Network Security #5

IMS584 (네트워크보안

!

) VPN’s past and future!

! Fall, 2011

!

Prof. Huy Kang Kim

Key word

•  OSI 7 layer - IPSec

OSI 7 Layer

Physical Data Network

TCP/IP Layer LINK Network

Transport Transport

Session

Presentation Application

Applications

Secure Socket Layer (SSL)

IPSec

VPN

Public

Network

Virtual

Private Network

#1 VPN 은 인터넷을 이용하므로 전용선이 불필요 - 비용절감

#2 인터넷 (public

network) 에서 end-to-end encryption 을 이용

Public network 을 안전하게 구성하여! Intranet 의 확장성 및!

Fully managed function!

제공

Why VPN?

• 기업 network 환경 변화!

• 원격 접속 사용자의 급격한 증가!

–  해외지사, 지점/지사, 원격근무자, 재택근무자, 출장자, 이동근무자 !

• 원격 사용자들에 접속 및 관리의 한계!

–  네트워크 변경에 따른 Client 환경 관리!

–  추가 접속자들을 위한 지속적인 접근 제어 필요!

–  고객 사이트, 공항, 파트너 사이트, PC방 등

Why VPN?

•  원격 근무자 증가 추세!

•  다양한 유형 접속 device 의 안전한 통신 보장 필요

Why VPN? – VPN 의 장점

•  비즈니스를 수행을 위한 이동성 제고

!

– 비즈니스 성공을 위해 필수적인 이동성과 보안성에서의 신뢰성 제고!

– 점점 복잡해지는 비즈니스 형태를 고려한 최상의 시스템 제공!

– 공급자와 파트너를 위한 접근 제어로 time-to-market 최대화!

– 생산시간의 다운타임 감소!

–  Mobile 비즈니스 분야의 노하우와 네트워크 보안 분야의 기술력 병합!

•  기존 네트워크 보안 및 무결성을 유지하면서 사용자 접근 제어 가능 (smart VPN)!

– 사용자 무결성 검증 (Client Integrity Scan)!

– 다방향에서 접근하는 접근 통제 (Multi dimension access control)!

– 세션 유지 (Session Persistence)!

– 사용자를 위한 최적화 된 원격 접속 시스템!

– 사용자, 디바이스, 사용자 위치에 의한 접근 권한 관리

VPN 의 약점

•  DMZ 에 표준 SSL VPN 을 위치시킴으로써 야기되는 보안 위험들 !

–  내부 방화벽에서 여러 개의 포트들이 열려야 하기 때문에, 심각한 보안 취약점들을 야기 !

–  SSL 암호 해독 키가 안전하지 못한 환경(DMZ)에서 관리됨 !

–  암호 해독이 DMZ에서 이루어지기 때문에, 중요한 정보의 교환이 안전하지 못한 DMZ 네트워크 상에서 (암호화되지 않은) 일반 텍스 트 형태로 이루어짐 !

–  외부 방화벽이 SSL VPN에 의해 우회가능. 외부 방화벽에 의해 차 단되어야 하는 프로토콜들이 DMZ로 터널링됨에 따라 방화벽을 통 과 !

VPN 의 약점 (2)

VPN 의 약점 (3)

•  백 오피스에 표준 SSL VPN 을 위치시킴으로써 야기되는 보안 위험들 !

–  방화벽이 차단해야 할 프로토콜들이 내부 네트워크로 가는 도중에 SSL에서 터널링되기 때문에 전체 방화벽 인프라가 손상됨!

–  인증되지 않은 사용자들로부터의 네트워크 패킷이 경계에서 멈추 지 않고 내부 네트워크로 직접 전송됨

VPN 의 약점 (4)

VPN 의 약점 (5)

•  Secure case

IPSec VPN – 전통적인 VPN

특 징^!

IPSec VPN

주요기능 : IP망에서 안전하게 정보를 전송하는 표준화된 3계층 프로토콜!

두개의 보안 프로토콜 AH(Authentication Header)와 ESP!

(Encapsulation Security Payload)를 통하여 패킷인증과 패킷 암호화 !

및 키관리 기능을 갖는 터널링 기법

H.Q

Branch Office

APP Server Host

라우터

TCP/IP Client _{VPN -Box}

TCP/IP Client

Nomal Data!

Encryption Data

Remote Client

VPN -Box

인터넷/공중망

IPSec S/W 설치 LAN –to-LAN

LAN –to-Client

문서에서 Network Security #4 (페이지 45-57)

!

!

Key word

• OSI 7 layer - IPSec

VPN

Public

Network

Virtual

Private Network

Why VPN?

Why VPN?

• 원격 근무자 증가 추세!

• 다양한 유형 접속 device 의 안전한 통신 보장 필요

Why VPN? – VPN 의 장점

!

VPN 의 약점

• DMZ 에 표준 SSL VPN 을 위치시킴으로써 야기되는 보안 위험들 !

VPN 의 약점 (2)

VPN 의 약점 (3)

• 백 오피스에 표준 SSL VPN 을 위치시킴으로써 야기되는 보안 위험들 !

VPN 의 약점 (4)

VPN 의 약점 (5)

• Secure case

IPSec VPN – 전통적인 VPN

IPSec VPN

•  OSI 7 layer - IPSec

•  원격 근무자 증가 추세!

•  다양한 유형 접속 device 의 안전한 통신 보장 필요

•  DMZ 에 표준 SSL VPN 을 위치시킴으로써 야기되는 보안 위험들 !

•  백 오피스에 표준 SSL VPN 을 위치시킴으로써 야기되는 보안 위험들 !

•  Secure case