MPLS

• 

Multiprotocol Label Switching !

• 

네트웍 트래픽

흐름의 속도를 높이고 관리하기 쉽게 하기 위한 입증된 표준 기술!

•

주어진 패킷에 대하여 특정 라우팅 경로를 설정하는 것에 관여 하는데, 각 패킷 내에는 라벨이 있어서 라우터 입장에서는 그 패킷을 전달해야할 노드의 주소를 보는데 소요되는 시간을 절 약할 수 있다. !

•

  IP, ATM

및 프레임

릴레이

네트웍 프로토콜 등과 함께 동작!

•

MPLS는 네트웍의

OSI

표준 참조모델과 관련하여, 3 계층(라우 팅)이 아닌, 스위칭을 하는 2 계층에서 대부분의 패킷이 전달될 수 있게 함. !

•  MPLS는 트래픽을 전반적으로 빠르게 움직이게 하는 것 외에 도,

QoS

를 위한 네트웍 관리를 쉽게 해줌

VPN 기술 issue

•  기반 기술의 변화 !

–  새로운 IPsec 표준 : IKEv2, Updated AH/ESP!

•  IPsec-based VPN 이나 SSL-VPN, MPLS-VPN 이 대두됨.!

•  기반 환경의 변화 (on-going issue)!

–  IPv4 -> IPv6!

•  Wireless VPN!

–  Wireless LAN 보안 표준 !

•  WEP -> WPA -> 802.11i!

•  AP와 end-node 사이의 무선 구간에만 적용 가능!

•  Remote-access 환경에서 유선구간에도 적용 가능한 기술의 필요성!

•  VoIP with VPN

VPN 기술동향

•  IPSec VPN -> SSL VPN 으로 변화!

–  Application-to-Application & Server-to-Server 데이터 암호화를 위해 VPN 도입의 증가 추세!

–  SSL VPN의 등장과 국외 시장조사기관들의 장미빛 미래 전망!

–  SSL 가속기 수요의 증대!

–  암호키 관리를 위한 HSM 수요 증가!

–  IPSec VPN의 위협 요소!

•  Remote access에 대해 SSL VPN을 선택!

–  SSL VPN 의 편의성과 보안성의 trade-off!

–  OTP 와 결합된 부가인증으로 해결

VPN 기술 동향 – IPSec vs SSL

•  IPSec!

– 안전한 네트워크 접속을 제공하므로써 인터넷의 보안 취약점 극복!

– 기업 네트워크 유지 비용의 대폭 절감!

– 클라이언트 서버 및 기존 어플리케이션을 완벽히 지원!

– 유지보수 및 지원이 필수적인 클라이언트 소프트웨어 필요!

•  SSL!

– 클라이언트 소프트웨어 불필요!

–  SSL을 가능하게 하는, 언제 어디서나 사용가능 한 웹 브라우져를 이용!

– 최소의 비용으로 원격 제어 서비스 확대 가능!

– 제한된 몇몇 어플케이션에 접근 허용 !

– 보편화 된 SSL은 기업에게 새로운 과제를 부여!

•  네트워크 접근이 허용되었을 때의 제어!

•  디바이스 보안 확인!

•  기업 상황에 따라 SSL이나 IPsec VPN 선택 !

– 두가지 기술이 가지고 있는 각각의 장단점을 파악하여 기업이 처한 문제점을 해결할 수 있는 가장 적합한 기술을 택하여 적용하는 것이 중요

VPN 기술 동향 – IPSec vs SSL

SSL VPN! ^{IPSec VPN}!

인증! 단방향 또는 양방향 토큰 인증 !

전자인증서! ^토큰에 ^의한 ^이중인증!

암호화! 강력한 암호화!

표준화된 웹 브라우져 기반! ^강력한 ^암호화!

수행에 의존!

전반적인 보안성! End to End 보안!

사용자에서 리소스까지 암호화!

Edge to Client!

사용자에서 VPN 게이트웨이까지 암호화!

접근성! 언제 어디서든 접근 가능! 정의된 사용자 기반 접근!

비용! 저렴!

클라이언트 소프트웨어 불필요! ^높음!

클라이언트 소프트웨어 구입 및 유지비용 소요!

설치! 플러그 앤 플레이 설치!

클라이언트 소프트웨어 또는 하드웨어   설치 불필요!

기술적인 설치 지원 필요!

클라이언트 측 소프트웨어 혹인 하드웨어 필요!

사용자 편의성! ^웹 기반의 편리한 사용자 인터페이스 제공!

사용자 교육 불필요! ^기술적 ^마인드가 ^부족한 ^{사용자에게는} ^불편함!

사용자 기술 교육 필요 !

어플리케이션 지원! ^웹 기반 어플리케이션!

파일 공유 및 이메일! ^모든 ^{IP 기반} ^{어플리케이션}!

사용자! 고객, 파트너, 원격접속자, 밴더 등! 내부 사용자에게 보다 적합!

확장성! ^유연한 확장성 ! ^서버 쪽에서만 확장성을 지니고 있으며, 사용자 측면의 확장성은 기대하기 어려움

IPSec VPN vs SSL VPN ( 구성)

( 참고) VPN 간 비교

IPSec VPN! SSL VPN!

Applications! All IP-based services! Web-enabled applications, file sharing and e-mail!

Encryption! Strong and consistent – tied to specific

implementation! Strong but variable – depends on browser!

Authentication! Strong – two way authentication using

tokens and digital certificates! Variable – one or two way authentication using tokens and digital certificates!

Overall Security! Strong – tied to specific devices and

implementations! Moderate- any device can be used creating holes!

Accessibility! Formal access to well-defined and

controlled user base! Casual access to broadly distributed user base!

Ease of Use! Moderate – can be challenging for

non-technical users! Very high – uses familiar web browers!

Scalability! Very High – independent of applications! High – easily deployed, requires tight application integration!

Complexity! ^High! ^Moderate

( 참고) VPN 간 비교 (2)

IPSec VPNs! MPLS VPNs!

Time to Market! High. Can be deployed across any existing IP network.!

Low. Requires participating network elements at the core and edge to be MPLS capable.!

Security! High. Authentication, Authorization,

Encryption at IP network layer.! Low. Separates traffic between

customers using VPN membership Ids.!

Scalability! Medium. Requires planning to address key distribution, key management and peering configuration.!

High. No site to site peering is required.!

Reliability! Low. Utilizes IP based DIffServ Class of Service for classifying packets.!

High. Utilizes traffic engineering and queuing capabilities to provide

guaranteed SLAs.!

Manageability! Low. No network level provisioning required.!

Medium. Requires provisioning of devices at the customer edge and provider edge.!

Service Models!

High-speed Internet services!

E-commerce!

Application hosting!

High-speed Internet services!

Business quality IP VPN services!

E-commerce, Application hosting

실제 제품 사례 (Nokia product 예)

•  사용자 측면!

– 회사 임원 홍길동은 네트워크에 접속하고자 하는 위치와는 관계 없이 어플리케 이션 및 컨텐츠에 접근 가능해야 함!

•  기업측면!

– 기업은 사용자가 누구인지, 어떠한 디바이스를 사용하는지, 어떻게 디바이스를 보호할 수 있을지 등에 대하여 자동적으로 접근권한을 제어할 수 있는 솔루션이 필요

회사 임원!

홍길동!

회사 임원!

홍길동!

회사 임원!

홍길동!

회사 노트북! 집에서 사용하는 PC! 회의장 또는 PC방의 PC

사용 시나리오 – 홍길동 (회사 PC)

Internet

Enterprise Resources

Client  Server!

Applications

Intranet Email File Upload File!

Download Nokia!

Secure Access System

Client Integrity Scan

Certificate identifying laptop Personal FW running

Up to date Virus Files

접속 요청

Authentication Process

사용 시나리오 – 홍길동 (회사 PC 접근 제어 결과)

Internet

Enterprise Resources

Client  Server!

Applications

Intranet Email File Upload File!

Download

Client Integrity Scan

Certificate identifying laptop Personal FW running

Up to date Virus Files

Authentication Process

Nokia Secure Access !

System

사용 시나리오 – 홍길동 (자택 PC)

Internet

Enterprise Resources

Client  Server!

Applications

Intranet Email File Upload File!

Download

Client Integrity Scan

Certificate identifies Home PC Personal FW running

Up to date Virus Files 접속 요청

Authentication Process

Nokia Secure Access !

System

사용 시나리오 – 홍길동 (자택 PC 접근제어 결과)

Enterprise Resources

Client  Server!

Applications

Intranet Email File Upload

Internet

File!

Download

Client Integrity Scan

Certificate identifies Home PC Personal FW running

Up to date Virus Files

Authentication Process

Nokia Secure Access !

System

사용 시나리오 – ^{홍길동 (회의장} ^내)

Internet

Enterprise Resources

Client  Server!

Applications

Intranet Email File Upload File!

Download

Client Integrity Scan

Certificate

Personal FW running Up to date Virus Files 접속 요청

Authentication Process

Nokia Secure Access !

System

사용 시나리오 – ^{홍길동 (회의장} ^내 ^접근제어 ^결과)

Enterprise Resources

Client  Server!

Applications

Intranet Email File Upload Nokia Secure Access !

System

Internet

File!

Download

Client Integrity Scan

Certificate

Personal FW running Up to date Virus Files

Authentication Process

부가적인 네트워크 접근 제어 기능 추가

회사 임원!

홍길동!

회사 임원!

홍길동! ^회사 ^임원

홍길동!

회사 노트북!

사용자 무결성 확인   (Client Integrity scan) 과  

인증서 체크를 통하여   사용하고 있는 디바이스가!

회사 노트북인지 확인하여   회사 보안 정책에 적용!

집에서 사용하는 PC

사용자 무결성 확인   (Client Integrity scan) 과  

인증서 체크를 통하여!

홍길동이 집에서 사용하는 PC인지, !

업데이트가 되지 않은   AV가 작동되고 있는가를 확인!

회의장 또는 카페의 PC!

사용자 무결성 확인   (Client Integrity scan) 과  

인증서 체크를 통하여 신뢰할 수 없는 PC로 확인!

이메일, 클라이언트서버어플리케이션, 인트라넷, 파일 다운로드/업로드 

모두 접근 허용!

웹 접근을 통한 아웃룩 이메일 및 파 일 다운로드 접속. 업로드 불가!

웹 접근을 통한 아웃룩 이메일 접속

생각해 보세요

•  국내 VPN 장비 업체들의 시장점유율은 외산에 비해 어느 정도나 될까?!

–  민간업계에서는 점유율이 해가 갈수록 떨어져 가고 있는데 그 이유 는?!

–  MS(ForeFront/IAG series), CISCO, juniper, Nokia, SonicWall 등 외 산 vendor 의 공격적인 마케팅에 대비하여 어떤 차별성을 가져야 할 까? !

문서에서 Network Security #4 (페이지 58-75)

Multiprotocol Label Switching !

네트웍 트래픽

IP, ATM

릴레이

OSI

QoS

VPN 기술 issue

• 기반 기술의 변화 !

• IPsec-based VPN 이나 SSL-VPN, MPLS-VPN 이 대두됨.!

• 기반 환경의 변화 (on-going issue)!

• Wireless VPN!

• VoIP with VPN

VPN 기술동향

• IPSec VPN -> SSL VPN 으로 변화!

VPN 기술 동향 – IPSec vs SSL

VPN 기술 동향 – IPSec vs SSL

IPSec VPN vs SSL VPN ( 구성)

( 참고) VPN 간 비교

( 참고) VPN 간 비교 (2)

실제 제품 사례 (Nokia product 예)

사용 시나리오 – 홍길동 (회사 PC)

사용 시나리오 – 홍길동 (회사 PC 접근 제어 결과)

사용 시나리오 – 홍길동 (자택 PC)

사용 시나리오 – 홍길동 (자택 PC 접근제어 결과)

사용 시나리오 – 홍길동 (회의장 내)

사용 시나리오 – 홍길동 (회의장 내 접근제어 결과)

부가적인 네트워크 접근 제어 기능 추가

생각해 보세요

• 국내 VPN 장비 업체들의 시장점유율은 외산에 비해 어느 정도나 될까?!

  IP, ATM

•  기반 기술의 변화 !

•  IPsec-based VPN 이나 SSL-VPN, MPLS-VPN 이 대두됨.!

•  기반 환경의 변화 (on-going issue)!

•  Wireless VPN!

•  VoIP with VPN

•  IPSec VPN -> SSL VPN 으로 변화!

사용 시나리오 – ^{홍길동 (회의장} ^내)

사용 시나리오 – ^{홍길동 (회의장} ^내 ^접근제어 ^결과)

•  국내 VPN 장비 업체들의 시장점유율은 외산에 비해 어느 정도나 될까?!