) VPN ?

VPN(Virtual Private Network:가상사설망)이란 인터넷망 또는 공중망을 사용하여 둘 이상의 네트워크을 안전하게 연결하기 위하여 가상의 터널을 만들어 암호화된 데이터를 전송할 수 있도록 만든 네트워크이다. 가상사설망은 오직 한 회사만 사용하는 전용회선과 대비되는 개념으로, 누구에게나 개방되어 있는 공중망 상에서 구축되는 논리적인 전용망이라고 할 수 있다.

VPN은 모든 회사들이 개별적으로 회선을 임대하는 것보다 공중망을 공유함으로써 비용은 낮추면서도 전용회선과 거의 동등한 서비스를 제공하려는 것에서부터 출발하였다. 그래서 오늘날 가상사설망을 원하는 회사들은 주로 엑스트라넷(Extranet)이나 넓은 지역에 퍼져있는 지사들 간의 인트라넷(Intranet) 그리고 이동 사용자들의 안전한 원격접속(Secure Remote Access) VPN을 이용한다.

 

2) 기능

Data Confidentiality

데이터 기밀성 (Data Confidentiality)은 네트워크를 통과하는 데이터의 내용을 제3자가 보더라도 알 수 없도록 하며 원래 데이터를 받을 사람만이 알 수 있도록 하는 것이다. 이는 사전에 공유한 키를 사용하여 데이터를 암호화함으로써 가능하다. 그러나 이 방법은 키가 노출될 경우 문제가 심각해지므로 이를 위해 안전한 키의 분배가 필요하다. 이러한 키의 안전한 관리 메커니즘으로 IKE(ISAKMP/OAKLEY) 프로토콜을 사용한다.

 

Data Integrity

데이터 무결성 (Data Integrity)은 네트워크를 통해 전달되는 데이터가 중간에서 변조되지 않았음을 보장한다. 그래서 A B에게 메일을 보냈을 때 중간에 제3자인 C가 메일의 내용을 조금이라도 변조할 경우 원래의 메일을 받게 되는 B는 그 내용이 변조되었음을 알 수 있게 된다. 이것은 VPN이 암호화 및 전자서명(Digital Signature) 방식으로 통신하기 때문이다.

 

Data Origin Authentication

데이터 근원 인증(Data Origin Authentication)은 네트워크를 통해 데이터를 보낸 자가 누구인지 인증하는 것이다. 예를 들어, 원래는 A B에게 메일을 보내는데 중간에 제3자인 C가 자신이 A인 것처럼 속이고 보낸다 하더라도 그 데이터가 A에서 오지 않았음을 확인할 수 있다. 이것이 가능한 이유는 통신을 하고자 하는 당사자들끼리 공유한 키를 다른 제3자가 알지 못한다는 가정을 하였기 때문이다. 따라서 메시지의 근원을 인증 할 수 있다.

 

*접근 통제(Access Control)

접근 통제(Access Control)는 인증된 사용자에 대해서만 접근을 허가하는 서비스이다. VPN은 기본적으로 IPSec 프로토콜을 사용하는데, IPSec을 사용할 경우 게이트웨이간에 사전 협상을 한다. 이 과정에서 VPN 게이트웨이에 설정된 여러 정보들이 통신하는 각 종단과 맞아야 상대방의 요청이 받아 들여지게 된다. 그러므로 사전 공유 정보를 알지 못하는 사람의 접근을 막을 수 있다.



Trackback 0 Comment 1
  1. ISAKMP 2009.05.11 19:36 address edit & del reply

    http://en.wikipedia.org/wiki/Internet_Security_Association_and_Key_Management_Protocol

2009. 2. 20. 00:23

방화벽 + VPN 구축 실습세미나 - [IDS/Firewall/IPS/UTM/VPN/암호학]

네트워크/서버/보안 엔지니어의 기본적이고 핵심적인 필수 과정으로, 일반 학원에서 접할 수 없는 실 사이트 현업 고급 엔지니어의 경험 위주 실습 세미나 교육입니다. 

실 사이트 네트워크 구성과 동일한 환경으로 네트워크/서버/방화벽 구축 실습을 진행하며, 현업 네트워크/서버/보안 관리자 및 엔지니어, 보안 컨설턴트등을 대상으로 진행되는 철저한 실무 위주의 세미나 입니다.


▶[교육 장점]
 
최단시간/최강의 정교한 방화벽 실습 커리큘럼
실제 방화벽 제품으로 실습
실 사이트 환경과 동일한 방화벽 구성 및 운용에 특화된 네트워크 구성 실습
실 사이트 환경과 동일한 서버 구축 및 방화벽 보안정책 설정
효율적인 보안 정책 수립의 모든 것을 설명
방화벽의 단순한 셋팅을 넘어, 최적의 활용 비법 전수
SIS(정보보호 전문가)의 서버/네트워크/방화벽 보안 부분 실습
CISA(국제 공인 정보 시스템 감사사) 네트워크 및 보안 부분 실습
CISSP(국제 공인 정보 시스템 보안전문가)의 네트워크 보안 부분 실습 

 
▶[IDS+Firewall+IPS+UTM] 실습 내용

 
▶1부. 서버, 라우터, 스위치, 방화벽 시스템을 이용한 네트워크 구성


1.네트워크실습 구성도 설명 - 방화벽 도입전 네트워크 구성

- 공인 IP를 이용한 내부망 구성, 문제점 및 대응방안

- 사설 IP를 이용한 내부망 구성, 문제점 및 대응방안
- 방화벽 도입에 따른 네트워크 구성

- 외부망/내부망/DMZ 구성 및 서버 설치 

- L4를 이용한 방화벽 장애극복/로드밸런싱 구성 방법

- L4를 이용한 서버 장애극복/로드밸런싱 구성 방법 


▶2부. 침입차단시스템 방화벽(Firewall)
 
1.침입차단시스템 방화벽(Firewall) 개념

- 정보보호 개념

- 침입차단시스템(방화벽)의 개념

- 침입차단시스템의 동작방식

(1) Packet filtering

(2) Application(Proxy)

(3) Circuit gateway

(4) Stateful Inspection

(5) Hybrid

 
▶3부. 실습용 방화벽(Firewall)  구성
 
1.Solaris 네트워크 설정

- 방화벽 설치용 솔라리스 네트워크 설정

- 단계별 설치 방법 세부설명

- 네트워크 관련 세부적인 설정 방법

- 설정 명령어(snoop, ifconfig, netstat, route, ndd 등)

- 라우팅 테이블 설정 방법 등
 
2.실습용 방화벽 설치 및 기본 구성

- 솔라리스 보안 패치

- 방화벽 패키지 설치

- 방화벽 기본 설정
 
3.인터페이스 속도 향상을 위한 Speed 및 Duplex 고정방법

 
▶4부. 실습용 서버 구성
 
1.DNS 개념 및 설치

- DNS(Domain Name System) 개념

- DNS 반복적 요청 / 재귀 요청 개념

- 공인 DNS서버 설정 (외부 공인IP망)

- 사설 DNS서버 설정 (내부 사설IP망)

- 1차 DNS 서버 개념 및 동작방식(Master)

- 2차 DNS 서버 개념 및 동작방식(Slave)

- 1차, 2차 DNS 장애극복(Failover) 및 로드분산 방안

※ 실사이트 DNS 문제점 소개 및 처리 방안
 
2.DHCP 개념 및 설치

- DHCP 설정

※ 실사이트 DHCP 문제점 소개 및 처리 방안
 
3.FTP 개념 및 설치

- FTP 서버의 동작 방식

- FTP Active mode와 Passive mode 개념

- 공인 FTP 클라이언트

- 사설 FTP 클라이언트

- 공인 FTP 서버

- 사설 FTP 서버

- FTP와 관련한 여러 가지 문제점과 해결방안

※ 실사이트 FTP의 다양한 문제점 소개 및 처리 방안 
 
4.웹(Web) 서버 설치
 
5.Telnet 서버 설치

 
▶5부. 외부망 / DMZ / 내부망 보안 정책 수립
 
1.보안 정책 설정

- 사용자, 서비스(포트), 네트워크 오브젝트 생성

- DNS 서버 관련 보안정책 설정

- Web 서버 관련 보안정책 설정

- FTP 서버 관련 보안정책 설정

- Telnet 서버 관련 보안정책 설정

- 기타 보안 정책 설정
 
2.Application Gateway 설정

- FTP, SMTP 게이트웨이
 
3.Secure DNS

- 내부 사설 DNS의 필요성과 사설 DNS 서버 설치 등
 
4.사용자/그룹인증 보안정책 설정

- 사용자 및 그룹별 인증을 통한 서버 접속 제한 방법 등
 
5.시간대별 보안 정책 설정 방법

- 시간 흐름에 따라 해당 보안 정책을 허용하거나 거부하는 방법 등
 
6.로그 분석 및 모니터링 방법
 
7.로그 백업 방법 및 환경 설정 저장 방법
 
8.메일 관련 필터링 방법

- Sender Policy Framwork(SPF)

- Bounce Back

- Graylist

- Real-time Blocking List(RBL)
 
9.메일 관련 방화벽 스팸(SPAM) 메일 차단 방법

 
▶6부. 주소변환 (Network Address Translation)
 
1.주소변환(NAT)의 개념
 
2.주소변환종류

- Normal NAT 개념 및 구성 방법

- Reverse NAT 개념 및 구성 방법

- Exclude NAT 개념 및 구성 방법

- Redirect NAT 개념 및 구성 방법
 
3.주소 변환 기능에 따른 적용 사례에 대한 자세한 설명
 
4.기타 네트워크 구성별 NAT 설정 방법 등

 
▶7부. 네트워크 가용성 향상을 위한 방화벽 구성 방안
 
1.고가용성 확보방안(High Availability)

- 방화벽 장애극복(Failover) 방안

- 방화벽 로드밸런싱(Load Balancing) 방안
 
2.기타 보안을 위한 라우터 설정 등

 
▶8부. 침입탐지시스템 (IDS : Intrusion Detection System)
 
1.침입탐지시스템(IDS) 개념
 
2.침입탐지시스템(IDS) 종류
 
3.침입탐지시스템(IDS) 동작방식
 
4.침입탐지시스템(IDS) 주요 기능
 
5.침입탐지시스템(IDS) / 백본 스위치연동 방법

- 포트 미러링(Port Mirroring) 이용한 방법

- Tap Device 이용한 방법
 
6.침입탐지시스템(IDS)과 방화벽(Firewall) 연동 개념 및 방법

 
▶9부. 침입방지시스템 (IPS : Intrusion Prevention System)
 
1.해킹 및 침해사고

- 유해 트래픽(Virus, Worm, DOS, DDOS등) 유형

- 최근의 해킹 공격(Internet Worm) 기법 설명

- 유해 트래픽 차단 방법 소개
 
2.네트워크 보안 문제점 및 대책
 
3.기존 침입차단시스템(Firewall)의 문제점
 
4.기존 침입탐지시스템(IDS)의 문제점
 
5.기존 L7 스위치의 문제점
 
6.IPS 개념
 
7.IPS 주요기능
 
8.IPS 동작 방식
 
9.IPS 구성 방식
 
10.방화벽/IDS 연동과 IPS의 차이점

 
▶10부. L4 스위치 (Switch)  - 로드밸런서(Load Balancer)
 
1.L4 스위치정의 및 역할

- L4 스위치 정의

- L4 스위치 역할

- L4 스위치 필요성 및 등장 배경
 
2.L4 스위치의 주요 기능

- Server Load Balancing(SLB) 개념 및 동작방식

- Firewall Load Balancing(FLB) 개념 및 동작방식

 

3.L4 스위치의 로드 분산 방식 개념 설명

- Round Robin

- Weight Round Robin

- Least Connection

- Least Response Time

- Hashing 등
 
4.L4 스위치의 구성 방식

- Active:Active

- Active:Standby
 
5.실제 L4 스위치의 다양한 구성 사례
 
6.벤더별  L4 스위치 제품 종류 / 구성 방식

- 알테온(Alteon)

- 핑크박스(PinkBox)

- 파운더리(Foundary)
 


▶[ IPSEC + SSL VPN (가상사설망) ]
 

- 본 세미나는 고급 과정으로서 일반 학원에서 접할 수 없는

실 사이트 현업 고급 엔지니어의 경험 위주 실습 세미나입니다. 

 

- IPSEC VPN에 대한 개념 및 구성 방식

- SSL VPN에 대한 개념 및 구성 방식

- 인증 방식, PKI, CA, RA등 암호학에 대한 개념

- 실 사이트 네트워크 구성과 동일한 환경으로 네트워크/서버/VPN 구성 실습


▶[IPSEC + SSL VPN + 암호학] 실습 내용

 
▶1부. 가상 사설망(Virtual Private Network)

 

1.Virtual Privae Network (VPN) 개념

 

2.VPN 등장 배경 및 필요성

 

3.VPN 주요 기능 및 장점

 

4.VPN 구현 방식

- Gateway to Gateway (Site to Site)

- Gateway to Client (Site to Client)

 

5.IPSEC VPN

- IPSEC VPN의 특징

- IPSEC VPN의 구성 방식

- AH(Authentication Header) 프로토콜

- ESP(Encapsulating Security Payload) 프로토콜

- 보안 연계(Security Associtation)

- 보안 정책 데이터베이스 (SPD : Security Policy Database)

- 보안 파라미터 인덱스 (SPI : Security Parameter Index)

- 보안 연계 데이터베이스 (SADB : Security Associations Database) 
- IPSEC 전송 모드

- 터널 모드 (Tunnel Mode)

- 전송 모드 (Transport Mode)

- 인터넷 키교환 (IKE : Internet Key Exchange) 절차
 
6.SSL VPN

- SSL VPN의 특징

- SSL VPN의 구성 방식

- SSL(Secure Socket Layer) 개념

- SSL 개요

- SSL 기능
- SSL 계층구조

- 제어 프로토콜(Handshake Protocol)

- 레코드 프로토콜(Record Protocol)
- SSL 동작 방식

 

7.IPSEC VPN과 SSL VPN 비교 분석
 
8.VPN 도입시 고려사항
 
9.VPN 네트워크 구성 방안

 
▶2부. 암호학 (Crytographic)

 

1.암호화

- 암호화 정의

- 암호화 구성요소

- 암호화 방법

- 블럭 암호화 (Block Cipher) 방식

- 스트림 암호화 (Stream Cipher) 방식
 
2.비밀키 암호화 방식

- 비밀키 암호화 방식 개요

- 비밀키 암호화 방식 장점 및 단점
 
3.공개키 암호화 방식

- 공개키 암호화 방식 개요

- 공개키 암호화 장점 및 단점
 
4.키(Key) 분배 방식

- RSA 공개키 방식을 이용한 비밀키 분배방식

- Diffie-Hellman 방법을 이용한 비밀키 분배방식
 
5.인증(Authentiction) 방식

- 인증서(Certificate)

- 인증서 형식

- 인증서 신청 및 발행 절차

- 인증 확인 절차
- 공개키 기반구조 (PKI : Public Key Infrastructure)

- PKI 개요

- PKI 구조

- 인증기관 (CA : Certification Authority)

- 등록기관 (RA : Registration Authority)

- 전자 서명(Digital Signature)

- RSA 공개키 방식을 이용한 디지털 서명방식

- 전자서명 및 데이터 암호화/복호화

 
▶3부. VPN 실습 네트워크 구성

 

1.VPN 네트워크 실습 구성도

- 내부망/외부망/서비스 존(DMZ) 분리 구성

- 전용 및 인터넷 회선(ADSL)을 이용한 VPN 구성

- 다중 회선 사용시 로드 분산 및  회선백업

- 업무 트래픽과 인터넷 트래픽 분리

- 전용회선 장애발생시 장애극복을 위한 VPN 구성

- 라우터 장애발생시 장애극복을 위한 VPN 구성

- L4를 이용한 VPN 장애극복 및 로드분산

 
▶4부. VPN 설치 / 구성

 

1.Gateway to Gateway

(Site to Site VPN)

- 본사 및 지사간 터널링(Tunnel) 구성

- VPN 장비간 터널링(Tunnel) 구성

- 업무 / 인터넷 트래픽 분리구성을 위한 라우터 및 VPN 설정

- 라우터 장애 발생시 라우터 장애극복을 위한 VPN 설정

- VPN 장애 발생시 VPN 장애극복을 위한 라우터 및 VPN 설정
 
2 Gateway to Client

(Site to Client VPN)

- VPN과 클라이언트간 터널링(Tunnel) 구성을 위한 VPN 정책 설정

- VPN 사용자 아이디 및 암호 발급

- VPN 사용자 인증서 신청 및 발급방법

- 사용자 및 그룹별 인증을 통한 서버 접속 제한

 
▶5부. 외부망, DMZ, 내부망 통신을 위한 보안 정책 수립 실습

 

1.사용자 / 서비스 / 네트워크 오브젝트 및 보안 정책 설정

 

2.VPN 사용자 / 그룹 인증보안 정책 설정

- 네트워크 To 네트워크 대역간의 터널링 정책

- 호스트 To 호스트 간의 터널링 정책

- 기타 보안 정책 설정 방법
 
3.로그 분석 및 모니터링 방법

 

4.로그 백업 방법 및 환경 설정 저장 방법

 

5.기타 알람 설정 및 보안 설정

 

6.VPN 운영 명령어


▶6부. VPN 최적 활용을 위한 네트워크 환경 설정

 

1.HA(High Availability) 확보 방안  - L4를 이용한 VPN 장애극복  및 VPN 로드분산

 

2.VPN 실사이트 구성 - VPN Single 구성

- VPN Dual 구성

- 기타 VPN 실 사이트 구성사례등

(금융기관, 일반 기업, 공기업등의 VPN 구축 사례) 


Trackback 0 Comment 1
  1. IPSec 터널링 2010.11.04 14:01 address edit & del reply

    Windows Server 2003에서 IPSec 터널링 구성
    http://support.microsoft.com/kb/816514