[Network Basic] VPN

1. VPN(Virtual Private Network)  

공중망을 이용하여 사설망처럼 직접 운용 관리 할 수 있는 것으로 컴퓨터 시스템과 프로토콜들의 집합으로 구성 

  

1) 도입 목적 

• 경제적, 안정적인 통신망 운영 / 국내외 접속자 지원 
• 운영, 유지비용의 절감 / 내부 네트워크 보안성(안정성) 증대 

  

2) VPN 장점 

• 비용 절감 
• 확장성과 이동성 제공 
• 보안 : 터널링과 암호화 기능을 이용하여 완벽한 보안 제공 
• Management 용이 : 중앙에서의 원활한 management  
• Remote Access 가능 : 전용 software 이용으로 언제, 어느 장소에서든 본사네트워크에 접속 가능 

  

3) VPN 단점 

VPN(터널모드)이 헤더와 페이로드 데이터를 암호화하는 방법이 기존의 암호화 기기들과는 공존하기 힘들기 때문.

예를 들면 네트워크 방화벽은 네트워크에 네트워크에 패킷이 들어오기 전에 패킷을 검토한다. VPN은 패킷 데이터를 숨기기 때문에 방화벽은 이 데이터를 유해한 것으로 간주하고 암호화된 데이터를 거부한다.   

비슷하게, 많은 네트워크에서 사용하는 NAT(Network address translation)기능도 VPN 운영에 방해가 된다. 인터넷에 존재하는 IP 주소의 중복을 피하기 위해 사용되기 때문에 NAT는 원래 LAN 상에서 PC의 IP주소를 가지고 있다가 인터넷으로 패킷을 보내기 전에 공개 주소로 전환한다.   

이러한 변환은 클라이언트 시스템의 IP 주소를 감춤으로써 해커의 공격을 피할 수 있다는 장점이 있다. 그러나, 그러한 변환이 패킷이 암호화된 다음에 이루어지면 수신 측 VPN 스테이션은 변화를 감지하고 패킷을 거부한다. 그 결과 네트워크 연결이 끊어지게 된다. 

  

  

VPN 기술	VPN 구현방식
Key 관리기술     - VPN 서비스를 위해 필요한 보안사항들을 협상     - 키 관리 프레임워크     - ISAKMP를 이용       터널링 기술     - End-to-End 전용회선 연결과 같은 효과     - 두 종단 사이에 가상적인 터널 형성하는 기술     - 암호화, 인증기능제공     - 각 네트워크 계층별로 터널링 프로토콜 존재       VPN 관리기술     - 효과적이고 안정적으로 VPN 서비스를 지원하는 기술     - QoS 보장 지원	Remote Access(Dial-up) VPN     - 본사와 원격지간 허가 받은 사용자간의 네트워킹     - LAN -To -Client (B to C) 방식사용     - 사용이나 관리상의 용이성이 중요한 부분       Intranet VPN     - 본사와 지사간의 네트워킹     - LAN –To -LAN (B to B) 방식사용       Extranet VPN     - 본사와 사업 파트너 또는 고객 등과의 네트워킹     - 보안정책이 다른 subnet들을 상호 연결     - 높은 보안 위험성 -> 복잡한 구현 형성

  

  

VPN diagram

 

3) VPN의 기본 요건 

  

(1) 사용자 인증 

사용자의 신원을 확인하여 권한이 있는 사용자에게만 VPN 액세스를 허용해야 하며, 누가 어떤 정보에 언제 액세스 했는지 알 수 있는 감사 및 사용 명세 기록을 제공해야 한다. 

  

(2) 주소 관리 

클라이언트의 주소를 비공개 망상에서 부여함으로써 주소의 비공개성이 보호되도록 해야 한다. 

  

(3) 데이터 암호화 

공중 네트워크를 통과하는 데이터는 네트워크상의 권한 없는 클라이언트가 읽을 수 없도록 암호화를 통하여 변환되어야 한다. 

  

(4) 키 관리 

클라이언트와 서버가 사용할 암호화 키를 생성하고 갱신하는 등의 관리를 해야 한다. 

  

(5) 복수 프로토콜 지원 

IP, IPX 등과 같이 공중 네트워크에서 일반적으로 사용되는 프로토콜을 모두 처리할 수 있어야 한다. 

  

4) VPN 장비의 종류 

  

(1) 방화벽 기반 VPN 

VPN기능을 방화벽에 추가 기능으로 구현하는 방법으로 다양한 보안 정책이 가능하며 기존 방화벽의 보안 정책과 연동하여 보안 설정 또한 가능하다. 그러나 방화벽에 병목 현상이 발생할 가능성이 있다. 이 방식은 VPN의 물리적 형태 구성 중 Gateway to Gateway 방식으로 동작하며 양단간에 동일한 방화벽이 설치되어야 한다. 

  

(2) 라우터 기반 VPN 

라우터의 부가 기능으로 VPN을 구현하며 주로 회사 제품등에서 제공한다. 전송 경로상에 있는 라우터와 액세스 서버에서 VPN이 지원되는 라우터로서 전적으로 라우터 성능에 의존하므로 보안 기능에 제한이 따를 수 있으며 전송 경로상의 라우터는 기업에서 통제가 불가능할 경우가 있을수 있으므로 보안의 허점이 생길수 있다. 

  

(3) 전용 VPN 

VPN을 지원하는 전용 하드웨어에 구현하며 주로 벤더 등에게 제공한다. VPN 전용 기기를 사용하므로 대역폭의 증가 또는 고속의 통신이 필요할 경우 적합하며 가상 사설망을 쉽게 확장할 수 있다는 장점이 있다. 하지만 보안으로 전담하는 장비이므로 고가이다.