IPV6

header(option) TCP

AH E- heade

r(opti on)

2004년도2004년도ICU부설ICU부설한국정보통신교육원지원한국정보통신교육원지원--무선인터넷과정무선인터넷과정

IPSEC

Tunnel mode에서의 AH

Origin IP header

AH Data

Origin IP

header TCP Data

TCP

AH

2005-03-08 http://kowon.dongseo.ac.kr/~hjlee 91 2004 ICU

IPSEC

ESP Header

Security Parameter Index Sequence Number

Payload Data Padding

Pad Length Next Header

Authentication Data(variable number of 32-bit words) 0 7 15 23 31

2004년도2004년도ICU부설ICU부설한국정보통신교육원지원한국정보통신교육원지원--무선인터넷과정무선인터넷과정

IPSEC

Transport mode에서의 ESP

Origin IP header

ESP

header Data

Origin IP

header Extention TCP Data

header(option) TCP

E- heade r(opt)

ESP trailer

ESP auth Encrypted

Authenticated

IPV4

IPV6 ESP

header

ESP trailer

ESP auth Encrypted

Authenticated

2005-03-08 http://kowon.dongseo.ac.kr/~hjlee 93 2004 ICU

IPSEC

Tunnel mode에서의 ESP

Origin IP

header Data

Origin IP

header TCP Data

New IP TCP header

New IP header

Extention header(option)

Extention header(option) ESP

header

ESP trailer

ESP auth

ESP header

ESP trailer

ESP auth Encrypted

Authenticated

Encrypted Authenticated IPV4

IPV6

2004년도2004년도ICU부설ICU부설한국정보통신교육원지원한국정보통신교육원지원--무선인터넷과정무선인터넷과정

VPN

가상사설망의 일반적인 특징

► 값비싼 전용선이나 임차선대신 공중망인 인터넷 이 용을 이용하여 네트워크 비용 감소

► 공중망인 인터넷 이용에 따른 접속 내용의 노출에 따 른 보안성 강화를 위하여 안전한 원격 접속 프로토콜 필요

► 모든 보안 지침서에서 직원들의 안전한 원격서비스

를 지원하기 위하여 설치 권고

2005-03-08 http://kowon.dongseo.ac.kr/~hjlee 95 2004 ICU

VPN

가상사설망의 일반적인 특징(계속)

► 원격 접속에 사용되는 디바이스 인증이 중요하기 때 문에 원격작업을 원하는 직원들에게 회사에서 인증한 디바이스를 개별적으로 공급해야 하는 불편과 금전적 인 부담 초래

► 고정된 원격 접속 지점에 따라 본점-지점간 접속처 럼 서로 신뢰할 수 있는 지점에서만 원격 접속이 가능

2004년도2004년도ICU부설ICU부설한국정보통신교육원지원한국정보통신교육원지원--무선인터넷과정무선인터넷과정

VPN

하드웨어형 가상사설망

► 라우터기반 가상사설망

► 모든 트래픽을 Tunneling

► 라우터의 성능 감소를 줄이기 위하여 하드웨어로 구현

► 업데이트나 변경이 어려움

► 기밀성과 인증, 무결성 등의 보안을 위하여 IPSEC 이용

2005-03-08 http://kowon.dongseo.ac.kr/~hjlee 97 2004 ICU

VPN

방화벽형 가상사설망

► 방화벽 기능과 VPN 기능의 결합

► 모든 트래픽을 Tunneling

► 방화벽에 대한 무결성과 보안 보장

► VPN을 위한 별도의 방화벽 룰셋 설정 필요

► 방화벽의 성능 감소를 줄이기 위하여 하드웨어로 구현

► 업데이트나 변경의 어려움

► 기밀성과 인증, 무결성 등의 보안를 위하여 IPSEC 이용

2004년도2004년도ICU부설ICU부설한국정보통신교육원지원한국정보통신교육원지원--무선인터넷과정무선인터넷과정

VPN

전용 디바이스형 가상사설망

► 라우터나 방화벽 성능에 영향을 주지 않음

► IP 주소나 IP Protocol에 기반한 Tunneling

► 네트워크 내에 설치되기 때문에 관리자 관리에 용이

► 새로운 Layer 역할을 하기 때문에 공격을 당하더라도 다른 네트워크 디바이스에 영향을 주지 않음

► 소프트웨어로 구현되기 때문에 유연성이 뛰어남

► 타 VPN에 비해 Scalable

► 확장 규모와 소요 예산간 비례관계

2005-03-08 http://kowon.dongseo.ac.kr/~hjlee 99 2004 ICU

문서에서 유.무선 네트워크 보안 동서대학교 이훈재 (페이지 45-50)

IPSEC

 Tunnel mode에서의 AH

Origin IP header

AH Data

Origin IP

header TCP Data

TCP

AH

IPSEC

 ESP Header

Security Parameter Index Sequence Number

Payload Data Padding

Pad Length Next Header

Authentication Data(variable number of 32-bit words) 0 7 15 23 31

IPSEC

 Transport mode에서의 ESP

IPSEC

 Tunnel mode에서의 ESP

VPN

 가상사설망의 일반적인 특징

► 값비싼 전용선이나 임차선대신 공중망인 인터넷 이 용을 이용하여 네트워크 비용 감소

► 공중망인 인터넷 이용에 따른 접속 내용의 노출에 따 른 보안성 강화를 위하여 안전한 원격 접속 프로토콜 필요

► 모든 보안 지침서에서 직원들의 안전한 원격서비스

를 지원하기 위하여 설치 권고

VPN

 가상사설망의 일반적인 특징(계속)

► 원격 접속에 사용되는 디바이스 인증이 중요하기 때 문에 원격작업을 원하는 직원들에게 회사에서 인증한 디바이스를 개별적으로 공급해야 하는 불편과 금전적 인 부담 초래

► 고정된 원격 접속 지점에 따라 본점-지점간 접속처 럼 서로 신뢰할 수 있는 지점에서만 원격 접속이 가능

VPN

 하드웨어형 가상사설망

► 라우터기반 가상사설망

► 모든 트래픽을 Tunneling

► 라우터의 성능 감소를 줄이기 위하여 하드웨어로 구현

► 업데이트나 변경이 어려움

► 기밀성과 인증, 무결성 등의 보안을 위하여 IPSEC 이용

VPN

 방화벽형 가상사설망

► 방화벽 기능과 VPN 기능의 결합

► 모든 트래픽을 Tunneling

► 방화벽에 대한 무결성과 보안 보장

► VPN을 위한 별도의 방화벽 룰셋 설정 필요

► 방화벽의 성능 감소를 줄이기 위하여 하드웨어로 구현

► 업데이트나 변경의 어려움

► 기밀성과 인증, 무결성 등의 보안를 위하여 IPSEC 이용

VPN

 전용 디바이스형 가상사설망

► 라우터나 방화벽 성능에 영향을 주지 않음

► IP 주소나 IP Protocol에 기반한 Tunneling

► 네트워크 내에 설치되기 때문에 관리자 관리에 용이

► 새로운 Layer 역할을 하기 때문에 공격을 당하더라도 다른 네트워크 디바이스에 영향을 주지 않음

► 소프트웨어로 구현되기 때문에 유연성이 뛰어남

► 타 VPN에 비해 Scalable

► 확장 규모와 소요 예산간 비례관계

Tunnel mode에서의 AH

ESP Header

Transport mode에서의 ESP

Tunnel mode에서의 ESP

가상사설망의 일반적인 특징

가상사설망의 일반적인 특징(계속)

하드웨어형 가상사설망

방화벽형 가상사설망

전용 디바이스형 가상사설망