Chapter 17. VPN(Virtual Private Network)

Chapter 17. VPN(Virtual Private Network)
1. VPN(Virtual Private Network)
 - 공공 Network(Internet etc.)를 통해 한 회사나 몇몇 단체가 내용을 바깥사람에게 드러내지 않고 통신할 목적으로 쓰이는 사설 통신망이다.
 - 사설망 외의 다른 Network에서 인증을 통해 해당 사설망에 접근할 수 있다.
 - 가상 사설망에서 Message는 공공 Network 위에서 표준 Protocol을 써서 전달되거나, VPN Service 제공자와 고객이 Service 수준 계약을 맺은 후 Service 제공자의 사설망을 통해 전달된다.
 - VPN을 이용해 외부에서 사설망으로 접속하는 것이 가능하며 보안적 피해를 막기 위해 IPsec과 같은 인증을 이용한다.
 - VPN을 통해 사설망에 접속하면 실제로 IP Address는 실제 Interface와 가상 Interface 두 가지가 되며 가상 IP Address는 VPN Server에서 DHCP Service나 고정 IP로 부여받게 된다.
 - VPN의 장점
  · 물리적인 구축이 아니라 가상으로 구축되는 것이기 때문에 보다 경제적이다.
  · 물리적인 구축보다 확장적이며 사용자의 이동성 또한 높여준다.
  · Tunneling과 암호화 기능을 이용해 보다 완벽한 보안을 제공한다.
 - 대표적인 VPN Protocol
  · IPsec
  · SSL
 - VPN의 기본 조건
  · 사용자 인증
  · Client IP 주소 관리
  · Data 암호화
  · Client와 Serverrks 암호화 Key 관리
  · 공공 Network와 사설 Network의 Protocol을 모두 처리하기위해 복수 Protocol 지원

 

2. SSTP(Secure Socket Tunneling Protocol)
 - PPTP 및 L2TP/IPsec Traffic을 차단하는 방화벽을 통해 Traffic을 전달할 수 있는 새로운 형태의 VPN Tunnel이다.
 - HTTPS Protocol의 SSL Channel을 통해 PPP Traffic을 Encapsulation하는 형태로제공한다.

 - PPP를 사용해 EAP-TLS와 같은 강력한 인증 방법을 사용가능하다.

 

3. VPN 실습

 - VPN을 이용해 Bridge로 통신하고 있는 대역에 접속하는 구조를 구축

 - Domain Controller 구성
  · Active Directory Domain Service 설치

  ◦ 실행 → dcpromo

  ◦ '다음'을 선택한다.

  ◦ '다음'을 선택한다.

  ◦ DNS를 설치하기위해 '이 컴퓨터에 DNS 서버 서비스를 설치하여 문제를 자동으로 해결합니다.'를 Check 한 후 진행한다.

  ◦ '새 포리스트에 새 도메인 만들기'를 선택한 후 진행한다.

  ◦ 사용하고자 하는 Domain의 FQDN을 입력 후 진행한다.

  ◦ Forest 기능 수준을 'Windows Server 2008'로 적용한다.

  ◦ '다음'을 선택한다.

  ◦ 기본 값으로 두고 진행한다.

  ◦ 사용할 암호를 입력 후 진행한다.

  ◦ ​'다음'을 선택한다.

  ◦ 설치 진행 화면

  ◦ 마법사를 마친다.

  ◦ Active Directory Domain Service를 적용하기위해 '지금 다시 시작'을 선택한다.

  ◦ Reboot 후 Active Directory가 적용되었는지 확인한다.
  · VPN 사용자 생성
  ◦ Client가 VPN Server로 접속하기위한 사용자를 Domain 내에 생성한다.

  ◦ 실행 → dsa.msc

  ◦ 'User'의 Menu에 '새로 만들기' → '사용자'를 선택한다.

  ◦ '사용자 이름'과 '사용자 로그온 이름'을 입력한다.

  ◦ '사용자'의 암호를 지정한다.

  ◦ 사용자 생성을 마친다.

  ◦ 생성한 사용자의 속성에서 '전화 접속 로그인' Tab을 선택 후 Network로 이용할 수 있도록 '네트워크 액세스 권한'의 '액세스 허용'을 지정한다.
 - VPN Server 구성
  · Domain 참여

  ◦ 실행 → sysdm.cpl

  ◦ '소속 그룹'을 Domain Controller에 생성한 Domain으로 수정한다.

  ◦ Domain Controller의 관리자로 변경 후 Reboot 한다.

  ◦ Reboot 후 Domain Controller의 관리자(Administrator)로 변경한다.
  · 역할 추가

  ◦ '역할 추가'를 선택한다.

  ◦ '다음'을 선택한다.

  ◦ VPN Server에서 사용할 역할인 'Active Directory 인증서 서비스', '네트워크 정책 및 액세스 서비스', '웹 서버(IIS)'를 선택 후 진행한다.

  ◦ '다음'을 선택한다.

  ◦ '라우팅 및 원격 액세스 서비스'를 선택 후 진행한다.

  ◦ '다음'을 선택한다.

  ◦ '인증기관'과 '인증 기관 웹 등록'을 선택한다.

  ◦ '독립 실행형'을 선택 후 진행한다.

  ◦ '루트 CA'를 선택 후 진행한다.

  ◦ '새 개인 키 만들기'를 선택 후 진행한다.

  ◦ 기본 값으로 두고 진행한다.

  ◦ '다음'을 선택한다.

  ◦ CA의 인증기간을 지정 후 진행한다..

  ◦ '다음'을 선택한다.

  ◦ '다음'을 선택한다.

  ◦ '응용 프로그램 개발'과 '보안' Tab의 하위 항목을 모두 지정 후 진행한다.

  ◦ '설치'를 선택해 설치를 시작한다.

  ◦ 설치 시작화면

  ◦ 설치 완료 화면
  · Server 인증서 설치

  ◦ 인증서 Web Page에 접속하기위해 '신뢰할 수 있는 사이트'에 VPN Server의 IP Address를 추가한다.

  ◦ '추가'를 선택해 VPN Server의 IP Address를 추가한다.

  ◦ 인증서 Page의 Script를 원활하게 사용하기 위해 Internet Option의 '보안' → '신뢰할 수 있는 사이트' → '사용자 지정 수준'을 선택한다.

  ◦ '스크립팅하기 안전한...'을 '사용'으로 지정 후 진행한다.

  ◦ '인증서 요청'을 선택한다.

  ◦ '고급 인증서 요청'을 선택한다.

  ◦ '이름'은 현재 Computer의 이름을 입력하고 '인증서 종류'는 '서버 인증 인증서'로 선택하고 '키를 내보낼 수 있게 표시'를 선택하고 '제출'을 선택해 진행한다.

  ◦ 실행 → certsrv.msc

  ◦ '보류 중인 요청'에서 요청한 인증서를 발급한다.

  ◦ 인증서 Service의 처음 Page의 '보류 중인 인증서 요청의 상태 표시'를 선택한다.

  ◦ '서버 인증 인증서'를 선택해 설치한다.

  ◦ '이 인증서 설치'를 선택한다.

  ◦ 인증서 설치 완료 Page가 출력된다.
  · 인증서 Local Computer에 설치

  ◦ 실행 → mmc

  ◦ '스냅인 추가/제거'를 선택한다.

  ◦ 인증서를 두 번 추가해 '현재 사용자'와 '로컬 컴퓨터'를 추가한다.

  ◦ 설치된 '서버 인증 인증서'를 확인한다.

  ◦ '로컬 컴퓨터' 인증서에 추가하기위해 '인증서 - 현재 사용자'의 인증서를 '내보내기'한다.

  ◦ '다음'을 선택한다.

  ◦ '예, 개인키를 내보냅니다'를 선택한다.

  ◦ 기본 값으로 진행한다.

  ◦ 인증서 암호를 지정 후 진행한다.

  ◦ 인증서 File을 저장할 위치를 지정하기위해 '찾아보기'를 선택한다.

  ◦ 위치와 이름을 지정 후 저장을 선택한다.

  ◦ '다음'을 선택한다.

  ◦ '인증서 내보내기 마법사'를 종료한다.

  ◦ 저장한 인증서 File을 확인한다.

  ◦ '인증서(로컬 컴퓨터)'에서 '가져오기'를 선택한다.

  ◦ '찾아보기'를 통해 인증서 File의 위치를 지정한다.

  ◦ 인증서의 암호를 입력 후 진행한다.

  ◦ 기본 값으로 두고 진행한다.

  ◦ '인증서 가져오기 마법사'를 마친다.

  ◦ Local Computer를 Server 인증서와 Binding하기위해 기존에 존재했던 Local Computer의 인증서를 삭제한다.
  · VPN Service 시작하기

  ◦ 실행 → rrasmgmt.msc

  ◦ Menu의 '라우팅 및 원격 액세스 구성 및 사용'을 선택한다.

  ◦ '다음'을 선택한다.

  ◦ '원격 액세스'를 지정한다.

  ◦ 'VPN'을 지정한다.

  ◦ 외부망 즉, Host-Only의 대역을 선택 후 '정적 패킷 필터를 설정하여 선택된 인터페이스에서 보안을 사용합니다.' 항목을 해제한다.

  ◦ VPN을 이용해 접속하는 Client의 IP를 일정 범위에서 할당하기위해 '지정한 주소 범위에서'로 지정한다.

  ◦ '아니오, 라우팅 및 원격액세스를 사용하여 연결 요청을 인증합니다.'를 선택 후 진행한다.

  ◦ 설치 마법사를 마친다.

  ◦ VPN Service의 활성화를 확인한다.
 - Client 구성
  · 'hosts' File 수정
  ◦ VPN Server의 IP Address와 VPN의 Web Address를 Binding하기위해 'hosts' File을 수정한다.

  ◦ 'C' Drive → Windows → System32 → drivers → etc → hosts

  ◦ File 내용의 맨 밑 부분에 VPN의 IP Address와 Web Address를 입력한 후 저장한다.
  · VPN Network Connection 구성

  ◦ 실행 → control

  ◦ '네트워크 및 공유 센터'를 선택한다.

  ◦ '연결 또는 네트워크 설정'을 선택한다.

  ◦ '회사에 연결'을 선택한다.

  ◦ '내 인터넷 연결 사용'을 선택한다.

  ◦ Internet이 아닌 현재 연결된 'Host-only' Network를 이용할 것이기 때문에 '나중에 인터넷 연결 설정'을 선택한다.

  ◦ VPN Server의 Web Address를 '인터넷 주소'로 입력한 후 진행한다.

  ◦ '사용자 이름', '암호', '도메인'을 입력하고 '이 암호 저장'을 Check한다.

  ◦ 연결 마법사를 마친다.

  ◦ 생성된 연결 마법사를 확인한다.
  · VPN 연결

  ◦ VPN 연결의 Menu에서 '연결'을 선택해 연결을 시작한다.

  ◦ 모든 항목을 VPN 연결을 구성 시 설정했기 때문에 '연결'만 선택하면 연결이 진행된다.

  ◦ 연결 성공을 확인한다.

  ◦ 'Ping'을 통해 Domain Controller까지 정상적으로 연결되어 있음을 확인할 수 있다.

  ◦ 'ipconfig'를 통해 IP를 확인하면 기존의 Interface의 IP와 VPN Server로부터 할당 받은 IP 두 가지를 확인할 수 있다.
  · SSTP 연결
  ◦ SSTP로 VPN을 연결하기 위해서는 Server의 인증이 필요하다.

  ◦ VPN Server에서 GRE, L2TP, PPTP를 차단하면 VPN 연결도 끊어진다.
  ◦ 인증서를 통해 암호화된 VPN 연결을 이용하기위해서는 VPN Server로부터 인증을 받아야한다.

  ◦ 'CA 인증서, 인증서 체인 또는 CRL 다운로드'를 선택한다.

  ◦ 'CA 인증서 다운로드'를 선택해 지정한 위치에 인증서 File을 Download한다.

  ◦ '인증서 - 현재 사용자'와 '인증서(로컬 컴퓨터)'의 두 인증서에 CA 인증서를 설치해야하며 '신뢰할 수 있는 인증서' Tab에 설치한다.
  ◦ 인증서 Menu의 '가져오기'를 선택한다.

  ◦ '다음'을 선택한다.

  ◦ 'CA 인증서'를 설치한 위치를 찾아 File을 지정 후 진행한다.

  ◦ '다음'을 선택한다.

  ◦ 인증서 가져오기 마법사를 마친다.

  ◦ VPN 연결의 속성의 '네트워킹' Tab의 'SSTP'를 선택해 연결 Option을 변경한다.

  ◦ SSTP 연결을 시작한다.

  ◦ 연결 성공을 확인한다.
  ◦ 연결 실패 시 확인사항
   ▹ 'hosts' File 수정여부 확인
   ▹ VPN 연결 구성 시 '인터넷 주소'에 Web 주소를 입력했는지 확인
   ▹ CA 인증서를 정상적으로 설치했는지 확인

  ◦ 연결 후 IP 할당 여부를 확인한다.

  ◦ Wireshark를 통해 Packet을 확인해보면 'LLMNR', 'TLSv1', 'TCP' Packet을 확인할 수 있으며 암호화 또한 확인할 수 있다.