1 VPN 기술 및 보안 채 기 준
2 목 차 VPN 정의 및 등장 배경 VPN 특징 VPN 기술 및 구현방식 VPN 프로토콜 Key 관리 기법 국내외 VPN 시장 현황 Summary
3 VPN (Virtual Private Network) 이란 ? 공중망을 이용하여 사설망처럼 직접 운용 관리할 수 있는 것으로 컴퓨터 시스템과 프로토콜들의 집합으 로 구성 VPN 설치 전 VPN 설치 후
4 VPN 등장 배경 네트워크 확장 요구 증가 작업환경 변화 이동성 요구 인터넷 기술 발달 이동성과 확장성 제공 비용 감소 효과 인터넷 기술과 부합하는 새로운 기술 VPN 강력한 보안 요구
5 VPN 특징 (1/2) 특징 Internet 의 개방적이고 분산된 하부구조 사용 ISP 에 POP(Points of Presence) 으로 연결 전송되는 데이터에 Encryption, Authentication 등 보안기능 제공 장점 비용 절감 유연성 있는 운영과 관리의 수월성 확장성과 이동성 제공 안전성 보장 편리한 네트워크 구성 환경 제공
6 VPN 특징 (2/2) Tunneling The “ Virtual ” in VPN 사용자의 VPN 응용 프로그램으로부터 ISP 와 Internet infra 를 숨 기는 것 다양한 Security Services The “ Private ” in VPN VPN 상의 두 사용자간에 있는 tunnel 이 private link 인 것처럼 보 이게 하는 것
7 VPN 기술 터널링 기술 End-to-End 전용 회선 연결과 같은 효과 두 종단 사이에 가상적인 터널 형성하는 기술 암호화, 인증 기능 제공 각 네트워크 계층별로 터널링 프로토콜 존재 Key 관리 기술 VPN 서비스 위해 필요한 보안 사항들을 협상 키관리 프레임워크 ISAKMP/OAKLEY 를 이용 VPN 관리 기술 효과적이고 안정적으로 VPN 서비스 지원하는 기술 QoS 보장 지원
8 VPN 구현 방식 Remote Access(Dial-up) VPN 본사와 원격지 허가 받은 사용자간의 네트워킹 Client-to-LAN 방식 사용 사용이나 관리상의 용이성이 중요한 부분 Intranet VPN 본사와 지사간의 네트워킹 LAN-to-LAN 방식 사용 Extranet VPN 본사와 사업 파트너 또는 고객 등과의 네트워킹 보안 정책이 다른 subnet 들을 상호 연결 높은 보안 위험성 복잡한 구현 형성
9 VPN 구현 방식 CORPORATE INTRANET MAIN OFFICE INTRANET INTRANET
10 VPN 프로토콜 역할 Packet Encapsulation Tunnel 생성 및 관리 Cryptographic Key 관리 종류 Layer 2 프로토콜 Client-to-LAN VPN 을 관리하는 데 주로 사용 예 ) PPTP, L2F, L2TP Layer 3 프로토콜 LAN-to-LAN VPN 을 관리하는 데 주로 사용 예 ) IPSec Session Layer 프로토콜 응용 계층에서 필터링을 지원하는 데 주로 사용 예 ) SOCKS V5
11 VPN 프로토콜 Mobile Worker 기업 LAN 1 기업 LAN 2 인터넷 VPN 장비 LAN-to-LAN VPN Remote Access VPN VPN 장비
12 Layer2 Tunneling 방식 Voluntary Tunneling Client-initiated Tunneling Client 가 직접 Tunnel 서버와 Tunnel 형성 end-to-end Tunnel 클라이언트에 PPTP/L2TP 가 탑재되어 있어야 함 동시에 TCP/IP 를 이용하여 다른 Internet 호스트에 접근 가능 Compulsory Tunneling ISP-initiated Tunneling ISP Remote Access Switch 가 Client 대신 Tunnel 형성 ISP 가 VPN 제공하는 경우 주로 사용 말단 사용자에게 투명성 제공 초기연결 링크가 Tunnel 밖에서 일어나므로 attack 위험
13 Layer2 Tunneling 방식 인터넷 Voluntary Tunneling Server client1 client2 RAS 인터넷 server client2client1 Compulsory Tunneling
14 PPTP (Point-to-Point Tunneling Protocol) 2 계층 프로토콜 Microsoft 에서 제안 원격 사용자 인증 위해 PPP (Point-to-Point Protocol) 사용 원격 사용자와 Private Network 사이에 Secure Connectivity 제공 PPP 패킷 Encapsulation 을 위해 GRE (Generic Routing Encapsulation) 사용 다양한 프로토콜 지원 (IP, IPX,NetBEUI, … )
15 L2TP (Layer 2 Tunneling Protocol) 2 계층 프로토콜 PPTP(Microsoft) + L2F(Cisco) 하나의 Tunnel 안에 여러 Session 가능 같은 site 의 각 Tunnel 마다 QoS 매개변수 지정 가 능 IPSec 의 기능을 이용한 강력한 보안 제공 같은 스트림 이용해서 제어 메시지 & 데이터 메시 지 동시 전달 다양한 네트워크 형태 (IP, ATM, X.25, etc) 에서 사용 가 능
16 SOCKS V5 Session Layer proxy 프로토콜 SOCKS V4 의 확장 형태 Client Authentication, Encryption Negotiation, UDP Proxy 등 보안 기능 추가 응용 계층에서 필터링을 지원 SSL/TLS 결합 사용 가능 2,3 계층 Tunneling 프로토콜에 비해 뛰어난 액세스 제어 기능 제공 Extranet VPN 에 적합
17 IPSec (IP Security) 3 계층 프로토콜 IETF IPSec Working Group 에 의해 제안 IP 계층에서의 보안 프로토콜을 제공하기 위한 개방 구조 프레임워크 LAN-to-LAN & Client-to-LAN
18 IPSec 구성 요소 인증과 암호화 위한 헤더 AH (Authentication Header) ESP (Encapsulating Security Payload) 연결 관리와 정책 관리를 위한 데이터베이스 SPD(Security Policy Database) 보안 정책 데이터베이스 SAD(Security Association Database) 보안 연계 데이터베이스 Key 관리 메커니즘 IKE(ISAKMP/OAKLEY)
VPN 프로토콜 비교 PPTPL2TPIPSecSOCKS V5 표준화 MicrosoftRFC 2661RFC 2401~2410 RFC 1928,1929,1961 제공계층 (OSI)2 계층 3 계층 5 계층 모드 Client-Server Peer-to-PeerClient-Server 제공하는 프로토콜 IP,IPX, NetBEUI, etc IPTCP, UDP/IP 터널 서비스 Single PPP tunnel Per connection Multiple PPP tunnel Per connection Multiple PPP tunnel, Per SA Session-by-Session 사용자 인증 XXXO 데이터 인증 / 암 호화 X ( PPP 의해 제공 ) Packet 단위 제공 Message 단위 제공 키 관리 XXISAKMP/IKEGSS-API/SSL 엑세스 제어 XXPacket filteringPacket/content filtering, proxying 효율적인 VPN Remote access IntranetExtranet
20 AH(Authentication Header) IP 데이터그램에 제공하는 기능 인증, 무결성 인증 절차 MD5, SHA-1 등의 인증 알고리즘을 이용하여 키 값과 IP 패킷의 데이 터를 입력으로 한 인증 값을 계산하여 AH 의 인증 필드에 기록 수신자는 같은 키를 이용하여 인증 값을 검증 트랜스포트모드 vs. 터널모드 IP header AH IP payload Transport mode AH Authenticated except for mutable fields in ‘IP header’ New IP header AH IP header IP payload Tunnel mode AH Authenticated except for mutable fields in ‘New IP header’ IPSec ( 인증 )
21 ESP(Encapsulation Security Payload) IP 데이터그램에 제공하는 기능 선택적 인증, 무결성, 기밀성, 재연공격방지 부분적인 순서 무결성, 제한적인 트래픽 플로우 비밀성 적용방법 ESP 단독 ESP+AH 조합된 형태 ( 터널모드 사용 시 ) 보안 서비스 host vs. host host vs. 보안 gateway 보안 gateway vs. gateway IPSec ( 암호화 )
22 ESP(Encapsulation Security Payload) 터널 종단간에 협상된 키와 암호화 알고리즘으로 데이터 그램 암호화 트랜스포트모드 vs. 터널모드 ESP auth New IP header ESP header Authenticated Encrypted IP header IP payload ESP trailer Tunnel mode ESP IPSec ( 암호화 ) IP header ESP header IP payload Authenticated ESP trailer ESP auth Encrypted Transport mode ESP
23 말단 호스트 사이는 ESP 사용 IP header ESP header Payload ESP trailer ESP auth New IP header AH IP header ESP header Payload ESP trailer ESP auth IP header ESP header Payload ESP trailer ESP auth ESP applied packetAH Added 호스트 A 와 보안 게이트웨이 1 사이 보안 게이트웨이 사이 보안 게이트웨이 2 와 호스트 B 사이 AH 와 ESP 이용한 IPSec 보안 Authentication only Encryption & authentication 보안 게이트웨이 2 보안 게이트웨이 1 IPSEC 호스트 A 호스트 B 보안 게이트웨이 사이는 AH 사용
24 암호 알고리즘 PPTP MPPE(Microsoft Point-to-Point Encryption) 사용 RC4 사용 (40bits or 128bits) L2TP PPP 사용 가능하나 IPSec 을 선호 IPSec ESP 에서 DES 사용 여러 가지 알고리즘 중에서 선택적으로 사용 가능 고려사항 너무 자주 key 를 변경하는 것은 네트워크 효율에 영향 미친다.
25 Key 관리 기법 게이트웨이를 위한 key 관리 종 류 두 보안 게이트웨이 사이 Device 자체를 인증 Hard-wired key 가 포함되지 않은 경우 : random 하게 생성 보안 게이트웨이와 이동성을 지닌 사용자 사이 Interoperable PKI 동적 key 관리법 사용 (IKE) Key 를 자주 교환하고 많은 수의 사이트 있을 경우 적합 Session key 는 보안 게이트웨이나 key 관리 서버에 의해 random 하 게 생성
26 Key 관리 기법 사용자를 위한 key 관리 필요로 하는 모든 IPSec SA 파라미터를 생성하는 central 사이트를 설정 사용자에게 이것을 보내주는 메커니즘 제공 Remote VPN 사용자는 보안 게이트웨이를 통해 인증 을 받아야 함
27 ISAKMP (Internet Security Association & Key Management Protocol) SA 관리와 key 관리를 정의하기 위해 IETF 에서 제안 된 프레임워크 주요 내용 SA 의 설정, 협상, 변경, 삭제 위한 과정 패킷 포맷, Key 생성 인증된 데이터 교환을 위한 페이로드 IPSec 보안, 인증을 제공하기 위해 양쪽간에 사용할 암호 알고리 즘, key 등에 대한 합의 있어야 함 Key 교환 위한 필수사항 Manual key exchange Automated key exchange
28 Oakley ISAKMP 에서 사용하는 key 교환 메커니즘 Diffie-Hellman 프로토콜에 기반 양쪽이 가지고 있는 암호 알고리즘에 필요한 공유 키를 생 성하는 방법 네트워크 상에서 가능한 공격을 방지하기 위한 메커 니즘 첨가하여 설계됨 IPSec 위한 IETF 의 제안 ISAKMP 와 Oakley 결합하여 키 교환과 SA 협상 위한 프로 토콜인 IKE 프로토콜 사용을 제안
29 국내 VPN 시장 현황 1999 년 약 200 억원 시장 규모 형성 2000 년 500 억원 이상 규모 확장 예상 국내 ISP 및 주요 기업들이 VPN 서비스 시작 주로 대기업 및 유통회사를 대상으로 하고 있음 대부분 Remote Access VPN 위주의 서비스 제공 VPN 전용 하드웨어 위주로 시장 형성
30 한국통신 enTum ( 기업망 구성을 대행하는 서비스로 자체 사내망 구성과 인 터넷 그리고 원격접속 서비스 등 기업전산환경 구축을 위 한 모든 작업과 관리를 아웃소싱하는 토탈 솔루션
31 한국피에스아이넷 ( 구 ) 아이네트 회사 개명 ( 보안 서비스로 Managed VPN 서비스 제공 VPN 전용장비 (VPNet ’ s VSU) 를 이용하여 Remote 및 LAN-to-LAN VPN 서비스 제공 Remote VPN 가입자 관리 및 네트워크 관리는 본 사에서 수행 서비스 제공 업체 제일제당, 두산그룹
32 데이콤 천리안 을 통해 ‘ CPN( 천리안 가상 사설망 ) ’ VPN 서비스 제공 별도의 장비 필요 없이 전화선 이용 기존 라우터에 L2TP/L2F 적용 모뎀이 설치된 PC 가 있으면 가입 즉시 어디서나 사 용이 가능 각지의 네트워크 사용자를 본사에서 직접 관리 가능 CISCO 와 전략적 제휴를 통해 서비스 관리 시스템 개발 중 서비스 제공 예정 업체 데코, 이랜드, 포스코, LG-IBM
33 기타 ISP 업체들 SK 텔레콤 망을 통한 Dial-up 사용자 중심의 VPN 서비스 제공 삼성 SDS ‘ 유니웨이 인터넷 VPN ’ 통해 삼성 -GE 의료기기, ㈜새한 등에 서 비스 제공 현대정보기술 신비로 현대그룹 중심으로 인터넷 VPN 서비스
34 기타 장비 업체들 노텔 Contivity Access 대기업 위주의 상품 LG 인터넷, 아시아나항공, 경동보일러, 한국통신, etc Baystack Instant Internet 중소기업을 공략하기 위한 저렴한 VPN 솔루션 제품 한국 쓰리콤 ( 코리아링크 ) NetBuilder 보험회사 중심 TimeStep Permit Gate 4520 삼성항공 퓨처시스템 SecurewaySuite : End-to-end 통합 보안 솔루션 제품
35 해외 VPN 시장 현황 해외 ISP 들은 사설 IP 망을 이용하여 Managed IP VPN 서비스 제공 대부분의 ISP 들이 Remote 및 LAN-to-LAN VPN 서비스 제공 ISP 의 VPN 서비스를 가입해서 주로 사용하는 형 태가 일반화
36 해외 기업들의 VPN 적용 현황 Fortune 1000 companies are expected to adopt VPNs
37 해외 기업들의 VPN 적용 현황 Outsourced network management services : U.S. market
38 VPN 전용 하드웨어 제품 매출 1999 년 1/4 분기 3.7 million(1998 년 4/4 분기 비해 2 배 증가 ) 1999 년 4/4 분기 160 million 예상 라우터 기반 VPN 제품 매출 1999 년 1/4 분기 443 million 1999 년 4/4 분기 697 million 예상 해외 VPN 시장 현황 (1999 년 )
39 해외 VPN 시장 동향 VPN 장비와 서비스 시장 규모 (by 1999 년 2.67 billion 시장 규모 2000 년에는 1999 년보다 70% 확대 예상 2001 년에는 2000 년보다 145% 확대 예상 2002 년에는 2001 년보다 81% 확대 예상
VPN 제품 동향 장 점단 점 Firewall related S/W VPNs Tunnel terminator 가 firewall 내에 있어서 안전 보장 서버의 H/W 업그레이드로 성능 향상 데이터 암호화 : CPU intensive operation firewall 성능 저하 최상의 통합 VPN-firewall 제품 생산이 어려움 Router & Switch VPNs VPN 통합하는데 저렴한 추가비용 간단한 VPN 관리 Traffic 전송 성능 저하 Standalone S/W VPNs 서버의 H/W 업그레이드로 성능 향상 기존 H/W 사용 가능 VPN 관리를 위해 별도의 S/W 필요 H/W based VPNs 다기능 box : 구성과 유지가 쉬움 단기능 box : 최상의 성능 지원 다기능 box : 성능 저하 단기능 box : 별도의 관리 도구 및 디렉토리 필요, 업그레이드 어려움
41 해외 제품 분석 (1/2) Product (corporation) Elron Software (Elron Software Inc) Gauntlet VPN 5.5 (NAI · PGP) SafeNet/Soft-PK (IRE) NetHawk (Cylink) Implementation method Firewall related VPN Standalone S/W VPN H/W based VPN Tunneling Protocol IPSec IPSec(ESP/AH) Protocol Supported IP/IPXDHCPSCEP, XAUTH, FIPS PUB 140-1, IPComp IEEE802.3 Ethernet IPSec EncryptionDES, Triple-DES, Blowfish, CAST DES, DES and CAST DES, Triple-DES IPSec DES, Triple-DES, MD5, SHA-1, FIPS PUB 46-1 / 46-3 AuthenticationMD5, SHA-1PKCS 10 standards PKCS 7, 10, 12 Key management IKE IKE, Diffie- Hellman, X.509v3 IKE, Manual
42 해외 제품 분석 (2/2) Product (corporation) SAFEPIPE (Eicon Networks) VPCom (Ashley Laurent Inc) VPN-1 Appliance (Check Point software) VPNWare (VPNet) Implementation method Integrated H/W Product H/W based VPN Tunneling Protocol IPSec (ESP)IPSec (ESP, AH)IPSecIPSec (ESP, AH) Protocol Supported IP, RIP, OSPFIP, DHCP, L2TP/PPTP RIPv1, RIPv2,OSPFv2 RIPv1, RIPv2 EncryptionTriple-DES-DES, Triple-DES AuthenticationUser: RADIUS Data: MD5, SHA-1 User: RADIUS, LDAP User: RADIUS, Digital Certification Data: CBC-DES- MAC, MD5, SHA-1 User: RADIUS, LDAP, X.509v3 Data:MD4,SHA-1 Key management IKE (ISAKMP /Oakley) Diffie-Hellman IKE (ISAKMP/ Oakley) IKE, FWZ, SKIPIKE, SKIP
43 국내 제품 분석 (1/2) Product (corporation) Secuway Suite2000 ( 퓨처시스템 ) SecureWorks VPN ( 어울림정보기술㈜ ) SecuiVPN100 (secui.com) Implementation method H/W based VPN (Firewall, IDS, Policy) H/W based VPN ( 기본 Firewall 기능 ) Tunneling Protocol IPSec IPsec(ESP, AH) Protocol Supported FTP, SMTP, HTTP, NNTP, IEEE Ethernet, TCP/IP TCP/IP, IEEE Ethernet IPv4 EncryptionSEED, DES, Triple- DES, RC5, CAST 128, Blowfish, Crypton DES, Triple-DES, CAST, AES, Twofish, SEED, HAS160, KCDSA DES, Triple-DES, BLF, CAST, SEED AuthenticationMD5, SHA-1MD5, SHA-1, PKCS 10MD5, SHA-1 Key management IKEIKE(ISAKMP/Oakley)IKE
44 국내 제품 분석 (2/2) Product (corporation) CyzenSOS-B1000 System (( 주 ) 사이젠텍 ) XecureVPN Gateway 3000 Series (( 주 ) 시큐어넥서스 ) SUHOSHIN ( 시큐어소프트㈜ ) Implementation method Firewall related VPN (N/W 통합 보안 장비 ) Hardware based VPNFirewall related VPN Tunneling Protocol IPSec Protocol Supported IEEE / ANSI 802.3IP EncryptionDES, Triple-DES, SEEDDES, Triple-DES, RSA, MD5, SHA1, SEED, Rijndael(AES), ECC HASP, SEED, DES, Triple-DES, RC2, RC4, Blowfish AuthenticationMD5, RSAPSK/RSAMD5 Key management IKEDiffie-Hellman IKE(ISAKMP/Oakley) IKE(RFC2409) RSA
45 Summary Standalone S/W VPNs H/W based VPNs Remote Access VPNs Firewall related S/W VPNs Router & Switch VPNs Extranet VPNsIntranet VPNs PPTP, L2TP, IPSec, SOCKS v5 비용 절감, 관리의 수월성, 안전성을 제공하는 VPN 암호화, 인증, 키관리
46 Summary VPN 기술 발전 동향 통합 보안 장비에 VPN 장착 (VPN, Firewall, Router, IDS 등의 기능 통합 ) Hardware 구현 등을 통한 성능 향상 (Silicon-level encryption/decryption 등 ) 표준에 기반한 제품 구현 – 상호운용성 제공 (IPSec, IPSRA, IPSP … ) 정책 기반의 보안 및 관리