galid1 2018. 10. 19. 09:18
728x90

VPN (Virtual Private Network)

 

공중망(Public Network)과 사설망(Private Network)

구분

공중망(Public Network)

사설망(Private Network)

범위

모두에게 공개

특정 조직내에 인원만 공개

허가

누구든 정보교환 가능

인증된 자만 사용 가능

보안

취약

우수

비용

저렴

거리에따른 설치비용 증대

관리

외부에서 해줌(KT)

관리비용 부담


VPN이란

공중망을 이용하여 사설망이 요구하는 서비스를 제공

공중망 내에서 마치 전용선처럼 사용할 수 있게 한 망

데이터 암호화 및 사용자 인증, 사용자 엑세스 권한 제한을 둔 망으로 보안 우수


VPN 원리

- http://blog.naver.com/PostView.nhn?blogId=ileksiah&logNo=80190817839


1. Host     to     Site

- Host 가 암호화 복호화를 담당

- header는 암호화가 되지 않음 , 목적지 주소를 읽어야 하므로

- 오버헤드는 낮다

- 중간자 공격이 가능하다(Man in the middle Attack)


*Man in the Middle Attack - A 와 B가 통신할때 C가 자신이 A이자 B인것처럼 행동하여 A와 B의 패킷이 자신을 거쳐 가도록 한다


2. Site     to     Site 

  (VPN)           (VPN)

- VPN 끼리 연결(장비대 장비를 연결)

- 헤더까지 암호화를 한다, 라우터에 미리 설정을 해서 통신이 가능하다

- 라우터에서 라우터까지만 암호화를 한다

- 오버헤드가 크고 , 비싸다



VMware


*VMware에는 자체적으로 네트워크를 나누는 기능이 없다

         => 2008에 Lan Routing 이라는 기능을 대신 사용하여 네트워크를 분할 한다.


*네트워크 카드 Custom방식 - 사용자의 HostPC에 NIC가 생성되지 않고 내부로만 통신이 가능한 네트워크 카드


*실습

1.Windows Server 2008 R2Lan Routing 기능을 이용하여 네트워크를 분리하고
2.VPN기능을 구성하여 외부에 존재하는 W7 사용자를 안전하게 내부 네트워크에 접속시키고

3.분리되 네트워크에 존재하는 파일서버에 접속하여 공유자원을 이용하게 한다


*포트 속성

pptp : mc

l2f : cisco

l2tp : mc + cisco 양쪽에 호환 (마이크로 소프트랑 , Cisco)


*과정


a) W2k8-1

1. W2k8-1 에 DC, 라우팅및 원격 엑세스 서비스를 설치

2. W2k8-1의 Active 사용자및 컴퓨터에서 VPN Resource Server에 접속할 사용자를 추가

사용자 속성 - 전화 접속 로그인 - 네트워크 엑세스 권한 엑세스 허용

3. 라우팅 및 엑세스 관리자에서 W2k8-3을 엑세스 하기위한 VPN설정


b) W2k8-3

1. W2k8-1에 도메인 가입을 한다

2. VPN서비스를 할 폴더를 만들고 공유 설정을 한뒤 

   권한에는 W2k8-1의 도메인 유저에게 허가를 한다.


C) W2k8-2

1. Lan Routing 기능을 위해 라우팅 및 원격 엑세스 서비스를 설치한다

2. 라우팅 및 엑세스 관리자에서 내부 네트워크들의 인터넷 사용을 위해 Nat 카드 설정

   내부 라우팅을 위해 VMnet2, VMnet3 카드를 추가 설정


D) W7-1

1. 다른 네트워크 대역과 Ping 테스트를 해본다

2. VPN 사용을 위해 새 네트워크를 추가하여 2.0.0.1 대역으로 설정한다

3. 계정은 W2k8-1에서 VPN 서비스를 위해 추가한 사용자계정을 이용한다.