Building Enterprise VPNs

Slides:



Advertisements
Similar presentations
IoT 환경에서의 네트워크 보안. 2 I.IoT(Internet of Things) 란 ? II.IoT 에서의 접근제어 III. 해결 과제 Agenda.
Advertisements

SSL (Secure Socket Layer) 중부대학교 정보보호학과 이병천 교수. 웹 보안 구현방법  네트워크 계층에서의 구현방법  특징  IP 계층에 보안 기능을 둠  IP Sec  응용계층의 모든 응용서비스에 보안성 제공  VPN(Virtual Private.
Linux Advanced Routing & Traffic Control HOWTO (1) 성 백 동
차세대네트워크보안기술 영산대학교 네트워크정보공학부 이원열.
멀티미디어 서비스를 위한 IP 네트워크 순천향대학교 정보기술공학부 이 상 정
개 요 목 차 소개……………………………………………………………………1p
새주소 안내시스템 구축방안 지오윈(주) 박 인 철
2012 년 2 학기 중부대학교 정보보호학과 이병천 교수.  공중망 (Public Network) ◦ 가격이 저렴 ◦ 네트워크를 공동으로 이용. 보안에 취약  사설망 (Private Network) ◦ 공중망보다 가격이 비쌈 ◦ 네트워크를 독립적으로 이용. 보안성이.
Nortelnetworks VPN & Firewall Contivity 1100.
금융 보안 정보통신대학원 양승화 양승화( ).
VPN 트래픽 분배(Traffic distribution) 대역폭 제어(QOS/Bandwidth Limiting)
Mobile IPv 여지민 송구득 박근홍 (수)
Data Communications 제4장 데이터통신의 기본 개념.
컴퓨터 네트워크 Chapter 5-2 컴퓨터 네트워크.
암호화 기술(SSL, IPSec) 손재성 권기읍 안복선 최준혁
암호화 기술(IPsec,SSL) 배문주 송정미 황유진.
IPsec 석진선.
ADSL 및 시스템 개요.
Windows CE 5.0 Networking Internals
Switching 기술 II(L4, L5, L7).
10장. 무선 LAN의 기본개념과 설정방법 2012년 2학기 중부대학교 정보보호학과 이병천 교수.
Dept. of Computer Engineering, Hannam Univ. Won Goo Lee
8-4. ATM 특 징 장 점 단 점 데이터를 53byte의 고정된 크기의 Cell단위로 전송.
Virtual Private Networks
Samsung Securities SECURITIES.
회사 소개서.
1장. 패킷트레이서 2012년 2학기 중부대학교 정보보호학과 이병천 교수.
Chapter 8 목차 8.1 네트워크 보안이란 무엇인가? 8.2 암호학의 원리 8.3 메시지 무결성 8.4 종단점 인증
PART 01 개념 컴퓨터 네트워크 Chapter 3 OSI 참조모델과 인터넷 임효택.
IPv 문은영 김은혜 류현미.
Internet 및 EC 관련 기술들.
4주 : 정보통신 네트워크 인터넷정보원 및 학술정보자원의 활용 담당교수 : 박 양 하 정보통신시스템 – 정보전송/처리시스템
Chapter 09. 암호를 이용한 전자상거래 : 상거래를 사이버 세계로 끌어들인 암호
Chapter 8 목차 8.1 네트워크 보안이란 무엇인가? 8.2 암호학의 원리 8.3 메시지 무결성 8.4 종단점 인증
Chapter 2 OSI 모델과 TCP/IP 프로토콜.
(Next Generation Internet Protocol)
Chapter 11 Unicast Routing Protocols.
1장. 패킷트레이서 2012년 2학기 중부대학교 정보보호학과 이병천 교수.
네트워크 기말고사 실습 과제 서승희 이도경.
Chapter 3 3 모바일인터넷 구성 기술.
제3장 인터넷과 정보통신.
Chapter 8 목차 8.1 네트워크 보안이란 무엇인가? 8.2 암호학의 원리 8.3 메시지 무결성 8.4 종단점 인증
Chapter 8 교환 (Switching).
IPSec (Internet Protocol Security protocol)
기업 시스템/네트웍 보안 종합 설계 방안.
침입탐지시스템과 정보보안 안
01. VPN의 개요 VPN(가상 사설 망)은 개인 네트워크를 확장한 네트워크로 인터넷 같은 공용 네트워크를 통한 연결을 지원
PART 01 개념 컴퓨터 네트워크 Chapter 3 OSI 참조모델과 인터넷 임효택.
목 차 PGP S/MIME. 전자우편 보안 Security 목 차 PGP S/MIME.
TCP/IP 통신망 특론 2장 Link Layer 컴퓨터 네트워크 실험실 이희규.
네트워크 보안 3 오 세 종.
IP(Internet Protocol)
Part 05 정보 보호 개론 NOS 보안 보안 프로토콜 및 암호와 네트워크 보안 및 정보 보호 제도.
IPv 이 동 주 HONGIK UNIVERSITY.
네트워크와 소켓 프로그래밍 Chapter 01. * 학습목표 TCP/IP 프로토콜의 동작 원리를 개관 소켓의 기본 개념을 이해
AP3 매뉴얼.
FireWall / VPN Solution
Data Communications 제2장 데이터통신의 기본 개념.
Chapter 4 네트워크 계층 소개.
10장. 무선 LAN의 기본개념과 설정방법 2012년 2학기 중부대학교 정보보호학과 이병천 교수.
네트워크 속에서의 정보보안 전 상 대.
Internet & WWW Protocols
김 형 진 전북대학교 IT응용시스템공학과 네트워크의 기본 Chapter 김 형 진 전북대학교 IT응용시스템공학과.
10장 OSI 7 Layer 강원도립대학교 정보통신개론.
ATM - 다양한 종류의 Service 가능 - LAN 과 WAN 에 모두 적합하다. - 전세계적으로 인정된 표준
Virtual Private Networks,
A Clean Slate 4D Approach to Network Control and Management
2001 OP Financial Highlight
IPv 이 동 주.
IP-in-IP Tunneling 기술 ETRI Technology Marketing Strategy
Presentation transcript:

Building Enterprise VPNs PSINet Korea Elca Ryu (Elca@kr.psi.net)

Agenda VPN Taxonomy VPN Protocols (Layer 2 / Layer 3) VPN Services Tunneling Protocols IPSec Protocol MPLS VPN

VPN Taxonomy VPNs DIAL DEDICATED Virtual Circuit VPN Aware Networks Client Initiated NAS IP Tunnel Virtual Circuit VPN Aware Networks Security Appliance Router FR ATM VPNs DIAL DEDICATED

VPN Services VPN의 3가지 고려사항 암호화 (Encryption) : Public Network을 통해 전송되는 데이터를 암호화 인증 (Authentication) : 지정된 사용자간의 Identity를 확인 무결성 (Integrity) : 데이터 전송 과정 중 변조/대치 되어서는 안됨 기타 확장성, 호환성, 관리성

DIAL = Remote Access VPNs Ci-VPN = Voluntary Tunneling Ni-VPN = Compulsory Tunneling

Tunneling Protocols Src/Dst 간의 연결에 있어서 Data Encryption을 통하여 전달되는 Data의 내용을 공중망 사용자들로부터 보호 하기 위한 기술 Layer 2 Protocol - MAC Layer에서 Tunnel을 형성하여 Data를 전달하는 Protocol (L2F, PPTP, L2TP) Layer 3 Protocol - IP Layer 에서 이루어지는 Tunneling Protocol로 오직 IP Protocol만 지원 (IPSec, AMTP, VTP)

Tunneling Protocols 특징 비교

L2TP Operations Corporate Intranet SP Network/ Internet 2. Tunnel to LNS (Home Gateway) 1. User Identification Mobile Users and Telecommuters POP Corporate Intranet LAC SP Network/ Internet LNS NAT 5. End-to-End Tunnel Established Security Server (RADIUS) 4. PPP Negotiation with User (IP Allocation) 3. User Authentication NAC (N2TP Access Concentrator) LNS (L2TP Network Server)

PPTP Operations Corporate Intranet SP Network/ Internet 2. PPP User Authentication (IP Allocation) 1. User Identification Mobile Users and Telecommuters 5. Tunnel to PNS (Home Gateway) Security Server (RADIUS) POP Corporate Intranet 3. PPTP Client S/W NAS PAC SP Network/ Internet 6. End-to-End Tunnel Established PNS NT Server NAT NAS (Network Access Server) PAC (PPTP Access Concentrator) PNS (PPTP Network Server) NAT (Network Access Translation) 4. PPTP User Authentication (IP Allocation)

IPSec Operations (PSINet Case) 2. PPP User Authentication (IP Allocation) 1. User Identification Mobile Users and Telecommuters 5. Tunnel to VSU (IPSec Function) Security Server (RADIUS) POP Corporate Intranet 3. IPSec Client S/W (VPNremote) NAS L/L VPNet VSU-1100 CyberGuard Firewall Intranet Server 6. End-to-End Tunnel Established SP Network/ Internet NAT 4. IPSec User Authentication (IP Allocation) VSU (VPNware Service Unit)

IPSec Operations (Function) VSU Configurations with CA VPN 구성 VPNmanager이외의 곳에서는 VSU를 Access 할 수 없음 PSINet Backbone VPN Network 이외의 Packet Access를 차단함 * VPN 고객중 타 ISPs와 이중으로 연결시 일부 Network Blocks Open Catalyst 203.235.126.254/24 203.235.126.110/24 CyberGuard Firewall VPNmanager Dial, L/L 203.235.124.254/24 3Com 100M Hub VPN 의 실제 처리를 담당 IP Tunnel의 종단 Encryption Authentication Integrity Hardware Compression VSU-1100 203.235.124.248, 250, 251 203.235.124.253/24 Log Server VPN Router (C7000) 203.235.124.249 203.235.124.252/24 VPN용 전용선 기존 전용선과 별도로 구성함 VPN Customers

DEDICATED = LAN-to-LAN VPNs ABC Corp. Branch ABC Corp. HQ Existing Access Router VSU-1200 Enterprise Applications Service Provider Network T1 T3 VSU-1010 Existing Access Router Internet XYZ Corp. VSU-10 VSUs Configuration VPNmanager IPSec Tunnel Existing Access Router SYSLOG Server

Generic Route Encapsulation (GRE) GRE Tunnel Generic Route Encapsulation (GRE) IP Network GRE Tunnel IP GRE Network Packet Transport Protocol Carrier Protocol Passenger Protocol

IPSec and SSL TCP/IP Network Protocol 자체가 보안에 대책이 없는 프로토콜이다! 각각의 Application System에 보안 프로토콜을 적용하느니 차라리 IP Layer에서 보안이 보장되면 문제는 해결! 그래서, IPSec Protocol이 등장 (IPv6 도 고려함) SSL (Secure Socket Layer; Layer 4)은 일반론적인 접근 시도 (Netscape사) IPSec이 IP Datagram 즉, 각각의 Packet을 암호화하는 데 집중했다면 SSL은 Session, 혹은 Channel을 암호화하는 방법을 채택 따라서, IPSec은 구현하기는 어렵지만 대부분의 응용시스템에 적용 가능하고 IP Broadcasting 같은 분야에도 적용 가능하지만 SSL은 연결된 Session만을 지원한다.

IPSec Protocols and Formats Headers Key Exchange Modes Encryption Authentication Header Encapsulating Security Payload ISAKMP/Oakley Diffie-Hellman SKIP Transport Tunnel DES, 3DES Integrity, authentication Adds confidentiality Negotiates security parameters Uses digital certificates Generates shared secret keys IP payload only, Layer 4 is obscured Both end systems need IPsec Entire datagram No changes to intermediate systems DES, RC4, IDEA ...

IPSec 기능 및 특징

MPLS VPN = QoS VPN Edge Routers IP Header 이외의 Label 을 LPS Tunnel 붙여서 Destination 까지 전달 LPS Tunnel CPE Routers CPE Routers MPLS Network Core Label Switching Router IP EBGP, RIP, OSPF LPS (Label Switched Path) : Full Meshed LDP (Label Distribution Protocol) - - - : MP-IBGP (Multiprotocol IBGP)