IT & Security/VPN

VPN 프로토콜 (작성 중)

la Nube 2022. 2. 7. 00:00
반응형



OpenVPN


OpenVPN은 UDP와 TCP 포트를 모두 사용할 수 있기에

안전한 웹 서핑, 게임, 그리고 라이브 스트리밍에 이르기까지

매우 다양하게 사용될 수 있는 '팔방미인형' 보안 프로토콜입니다.


민감한 데이터의 보호를 보장하기 위해 NordVPN에서는

AES-256-GCM 암호 알고리즘을 4096-bit DH 키와 함께 사용합니다.


OpenVPN은 그 이름에서 알 수 있듯이 오픈소스 코드이기 때문에,

누구나 자유롭게 검증하고 수정하여 가져다 쓸 수 있다는 장점이 있습니다.

그래서 대부분의 글로벌한 사이버시큐리티 커뮤니티에서 잘 활용하고 있습니다.


매일 새로운 버그가 제보되고, 매일 새로운 취약점이 발견되고,

매일 새로운 코드가 한줄씩 추가됨에 따라 이 보안 프로토콜은

점점 더 강력하고 더 나은 방향으로 발전하게 됩니다.

이런 투명성 위에서 번창하는 것이죠.


암호화 : OpenVPN은 OpenSSL 라이브러리에 포함된 암호화 알고리즘 중에서


속도 : UDP 포트를 사용하는 경우에 OpenVPN은 빠른 속도를 유지할 수 있습니다.

비록 IKEv2보다는 느릴지라도 충분히 빠르다고 볼 수 있죠.


취약점 : 


방화벽 포트 : OpenVPN은 그 어떤 UDP나 TCP 포트의 사용이 가능합니다.

특히, 모든 HTTPS 트래픽이 통과되는 TCP 포트 443도 사용할 수 있기 때문에,

이 포트를 차단하기가 상당히 곤란합니다. (차단하면 아예 인터넷이 안 되므로)


안정성 : 


결론 : OpenVPN은 





안정성 : 


결론 : 




IKEv2/IPSec


Internet Protocol Security (IPSec)에서 보안, 안정성, 속도 측면이 강화된

Internet Key Exchange (IKE)의 새 버전 IKEv2 프로토콜이 있습니다.

IKEv2/IPsec(이하 'IKEv2')는 강력한 암호화 알고리즘과 키를 탑재했으며,

수퍼컴퓨터에 의해서도 암호를 깨는 것이 거의 불가능합니다.


컴퓨터의 성능이 계속하여 강화되어 암호를 깨는 속도가 점점 빨라지고 있는 만큼,

그것보다 한 단계 앞 선 기술을 사용하는 것이 상당히 중요합니다.


NordVPN에서는 IKEv2에 Next Generation Encryption (NGE)을 사용하는 이유이기도 합니다.

세상이 얼마나 빨리 변하든지에 상관 없이 깨지지 않는 암호화 수준을 누릴 수 있을 테니까요.


암호화 : IKEv2는 AES, Blowfish, Camellia 등 다양한 암호화 알고리즘을 사용할 수 있습니다.

그리고 256비트 암호를 지원합니다.


속도 : IKEv2는 현존하는 대부분의 VPN 프로토콜보다 속도가 빠르며,

특히 보안성이 있는 


취약점 : IKEv2는 현재 알려진 취약점이 없으며, 대부분의 IT 보안 전문가들이


방화벽 포트 : 최초의 키 교환(Initial Key Exchange)에서 UDP 포트 500이 사용되며,

NAT Traversal 단계에서는 UDP 포트 4500이 사용됩니다. 

IKEv2는 이 포트만 사용하기 때문에, 다른 프로토콜보다 차단당하기 쉽다는 단점이 있습니다.


안정성 : IKEv2는 


결론 : 강력한 보안성, 빠른 속도, 향상된 안정성 덕분에 IKEv2는 현재 사용되고 있는 것들 중




WireGuard


VPN 기술에서는 WireGuard가 현재 기술로는 끝판왕입니다.

OpenVPN보다 100배 정도 적은, 오직 4000여 줄의 코드만으로 구성되어,

믿을 수 없을 정도로 빠르고, 정상급 수준의 암호 기술을 자랑합니다.

코드가 적다보니 배포, 검증, 디버그 모두 쉽다는 장점이 있습니다.


다만, 이 WireGuard 기술에는 치명적인 단점이 있습니다.

속도는 매우 빠른데, 사용자 프라이버시를 완벽히 보장할 수가 없습니다.

보안성을 프라이버시라는 관점에서 보면 보안성이 형편 없는 기술이 됩니다.

그래서 VPN에서 사용할 때는 이런 기술을 보완하는 것이 필요합니다.


암호화 : WireGuard는 대칭 암호로는 ChaCha20 (RFC7539), 익명 키 교환에서는 Curve25519,

데이터 인증에서는 Poly1305, 해시값 기능은 BLAKE2 (RFC7693)라는 기술을 사용합니다.

WireGuard는 Pefect Foward Secrecy를 자동적으로 지원합니다.


속도 : WireGuard는 


취약점 : 


방화벽 포트 : WireGuard는 임의의 모든 UDP 포트를 사용할 수 있습니다.

그러나 TCP 포트는 현재 지원하지 않습니다.


안정성 : WireGuard


결론 : 


NordVPN에서는 백본(Backbone) 단에 Double NAT 시스템을 개발하였고,

이것을 통해 VPN 연결을 암호화하고, WireGuard 기술의 단점인

서버 단에 개인을 식별할 수 있는 그 어떤 데이터도 남기지 않게끔 하였습니다.

이것을 NordLynx 프로토콜이라고 합니다.




<참고>

https://protonvpn.com/blog/whats-the-best-vpn-protocol/

https://nordvpn.com/features/next-generation-encryption/

https://nordvpn.com/blog/major-upgrade-nordlynx/

https://nordvpn.com/blog/nordlynx-protocol-wireguard/

반응형