1 / 53

VPN 기술 및 보안

VPN 기술 및 보안. 채 기 준 이화여자대학교 컴퓨터학과 kjchae@ewha.ac.kr. 목 차. VPN 정의 및 등장 배경 VPN 특징 VPN 기술 및 구현방식 VPN 프로토콜 Key 관리 기법 MPLS VPN 국내외 VPN 시장 현황 3Summary. VPN 설치 전. VPN 설치 후 . VPN (Virtual Private Network) 이란 ? . 공중망을 이용하여 사설망처럼 직접 운용 관리할 수 있는 것으로 컴퓨터 시스템과 프로토콜들의 집합으로 구성.

ellery
Download Presentation

VPN 기술 및 보안

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. VPN 기술 및 보안 채 기 준 이화여자대학교 컴퓨터학과 kjchae@ewha.ac.kr

  2. 목 차 • VPN 정의 및 등장 배경 • VPN 특징 • VPN 기술 및 구현방식 • VPN 프로토콜 • Key 관리 기법 • MPLS VPN • 국내외 VPN 시장 현황 • 3Summary

  3. VPN 설치 전 VPN 설치 후 VPN(Virtual Private Network)이란? • 공중망을 이용하여 사설망처럼 직접 운용 관리할 수 있는 것으로 컴퓨터 시스템과 프로토콜들의 집합으로 구성

  4. VPN 등장 배경 작업환경 변화  이동성 요구 네트워크 확장 요구 증가 강력한 보안 요구 인터넷 기술 발달 이동성과 확장성 제공 비용 감소 효과 인터넷 기술과 부합하는 새로운 기술 VPN

  5. VPN 특징 (1/2) • 특징 • Internet의 개방적이고 분산된 하부구조 사용 • ISP에 POP(Points of Presence)으로 연결 • 전송되는 데이터에 Encryption, Authentication 등 보안기능 제공 • 장점 • 비용 절감 • 유연성 있는 운영과 관리의 수월성 • 확장성과 이동성 제공 • 안전성 보장 • 편리한 네트워크 구성 환경 제공

  6. VPN 특징 (2/2) • Tunneling • The “Virtual” in VPN • 사용자의 VPN 응용 프로그램으로부터 ISP와 Internet infra를 숨기는 것 • 다양한 Security Services • The “Private” in VPN • VPN 상의 두 사용자간에 있는 tunnel이 private link인 것처럼 보이게 하는 것

  7. VPN 기술 Key 관리 기술  VPN 서비스 위해 필요한 보안 사항들을 협상 키관리 프레임워크 ISAKMP/OAKLEY를 이용 VPN 관리 기술 효과적이고 안정적으로 VPN 서비스 지원하는 기술 QoS 보장 지원 • 터널링 기술 •  End-to-End 전용 회선 연결과 같은 효과 • 두 종단 사이에 가상적인 터널 형성하는 기술 • 암호화, 인증 기능 제공 • 각 네트워크 계층별로 터널링 프로토콜 존재

  8. VPN 구현 방식 • Remote Access(Dial-up) VPN • 본사와 원격지 허가 받은 사용자간의 네트워킹 • Client-to-LAN 방식 사용 • 사용이나 관리상의 용이성이 중요한 부분 • Intranet VPN • 본사와 지사간의 네트워킹 • LAN-to-LAN 방식 사용 • Extranet VPN • 본사와 사업 파트너 또는 고객 등과의 네트워킹 • 보안 정책이 다른 subnet들을 상호 연결 • 높은 보안 위험성  복잡한 구현 형성

  9. CORPORATE INTRANET MAIN OFFICE INTRANET INTRANET VPN 구현 방식

  10. VPN 프로토콜 • 역할 • Packet Encapsulation • Tunnel 생성 및 관리 • Cryptographic Key 관리 • 종류 • Layer 2 프로토콜 • Client-to-LAN VPN을 관리하는 데 주로 사용 • 예) PPTP, L2F, L2TP • Layer 3 프로토콜 • LAN-to-LAN VPN을 관리하는 데 주로 사용 • 예) IPSec • Session Layer 프로토콜 • 응용 계층에서 필터링을 지원하는 데 주로 사용 • 예) SOCKS V5

  11. VPN 장비 VPN 장비 VPN 프로토콜 LAN-to-LAN VPN 인터넷 기업 LAN 1 기업 LAN 2 Remote Access VPN Mobile Worker

  12. Layer2 Tunneling 방식 • Voluntary Tunneling • Client-initiated Tunneling • Client가 직접 Tunnel 서버와 Tunnel 형성  end-to-end Tunnel • 클라이언트에 PPTP/L2TP 가 탑재되어 있어야 함 • 동시에 TCP/IP를 이용하여 다른 Internet 호스트에 접근 가능 • Compulsory Tunneling • ISP-initiated Tunneling • ISP Remote Access Switch가 Client 대신 Tunnel 형성 • ISP가 VPN 제공하는 경우 주로 사용 • 말단 사용자에게 투명성 제공 • 초기연결 링크가 Tunnel 밖에서 일어나므로 attack 위험

  13. Voluntary Tunneling 인터넷 client1 Server RAS client2 Compulsory Tunneling 인터넷   server client1 client2 Layer2 Tunneling 방식

  14. PPTP (Point-to-Point Tunneling Protocol) • 2 계층 프로토콜 • Microsoft에서 제안 • 원격 사용자 인증 위해 PPP(Point-to-Point Protocol)사용 • 원격 사용자와 Private Network 사이에 Secure Connectivity 제공 • PPP 패킷 Encapsulation을 위해 GRE(Generic Routing Encapsulation)사용 • 다양한 프로토콜 지원 (IP, IPX,NetBEUI,…)

  15. L2TP(Layer 2 Tunneling Protocol) • 2 계층 프로토콜 • PPTP(Microsoft) + L2F(Cisco) • 하나의 Tunnel안에 여러 Session 가능 • 같은 site의 각 Tunnel마다 QoS 매개변수 지정 가능 • IPSec의 기능을 이용한 강력한 보안 제공 • 같은 스트림 이용해서 제어 메시지 & 데이터 메시지 동시 전달 • 다양한 네트워크 형태(IP, ATM, X.25, etc)에서 사용 가능

  16. Encryption algorithm Authentication algorithm PPTP & L2TP 구조 PPP PPTP PPP L2TP ESP Protocol AH Protocol Encryption algorithm Authentication algorithm DOI Generic Routing Encapsulation Key Management PPTP 구조 L2TP 구조

  17. SOCKS V5 • Session Layer proxy 프로토콜 • SOCKS V4의 확장 형태  Client Authentication, Encryption Negotiation, UDP Proxy 등 보안 기능 추가 • 응용 계층에서 필터링을 지원 • SSL/TLS 결합 사용 가능 • 2,3계층 Tunneling 프로토콜에 비해 뛰어난 액세스 제어 기능 제공  Extranet VPN에 적합

  18. IPSec (IP Security) • 3 계층 프로토콜 • IETF IPSec Working Group에 의해 제안 • IP 계층에서의 보안 프로토콜을 제공하기 위한 개방 구조 프레임워크 • LAN-to-LAN & Client-to-LAN

  19. IPSec 구성 요소 • 인증과 암호화 위한 헤더 • AH (Authentication Header) • ESP (Encapsulating Security Payload) • 연결 관리와 정책 관리를 위한 데이터베이스 • SPD(Security Policy Database) 보안 정책 데이터베이스 • SAD(Security Association Database)  보안 연계 데이터베이스 • Key 관리 메커니즘 • IKE(ISAKMP/OAKLEY)

  20. ESP Protocol AH Protocol Encryption algorithm Authentication algorithm DOI Key Management IPSec 구조

  21. PPTP L2TP IPSec SOCKS V5 표준화 Microsoft RFC 2661 RFC 2401~2410 RFC 1928,1929,1961 제공계층(OSI) 2계층 2계층 3계층 5계층 모드 Client-Server Client-Server Peer-to-Peer Client-Server 제공하는 프로토콜 IP,IPX, NetBEUI, etc IP,IPX, NetBEUI, etc IP TCP, UDP/IP 터널 서비스 Single PPP tunnel Per connection Multiple PPP tunnel Per connection Multiple PPP tunnel, Per SA Session-by-Session 사용자 인증 X X X O 데이터 인증/암호화 X (PPP 의해 제공) X (PPP 의해 제공) Packet 단위 제공 Message 단위 제공 키 관리 X X ISAKMP/IKE GSS-API/SSL 엑세스 제어 X X Packet filtering Packet/content filtering, proxying 효율적인 VPN Remote access Remote access Intranet Extranet VPN 프로토콜 비교

  22. Transport mode AH IP header AH IP payload Authenticated except for mutable fields in ‘IP header’ Tunnel mode AH New IP header AH IP header IP payload Authenticated except for mutable fields in ‘New IP header’ IPSec (인증) • AH(Authentication Header) • IP 데이터그램에 제공하는 기능 • 인증, 무결성 • 인증 절차 • MD5, SHA-1 등의 인증 알고리즘을 이용하여 키 값과 IP 패킷의 데이터를 입력으로 한 인증 값을 계산하여 AH 의 인증 필드에 기록 • 수신자는 같은 키를 이용하여 인증 값을 검증 • 트랜스포트모드 vs. 터널모드

  23. IPSec (암호화) • ESP(Encapsulation Security Payload) • IP 데이터그램에 제공하는 기능 • 선택적 인증, 무결성, 기밀성, 재연공격방지 • 부분적인 순서 무결성, 제한적인 트래픽 플로우 비밀성 • 적용방법 • ESP 단독 • ESP+AH 조합된 형태 (터널모드 사용 시) • 보안 서비스 • host vs. host • host vs. 보안 gateway • 보안 gateway vs. gateway

  24. Transport mode ESP IP header ESP header IP payload ESP trailer ESP auth Encrypted Authenticated Tunnel mode ESP New IP header ESP header IP header IP payload ESP trailer ESP auth Encrypted Authenticated IPSec (암호화) • ESP(Encapsulation Security Payload) • 터널 종단간에 협상된 키와 암호화 알고리즘으로 데이터그램 암호화 • 트랜스포트모드 vs. 터널모드

  25. 보안 게이트웨이 2 보안 게이트웨이 1 호스트 A 호스트 B 보안 게이트웨이사이는 AH 사용 IPSEC IPSEC Authentication only Encryption & authentication IP header ESP header Payload ESP trailer ESP auth 호스트 A 와 보안 게이트웨이 1 사이 New IP header AH IP header ESP header Payload ESP trailer ESP auth 보안 게이트웨이 사이 IP header ESP header Payload ESP trailer ESP auth 보안 게이트웨이 2 와 호스트B 사이 AH Added ESP applied packet AH와 ESP 이용한 IPSec 보안 말단 호스트 사이는 ESP 사용

  26. 암호 알고리즘 • PPTP • MPPE(Microsoft Point-to-Point Encryption) 사용  RC4 사용 (40bits or 128bits) • L2TP • PPP 사용 가능하나 IPSec을 선호 • IPSec • ESP에서 DES 사용 • 여러 가지 알고리즘 중에서 선택적으로 사용 가능 • 고려사항 너무 자주 key를 변경하는 것은 네트워크 효율에 영향 미친다.

  27. Key 관리 기법 • 게이트웨이를 위한 key 관리 • 종 류 • 두 보안 게이트웨이 사이 • Device 자체를 인증 • Hard-wired key가 포함되지 않은 경우 : random하게 생성 • 보안 게이트웨이와 이동성을 지닌 사용자 사이 Interoperable PKI, OCSP • 동적 key 관리법 사용 (IKE) • Key를 자주 교환하고 많은 수의 사이트 있을 경우 적합 • Session key는 보안 게이트웨이나 key 관리 서버에 의해 random하게 생성

  28. Key 관리 기법 • 사용자를 위한 key 관리 • 필요로 하는 모든 IPSec SA 파라미터를 생성하는 central 사이트를 설정  사용자에게 이것을 보내주는 메커니즘 제공 • Remote VPN 사용자는 보안 게이트웨이를 통해 인증을 받아야 함

  29. ISAKMP(Internet Security Association&Key Management Protocol) • SA 관리와 key 관리를 정의하기 위해 IETF에서 제안된 프레임워크 • 주요 내용 • SA의 설정, 협상, 변경, 삭제 위한 과정 • 패킷 포맷, Key 생성 • 인증된 데이터 교환을 위한 페이로드 • IPSec • 보안, 인증을 제공하기 위해 양쪽간에 사용할 암호 알고리즘, key 등에 대한 합의 있어야 함 • Key 교환 위한 필수사항 • Manual key exchange • Automated key exchange

  30. Oakley • ISAKMP에서 사용하는 key 교환 메커니즘 • Diffie-Hellman 프로토콜에 기반 • 양쪽이 가지고 있는 암호 알고리즘에 필요한 공유 키를 생성하는 방법 • 네트워크 상에서 가능한 공격을 방지하기 위한 메커니즘 첨가하여 설계됨 • IPSec 위한 IETF의 제안 • ISAKMP와 Oakley 결합하여 키 교환과 SA 협상 위한 프로토콜인 IKE 프로토콜 사용을 제안

  31. MPLS VPN • Peer 모델 • 강력한 포워딩 속도 제공 • Route at edge, switch in core • 확장성 • IP Traffic engineering • Constraint-based routing • QoS 지원

  32. TAG-VPN Connection Model

  33. TAG-VPN • 포워딩

  34. TAG-VPN • 포워딩

  35. TAG-VPN • Closed user Group Servers

  36. TAG-VPN • Inter VPN’s communications

  37. 국내 VPN 시장 현황 • 1999년 약 200억원 시장 규모 형성 • 2000년 500억원 이상 규모 확장 예상 • 국내 ISP 및 주요 기업들이 VPN 서비스 시작 • 주로 대기업 및 유통회사를 대상으로 하고 있음 • 대부분 Remote Access VPN 위주의 서비스 제공 • VPN 전용 하드웨어 위주로 시장 형성

  38. 한국통신 • enTum (www.entum.com) • 기업망 구성을 대행하는 서비스로 자체 사내망 구성과 인터넷 그리고 원격접속 서비스 등 기업전산환경 구축을 위한 모든 작업과 관리를 아웃소싱하는 토탈 솔루션

  39. 한국피에스아이넷 (구)아이네트 • 2000.2 회사 개명(www.kr.psi.net) • 보안 서비스로 Managed VPN 서비스 제공 • VPN 전용장비(VPNet’s VSU)를 이용하여 Remote 및 LAN-to-LAN VPN 서비스 제공 • Remote VPN 가입자 관리 및 네트워크 관리는 본사에서 수행 • 서비스 제공 업체  제일제당, 두산그룹

  40. 데이콤 • 천리안 01421을 통해 ‘CPN(천리안 가상 사설망)’ VPN 서비스 제공 • 별도의 장비 필요 없이 전화선 이용 기존 라우터에 L2TP/L2F 적용 • 모뎀이 설치된 PC가 있으면 가입 즉시 어디서나 사용이 가능 • 각지의 네트워크 사용자를 본사에서 직접 관리 가능 • CISCO와 전략적 제휴를 통해 서비스 관리 시스템 개발 중 • 서비스 제공 예정 업체 데코, 이랜드, 포스코, LG-IBM

  41. 기타 ISP 업체들 • SK 텔레콤 • 01442 망을 통한 Dial-up 사용자 중심의 VPN 서비스 제공 • 삼성 SDS • ‘유니웨이 인터넷 VPN’통해 삼성-GE 의료기기, ㈜새한 등에 서비스 제공 • 현대정보기술 신비로 • 현대그룹 중심으로 인터넷 VPN 서비스

  42. 기타 장비 업체들 • 노텔 • Contivity Access • 대기업 위주의 상품 • LG 인터넷, 아시아나항공, 경동보일러, 한국통신, etc • Baystack Instant Internet • 중소기업을 공략하기 위한 저렴한 VPN 솔루션 제품 • 한국 쓰리콤(코리아링크) • NetBuilder • 보험회사 중심 • TimeStep • Permit Gate 4520 • 삼성항공 • 퓨처시스템 • SecurewaySuite : End-to-end 통합 보안 솔루션 제품

  43. 해외 VPN 시장 현황 • 해외 ISP들은 사설 IP망을 이용하여 Managed IP VPN 서비스 제공 • 대부분의 ISP들이 Remote 및 LAN-to-LAN VPN 서비스 제공 • ISP의 VPN 서비스를 가입해서 주로 사용하는 형태가 일반화

  44. 해외 기업들의 VPN 적용 현황 Fortune 1000 companies are expected to adopt VPNs

  45. 해외 기업들의 VPN 적용 현황 Outsourced network management services : U.S. market

  46. 해외 VPN 시장 현황 (1999년) • VPN 전용 하드웨어 제품 매출 • 1999년 1/4분기  3.7 million(1998년 4/4분기 비해 2배 증가) • 1999년 4/4분기  160 million 예상 • 라우터 기반 VPN 제품 매출 • 1999년 1/4분기  443 million • 1999년 4/4분기  697 million 예상

  47. 해외 VPN 시장 동향 • VPN 장비와 서비스 시장 규모 (by www.instat.com) • 1999년 2.67 billion 시장 규모 • 2000년에는 1999년보다 70% 확대 예상 • 2001년에는 2000년보다 145% 확대 예상 • 2002년에는 2001년보다 81% 확대 예상

  48. 해외 VPN 제품 동향

  49. Firewall related Software VPNs • Axent Technologies • Raptor Firewall 6.0, Raptor Management Console • IPSec 제공, proxy application server처럼 작동 • Check Point Software Technologies • VPN-1 • Firewall-1과 함께 사용. LDAP 도입 • Network Associates • Gauntlet Global VPN 5.0 • firewall과 firewall 사이에 IPSec 제공, X.509 공개키 방식 사용 • Secure Computing  SecureZone : IPSec-compliant, X.509 공개키 방식 제공 BorderWare SideWinder

  50. Router & Switch VPNs • Cisco Systems • PIX • L2F tunneling, RedCreek’s IPSec • Internetwork Operating System(IOS) • L2TP & IPSec • 3Com • NetBuilder • TranscendWare Secure VPN Manager  Web-based application • IPSec-compliant • Interoperable with Novell’s NDS and Windows NT directory services • PathBuilder S500 Series

More Related