IMS584 (네트워크보안
!
) VPN’s past and future!! Fall, 2011
!
Prof. Huy Kang Kim
Key word
• OSI 7 layer - IPSec
OSI 7 Layer
Physical Data Network
TCP/IP Layer LINK Network
Transport Transport
Session
Presentation Application
Applications
Secure Socket Layer (SSL)
IPSec
VPN
Public
!Network
Virtual
Private Network
#1 VPN 은 인터넷을 이용하므로 전용선이 불필요 - 비용절감
#2 인터넷 (public
network) 에서 end-to-end encryption 을 이용
Public network 을 안전하게 구성하여! Intranet 의 확장성 및!
Fully managed function!
제공
Why VPN?
• 기업 network 환경 변화!
!
!
!
!
!
!
!
!
!
!
• 원격 접속 사용자의 급격한 증가!
– 해외지사, 지점/지사, 원격근무자, 재택근무자, 출장자, 이동근무자 !
• 원격 사용자들에 접속 및 관리의 한계!
– 네트워크 변경에 따른 Client 환경 관리!
– 추가 접속자들을 위한 지속적인 접근 제어 필요!
– 고객 사이트, 공항, 파트너 사이트, PC방 등
Why VPN?
• 원격 근무자 증가 추세!
• 다양한 유형 접속 device 의 안전한 통신 보장 필요
Why VPN? – VPN 의 장점
• 비즈니스를 수행을 위한 이동성 제고
!
– 비즈니스 성공을 위해 필수적인 이동성과 보안성에서의 신뢰성 제고!
– 점점 복잡해지는 비즈니스 형태를 고려한 최상의 시스템 제공!
– 공급자와 파트너를 위한 접근 제어로 time-to-market 최대화!
– 생산시간의 다운타임 감소!
– Mobile 비즈니스 분야의 노하우와 네트워크 보안 분야의 기술력 병합!
• 기존 네트워크 보안 및 무결성을 유지하면서 사용자 접근 제어 가능 (smart VPN)!
– 사용자 무결성 검증 (Client Integrity Scan)!
– 다방향에서 접근하는 접근 통제 (Multi dimension access control)!
– 세션 유지 (Session Persistence)!
– 사용자를 위한 최적화 된 원격 접속 시스템!
– 사용자, 디바이스, 사용자 위치에 의한 접근 권한 관리
VPN 의 약점
• DMZ 에 표준 SSL VPN 을 위치시킴으로써 야기되는 보안 위험들 !
– 내부 방화벽에서 여러 개의 포트들이 열려야 하기 때문에, 심각한 보안 취약점들을 야기 !
– SSL 암호 해독 키가 안전하지 못한 환경(DMZ)에서 관리됨 !
– 암호 해독이 DMZ에서 이루어지기 때문에, 중요한 정보의 교환이 안전하지 못한 DMZ 네트워크 상에서 (암호화되지 않은) 일반 텍스 트 형태로 이루어짐 !
– 외부 방화벽이 SSL VPN에 의해 우회가능. 외부 방화벽에 의해 차 단되어야 하는 프로토콜들이 DMZ로 터널링됨에 따라 방화벽을 통 과 !
VPN 의 약점 (2)
VPN 의 약점 (3)
• 백 오피스에 표준 SSL VPN 을 위치시킴으로써 야기되는 보안 위험들 !
– 방화벽이 차단해야 할 프로토콜들이 내부 네트워크로 가는 도중에 SSL에서 터널링되기 때문에 전체 방화벽 인프라가 손상됨!
– 인증되지 않은 사용자들로부터의 네트워크 패킷이 경계에서 멈추 지 않고 내부 네트워크로 직접 전송됨
VPN 의 약점 (4)
VPN 의 약점 (5)
• Secure case
IPSec VPN – 전통적인 VPN
특 징!
IPSec VPN
!주요기능 : IP망에서 안전하게 정보를 전송하는 표준화된 3계층 프로토콜!
두개의 보안 프로토콜 AH(Authentication Header)와 ESP!
(Encapsulation Security Payload)를 통하여 패킷인증과 패킷 암호화 !
및 키관리 기능을 갖는 터널링 기법
H.Q
Branch Office
APP Server Host
라우터
TCP/IP Client VPN -Box
TCP/IP Client
Nomal Data!
Encryption Data
Remote Client
VPN -Box
인터넷/공중망
IPSec S/W 설치 LAN –to-LAN
LAN –to-Client