• 검색 결과가 없습니다.

11. 네트워크 연결 서비스2강. VPN 연결

N/A
N/A
Info
다운로드
Protected

Academic year: 2022

Share "11. 네트워크 연결 서비스2강. VPN 연결"

Copied!
11
0
0

로드 중.... (전체 텍스트 보기)

전체 글

(1)

11. 네트워크 연결 서비스 2강. VPN 연결

학습내용 - VPN 개요 - VPN(AWS)

학습목표

- VPN의 개념과 구성에 대해 설명할 수 있다.

- AWS 사의 VPN 서비스에 대해 설명할 수 있다.

1. VPN (AWS)

AWS VPN 사이트

클라우드로 데이터센터 확장하기

: 하이브리드 환경을 위한 연결 옵션 및 고려사항 - 강동환 솔루션즈 아키텍트(AWS)

2. VPN 개요 1) 등장 배경

2) 정의

- 공중망을 이용하여 사설망이 요구하는 서비스를 제공 할 수 있도록 구축한 망 - 공중망 내에서 마치 전용선처럼 사용할 수 있게 함

- 보안성 우수

(2)

: 외부인으로부터 안전하도록 주소 및 라우터 체계의 비공개 : 데이터 암호화

: 사용자 인증

: 사용자 액세스 권한 제한

3)장점

- ISP(Internet Service Provider)들이 제공하는 인터넷 망을 이용하여 구축

· 기존 사설망 구축에 드는 장비, 회선 비용 절감 - 해당 ISP가 있는 곳이면 어디서든 접속 가능 - 관리 비용 감소

· ISP에서 망 관리 - 다양한 구축 방법

· IPSec(IP Security Protocol)

· MPLS(MultiProtocol Label Switching) - 이동성 제공

· ISP의 POP(Point of Presence)가 있는 곳이면 어디서든 접속 가능

· Mobility 증가(PDA, Notebook)에 따른 접속 지원

4) 단점

- 표준의 부재

· 명확한 표준이 없어 ISP마다 다른 기술을 채택하고 있음

· 상이한 ISP간의 연동에 문제 발생 - 보안성 미약

· IPSec 또는 MPLS를 이용한 보안성의 강화를 시도하고 있으나 암호화 기술의 노출 및 국가 차원의 정책적 보안의식 부족

- 성능

· 인터넷 망을 이용하기 때문에 ISP의 VPN 성능 정책에 미치지 못하는 경우가 많음 · 클라우드 서비스 제공업체의 백본망 속도보다 낮은 성능

4) 구성 형태에 따른 분류

- Site-to-Site VPN(Intranet VPN) - Remote Access VPN

가. Site-to-Site VPN(Intranet VPN)

- 기업 내부를 LAN을 통해 연결, 넓게는 지사까지 연결

- 가장 단순한 형태의 VPN

- Site-to-Site VPN(Extranet VPN)

: 관계있는 고객사, 협력업체들까지 Intranet을 이용 가능하게 확장

(3)

나. Remote Access VPN - 기업의 원격지 접속

- 유 · 무선 및 전화접속 등을 이용하여 ISP의 NAS(Network Access Server)에 접속 - NAS는 사용자 접속 인증 절차 및 터널링 관

련 기능을 수행, ISP는 NAS에 이러한 기능을 추가하여야 함

5) 기능

6) 구현 기술

- 암호화 기술

: 송신 측이 데이터 전송 전에 암호화 하고 수신 측은 이를 복호화 하여 보안성 강화 - 터널링 기술

: 전송하고자 하는 데이터를 특정 프로토콜로 캡슐화 하여 전송

가. 터널링

- 송신자와 수신자 사이의 전송로에 외부로부터의 침입을 막기 위해 일종의 파이프를 구 성하는 것

- 파이프는 터널링을 지원하는 프로토콜을 사용하여 구현하고 있으며 사설망과 같은 보안 기능을 지원

- 터널링 되는 데이터를 페이로드(Payload)라고 부르며 터널링 구간에서 페이로드는 그저 전송되는 데이터로 취급되어 그 내용은 변경되지 않음

(4)

- 2계층 터널링 프로토콜 특징

: 터널링 프로토콜은 주로 사용자와 접속하고자 하는 위치의 LAN을 연결 : Client-to-LAN을 위한 Remote Access VPN에 주로 사용

: 터널 구성 방법

① NAS 개시 VPN(NAS Initiated VPN)

- 개인 PC에 별도의 장치 및 소프트웨어 불필요

- NAS가 인증 절차 및 터널링 프로토콜을 이용한 터널 생성에 책임 - 하나의 터널에 여러 사용자가 동시 접속 가능

- ISP의 NAS에서 기업의 Gateway까지 터널 형성 - L2F, L2TP

② 클라이언트 개시 VPN(Client Initiated VPN) - PC 등 사용자 장비에 VPN 지원 소프트웨어 설치 - 하나의 터널에 단 하나의 접속만이 존재

- PPTP (Point-to-Point Tunneling Protocol

③ 3계층 터널링 프로토콜

- 주로 site-to-site VPN에 이용

- LAN-to-LAN VPN은 VPN 터널을 이용하여 통신하는 주체가 LAN 단위의 네트워 크이며 주로 기업의 본사와 지사 사이의 네트워크를 말함

- 링크 계층과 독립적 - 우수한 보안성

나. IPSec

① 특징

데이터 근원 인증(Data Origin Authentication)

(5)

데이터 무결성(Data Integrity) 데이터 기밀성(Data Confidentiality) 재동작 방지(Replay Protection)

② 자동화된 암호키 및 보안 연관 관리

③ 종류

- AH(Authentication Header)

- ESP(Encapsulation Security Payload)

④ AH 동작모드

- Transfer Mode :기본 IPSec

- Tunneling Mode : VPN 사용

⑤ ESP 동작모드

- Transfer Mode :기본 IPSec

- Tunneling Mode : VPN 사용

⑥ AH, ESP 동작

- AH는 secure gateway사이에 사용 - ESP는 end point들간에 사용

(6)

3. 클라우드 VPN(AWS)

1) AWS VPN과 타 연결 비교

- 하이브리드 클라우드

- 온프레미스와 클라우드 연동을 위해 VPN 사용

2) AWS VPN 종류

- AWS Site-to-Site VPN : Managed VPN

- AWS Client VPN

(7)

가. AWS Managed VPN 구축

- VPC당 VGW하나 설정

- VGW(Virtual GateWay) : DX 또는 Managed VPN 연결용 - IGW : 인터넷 연결용

- 사이트는 각자 공인 IP 주소 필요하고 없는 경우 NAT-T 지원 - IPSec의 암호화, 키 교환 및 보안 설정 사용

- AWS Site 이중화 기본 제공

- 1개의 VPC 연결 = 2개의 VPN 터널

- 고객 사이트 이중화

(8)

- 다수 VPC 연결 사용

나. AWS Client VPN 구축

- OpenVPN 서버를 AWS에서 쉽게 이용할 수 있도록 한 관리형 서비스

- VPN을 통해 AWS 외부에서 VPC의 Private Subnet과 같은 내부망에 연결 제공

- 외부에서는 직접 도달할 수 없는 Private Subnet에 로컬 개발 환경 네트워크에서도 접근할 수 있음

- 참고)Software VPN(EC2 인스턴스 기반)

- AWS VPC 서비스의 VPN 섹션/VPN 엔드포인트 생성 -Client VPN 엔드포인트에 Subnet 연결

- 사용자 사용 자원에 권한 부여 규칙 추가 - VPC에 연결할 Private Subnet, Route 등 설정

- Client 온프레미스 장비에 클라이언트 무료 VPN Client SW 설치 - VPN 보안 그룹 설정

- VPN 연결

(9)

다. Software VPN(EC2 인스턴스 기반)

- EC2 인스턴스가 인터넷과 연결되기 위해 IGW 필요 - EC2는 이중화 구성(HA)

(10)

평가하기

1. 다음 중 VPN에 대한 설명이 잘못된 것은?

① Virtual Private Network의 약어로 온프레미스와 클라우드를 같이 사용할 수 있는 하이브리드 클라우드의 기반 기술이다.

② VPN의 구성 형태는 Site-to-Site VPN과 Remote Access VPN이 있다.

③ VPN의 구현 기술로는 암호화와 터널링 기술이 있다.

④ VPN의 대표적 3계층 프로토콜로는 L2F가 있다.

- 정답 : ④

해설 : VPN의 3계층 프로토콜로는 IPSec이 사용됩니다.

L2F는 VPN 2계층 프로토콜의 예입니다.

2. 다음 중 AWS VPN에 대한 설명이 아닌 것은?

① AWS Client VPN은 내 컴퓨터가 마치 다른 네트워크 상에 있는 호스트인 것처럼 만 들어주는 기술이다.

② AWS는 Site-to-Site VPN에 해당하는 서비스로 Managed VPN이 제공된다.

③ AWS Managed VPN은 HA를 위해 이중화가 자동적으로 제공된다.

④ VPC는 여러 개의 VGW를 두고 VPN을 연결할 수 있다.

- 정답 :④

해설 : 하나의 VPC는 하나의 VGW를 두고 VPN을 연결합니다.

(11)

학습정리 1. VPN 개요

- 공중망을 이용하여 사설망이 요구하는 서비스를 제공 할 수 있도록 구축한 망

- 공중망 내에서 마치 전용선처럼 사용할 수 있게 함 - 구현 기술: AWS 서비스

- Site-to-Site VPN - Remote Access VPN - 프로토콜

- 3계층 프로토콜: IPSec - IPSec: AH와 ESP로 구성

2.VPN(AWS)

- Managed VPN: Site-to-Site VPN - Client VPN: Remote Access VPN

참조

지금 다운로드하기 ( PDF - 11 페이지 - 473.73 KB )

관련 문서

[정보통신공학]01 데이터통신과 네트워크

 데이터통신 네트워크(data communication network) 혹은 컴퓨터 네트워크 (computer network) • 지리적으로 분산되어 있는 여러

OECD 신흥시장 네트워크 회의

국가 간 데이터 이동 및 디지털 서비스 확대에 따라 동남아시아 경제의 무역과 투자 정책이 개선 되어야 하며 노동과 기술의 이동성을

네트워크 보안

 시스템에서 생성된 패킷이 데이터 링크 계층과 네 트워크 계층를 거쳐 인터넷으로 나가는 패킷 흐름.. 출처: 정보보안개론

무선 네트워크 보안

 범인들은 TJX 계열 의류매장에 망원경 모양의 안테나를 겨냥하여 핸드 가격 체크용 디바이스와 금전 등록기간의 주고받는 데이터 스트리밍을

Design of Location-Based Authentication System using Beacon

Beacon을 이용한 위치기반 인증 시스템 은 인증 코드를 브로드캐스팅하기 위한 Beacon, User, 인증 코드를 기반으로 보호된 자원에 접근하기 위한 Client, 보호된 자원을 제공하

Face Recognition System for the Enhanced Authentication in the Smartwork Environment

서버 측의 Gate Manager 에서 Authentication & Authorization 모듈은 얼굴 인식 시스템에서 전달된 사용자 인증 정보를 대조하여 인증

POSCAL : A Protocol of Service Access Control by Authentication Level

이를 위해 다양한 로컬 인증정보를 바탕으로 인증 수준에 따라 서비스 접근을 제어할 수 있는 POSCAL (A Protocol of Service Access Control by

네트워크 보안 (Network Security)

9Authentication: ensures that the origin of a message or electronic document is correctly identified, with an assurance that the identity is not false 9Integrity: ensures that only