[네트워크] VPN_2

[ 1) VPN의 개요 ]

---

{ VPN의 장점 }
> ISP들이 제공하는 인터넷망을 이용하여 구축

   • 기존 사설망 구축에 드는 장비, 회선 비용 절감

> 해당 ISP가 있는 곳이면 어디서든 접속 가능

> 관리 비용 감소: ISP에서 망 관리

> 다양한 구축 방법

   • IPSec, MPLS(MultiProtocol Label Switching)를 이용하는 방법 등 다양한 VPN 구축 방법이 가능

> 이동성 제공: ISP의 POP가 있는 곳이면 어디서든 접속가능

   • Mobility 증가(PDA, Notebook)을 이용한 접속 가능

> 네트워크의 유연성

   • 지사의 위치 이동 및 생성에도 ISP까지만 연결하면 됨

---

{ 전용선을 이용한 사설망의 구축 예 }

   • 거리에 상관없이 망을 연결해야 하므로 구축비용이 큼

전용선을 이용한 사설망의 구축 예시

{ 인터넷을 이용한 VPN 구축 예 }

   • 각 지사는 VPN 구축 계약이 된 ISP의 망까지만 연결하면 되므로 구축 비용이 상대적으로 적게 듬

인터넷을 이용한 VPN 구축 예시

---

{ VPN의 단점 }

> 표준의 부재

   • 명확한 표준이 없어 ISP마다 다른 기술을 채택하고 있으며

     상이한 ISP간의 연동에 문제가 발생

> 보안성 미약

   • IPSec 또는 MPLS를 이용한 보안성의 강화를 시도하고 있으나

     암호화 기술의 노출 및 국가 차원의 정책적 보안 의식이 부족

> 성능

   • 인터넷 망을 이용하기 때문에 ISP의 VPN 성능 정책이 미치지 못하는 경우가 많으며,

     대부분 T1, E1 등의 회선 사용으로 LAN 의 성능(10/100Mbps)을 따라가지 못하는 경우가 많다

---

{ VPN의 활용분야 }

> 재택 근무자, mobile user, telecommuter

> 본사와 지사, 지사와 지사

> 협력 업체와 네트워크를 통한 extranet 구성

> 모 기업과 협력 업체간의 연결

> 동종 기업간의 자료 공유

> 전자 상거래와 보안

---

[ 2) VPN의 구성요소 ]

---

{ VPN 구현 기술 - [ 터널링, 암호화 및 인증, 접근제어 ] }

> 터널링

   • 상용망에서 전용망과 같은 보안 효과를 주기 위한 기법으로

      VPN 내의 두 호스트간에 가상 경로를 설정해 주어 사용자에게 투명한 통신서비스를 제공

   • 인터넷과 같은 안전하지 못한 네트워크 환경에서 전용선과 같 은 강력한 보안을 제공

   • IP 패킷이 공중망을 통과할 때 사용자 간에 마치 터널이 뚫린 것처럼 통로를 마련하여

     이 통로를 통해 데이터를 안전하게 전송하는 것

 

> 암호화 및 인증

   • 정보의 기밀성을 제공하기 위해 대칭키 암호를 사용

      -- DES, RC5, SEED, AES 등을 사용

   • 암호화에 사용되는 대칭키는 키 교환을 통해 공유

      -- 공개키 암호방식(RSA, ElGamal 등)을 사용

   • 메시지 인증은 수신된 메시지가 주장된 출처에서 왔고, 변경되지 않았다는 것을 확인

      -- MAC 또는 해시함수를 사용

   • 사용자 인증은 시스템, 사용자의 신원을 확인하는 프로세스로서 보안서버로부터 인증을 받아야 접속이 허가됨

      -- 공유키, 공개키,인증서 , 전자서명 등을 사용

 

> 접근제어

   • 필터링은 세밀하게 접근제어를 결정할 수 있지만 암호화하지 않은 IP 패킷 정보에서만 필터링 수행이 가능

   • 암호화된 패킷에는 필터링 적용이 불가능

---

{ VPN의 기능 }

서비스	내용
데이터 기밀성	송수신되는 데이터를 제3자가 그 내용을 파악하지 못하도록 암호화 하여 전송
데이터 무결성	송수신 도중 데이터의 내용이 변경되지 않았음을 보장하는 방법으로 암호화 및 전자서명(Digital Signature)을 이용
데이터 발신지 인증	수신한 데이터가 해당 송신자에 의해서 전송된 것임을 확인할 수 있 는 서비스 제공
접근 통제	인증된 사용자에게만 접근을 허용하는 기능으로 협상 내용을 모르는 제3자의 접근을 통제하는 서비스를 제공