Virtual Private Networks

Slides:



Advertisements
Similar presentations
IoT 환경에서의 네트워크 보안. 2 I.IoT(Internet of Things) 란 ? II.IoT 에서의 접근제어 III. 해결 과제 Agenda.
Advertisements

Linux Advanced Routing & Traffic Control HOWTO (1) 성 백 동
8 사이버 윤리와 보안.
차세대네트워크보안기술 영산대학교 네트워크정보공학부 이원열.
개 요 목 차 소개……………………………………………………………………1p
영상광고 사업제안서.
2012 년 2 학기 중부대학교 정보보호학과 이병천 교수.  공중망 (Public Network) ◦ 가격이 저렴 ◦ 네트워크를 공동으로 이용. 보안에 취약  사설망 (Private Network) ◦ 공중망보다 가격이 비쌈 ◦ 네트워크를 독립적으로 이용. 보안성이.
Building Enterprise VPNs
Nortelnetworks VPN & Firewall Contivity 1100.
4G LTE Network Security 2014년 10월 15일 발표자 : 양영진 정보보안학과.
3 장 인터넷 서비스.
VPN 트래픽 분배(Traffic distribution) 대역폭 제어(QOS/Bandwidth Limiting)
Data Communications 제4장 데이터통신의 기본 개념.
극동대학교 전자결재 구축 그룹웨어 결재자 교육.
암호화 기술(SSL, IPSec) 손재성 권기읍 안복선 최준혁
암호화 기술(IPsec,SSL) 배문주 송정미 황유진.
보안 시스템 정보 보안 개론 10장.
IPsec 석진선.
ADSL 및 시스템 개요.
UDP 1434 공격에 대한 방어 요령 Cisco Systems Korea 최 우 형 Network 보안과 대책
Switching 기술 II(L4, L5, L7).
11장. WAN 기술 (PPP, Frame-Relay)
IPCC Full Solutions Billit All IP Contact Center llllBillit -IP_PBX
8-4. ATM 특 징 장 점 단 점 데이터를 53byte의 고정된 크기의 Cell단위로 전송.
RIP 2 IBGP가 다수일 경우 IGP(rip, OSPF,….)가 가까운 곳(목적지까지 비용이 적은 곳)이 최적경로로 선정
서버의 종류와 기능 환경공학과 권진희.
Samsung Securities SECURITIES.
회사 소개서.
1장. 패킷트레이서 2012년 2학기 중부대학교 정보보호학과 이병천 교수.
PART 01 개념 컴퓨터 네트워크 Chapter 3 OSI 참조모델과 인터넷 임효택.
F5 삭제 및 신규 SSL_VPN 설치 메뉴얼 * 기존 SSL_VPN F5 삭제 ② ① * 신규 SSL_VPN 설치 ② ①
Investor Presentation
인터넷의 작동 원리 PARSONS/OJA 인터넷.
무선 랜 보안 세종대학교 소프트웨어공학 김명현.
1장. 패킷트레이서 2012년 2학기 중부대학교 정보보호학과 이병천 교수.
Chapter 3 3 모바일인터넷 구성 기술.
16 장 LAN 연결, 백본망과 가상 LAN 16.1 연결장비 16.2 백본 네트워크 16.3 가상랜 16.4 요약.
Chapter 8 목차 8.1 네트워크 보안이란 무엇인가? 8.2 암호학의 원리 8.3 메시지 무결성 8.4 종단점 인증
IPSec (Internet Protocol Security protocol)
기업 시스템/네트웍 보안 종합 설계 방안.
침입탐지시스템과 정보보안 안
01. VPN의 개요 VPN(가상 사설 망)은 개인 네트워크를 확장한 네트워크로 인터넷 같은 공용 네트워크를 통한 연결을 지원
PART 01 개념 컴퓨터 네트워크 Chapter 3 OSI 참조모델과 인터넷 임효택.
11장. WAN 기술 (PPP, Frame-Relay)
Data Communications 제 4 장 OSI 참조 모델.
네트워크 보안 3 오 세 종.
[ 포털 사이트 연관검색어/자동완성 등록 서비스 ]
Part 05 정보 보호 개론 NOS 보안 보안 프로토콜 및 암호와 네트워크 보안 및 정보 보호 제도.
2.1 재배정 재배정요구등록 재배정승인취소 재배정부서연결 재배정단위업무연결
전산정보분사 문현철 농협 정보보호관리 체계 수립사례발표 전산정보분사 문현철
정보보안.
OSI 모델 OSI 모델의 개념과 필요성 OSI 모델의 데이터 전송 과정 OSI 모델 7계층 한빛미디어(주)
FireWall / VPN Solution
의료기관의 개인정보 보호 『의료기관 개인정보보호 가이드라인』중심
Data Communications 제2장 데이터통신의 기본 개념.
2005년도 법학부 학술 세미나 기본 기획(안)
Internet & WWW Protocols
Virtual Private Networks,
정보 INFRA 구축 RF카드를 이용한 고객관리시스템 구축 에클라트소프트.
성립전예산 요구등록 (사업담당자) 사업관리카드 1 2
대한민국-스웨덴 수교 60주년 기념 행사 주 스웨덴 대한민국 대사관 (토)
A Clean Slate 4D Approach to Network Control and Management
청소년 댄스 경연대회 제35회 문화체육관광부장관大賞 전국레크리에이션대회
2001 OP Financial Highlight
매물장 로그인 직원을 미리 생성하시면 직원 ID로 로그인 가능.
“전자구매” 메뉴 접속을 위해 “전자입찰” 메뉴에서 공인인증서 등록
IPv 이 동 주.
소리가 작으면 이어폰 사용 권장!.
IP-in-IP Tunneling 기술 ETRI Technology Marketing Strategy
Presentation transcript:

Virtual Private Networks 위의석 (eswi@nuri.net)

알게 될 내용 VPN의 생성 동기 VPN의 동작 원리 및 서비스 환경 VPN 서비스 형태 VPN이 도대체 뭔지 어떤 서비스를 어떻게 제공해야 하는 것인지

VPN: Virtual Private Network 허사장님의 정의 회사나 조직내 통신망을 공중망으로 구축하여 비용 및 관리의 효율을 얻으면서, 사설망처럼 보안성을 보장받을 수 있도록 하는 통신망 구축 기술 위부장님의 정의 ISP가 제공하는 인터넷 망을 이용하여 회사나 조직 내부 목적의 망을 꾸미면서도 사설 망을 가진 것과 같은 보안의 효과를 얻을 수 있는 통신망 구축 기술

A社의 현재 상황 대기업 A社는 인터넷/인트라넷을 잘 쓰고 있다. 그런데, 그러면서도, 직원들의 외근이 많거나 출장이 잦고, 지사나 대리점이 지역적으로 멀리 떨어져 있다. 그러면서도, 보안이 매우 중요하고 밖에서도 인터넷/인트라넷을 잘 쓰고 싶다.

A社의 현재 상황-계속 그러나, 우리가 직접 사서 관리하는 전용선에 터미널 서버는 싫다. 돈이 없고 관리하기가 싫으니까..

A社의 이상적 - 사설망 광주 출장 부산 인트라넷 서버 서울 본사 미국 인증 서버 T1 전화접속

보통 방안 - A社의 네트워크 인터넷 서울 본사 아이네트 백본 부산 광주 미국 출장 T1 T3 전화접속 아이네트 지방 POP 아이네트 백본 인트라넷 서버 서울 본사 인터넷 미국 인증 서버 T1 전화접속 T3 아이네트 지방 POP

A社 네트워크 분석 운영 방식 문제점 아이네트의 백본을 사용하므로 유지비가 적다. 외부 사원은 아이네트의 iDial을 사용하면 된다. 네트워크 보안은 Firewall에 의존한다. 문제점 iDial을 사용하는 사용자를 위하여 Firewall의 일부를 열어 두어야 한다. 사설망이어야 하는데 공중망에 Open되어 있으므로 인터넷 어디선가 Packet을 훔쳐볼 수 있다.

VPN이 제공하는 기능 Security Encryption Multi-Protocol CoS, QoS, CIR Firewall 보다 확실한 보안을 제공 Encryption Packet을 암호화하여 통신하도록 한다. Multi-Protocol IP 패킷이 아니더라도 인터넷을 통하게 할 수 있다. CoS, QoS, CIR 비용이 싸고 관리가 수월하며

A社의 VPN 서울 본사 부산 아이네트 백본 광주 미국 대전 T1 Secure VPN Tunnel T1 T1 T3 T1 인트라넷 서버 서울 본사 인증 서버 아이네트 백본 T1 Secure VPN Tunnel 부산 T1 광주 T1 T3 T1 대전 미국

VPN의 원리 내부 네트워크로 전송될 모든 패킷을 VPN 패킷으로 Encapsulate함. 패킷 내용은 모두 암호화 IP 패킷 통째로 Encapsulate되어 제 3의 형식을 가지는 IP 패킷으로 변환. (GRE 패킷) 도중에 꺼내보기가 매우 어려움. 꺼내어 보더라도 암호화되어 내용을 알 수 없음

VPN 방식의 종류 Indirect Tunneling Protocols Direct Tunneling ATMP, PPTP, L2F, L2TP, VTP Direct Tunneling Frame Relay Direct, IP Direct 아이네트가 시험중인 VPNet의 경우는 Indirect Tunneling에 가까움.

VPN 프로토콜 분류 Layer 3 Layer 2 ATMP: Ascend Tunnel Management Protocol VTP: Virtual Tunneling Protocol (Bay, 3Com) Layer 2 PPTP: Point to Point Tunneling Protocol(MS) L2F: Layer 2 Forwarding (Cisco) L2TP: Layer 2 Tunneling Protocol(IETF)

VPN 동작 방식 - ATMP의 예 Ascend Communications, Inc.에서 설계 Terminal Server 에서 Dial-up 사용자를 위하여 설계. (Dial-up VPN) 현재 Tunneling Protocol의 표준이 없으나, ATMP는 설계가 잘 된 경우로 평가 받음. Ascend Terminal Server에서만 동작하므로 실제 서비스 적용성이 많지 않음.

ATMP 용어 정의 Home Target or Forwarding Location Foreign (Remote Side) GRE Tunnel

ATMP: 초기 접속 사용자 전화 접속 아이네트 01438 Ascend 터미널 서버 기관 가입자 라우터 인증 서버

ATMP: 사용자 인증 사용자 전화 접속 아이네트 01438 Ascend 터미널 서버 기관 가입자 라우터 인증 서버

ATMP: Tunnel 생성 요구 사용자 전화 접속 아이네트 01438 Ascend 터미널 서버 기관 가입자 라우터 인증 서버

ATMP: Tunnel 생성 사용자 전화 접속 아이네트 01438 Ascend 터미널 서버 기관 가입자 라우터

Foreign ---> Home Password ATMP 접속 완료 형태 사용자 전화 접속 아이네트 01438 Ascend 터미널 서버 기관 가입자 라우터 HomeNet GRE Tunnel •Requests Tunnel •Encapsulates Pkts in GRE •Establishes Tunnel •Extablished Tunnel ID •Strips Packets out of GRE Tunnel Foreign ---> Home Password Encrypted via MD5 Hash

ATMP 정리 장점 단점 사용자 PC에 일체의 수정이나 소프트웨어 불필요 ISP에서 모든 관리 가입 기관은 별도 장비 및 관리 불필요 단점 가입자/아이네트가 Ascend 제품을 써야 함. 인터넷 접속시에도 기관을 일단 거쳐야 함. Packet에 대한 암호화 지원이 안됨. Roaming 서비스에 대비가 어려움.

VPNet Solution 아이네트가 현재 고려하고 있는 방식 VPNet Technologies, Inc.의 제품 기존 환경에 쉽게 적용할 수 있도록 별도 장비와 별도 소프트웨어로 솔루션 제공 느낌이 괜찮은 솔루션

VPNet Configuration 가입자의 VPNet의 장비 VPNremote 소프트웨어 암호화 및 Tunneling 담당 사용자 가입자의 VPNet의 장비 암호화 및 Tunneling 담당 VPNremote 소프트웨어 PC별 암호화 키 내장 전화 접속 아이네트 터미널 서버 01438 VSU 기관 가입자 라우터 인증 서버 VPNmanager 임의의 터미널 서버 임의의 인증 서버

VPNet: 초기 접속 VSU 사용자 전화 접속(VPNremote 이용) 아이네트 터미널 서버 01438 기관 가입자 라우터 인증 서버 VPNmanager

VPNet: 사용자 인증 사용자 아이네트 터미널 서버 01438 VSU 기관 가입자 라우터 인증 서버 VPNmanager

VPNet : Tunnel 생성 요구 VSU 사용자 터널 생성 요구 아이네트 터미널 서버 01438 기관 가입자 라우터 인증 서버 VPNmanager

VPNet : Tunnel 생성 사용자 아이네트 터미널 서버 01438 VSU 기관 가입자 라우터 VPNmanager

VPNet 접속 완료 형태 VSU 사용자 전화 접속 아이네트 터미널 서버 01438 기관 가입자 라우터 VPNmanager GRE Tunnel VSU 기관 가입자 라우터 VPNmanager

VPNet 장점 장점 기존의 접속 서비스 환경을 바꾸지 않아도 됨. Roaming 서비스 등을 그대로 제공 가능 패킷 암호화가 제공 설정 변경이 매우 용이하고 융통성있음. 장비 매출까지 기대할 수 있음. 인터넷 패킷은 직접 인터넷으로, 내부 접속은 VPNet으로 동시 사용이 가능함. 전용선 VPN도 가능함.

VPNet 단점 단점 접속시 별도 접속 프로그램 필요(불편함) 기관마다 별도 장비를 구입해야 함 (US$5,000) 기관이 직접 관리하기에 어려움이 다소 있음. 가상 사설망에서 인터넷 사용이 차지하는 비중이 높을 경우 Firewall과 함께 사용해야 함.

전용선 VPN 부산 지사 서울 본사 라우터 인터넷 VSU GRE Tunnel 센터 라우터 VSU VPNmanager

A社의 VPN 최종 구성도 인터넷 서울 본사 아이네트 백본 부산 광주 미국 출장 T1 T1 T3 전화접속 T1 VPNmanager 서울 본사 아이네트 백본 T1 VSU 인트라넷 서버 VSU 부산 인증 서버 T1 T3 전화접속 VSU 인터넷 광주 VSU T1 미국 출장 아이네트 지방 POP

VPN 서비스 형태 기관 대상의 서비스 가능 Dial-up VPN까지 묶어서 서비스 제공 인터넷 전용선 가입 기관 인터넷과 무관하게 사설망을 싸게 구축할 계획이 있는 기관 Dial-up VPN까지 묶어서 서비스 제공 기존 Firewall을 이용한 보안과는 별도의 서비스 Firewall은 인터넷 사용자의 보안 서비스 VPN은 사설망 가입자에 더 중점을 둔 서비스

서비스 대상 - 전용선 가입자 기존 인터넷 전용선 가입 기관 iLink에 부가 서비스 형태로 제공 가능 원격지 혹은 해외에 지사가 있을 경우 막강한 보안을 강점으로 내새워 VPN 고객으로 유도할 수 있음. 현재 본사에만 국한된 인트라넷 서비스를 널리 그리고 안전하게 퍼뜨릴 수 있는 기능을 강조 물론, 출장간 사원도 안전하게 사용할 수 있다고 우겨야 함. iLink에 부가 서비스 형태로 제공 가능

서비스 대상 - 사설망 가입자 회사내 사설망을 가지고 싶어하는 기관 대상 현재의 삼보컴퓨터가 여기에 해당 기존 X.25 혹은 해외의 Frame Relay 서비스 가입자를 끌어올 수 있음. 시내 회선 비용보다 약간 비싼 비용으로 지사, 대리점을 모두 묶는 서비스 제공 가능 보안은 기본! 인터넷은 아예 못쓰게 해 버릴 수도.. iDial 환경을, 사설망으로의 접속 창구로 활용 가능하다고 강조해야 함. 현재의 삼보컴퓨터가 여기에 해당

아이네트 현재 상태 VPNet社의 Solution을 도입하여 상품화 검증 단계를 밟고 있음. Dial-up, 전용선 동시에 제공 예정 서비스 일정은 알려진 바 없음. 기존 VPN 상품의 재구성이 필요할 것이라고 판단됨.