Virtual Private Networks 위의석 (eswi@nuri.net)
알게 될 내용 VPN의 생성 동기 VPN의 동작 원리 및 서비스 환경 VPN 서비스 형태 VPN이 도대체 뭔지 어떤 서비스를 어떻게 제공해야 하는 것인지
VPN: Virtual Private Network 허사장님의 정의 회사나 조직내 통신망을 공중망으로 구축하여 비용 및 관리의 효율을 얻으면서, 사설망처럼 보안성을 보장받을 수 있도록 하는 통신망 구축 기술 위부장님의 정의 ISP가 제공하는 인터넷 망을 이용하여 회사나 조직 내부 목적의 망을 꾸미면서도 사설 망을 가진 것과 같은 보안의 효과를 얻을 수 있는 통신망 구축 기술
A社의 현재 상황 대기업 A社는 인터넷/인트라넷을 잘 쓰고 있다. 그런데, 그러면서도, 직원들의 외근이 많거나 출장이 잦고, 지사나 대리점이 지역적으로 멀리 떨어져 있다. 그러면서도, 보안이 매우 중요하고 밖에서도 인터넷/인트라넷을 잘 쓰고 싶다.
A社의 현재 상황-계속 그러나, 우리가 직접 사서 관리하는 전용선에 터미널 서버는 싫다. 돈이 없고 관리하기가 싫으니까..
A社의 이상적 - 사설망 광주 출장 부산 인트라넷 서버 서울 본사 미국 인증 서버 T1 전화접속
보통 방안 - A社의 네트워크 인터넷 서울 본사 아이네트 백본 부산 광주 미국 출장 T1 T3 전화접속 아이네트 지방 POP 아이네트 백본 인트라넷 서버 서울 본사 인터넷 미국 인증 서버 T1 전화접속 T3 아이네트 지방 POP
A社 네트워크 분석 운영 방식 문제점 아이네트의 백본을 사용하므로 유지비가 적다. 외부 사원은 아이네트의 iDial을 사용하면 된다. 네트워크 보안은 Firewall에 의존한다. 문제점 iDial을 사용하는 사용자를 위하여 Firewall의 일부를 열어 두어야 한다. 사설망이어야 하는데 공중망에 Open되어 있으므로 인터넷 어디선가 Packet을 훔쳐볼 수 있다.
VPN이 제공하는 기능 Security Encryption Multi-Protocol CoS, QoS, CIR Firewall 보다 확실한 보안을 제공 Encryption Packet을 암호화하여 통신하도록 한다. Multi-Protocol IP 패킷이 아니더라도 인터넷을 통하게 할 수 있다. CoS, QoS, CIR 비용이 싸고 관리가 수월하며
A社의 VPN 서울 본사 부산 아이네트 백본 광주 미국 대전 T1 Secure VPN Tunnel T1 T1 T3 T1 인트라넷 서버 서울 본사 인증 서버 아이네트 백본 T1 Secure VPN Tunnel 부산 T1 광주 T1 T3 T1 대전 미국
VPN의 원리 내부 네트워크로 전송될 모든 패킷을 VPN 패킷으로 Encapsulate함. 패킷 내용은 모두 암호화 IP 패킷 통째로 Encapsulate되어 제 3의 형식을 가지는 IP 패킷으로 변환. (GRE 패킷) 도중에 꺼내보기가 매우 어려움. 꺼내어 보더라도 암호화되어 내용을 알 수 없음
VPN 방식의 종류 Indirect Tunneling Protocols Direct Tunneling ATMP, PPTP, L2F, L2TP, VTP Direct Tunneling Frame Relay Direct, IP Direct 아이네트가 시험중인 VPNet의 경우는 Indirect Tunneling에 가까움.
VPN 프로토콜 분류 Layer 3 Layer 2 ATMP: Ascend Tunnel Management Protocol VTP: Virtual Tunneling Protocol (Bay, 3Com) Layer 2 PPTP: Point to Point Tunneling Protocol(MS) L2F: Layer 2 Forwarding (Cisco) L2TP: Layer 2 Tunneling Protocol(IETF)
VPN 동작 방식 - ATMP의 예 Ascend Communications, Inc.에서 설계 Terminal Server 에서 Dial-up 사용자를 위하여 설계. (Dial-up VPN) 현재 Tunneling Protocol의 표준이 없으나, ATMP는 설계가 잘 된 경우로 평가 받음. Ascend Terminal Server에서만 동작하므로 실제 서비스 적용성이 많지 않음.
ATMP 용어 정의 Home Target or Forwarding Location Foreign (Remote Side) GRE Tunnel
ATMP: 초기 접속 사용자 전화 접속 아이네트 01438 Ascend 터미널 서버 기관 가입자 라우터 인증 서버
ATMP: 사용자 인증 사용자 전화 접속 아이네트 01438 Ascend 터미널 서버 기관 가입자 라우터 인증 서버
ATMP: Tunnel 생성 요구 사용자 전화 접속 아이네트 01438 Ascend 터미널 서버 기관 가입자 라우터 인증 서버
ATMP: Tunnel 생성 사용자 전화 접속 아이네트 01438 Ascend 터미널 서버 기관 가입자 라우터
Foreign ---> Home Password ATMP 접속 완료 형태 사용자 전화 접속 아이네트 01438 Ascend 터미널 서버 기관 가입자 라우터 HomeNet GRE Tunnel •Requests Tunnel •Encapsulates Pkts in GRE •Establishes Tunnel •Extablished Tunnel ID •Strips Packets out of GRE Tunnel Foreign ---> Home Password Encrypted via MD5 Hash
ATMP 정리 장점 단점 사용자 PC에 일체의 수정이나 소프트웨어 불필요 ISP에서 모든 관리 가입 기관은 별도 장비 및 관리 불필요 단점 가입자/아이네트가 Ascend 제품을 써야 함. 인터넷 접속시에도 기관을 일단 거쳐야 함. Packet에 대한 암호화 지원이 안됨. Roaming 서비스에 대비가 어려움.
VPNet Solution 아이네트가 현재 고려하고 있는 방식 VPNet Technologies, Inc.의 제품 기존 환경에 쉽게 적용할 수 있도록 별도 장비와 별도 소프트웨어로 솔루션 제공 느낌이 괜찮은 솔루션
VPNet Configuration 가입자의 VPNet의 장비 VPNremote 소프트웨어 암호화 및 Tunneling 담당 사용자 가입자의 VPNet의 장비 암호화 및 Tunneling 담당 VPNremote 소프트웨어 PC별 암호화 키 내장 전화 접속 아이네트 터미널 서버 01438 VSU 기관 가입자 라우터 인증 서버 VPNmanager 임의의 터미널 서버 임의의 인증 서버
VPNet: 초기 접속 VSU 사용자 전화 접속(VPNremote 이용) 아이네트 터미널 서버 01438 기관 가입자 라우터 인증 서버 VPNmanager
VPNet: 사용자 인증 사용자 아이네트 터미널 서버 01438 VSU 기관 가입자 라우터 인증 서버 VPNmanager
VPNet : Tunnel 생성 요구 VSU 사용자 터널 생성 요구 아이네트 터미널 서버 01438 기관 가입자 라우터 인증 서버 VPNmanager
VPNet : Tunnel 생성 사용자 아이네트 터미널 서버 01438 VSU 기관 가입자 라우터 VPNmanager
VPNet 접속 완료 형태 VSU 사용자 전화 접속 아이네트 터미널 서버 01438 기관 가입자 라우터 VPNmanager GRE Tunnel VSU 기관 가입자 라우터 VPNmanager
VPNet 장점 장점 기존의 접속 서비스 환경을 바꾸지 않아도 됨. Roaming 서비스 등을 그대로 제공 가능 패킷 암호화가 제공 설정 변경이 매우 용이하고 융통성있음. 장비 매출까지 기대할 수 있음. 인터넷 패킷은 직접 인터넷으로, 내부 접속은 VPNet으로 동시 사용이 가능함. 전용선 VPN도 가능함.
VPNet 단점 단점 접속시 별도 접속 프로그램 필요(불편함) 기관마다 별도 장비를 구입해야 함 (US$5,000) 기관이 직접 관리하기에 어려움이 다소 있음. 가상 사설망에서 인터넷 사용이 차지하는 비중이 높을 경우 Firewall과 함께 사용해야 함.
전용선 VPN 부산 지사 서울 본사 라우터 인터넷 VSU GRE Tunnel 센터 라우터 VSU VPNmanager
A社의 VPN 최종 구성도 인터넷 서울 본사 아이네트 백본 부산 광주 미국 출장 T1 T1 T3 전화접속 T1 VPNmanager 서울 본사 아이네트 백본 T1 VSU 인트라넷 서버 VSU 부산 인증 서버 T1 T3 전화접속 VSU 인터넷 광주 VSU T1 미국 출장 아이네트 지방 POP
VPN 서비스 형태 기관 대상의 서비스 가능 Dial-up VPN까지 묶어서 서비스 제공 인터넷 전용선 가입 기관 인터넷과 무관하게 사설망을 싸게 구축할 계획이 있는 기관 Dial-up VPN까지 묶어서 서비스 제공 기존 Firewall을 이용한 보안과는 별도의 서비스 Firewall은 인터넷 사용자의 보안 서비스 VPN은 사설망 가입자에 더 중점을 둔 서비스
서비스 대상 - 전용선 가입자 기존 인터넷 전용선 가입 기관 iLink에 부가 서비스 형태로 제공 가능 원격지 혹은 해외에 지사가 있을 경우 막강한 보안을 강점으로 내새워 VPN 고객으로 유도할 수 있음. 현재 본사에만 국한된 인트라넷 서비스를 널리 그리고 안전하게 퍼뜨릴 수 있는 기능을 강조 물론, 출장간 사원도 안전하게 사용할 수 있다고 우겨야 함. iLink에 부가 서비스 형태로 제공 가능
서비스 대상 - 사설망 가입자 회사내 사설망을 가지고 싶어하는 기관 대상 현재의 삼보컴퓨터가 여기에 해당 기존 X.25 혹은 해외의 Frame Relay 서비스 가입자를 끌어올 수 있음. 시내 회선 비용보다 약간 비싼 비용으로 지사, 대리점을 모두 묶는 서비스 제공 가능 보안은 기본! 인터넷은 아예 못쓰게 해 버릴 수도.. iDial 환경을, 사설망으로의 접속 창구로 활용 가능하다고 강조해야 함. 현재의 삼보컴퓨터가 여기에 해당
아이네트 현재 상태 VPNet社의 Solution을 도입하여 상품화 검증 단계를 밟고 있음. Dial-up, 전용선 동시에 제공 예정 서비스 일정은 알려진 바 없음. 기존 VPN 상품의 재구성이 필요할 것이라고 판단됨.