VPN 이해하기

VPN(virtual private network)

 

왜 VPN을 사용하는가?, 어떤 문제가 있는가?

 

1. 공유기를 통한 가상 사설망의 이해

외부 커피숍(10.0.10.0/24), 우리집 공유기(192.168.10.0/24)

*0은 네트워크 주소이고 255는 브로드캐스팅 주소임!

• 외부 커피숍에서 집 공유기에서 작동 중인 VPN에 접속
• 내 노트북(외부 커피숍에 위치한)은 우리집 공유기의 IP 주소를 하나 할당 받음
• ipconfig 명령어 실행 시 내 노트북은 10.0.10.2와 192.168.10.10이라는 2개의 ip를 할당받은 상태임   
• 노트북에서 10.0.10.0/24 대역으로 라우팅 시에는 10.0.10.2의 주소로, 192.168.10.0/24 대역으로 라우팅 시에는 192.168.10.10의 주소를 거쳐서 나가게 됨

 

2. VPN을 사용한 차단 사이트 우회

노트북에서 할당받은 IP 주소

• 10.0.10.2(커피숍에서 할당받은 주소) -> 10.0.10.0/24의 IP 주소로 접속 요청이 일어날 때 연결
• 192.168.10.10(VPN 서버에서 할당받은 주소) -> 10.0.10.0/24를 제외한 모든 IP 주소로 접속 요청이 일어날 때 연결

회사에 근무하고 있을 때 직원 PC는 개인 VPN으로 접속, 이때 Web Proxy는 직원 PC에서 개인 VPN 서버로 접속하는 모습만 보임 -> Web Proxy가 막아둔 사이트를 VPN을 이용해 접속이 가능해짐

 

3. VPN 보안 취약점

외부에서 VPN에 접속하려면 어쩔 수 없이 DMZ에 VPN 연결 인터페이스를 오픈 + 방화벽에의 최상단에서 포트를 개방해야함

해당 포트를 통해 아무나 VPN 접속을 하지 못하도록 ID/PW 인증을 거치도록 시스템을 만듦

• 외부로 포트를 오픈해야 함
  • 포트 뒤에서 listen 하고 있는 애플리케이션에 취약점이 발생하면 익스플로잇을 통해 내부 침입이 가능
• ID/PW 입력창을 만들어야 함
  • 입력값 검증 및 무차별 대입 공격 등의 인증 성공이 발생할 가능성이 존재함]
• VPN을 타고 내부망 침입 시에는 외부에 설치한 보안 장비는 모두 무용지물이 됨
• VPN에 접속하면 암호화된 트래픽을 복호화하기 때문에 DMZ에서 패킷을 복호화하면서 키가 노출될 수 있음