HDLC보다 괜찮은 PPP

라우터의 시리얼 라인에서 주로 사용하는 HDLC에 대해서 간단히 알아보자.

PPP는 여러 가지 프로토콜을 통합해서 인캡슐레이션하는 기능, 다양한 보안 기능이 있어 HDLC보다 효과적이다. 특히 시스코 라우터 시리얼 라인에서 이폴트로 사용하는 HDLC는 시스코만의 방식으로 표준 HDLC 프로토콜이 아니다.

 

router(config)#interface serial 1/0

router(config-if)#encapsulation ?

frame-relay

hdlc

lapb

ppp

smds

x25

 

router(config-if)encapsulation hdlc //시리얼 경우 해주지 않아도 디폴트는 HDLC

 

PPP(point-to-point) 프로토콜은 WAN에서 가장 일반적인, 그리고 가장 괜찮은 인캡슐레이션 방식이다. ISDN 방식에서나 모뎀 접속에서는 거의 대부분의 접속을 PPP를 이용해서 구현하게 된다.

PPP가 강력한 보안을 지원하고 있는 이유는 안에 살고있는 NCP와 LCP 때문이다.

NCP는 IP, IPX, Appletalk 등 멀티프로토콜 지원을 책임지고, LCP는 링크접속에서의 보안, 에러체크, 암축기능 및 멀티링크 PPP와 같은 다양한 접속 옵션을 제공한다.

 

PAP와 CHAP는 PPP의 대표적인 보안인증 방법이다.

부산의 라우터에 접속 요청시 자기의 Host Name과 패스워드를 서울 라우터에 보내게 된다. 그럼 서울 라우터는 지금 부산 라우터로 부터 받은 Host Name과 Password를 자신이 갖고 있는 것과 비교한다. 같을경우 허가해 주는 방식이 이 PAP방식이다.

 

그림에서 보이는대로 통신이 2번 일어나므로 '2 way handshake 방식 인증'이러고도 한다.

그대로 호스트 이름과 암호가 네트워크를 타기 떄문에 중간에서 해킹에 노출될 가능성이 있다. 이런 경우 '호스트 이름과 암호가 Clear Text로 이동한다.'라고 한다. 이 약점 때문에 PAP보다 CHAP을 더 많이 사용한다.

 

CHAP는 PAP와 비교했을 때 2가지 특징이 있다.

1. PAP처럼 중간에 해킹을 할 수 없게 만들었다는 것
2. 3-Way Handshake 방식이라는 것.

 

 

먼저 부산 라우터가 접속을 시도하면 서울 라우터는 challenge를 보낸다. 챌린지를 보내는 것은 이 코드 값을 이용해서 다음에 답을 보내라는 뜻. 그러고 부산 라우터는 수신한 챌린지 값을 가지고 자신의 패스워드를 암호화하게 된다(Hashing). 원본 값을 다시 되돌아가지 못하게 만든다. 이것이 서울라우터에 오게 되면 자신의 것도 해싱하여 값을 비교해 서로 같으면 인증을 통과시키는 방식이다.