반응형
PPP (Point-to-Point Protocol)
- WAN에서 가장 일반적이고 가장 괜찮은 Encapsulation(캡슐화) 방식
- ISDN 방식, 모뎀 접속에서는 거의 대부분 PPP로 구현
- 같은 CISCO 장비로 시리얼을 구성할 때는 주로 HDLC를 사용하지만 타사 장비 대 CISCO 장비를 시리얼로 구성할 때는 PPP를 이용한다.
- 강력한 보안 기능과 여러 가지 네트워크 계층 프로토콜을 한꺼번에 지원한다.
- 표준 프로토콜이다.
NCP와 LCP
- NCP (Network Control Protocol)
- IP, IPX, Apple Talk 등 멀티 프로토콜 지원
- LCP (Link Control Protocol)
- 링크 접속에서의 보안, 에러 체크, 압축 기능 및 멀티 링크 PPP와 같은 다양한 접속 옵션 제공
*멀티 링크 PPP : 여러 개의 PPP 링크로 로드 밸런싱(Load-Balancing)하는 개념
PPP의 세션 구축 단계
ㅁ 1단계 : 데이터링크 계층의 세션 구축
ㅁ 2단계 : 보안 인증 단계 (옵션 단계)
ㅁ 3단계 : 네트워크 계층 세션 구축
PPP의 대표적인 보안 인증 방법
PAP (PPP Authentication Protocol, Password Authentication Protocol)
<PAP의 2way Handshake>
- Busan 라우터가 Seoul 라우터에 접속 요청. 이 때, 자신의 Hostname과 Password도 함께 보낸다.
- Seoul 라우터는 Busan 라우터에게 받은 Hostname과 Password를 자기 것과 비교한다. 일치할 경우 접속 허가
→ 위 예제에서는 Hostname과 Password가 일치 하므로 접속 허가(Accept)
- PAP에서 접속을 원하는 라우터는 자신의 Hostname/Password를 상대방 라우터에 보내고, 이를 받은 상배당 라우터는 받은 Hostname/Password를 자신의 것과 비교하여 같으면 접속 허가를, 틀리면 접속을 거부한다.
- 간단하다.
- But, Hostname/Password가 암호화되지 않은 채(Clear Text)로 이동하기 때문에 해킹에 취약하다.
- 때문에 CHAP를 더 많이 사용한다.
CHAP (Challenge Handshake Authentication Protocol)
*Challenge 값 : 암호를 만들기 위한 코드 값
<CHAP의 3way Handshake>
- Busan 라우터의 접속 시도 시, Seoul 라우터는 Challenge를 보낸다.
- Busan 라우터는 받은 Challenge 값으로 자신의 Password를 해싱(Hashing)한다.
- Busan 라우터는 해싱한 값을 보내고 Seoul 라우터는 받은 해싱 값과 자신의 Password를 해싱한 값이 일치하는지 확인하고 일치하면 접속 허가, 틀리면 통신을 끊는다.
*Hashing : 기존의 데이터를 어떤 코드 값을 이용해서 완전히 변형시켜 절대 원본 데이터로 돌아갈 수 없게 만드는 것이다.
- CHAP는 중간에 해킹을 해도 알 수 없는 값들이라 보안에 강하다.
반응형
