일본쪽 현업 SIer입니다. 알고 있는 내용인데도 설명을 해 보라 하면 이렇게 알기쉽게 설명할 수 있을 지 의문입니다. 부하직원들 교육자료 만들어둔게 있었는데, 선생님 설명 내용 참조해서 조금 더 알기쉽게 수정해봐야겠네요 구독했습니다, 좋은 내용 만들어주셔서 감사합니다.
정말 너무 유익하고 깊이있는 강의들을 공짜로 듣기가 죄송스러워서 멤버쉽가입했습니다. (말만)SRE로 일하고있는데 특히 네트워크/데이터베이스 쪽이 기초가 너무 없어서 힘들어하고있는데 기초개념부터 깊이있게 설명해주셔서 너무 도움이 되고있습니다. 앞으로도 좋은 강의 많이 만들어주시면 감사하겠습니다. 혹시 듣고싶은(여쭤보고싶은) 주제가 있으면 신청같은것도 가능한가요..?
프로그램쪽에서 도움을 많이받고 가입도 할려고하는데 등록된카드가 옛날꺼라 아직 못하고있네요ㅎㅎ 다름이 아니고 말씀하시는 vpn은 ipsec이 아닌 ssl vpn입니다. 주로 사이트 대 사이트에서 물리적인 vpn장비를 양쪽 상단에 두고 암복호화를 해서 통신을하고 사이트 대 클라이언트(강의내용과 같은환경)에서는 ssl vpn을 사용합니다. ipsec 같은경우 양쪽 VPN장비에 대부분의 설정이 되며 출발지와 목적지로 정책을 구분하여 사용할수도 있습니다. 터널을 맺기전에 키값을 교환하구요. ssl VPN같은경우 클라이언트가 사이트내부로 접근하기 위한 환경이라 중요한 설정은 사이트 상단의 VPN장비에서 설정이 될것이며 사용자는 VPN 장비에 설정된 공인IP로 접근하여 클라이언트 프로그램을 다운로드 하고 설치하여 사용자 인증을 거치면 사이트 내 VPN 장비에서 미리 설정된 사설 IP를 할당받고 통신을 진행하지요. 추가로 헷갈리실 분들이 있을것같아 덧붙이자면 일단 VPN을 사용하기 위해서는 양쪽다 공인IP가 있어야합니다. (인터넷공간을 공유하지 않는다면 상관없고 출발지에서 목적지로 패킷을 전달될수만 있다면 상관없습니다)가정에서도 인터넷을 할떄는 공유기의 공인Ip로 출발지가 변경되어 패킷이 다시 내컴퓨터까지 올수 있는것이지요. 회사에서 쓰는 사설IP와 메시지를 VPN 장비에서 암호화하고 공인IP로 운반만 해준다고 생각하면 될것같습니다. 전공도 아니신데 깊이가 상당하십니다. 프로그래밍 할떄는 이렇게까지는 알필요가 없다고 생각되는데 알아두면 장애처리나 응용하는데는 분명 도움이 되는것은 사실인것 같습니다.
좋은 의견과 정보 감사합니다. 다만 IPSec VPN에서도 영상과 같은 방식이 가능합니다. 오래 전 일이기는 하지만...개인적으로 직접 S/W를 구현하기도 했었습니다. 뭐, 사용하기 나름이겠습니다만... 지금와서 생각해보면 그걸 구현하려 덤빈 것이 참 무모하기도 했다는 생각이 듭니다. 그걸 누가 사준다고...^^;;;;
회사 직원만 VPN을 이용할 수 있어야 할 텐데... 이건 키 교환 직전 또는 직후에 로그인 등으로 인증을 하는 거겠죠...?? 참여 중인 프로젝트에서 공유 메모리로 IPC 통신을 하고 있는데.. 악의적인 사용자가 헤더 구조 파악한 뒤에 의도적으로 비정상적인 메시지를 보낼 수가 있어서 TCP같은 데서 헤더 변조를 어떻게 탐지하는지 등등 찾아보고 있는데... 골깨지겠네요 ㅜㅜ 강의 듣고 나니 이쪽을 유심히 알아봐도 진행중인 있는 작업에 뭔가 힌트를 얻을 수 있지 않을까 하는 느낌이 들었습니다. 물론 본격적으로 키교환 하고 암호화 통신을 한다고 하면 공유 메모리의 빠르다는 장점이 사라지는 꼴이라서 이럴 바에 파이프 쓰지.. 하는 생각도 들고 말이죠 그렇다고 비대칭키 프로그램에 하드코딩 할 수도 없고 ㅋㅋㅋㅋ 생각이 복잡하네요 좋은 강의 잘 듣고 갑니다!!
음...VPN 인증 방법은 여러 방식이 있습니다. 관련 표준을 참고하셔야 할 것 같습니다. 그리고 공유 메모리 기법 IPC 방식이라면 일반 소켓 통신이 아닙니다. 따라서 TCP 헤더가 등장하지 않습니다. 다시 확인해보시기 바랍니다. 그리고 공유 메모리에 대한 접근 핸들은 Lock을 걸어 접근을 통제할 방법이 있습니다. 아무튼 헤더 변조를 막고 탐지하는 부분은 결국 Hash를 이요합니다. IPSec AH 프로토콜에 대해 공부해보면 좋은 힌트를 얻을 수 있을 것입니다. 상황을 잘 몰라 대충 넘겨 짚어 의견을 드린 것이니 참고만 하시기 바랍니다. ^^ 잘 해결하셔서 원하는 결과 얼른 얻으시기 바랍니다. 건투를 빕니다!!!
@@nullnull_not_eq_null 와 지금 송신측 검증을 어떻게 하는지가 가장 큰 문제였는데 HMAC이란 걸 사용하는군요 ㅜㅜ 가장 큰 고민거리가 해결됐네요 ㅜㅜ 이제 신뢰할 수 있는 프로세스들 간의 키교환을 구현하는 것이 주요 관건인데, 이 부분은 말씀해주신대로 접근 핸들을 통제해 주면 될 것 같습니다 ㅎㅎ 알아보니 공유메모리 생성할 때도 보안 설명자 등을 지정해줄 수 있는 것 같고, 조금 더 복잡하게 짠다면 미니 필터 드라이버 등을 하나 제작해서 제한된 프로세스만 핸들을 열 수 있도록 해 줘도 될 것 같네요 무튼 정말 덕분에 거의 일주일치 삽질을 덜은 것 같네요 ㅜㅜ 너무 감사드립니다!!
오류...버그...장애...이런 문제를 해결하려다보면 결국 다 공부하게 됩니다. 그래서 비전공자가 경력이 쌓일 수록 힘들어지는 것이죠. 한 가지만 알고 전체 인프라를 이해하지 못하면 성장이 어렵습니다. 그래서 제가 이런 강의들을 만들어 무료로 풀었으니 모두 열공하시는 걸로~~~! ^^
NAS 공부하다가 VPN 까지 와 버렸습니다 ㅠ 정말 잘 보고 있습니다. 질문 있습니다. 외부망에 있는 클라인트 PC에서 이용할 때, 컴퓨터에서 일단 암호화 처리를 하고 공중망으로 이동하는 건가요 ? 시중에 있는 그냥 VPN 프로그램들 이용하게 되면.... 그 서버에서 보안 과정을 하는 것인지 아니면 클라인언트 컴퓨터에서 이뤄지고 나서 공중망으로 가는 것인지 궁금합니다. 전자라면..... VPN 서버 가기 전에 중간에 가로챌 수도 있지 않나 싶어 질문 드립니다.
좋은 영상 정말 감사합니다. 이해하기 쉽고 핵심만 알려주셔서 공부에 정말 도움이 되고 있습니다. 공부를 하다 보니 궁금한 점이 생겨 댓글 남깁니다. 본 영상에서 클라이언트는 자택 근무를 위해 회사 VPN 장비로부터 사내 사설 망 IP를 할당 받아 접속하는 Client-to-Server 방식의 구성을 사용하고자 하는 것이 맞는지요? 이 경우 IPsec 보다는 SSL VPN에 유사한 방식이 아닌가 싶어서 질문 드립니다. SSL/TLS handshake를 통해 사용자 인증을 거친 후 설치한 드라이버가 가상의 랜카드, Virtual NIC를 설치하고 VPN 장비가 Virtual NIC를 통해서 클라이언트에게 부여할 사설 IP를 매핑하는 방식의 VPN이 SSL VPN이라고 이해하고 있었습니다. 그런데 사설 IP를 부여 받는 부분까지는 SSL VPN과 유사한데 이후에는 IPsec 방식으로 터널을 형성하는 것 같아 제가 제대로 이해한건지 궁금합니다. 영상에서 Virtual NIC에 의해 사설 IP를 할당 받는 부분까지는 SSL VPN 방식이고, 이후 암호화되는 과정은 IPsec 과정으로 설명하신걸까요? 제가 이해한 것이 맞다면 현업에서는 주로 SSL VPN과 IPsec을 동시에 사용하는 경우가 빈번한가요?
최근 재택근무시에 많이 사용된 것은 SSL VPN이 많은 편입니다. IPSec GtoG에서 사용되는 것이 보편적이고요. 그리고 하신 설명이 맞습니다. 그리고 이후 과정에 IPSec과 비슷한 것도 맞습니다. 구조적으로 패킷 단위 암호화를 하는 것과 여러 패킷들을 스트림으로 이어 암호화 하고 보내는 정도의 차이가 있겠습니다. 참고하시기 바랍니다. :)
쉬운설명 너무나 감사합니다. 한가지 궁금한점이 있는데요. 영희가 외부에서 (사내망 말고 집에서) public 인터넷망 (예를 들어 구글이나 네이버..) 으로 접속하게되면 그때 터널링 구간(사내 SG 을 거친 다음 구글이나 네이버로 접속, 즉 사내망에서 outbound 로 public 인터넷망으로 접속) 을 타는 건가요 아니면 그냥 바로 9.9.9.9 (집 PC) 에서 구글이나 네이버로 바로 붙는건가요?
댓글에 IP주소가 있어서 승인대상 댓글로 분류가 되어 있었네요. 늦었지만...지금이라도 답을 드려봅니다. 네, 맞습니다. VPN 정책설정에 따라 다르겠습니다만 VPN 네트워크를 통해 모든 접속이 이루어지도록 정책을 정한다면 집 PC에서 바로 네이버로 가는 것이 아니라 회사망을 거쳐 나가게 됩니다. 참고하시기 바랍니다. :)
안녕하세요. 너무 좋은 강의 감사합니다. 영상을 보면서 궁금한 부분이 생겨서 질문드립니다. 영상 중간에 Ipsec을 말씀해 주셔서 현재 회사에서 사용하는 VPN 어떻게 돌아가는지 궁금하여 찾아보니 wireguard 방식을 사용한다고 하네요. 혹시 ipsec과 ssl, 그리고 wireguard가 어떻게 다르게 동작하는지에 대해서도 설명해 주실수 있나요?
제가 논하는 VPN이 IPSec 기반입니다. 그리고 암호기술에서 SSL에 대해서 다루고 있습니다. 참고하시면 되겠습니다. 그리고 Wireguard에 대해서는 저도 아는 바가 없어 조금 찾아봤습니다. SSL VPN 비슷한 방식으로 작동하는 것으로 이해하고 있습니다. IPSec처럼 새로운 프로토콜 스택을 올려 패킷을 조작하는 것이 아니라 SSL VPN처럼 패킷들을 하나의 스트림으로 이어 붙어 UDP로 전송하는 것으로 파악하고 있습니다. 이 때문에 구조가 간단하고 기존 OS의 기능을 활용하면 쉽게 구현이 가능하다는 것이 가장 큰 장점이라 하겠습니다. 또한 최신 암호 알고리즘을 적용했다는 것도 큰 장점인 것 같습니다. 참고하시기 바랍니다. :)
안녕하세요. 너무나 좋은 강의 감사드립니다. 강의를 보면서 궁금한점이 있는데요. vpn을 통해 kernel 단에 생긴 virtual nic과 원래 nic 2가지가 활성화 되어 있다고 했을때, process로 부터 발생하는 network i/o 는 2가지 nic 중 어떤걸 선택해야 할지 선택하는 기준이 있을까요? vpn을 통해 터널링 된 특정 private network에 접속하기 위해서는 반드시 virtual nic을 통해야 한다는 점은 이해가 되었는데요. 다른 network를 접속하는 경우는 virtual nic을 통하지 않고 원래 가지고 있던 nic을 통해 바로 나가야 할 것 같다고 생각했습니다. kernel 단에서 여러 nic이 활성화 되어 있을 경우, 특정 nic을 선택하는 어떤 기준이 있을지 여쭤보고 싶습니다. 항상 많은 도움을 받고 있습니다. 감사합니다 :)
안녕하세요. 이 좋은 강의를 이제서야 본 신입 프론트엔드 개발자 입니다. 집에서 VPN 으로 붙어서 (아무생각없이) 근무하다가 궁금해서 찾아봤는데 여기까지 오게 되었습니다. 아직 멤버십 가입은 안했지만 궁금한 게 있어서 혹시 보실까 하고 질문드려봅니다. 1. 중국 같은 인터넷 검열이 심한 국가에서도 사람들이 VPN을 사용해서 중국 내에서 접근이 차단된 사이트(유튜브, 페이스북 등)에 접근을 한다고 들었는데요. 그럼 이 경우에는 IP outer header에 붙는 destination은 어디가 되는 걸까요? VPN 회사에서 제공하는 자체 라우터로 연결되어서, 회사가 운영하는 라우터에서 외부(유튜브, 페이스북 등 접속제한이 없는 인터넷)로 연결해주는 방식일까요? 2. 위에 제가 생각한 방식이 맞다면 그런 VPN 회사들은 어떻게 중국에서 영업을 할 수 있는걸까요? 중국정부에서 VPN 솔루션 제공하는 회사들이 영업을 못하게 막을 것 같은데 그게 안되는 기술적인 이유가 혹시 있는 걸까요?
중국은 국가가 인터넷을 통제하는 국가입니다. Great Firewall이 통제 수단입니다. 하지만 이런 중국의 상황을 지원하고자 서방에서 무료 VPN 서비스를 기부형식으로 제공하고 있습니다. 대표적으로 VPN gate가 그렇습니다. 이 VPN gate에 대해 알아보시면 Outer header IP가 어디가 될 수 있을지 충분히 알 수 있으리라 생각합니다. 참고하시기 바랍니다.
그러면 영희가 내부 서버 3.3.3.100 으로 접속하려고 할 때 3.3.3.1 로 가야하는건 어떻게 아는건가요? 모든 패킷을 다 3.3.3.1로 보내는 식인건가요? 아니면 일부 도메인/IP주소를 VPN 클라이언트가 인식해서 (혹은 별도의 네임서버 overriding을 제공해서) 일부만 3.3.3.1로 보내는건가요? 아니면 VPN 프로토콜마다 다른건가요?
네, 맞습니다. NIC의 MAC주소는 H/W에도 들어있지만 Driver(S/W)에서도 정의할 수 있습니다. 그리고 Driver의 정의가 H/W보다 우선합니다. 즉, S/W 설정으로 사실 상 변경이 가능하다 하겠습니다. 가상환경의 Virtual NIC driver는 H/W는 없지만 마치 존재하는 것처럼 가정하고 S/W Driver만 존재하는 NIC이라 Virtual NIC입니다. 참고하시기 바랍니다. ^^
안녕하세요 선생님. 궁금한게 있어서 여쭤봅니다. 원격지에 있는 pc에서 브라우저에 url을 쳐서 회사에 있는 서버에 접속할텐데 URL을 DNS에 요청해 IP로 변경하는 과정을 거쳐야 되잖아요. 근데 그 URL에 매핑되어있는 IP는 Private IP일텐데 그걸 알 수 있나요?? DNS는 계층을 이뤄 동작하고 서로에 대한 정보는 다 알고 있으니까 내가 설정해놓은 DNS서버가 그걸 몰라도 다 알 수 있는걸로 생각하면 될까요?? URL이 Private IP랑 매핑됐다는 걸 생각해본적이 없어서 갑자기 궁금하네요.
교수님. 강의 정말 잘 들었습니다. 회사가 해외조직망도 많이 가지고 있는데 해외 현지에서 접속하면 다른 웹사이트는 속도가 줄지 않는데 본사 싸이트만 접속하면 엄청 느립니다. VPN때문에 생기는 문제같은데 해결하려면 어떤 방향으로 고민을 해야할까요? 프로그램을 배우려는 사람은 아니구요. 평소에 지속적으로 어려움을 겪다보니 문의를 드리게 되었습니다.
음...트래픽을 수집해 분석해봐야 알 수 있습니다. '느리다'라는 것은 결론이며 원인은 매우 다양하기 때문입니다. 다만 매우 급격히 느린 반응이 나온다는 것은 VPN 세션에 문제가 있는 것이 아닌지 의심됩니다. 단편화가 늘상 발생하고 있거나 관련 네트워크 보안 장치가 문제가 있는 것일 수도 있겠습니다. 그리고 WAN 가속기가 사용되는 구간이 있는지도 한 번 확인해보실 것을 권합니다. 참고하시기 바랍니다.
정말 존경합니다 교수님처럼 베이스가 탄탄한 개발자가 되고 싶네요 ㅎㅎ 열심히 해야겠습니다
좋은 평가와 피드백 감사합니다. 음...죄송한데 저 '교수'아닙니다. 게다가 심지어 비전공자입니다. ^^;;;; 그냥, 거리의 강사 정도로 봐주시면 고맙겠습니다. ^^;;;
일본쪽 현업 SIer입니다.
알고 있는 내용인데도 설명을 해 보라 하면 이렇게 알기쉽게 설명할 수 있을 지 의문입니다.
부하직원들 교육자료 만들어둔게 있었는데, 선생님 설명 내용 참조해서 조금 더 알기쉽게 수정해봐야겠네요
구독했습니다, 좋은 내용 만들어주셔서 감사합니다.
부하직원들 교육도 챙기셔야 하는 군요. 이렇게 새 네트워크 강사님의 탄생 스토리가 시작되는 것 같습니다. 좋게 봐주셔서 고맙습니다. :)
오랜만에 왔는데.. 영상 볼때마다 감탄합니다. 이분은 천재인가? 싶기도 하고.. 나는 뭐하는 건가 자괴감이 들곤 하네요 ㅋㅋㅋ 올려주신 강의 다 챙겨보도록 하겠습니다 감사합니다.
과찬이십니다. 절대 천재도 아니고 지금도 버벅이는 진행형 개발자 입니다. 그러니 자괴감 가지지 않으셨으면 좋겠습니다. 아무튼...열공하고 실력 올리면 언젠가 좋은 날 오겠지...라는 희망을 가지고 살고 있습니다. 열공하세요~~~! ^^
Secure Gateway와 Tunneling 용어에 대해 이해하니까, 전체의 흐름이 보이네요. 감사합니다.
좋은 평가 고맙습니다. 전체의 흐름을 볼 수 있게 됐다는 피드백이 정말 고맙네요. :)
영상 너무 잘 보고있습니다! 애매하던 부분을 시원하게 긁어주셔서 기분이 좋습니다 ㅎㅎ 항상 응원하겠습니다!
좋은 평가와 피드백 감사합니다. 열심히 강의 올려보겠습니다. ^^
학부수업에서 깊게 들어가다보니 놓칠 수 있는 전체적인 뷰를 확실히 잡을 수 있었습니다. 강좌 감사드립니다.
정말 다행입니다. 강의 기획의도이기도 하고요. 좋은 평가와 피드백 감사합니다.
정말 너무 유익하고 깊이있는 강의들을 공짜로 듣기가 죄송스러워서 멤버쉽가입했습니다.
(말만)SRE로 일하고있는데 특히 네트워크/데이터베이스 쪽이 기초가 너무 없어서 힘들어하고있는데 기초개념부터 깊이있게 설명해주셔서 너무 도움이 되고있습니다.
앞으로도 좋은 강의 많이 만들어주시면 감사하겠습니다.
혹시 듣고싶은(여쭤보고싶은) 주제가 있으면 신청같은것도 가능한가요..?
좋은 평가와 피드백 감사합니다. 거기에 멤버십 가입까지...! 감사합니다. ^^
음...제가 할 수 있는 것이라면 요청에 응답해드리고 있습니다.
@@nullnull_not_eq_null 혹시 overlay network에 대해서도 한번 다뤄주실 수 있으신가요?
강의가 너무 훌륭하네요.
바로 구독... ㅎㅎ😄
좋은 강의 감사합니다
좋은 평가과 구독 감사합니다. ^^
명품 강의 잘 들었습니다. vpn 정말 어려웠는데 영상보고 정말 쉽게 이해했네요
와우~~! 좋은 평가 고맙습니다. :)
홈서버로 VPN 만들어보다가 작동 원리 궁금해서 봤는데 정말 잘봤습니다.
다음은 리버스 프록시 서버 만들어볼건데 프록시 서버 강의도 있더라구요. 그것도 잘 보겠습니다. 감사합니다.
좋은 평가 고맙습니다. 열공하시고 좋은 결과 얻으세요. :)
이번주에 선생님 유투브를 알게 되어서 정말 열심히 듣고 있습니다. 너무 감사합니다!
글로만 보다 그림과 설명이 함께하니 훨씬 더 이해하기 쉽네요!!
아하~~~! 그렇군요. 좋은 평가와 피드백 감사합니다. ^^
헤더를 하나 더 달고 그 옆 Payload를 아예 암호화해 버리는군요. 그렇게 기밀성을 지키고.. 잘 봤습니다.
네, 맞습니다. 거기에 들어가는 것이 L3 헤더면...네트워크 수준 터널링이 되는 것이지요. ^^
하윽 명강의 VPN 공부하다가 들어왔는데 역시 명쾌한 설명이시네요!!!
그러셨군요. 좋은 평가 고맙습니다. :)
설명 쥑이네여~ 이래서 다른 정보영상에선 그렇게 불친절하게 설명을 하거나, 요상하게 어려웠던거군요.. 정보전달의 왕좌로 임명합니다~^^
와우~~! 좋은 평가와 피드백 감사합니다. ^^;;;
야 이걸 10년 전에 알았더라면 ㅠ 제가 군복무를 7군단 사령부에서 전술망 운용으로 했었습니다. 그때 이 강의 먼저 듣고 했더라면 훨씬 더 무슨 일 하는지 알고 복무했을텐데 말이죠
군은 VPN이 기본이죠. 심지어 중첩 터널링도 할 텐데요...뭐, 지금은 잘 이해하실 것으로 생각됩니다. 그럼 된 거죠. ^^;;;
프로그램쪽에서 도움을 많이받고 가입도 할려고하는데 등록된카드가 옛날꺼라 아직 못하고있네요ㅎㅎ
다름이 아니고 말씀하시는 vpn은 ipsec이 아닌 ssl vpn입니다.
주로 사이트 대 사이트에서 물리적인 vpn장비를 양쪽 상단에 두고 암복호화를 해서 통신을하고
사이트 대 클라이언트(강의내용과 같은환경)에서는 ssl vpn을 사용합니다.
ipsec 같은경우 양쪽 VPN장비에 대부분의 설정이 되며 출발지와 목적지로 정책을 구분하여 사용할수도 있습니다. 터널을 맺기전에 키값을 교환하구요.
ssl VPN같은경우 클라이언트가 사이트내부로 접근하기 위한 환경이라 중요한 설정은 사이트 상단의 VPN장비에서 설정이 될것이며 사용자는 VPN 장비에 설정된 공인IP로 접근하여 클라이언트 프로그램을 다운로드 하고 설치하여 사용자 인증을 거치면 사이트 내 VPN 장비에서 미리 설정된 사설 IP를 할당받고 통신을 진행하지요.
추가로 헷갈리실 분들이 있을것같아 덧붙이자면
일단 VPN을 사용하기 위해서는 양쪽다 공인IP가 있어야합니다. (인터넷공간을 공유하지 않는다면 상관없고 출발지에서 목적지로 패킷을 전달될수만 있다면 상관없습니다)가정에서도 인터넷을 할떄는 공유기의 공인Ip로 출발지가 변경되어 패킷이 다시 내컴퓨터까지 올수 있는것이지요.
회사에서 쓰는 사설IP와 메시지를 VPN 장비에서 암호화하고 공인IP로 운반만 해준다고 생각하면 될것같습니다.
전공도 아니신데 깊이가 상당하십니다. 프로그래밍 할떄는 이렇게까지는 알필요가 없다고 생각되는데 알아두면 장애처리나 응용하는데는 분명 도움이 되는것은 사실인것 같습니다.
좋은 의견과 정보 감사합니다. 다만 IPSec VPN에서도 영상과 같은 방식이 가능합니다. 오래 전 일이기는 하지만...개인적으로 직접 S/W를 구현하기도 했었습니다. 뭐, 사용하기 나름이겠습니다만... 지금와서 생각해보면 그걸 구현하려 덤빈 것이 참 무모하기도 했다는 생각이 듭니다. 그걸 누가 사준다고...^^;;;;
@@nullnull_not_eq_null 네 맞습니다 기술적인 구현은 가능하지만 보통은 그렇다는걸 현업종사자 입장에서 말씀드려봤습니다.
기술적으로야 전기신호만 줄수있다면 불가능한게 없다는게 개발자의 가장큰힘 이니까요~
와 책에 내용이 없어서 무슨 말인가 했는데 VPN 한번에 이해했습니다
그러셔군요. 다행입니다. :)
회사 직원만 VPN을 이용할 수 있어야 할 텐데... 이건 키 교환 직전 또는 직후에 로그인 등으로 인증을 하는 거겠죠...??
참여 중인 프로젝트에서 공유 메모리로 IPC 통신을 하고 있는데.. 악의적인 사용자가 헤더 구조 파악한 뒤에 의도적으로 비정상적인 메시지를 보낼 수가 있어서 TCP같은 데서 헤더 변조를 어떻게 탐지하는지 등등 찾아보고 있는데... 골깨지겠네요 ㅜㅜ
강의 듣고 나니 이쪽을 유심히 알아봐도 진행중인 있는 작업에 뭔가 힌트를 얻을 수 있지 않을까 하는 느낌이 들었습니다.
물론 본격적으로 키교환 하고 암호화 통신을 한다고 하면 공유 메모리의 빠르다는 장점이 사라지는 꼴이라서 이럴 바에 파이프 쓰지.. 하는 생각도 들고 말이죠
그렇다고 비대칭키 프로그램에 하드코딩 할 수도 없고 ㅋㅋㅋㅋ 생각이 복잡하네요
좋은 강의 잘 듣고 갑니다!!
음...VPN 인증 방법은 여러 방식이 있습니다. 관련 표준을 참고하셔야 할 것 같습니다. 그리고 공유 메모리 기법 IPC 방식이라면 일반 소켓 통신이 아닙니다. 따라서 TCP 헤더가 등장하지 않습니다. 다시 확인해보시기 바랍니다.
그리고 공유 메모리에 대한 접근 핸들은 Lock을 걸어 접근을 통제할 방법이 있습니다.
아무튼 헤더 변조를 막고 탐지하는 부분은 결국 Hash를 이요합니다. IPSec AH 프로토콜에 대해 공부해보면 좋은 힌트를 얻을 수 있을 것입니다.
상황을 잘 몰라 대충 넘겨 짚어 의견을 드린 것이니 참고만 하시기 바랍니다. ^^
잘 해결하셔서 원하는 결과 얼른 얻으시기 바랍니다. 건투를 빕니다!!!
@@nullnull_not_eq_null 와 지금 송신측 검증을 어떻게 하는지가 가장 큰 문제였는데 HMAC이란 걸 사용하는군요 ㅜㅜ 가장 큰 고민거리가 해결됐네요 ㅜㅜ
이제 신뢰할 수 있는 프로세스들 간의 키교환을 구현하는 것이 주요 관건인데, 이 부분은 말씀해주신대로 접근 핸들을 통제해 주면 될 것 같습니다 ㅎㅎ
알아보니 공유메모리 생성할 때도 보안 설명자 등을 지정해줄 수 있는 것 같고, 조금 더 복잡하게 짠다면 미니 필터 드라이버 등을 하나 제작해서 제한된 프로세스만 핸들을 열 수 있도록 해 줘도 될 것 같네요
무튼 정말 덕분에 거의 일주일치 삽질을 덜은 것 같네요 ㅜㅜ 너무 감사드립니다!!
@@creep8867 헉, 드라이버도 만지셔야 하나요? 피곤하겠네요. ^^;;;; 아무튼 도움이 되셨다니 저도 기분이 좋습니다. 부디 잘 개발 마무리 하셔서 충분한 휴식 기간 확보하시기를 진심으로 기원합니다~~~ ^^;;;
정말 실력있는 개발자가 되려면 운영체제 및 네트워크 기반이 탄탄해야 하나 보네요. 단순 애플리케이션 계층만 중점으로 하는게 아닌가 보군요.
오류...버그...장애...이런 문제를 해결하려다보면 결국 다 공부하게 됩니다. 그래서 비전공자가 경력이 쌓일 수록 힘들어지는 것이죠. 한 가지만 알고 전체 인프라를 이해하지 못하면 성장이 어렵습니다. 그래서 제가 이런 강의들을 만들어 무료로 풀었으니 모두 열공하시는 걸로~~~! ^^
현재 서버 관리자로 근무 중인데 탄탄한 인프라를 기반으로 실력있는 개발자가 되겠습니다. 훌륭한 강의 감사드립니다.
그러시군요. 나중에 기회가 되면 자신의 현업 경험 이야기도 공유해주세요. ^^
@@nullnull_not_eq_null 비전공자는 웁니다
NAS 공부하다가 VPN 까지 와 버렸습니다 ㅠ 정말 잘 보고 있습니다.
질문 있습니다. 외부망에 있는 클라인트 PC에서 이용할 때, 컴퓨터에서 일단 암호화 처리를 하고 공중망으로 이동하는 건가요 ?
시중에 있는 그냥 VPN 프로그램들 이용하게 되면.... 그 서버에서 보안 과정을 하는 것인지
아니면 클라인언트 컴퓨터에서 이뤄지고 나서 공중망으로 가는 것인지 궁금합니다.
전자라면..... VPN 서버 가기 전에 중간에 가로챌 수도 있지 않나 싶어 질문 드립니다.
네, 맞습니다. VPN이라 하면 PC 단말기 수준에서 암호화를 실시해 전달하는 터널링이 기본 옵션입니다. 그렇지 않으면 생각하는 문제가 있을 수 있습니다. 참고하시기 바랍니다. :)
@@nullnull_not_eq_null 감사합니다 !
너무 잘봤습니다.
재택근무 하는쪽에 VPN Client 프로그램을 깔아야 한다고 하셨는데 혹시 서버 사이트에선 따로 작업을 해야 하는게 없을까요?
VPN 시스템을 이미 보유하고 있다면 서버 사이트에 별도로 작업할 것은 없겠습니다. VPN client 프로그램이 해당 시스템에 접속하기 위한 도구이니까요. 참고하시기 바랍니다. :)
좋은 영상 정말 감사합니다. 이해하기 쉽고 핵심만 알려주셔서 공부에 정말 도움이 되고 있습니다.
공부를 하다 보니 궁금한 점이 생겨 댓글 남깁니다.
본 영상에서 클라이언트는 자택 근무를 위해 회사 VPN 장비로부터 사내 사설 망 IP를 할당 받아 접속하는 Client-to-Server 방식의 구성을 사용하고자 하는 것이 맞는지요? 이 경우 IPsec 보다는 SSL VPN에 유사한 방식이 아닌가 싶어서 질문 드립니다. SSL/TLS handshake를 통해 사용자 인증을 거친 후 설치한 드라이버가 가상의 랜카드, Virtual NIC를 설치하고 VPN 장비가 Virtual NIC를 통해서 클라이언트에게 부여할 사설 IP를 매핑하는 방식의 VPN이 SSL VPN이라고 이해하고 있었습니다. 그런데 사설 IP를 부여 받는 부분까지는 SSL VPN과 유사한데 이후에는 IPsec 방식으로 터널을 형성하는 것 같아 제가 제대로 이해한건지 궁금합니다.
영상에서 Virtual NIC에 의해 사설 IP를 할당 받는 부분까지는 SSL VPN 방식이고, 이후 암호화되는 과정은 IPsec 과정으로 설명하신걸까요? 제가 이해한 것이 맞다면 현업에서는 주로 SSL VPN과 IPsec을 동시에 사용하는 경우가 빈번한가요?
최근 재택근무시에 많이 사용된 것은 SSL VPN이 많은 편입니다. IPSec GtoG에서 사용되는 것이 보편적이고요. 그리고 하신 설명이 맞습니다. 그리고 이후 과정에 IPSec과 비슷한 것도 맞습니다. 구조적으로 패킷 단위 암호화를 하는 것과 여러 패킷들을 스트림으로 이어 암호화 하고 보내는 정도의 차이가 있겠습니다. 참고하시기 바랍니다. :)
쉬운설명 너무나 감사합니다. 한가지 궁금한점이 있는데요. 영희가 외부에서 (사내망 말고 집에서) public 인터넷망 (예를 들어 구글이나 네이버..) 으로 접속하게되면 그때 터널링 구간(사내 SG 을 거친 다음 구글이나 네이버로 접속, 즉 사내망에서 outbound 로 public 인터넷망으로 접속) 을 타는 건가요 아니면 그냥 바로 9.9.9.9 (집 PC) 에서 구글이나 네이버로 바로 붙는건가요?
댓글에 IP주소가 있어서 승인대상 댓글로 분류가 되어 있었네요. 늦었지만...지금이라도 답을 드려봅니다. 네, 맞습니다. VPN 정책설정에 따라 다르겠습니다만 VPN 네트워크를 통해 모든 접속이 이루어지도록 정책을 정한다면 집 PC에서 바로 네이버로 가는 것이 아니라 회사망을 거쳐 나가게 됩니다. 참고하시기 바랍니다. :)
안녕하세요. 너무 좋은 강의 감사합니다. 영상을 보면서 궁금한 부분이 생겨서 질문드립니다. 영상 중간에 Ipsec을 말씀해 주셔서 현재 회사에서 사용하는 VPN 어떻게 돌아가는지 궁금하여 찾아보니 wireguard 방식을 사용한다고 하네요. 혹시 ipsec과 ssl, 그리고 wireguard가 어떻게 다르게 동작하는지에 대해서도 설명해 주실수 있나요?
제가 논하는 VPN이 IPSec 기반입니다. 그리고 암호기술에서 SSL에 대해서 다루고 있습니다. 참고하시면 되겠습니다. 그리고 Wireguard에 대해서는 저도 아는 바가 없어 조금 찾아봤습니다. SSL VPN 비슷한 방식으로 작동하는 것으로 이해하고 있습니다. IPSec처럼 새로운 프로토콜 스택을 올려 패킷을 조작하는 것이 아니라 SSL VPN처럼 패킷들을 하나의 스트림으로 이어 붙어 UDP로 전송하는 것으로 파악하고 있습니다.
이 때문에 구조가 간단하고 기존 OS의 기능을 활용하면 쉽게 구현이 가능하다는 것이 가장 큰 장점이라 하겠습니다. 또한 최신 암호 알고리즘을 적용했다는 것도 큰 장점인 것 같습니다. 참고하시기 바랍니다. :)
너무 유익해요! 영상이끊어지는걸로 보아 vpn 3편이 있어야 할거같은데.. 삭제된건가요?ㅜ
좋은 평가와 피드백 감사합니다. 더 있는데...해당 강좌는 멤버십으로만 공개하고 있습니다.
너무 유익해요ㅜ
좋은 평가 감사합니다. 도움이 되셨다면 구독 + 좋아요 + 홍보 부탁드립니다. 저...올해 안에 꼭 실버튼 받고 싶어서요. ^^;;;;
안녕하세요. 너무나 좋은 강의 감사드립니다. 강의를 보면서 궁금한점이 있는데요.
vpn을 통해 kernel 단에 생긴 virtual nic과 원래 nic 2가지가 활성화 되어 있다고 했을때, process로 부터 발생하는 network i/o 는 2가지 nic 중 어떤걸 선택해야 할지 선택하는 기준이 있을까요?
vpn을 통해 터널링 된 특정 private network에 접속하기 위해서는 반드시 virtual nic을 통해야 한다는 점은 이해가 되었는데요.
다른 network를 접속하는 경우는 virtual nic을 통하지 않고 원래 가지고 있던 nic을 통해 바로 나가야 할 것 같다고 생각했습니다.
kernel 단에서 여러 nic이 활성화 되어 있을 경우, 특정 nic을 선택하는 어떤 기준이 있을지 여쭤보고 싶습니다.
항상 많은 도움을 받고 있습니다. 감사합니다 :)
네, 메트릭 값에 따라 결정됩니다. 물론 그것이 전부는 아닙니다만 대부분 그렇습니다. 그리고 NIC을 선택하는 것은 인터페이스 결정 원리에 해당합니다. 결과부터 말하자면 메트릭 값이 적은(비용이 적게 드는) 인터페이스를 선택하는 것이 일반적입니다.
터널링 기술에 대한 강의도 듣고 싶어요
참고하겠습니다. 다만...말씀드릴 것이 생각보다 많지가 않아 걱정이네요. :)
강사님! OSI 7 layer그리실때 매번 그려져있는 Driver는 NIC를 컨트롤하기 위한 네트워크 카드 드라이버 프로그램을 말씀하시는 건가요?
네, 맞습니다. 그리고 그 Driver는 H/W와 다른 MAC을 가질 수도 있습니다. 그리고 범용OS에서는 Driver에 설정한 MAC 주소가 H/W MAC보다 우선합니다. 참고하시기 바랍니다. ^^
안녕하세요. 이 좋은 강의를 이제서야 본 신입 프론트엔드 개발자 입니다. 집에서 VPN 으로 붙어서 (아무생각없이) 근무하다가 궁금해서 찾아봤는데 여기까지 오게 되었습니다. 아직 멤버십 가입은 안했지만 궁금한 게 있어서 혹시 보실까 하고 질문드려봅니다.
1. 중국 같은 인터넷 검열이 심한 국가에서도 사람들이 VPN을 사용해서 중국 내에서 접근이 차단된 사이트(유튜브, 페이스북 등)에 접근을 한다고 들었는데요. 그럼 이 경우에는 IP outer header에 붙는 destination은 어디가 되는 걸까요? VPN 회사에서 제공하는 자체 라우터로 연결되어서, 회사가 운영하는 라우터에서 외부(유튜브, 페이스북 등 접속제한이 없는 인터넷)로 연결해주는 방식일까요?
2. 위에 제가 생각한 방식이 맞다면 그런 VPN 회사들은 어떻게 중국에서 영업을 할 수 있는걸까요? 중국정부에서 VPN 솔루션 제공하는 회사들이 영업을 못하게 막을 것 같은데 그게 안되는 기술적인 이유가 혹시 있는 걸까요?
중국은 국가가 인터넷을 통제하는 국가입니다. Great Firewall이 통제 수단입니다. 하지만 이런 중국의 상황을 지원하고자 서방에서 무료 VPN 서비스를 기부형식으로 제공하고 있습니다. 대표적으로 VPN gate가 그렇습니다. 이 VPN gate에 대해 알아보시면 Outer header IP가 어디가 될 수 있을지 충분히 알 수 있으리라 생각합니다. 참고하시기 바랍니다.
안녕하세요 대표님 잘 지내셨죠?
다시 멤버십 가입으로 복귀했습니다. 영상 후반부에 16:26에 하나가 더 남아있다고 하셨는데,
그 영상은 무엇인가요?
아 회원 전용 영상이군요. 확인했습니다.
와우~~! 바쁘셨군요. 오랜만에 다시 봽습니다. 반갑습니다. :)
@@nullnull_not_eq_null 네, 앞으로 인프라를 좀 많이 만질것 같아서. 대표님 강의가 필요했습니다. 답글 감사합니다! 편안한 밤되세요:)
개쩐다❤
좋은 평가 감사합니다. ^^;;
그러면 영희가 내부 서버 3.3.3.100 으로 접속하려고 할 때 3.3.3.1 로 가야하는건 어떻게 아는건가요? 모든 패킷을 다 3.3.3.1로 보내는 식인건가요? 아니면 일부 도메인/IP주소를 VPN 클라이언트가 인식해서 (혹은 별도의 네임서버 overriding을 제공해서) 일부만 3.3.3.1로 보내는건가요? 아니면 VPN 프로토콜마다 다른건가요?
그건 SG간 정책으로 정해져 결정되는 것입니다. 참고하시기 바랍니다.
강사님! Virtual NIC도 어쨋든 (SW로 구성된)NIC이므로 MAC주소를 가지고 있는 건가요?
네, 맞습니다. NIC의 MAC주소는 H/W에도 들어있지만 Driver(S/W)에서도 정의할 수 있습니다. 그리고 Driver의 정의가 H/W보다 우선합니다. 즉, S/W 설정으로 사실 상 변경이 가능하다 하겠습니다. 가상환경의 Virtual NIC driver는 H/W는 없지만 마치 존재하는 것처럼 가정하고 S/W Driver만 존재하는 NIC이라 Virtual NIC입니다. 참고하시기 바랍니다. ^^
선생님! 질문있습니다. 그럼 회사 서버가 내보내는 응답에도 TCP/IP 헤더가 2개여야 할것 같은데 맞나요?
아니오, 서버는 아닙니다. 서버는 평소처럼 하나의 헤더만 붙여서 패킷을 보낼 텐데...이를 VPN gateway가 하나 더 붙인다고 봐야 하겠습니다.
선생님 제가 일본에서 유선 인터넷을 사용해야 하는데 vpn을 구매해서 사용한다면 한국 ip로 적용이 되나요?
VPN으로 접속한 SG가 어떤 IP주소로 변환하는가에 달려있습니다. 한국 IP가 될 수도 중국 IP가 될 수도 있지요. 참고하시기 바랍니다.
강사님 5분 23초 쯤에서 판서에 사용하신 프로그램 이름 알려주실수 있으신가요??
파워포인트 슬라이드 입니다. 슬라이드 한 장을 png로 저장 할 수도 있고 요소를 전부 선택한 후 MS화이트보드에 붙여 넣으면 자동으로 png가 됩니다. 참고하시기 바랍니다. :)
안녕하세요 선생님.
궁금한게 있어서 여쭤봅니다.
원격지에 있는 pc에서 브라우저에 url을 쳐서 회사에 있는 서버에 접속할텐데
URL을 DNS에 요청해 IP로 변경하는 과정을 거쳐야 되잖아요. 근데 그 URL에 매핑되어있는 IP는 Private IP일텐데 그걸 알 수 있나요??
DNS는 계층을 이뤄 동작하고 서로에 대한 정보는 다 알고 있으니까 내가 설정해놓은 DNS서버가 그걸 몰라도 다 알 수 있는걸로 생각하면 될까요??
URL이 Private IP랑 매핑됐다는 걸 생각해본적이 없어서 갑자기 궁금하네요.
음...영상으로 답을 드려야 할 내용을 보입니다. 잠시만 기다려주세요. 오늘 바로 올리겠습니다. ^^
@@nullnull_not_eq_null 헉..감사합니다!!ㅎㅎ
기대하겠습니다ㅎㅎ
영상으로 답변드립니다. 보시고 다른 질문이 생기면 답변영상에 다시 질문 올려주시기 바랍니다. 감사합니다. ^^
th-cam.com/video/2Jv2rVndRsA/w-d-xo.html
교수님. 강의 정말 잘 들었습니다. 회사가 해외조직망도 많이 가지고 있는데 해외 현지에서 접속하면 다른 웹사이트는 속도가 줄지 않는데 본사 싸이트만 접속하면 엄청 느립니다. VPN때문에 생기는 문제같은데 해결하려면 어떤 방향으로 고민을 해야할까요? 프로그램을 배우려는 사람은 아니구요. 평소에 지속적으로 어려움을 겪다보니 문의를 드리게 되었습니다.
음...트래픽을 수집해 분석해봐야 알 수 있습니다. '느리다'라는 것은 결론이며 원인은 매우 다양하기 때문입니다. 다만 매우 급격히 느린 반응이 나온다는 것은 VPN 세션에 문제가 있는 것이 아닌지 의심됩니다. 단편화가 늘상 발생하고 있거나 관련 네트워크 보안 장치가 문제가 있는 것일 수도 있겠습니다. 그리고 WAN 가속기가 사용되는 구간이 있는지도 한 번 확인해보실 것을 권합니다. 참고하시기 바랍니다.
음 왜 이해가 잘되죠?
일단은 이해한척....
VPN드라이버 생기는건 vmware랑 비슷하네요
감사합니다.
네, 맞습니다. VMware와 비슷한 구석이 있습니다!
asdf
vpn 진짜 웃기는 놈이네
그리고 신박하기도 하지요. ^^
1빠
빠른 클릭만큼 열공 하고 계신거죠??