16. VPN(가상사설망)
정보보호 개론
목포해양대 해양컴퓨터공학과 1
가상 사설망(VPN) (1)
공중망을 사설망처럼 이용할 수 있도록 사이트 양단 간 암호화통신을 지원하는 장치
원격사용자가 공중망 및 인터넷을 통해 내부망의 시스템 사용 시, 공중망 구간에서의 도청으로 인한 정보유출을 방지하기 위해
사용자와 내부망간 암호화 통신을 지원
가상 사설망의 장점
저비용으로 광범위한 사설 네트워크의 구성이 가능
기업 네트워크 관리 및 운영비용이 절감 됨
재택근무자 등 개별 사용자 지원 및 무선 이동 환경의 사용자 지원, 기업 네트워크의 유동성 지원이 가능
가상 사설망의 단점
인터넷 상황에 따라 네트워크 성능이 종속적
전용선보다는 신뢰성 및 보안성 수준이 낮음
서비스에 문제가 발생하면 책임소재가 불분명 함
가상 사설망(VPN) (2)
가상 사설망(VPN) (3)
가상 사설망의 특징
최근까지 전국적으로 인터넷 백본(backbone)이 구축
가정까지 인터넷이 보급
인터넷을 활용한 저비용의 가상 사설망을 설치해야 할 필요성이 제기 됨
가상 사설망을 통한 전용망 구축
인터넷 활용에 따른 비용 절감
이동 사용자를 위해 무선 환경을 지원
재택근무자에게도 클라이언트 소프트웨어를 통해
사설망에 접속할 수 있게 하는 등의 확장성을 제공
가상 사설망(VPN) (4)
가상 사설망의 구성 요소
가상사설망 구축 모델
장비 내용 형태
VPN 어플라이언스 VPN 전용 하드웨어 장비 H/W
VPN 지원 라우터 VPN 기능을 지원하는 라우터 H/W
VPN 지원 침입차
단 시스템 VPN 기능을 지원하는 침입차단
시스템 H/W
VPN 클라이언트 VPN 전용 클라이언트
노트북, PDA 등의 이동형 장비 와의 호환성이 중요
S/W
인터넷 보안 프로
토콜 VPN 장비에 설치되는 보안
프로토콜이며, 암호화, 사용자 인증, 키관리, 무결성 검사 기능 제공
S/W
가상 사설망(VPN) (5)
가상 사설망의 기능
암호화 기능
일반적으로 대칭키 암호 알고리즘이 사용
자주 사용되는 대칭키 암호 알고리즘
DES(Data Encryption Standard)
3DES(Triple Data Encryption Standard)
IDEA(International Data Encryption Algorithm)
국내 표준 기술인 SEED(128-bit Symmetric Block Cypher)
사용자 인증 기능
사용자들 간 안전한 통신을 위하여 사용자 인증 기능을 제공
사용자 인증 방식
패스워드 기반 인증 기술
대칭키(symmetric key) 기반 인증 기술
공개키(public key) 기반 인증 기술
무결성 기능
가상 사설망의 사용자간에 교환되는 데이터의 위·변조 여부를 검증하는 매커니즘으로 전자서명(digital signature) 기술이 적용 됨
가상 사설망(VPN) (6)
가상 사설망의 기능 ( 계속 )
터널링 기능
사설망의 프로토콜이 독립적인 세션을 구성하여 다른 사용자로부터 가상 사설망 사용자를 보호하는 메커니즘
터널링 기능을 제공하는 터널링 프로토콜들
주로 OSI 모델의 2계층과 3계층에서 동작
2계층에서 동작하는 프로토콜
시스코시스템스(Cisco Systems)의 L2F (Layer 2 Forwarding Protocol)
마이크로소프트(Microsoft)의 PPTP(Point to Point Tunneling Protocol)
IETF 표준인 L2TP(Layer 2 Tunneling Protocol)
3계층에서 동작 하는 프로토콜
IETF 표준인 IPSec(IP Security Protocol)
베이 네트워크(Bay Networks)의 VTP(Virtual Tunneling Protocol)
터널링 (1)
L2TP(Layer 2 Tunneling Protocol) 터널링
데이터 링크 계층에서 터널링을 지원하는 프로토콜
PPTP의 기능과 L2F의 기능을 결합한 프로토콜
데이터링크 계층인 2계층의 PPP(Point-to-Point Protocol)
트래픽에 대한 캡슐화(encapsulation)를 통해 가상 사설망의 종단점들간에 터널을 생성, 관리, 소멸시켜주는 기능을 제공
L2TP의 캡슐화 과정
터널링 (2)
L2TP(Layer 2 Tunneling Protocol) 터널링 (계속)
2계층의 터널링
터널링 주체에 따라 자발적인(voluntary) 터널링과 강제적인(compulsory) 터널링으로 구분
자발적인 터널링
클라이언트가 직접 터널을 형성시키는 경우
강제적 터널링
ISP(Internet Service Provider)가 터널을 형성시키는 경우
L2TP 터널링 구조
터널링 (3)
IPSec(IP Security Protocol) 터널링
IPSec의 터널링 기능
OSI 모델의 세 번째 계층인 네트워크(network) 계층에서 터널링을
지원
인증, 무결성 등을 지원하는 AH(Authentication Header)와 기밀성, 무결성, 인증 등을 지원하는 ESP(Encapsulating Security Payload)의 캡슐화 기능을 이용하여 터널링 기능도 제공
전송(transport) 모드와 터널(tunnel) 모드로 구분
전송 모드
가상 사설망 상의 클라이언트가 위치하는 종단간 터널이 수립되는 방식
터널 모드
VPN 방화벽들, VPN 게이트웨이 및 라우터들 사이에 터널이 수립되는
방식
터널링 (4)
IPSec(IP Security
Protocol) 터널링 (계속)
IPSec의 터널링 구조
IPSec의 캡슐화 과정
터널링 (5)
터널링 프로토콜 요약
가상 사설망의 분류 (1)
접속 범위
가상 사설망의 구축되어
사용되는 네트워크상의 범위에 따른 분류
이용 회선
가상 사설망의 구축에 사용된 물리적인 매체에 따른 분류
서비스 제공 방식
가상 사설망에 접속하는 방법에 따른 분류
가상사설망의 구현 방법
가상 사설망 구축에 사용된
네트워크 접속 장비 및 시스템에
따른 분류
가상 사설망의 분류 (2)
내부 네트워크(Intranet) 방식
본사와 지사간을 연결한 가상 사설망
LAN-to-LAN 연결 방식으로 반영구적
VPN 라우터나 VPN 침입차단 시스템을 통해 구현
내부 사용자에 의한 정보 유출을 막기 위해서는 사용자 인증기능이 강화되어야 하며, 더욱 정교한 접근통제(access control) 정책이 요구 됨
원격 접근(Remote access) 방식
본사와 원격지의 허가를 받은 사용자간을 연결한 가상사설망
Mobile-to-LAN 연결 방식
이동 사용자는 유·무선 전화망과 인터넷을 통해 회사 내부 네트워크 접근
이동 사용자의 노트북 등에 VPN 클라이언트 소프트웨어가 설치되야 함
이동 사용자는 쉽고 편리하게 가상 사설망에 접속할 수 있어야 함
회사는 효율적으로 관리
신원 도용과 도청을 방지하기 위하여 사용자 인증과 암호화 기능의 강화가 요구 됨
