VPN

인터넷망을 이용한 가상사설망(VPN : Virtual Private Network)서비스의 개념과 VPN 접속방식, 구현방식, 터널링 기술을 설명하시오.

 

1. VPN 기술의 등장배경

2. VPN의 정의 및 장점

3. VPN 구분

  3.1 접속 방법에 따른 분류

     가. Intranet 방식

     나. Extranet 방식

     다. Remote Acess 방식

  3.2 구현 방법에 따른 분류

     가. 전용시스템 방식

     나. 라우터 방식

     다. 방화벽 방식

4. 터널링 기술

 

 

 

 

1. VPN 기술의 등장배경

  - 인터넷은 확장성과 사용상의 편의성을 바탕으로 급격히 확산되었지만, 일부 사용상의 문제점이 나타나게 됨

  - 인터넷의 개방성과 확장성으로 인해 보안상 취약성이 많고, 네트워크 공유로 인한 속도 저하 등의 서비스 질(QoS:Quality of Service)이 불확실

  - 해킹등으로 인한 정보의 유출, 변조, 도용 등의 보안상 문제점이 심각하게 대두되었고 네트워크를 공유함에 따라 자원의 독점이 불가능하므로 원하는 시간에 원하는 만큼의 정보를 전송할 수 있는 기능을 보장할 수 없게 됨

  - 이러한 문제를 해결하고자 많은 기관에서는 별도의 회선을 설치하여 전용망(X.25, Frame relay)을 운영해 옴

  - 전용선을 설치하면 이러한 문제들을 해결할 수 있긴 하지만 구축 비용이 엄청나게 많이 듬

  - 전용선의 한계를 극복하면서 손쉽게 전용망과 같은 효과를 얻는 방법으로 새롭게 대두된 것이 바로 가상사설망(VPN:Virtual Private Network)

  - 가상 사설망은 기존의 인터넷망을 그대로 이용하면서 저렴한 비용으로 전용망을 구축한 효과를 얻을 수 있다. 즉 인터넷에서 사용자들에게 전용망과 같은 서비스의 질을 보장해주고 보안기능을 제공함으로써 저렴한 비용으로 전용선을 이용하는 효과를 제공 

 

2. VPN의 정의 및 장점

  - 가상사설망은 글자그대로 물리적으로 존재하지 않는 사설망(Priviate Network)을 가상(Virtual)으로 별도의 전용망처럼 사용하는 것을 말한다

  - 사설망을 물리적으로 구축하지 않고 기존의 인터넷과 같은 공중망(Public Network)을 이용해 특정 사용자 그룹이 사설 목적으로 이용하는 형태를 말한다

  - 가상사설망의 주요 이점은 비용절감과 확장성이다

    가. 비용절감

       - 기존의 인터넷망을 그대로 이용하므로 별도의 전용회선을 구축하지 않아도 되고, 전용회선 사용료보다 인터넷 사용비용이 훨씬 저렴

    나. 확장성

       - 인터넷을 이용하기 때문에 확장성이 용이

 

3. VPN 구분

  - 가상사설망은 접속 방법, 이용회선, 서비스 제공방식, 그리고 구현방식 등에 따라 다양한 형태로 구분됨

 

  3.1 접속 방법에 따른 분류

http://hyrobo.egloos.com/viewer/3513111

     가. Intranet 방식

        - 본사와 지사간을 연결한 가상 사설망

        - LAN to LAN 연결방식

        - VPN 라우터나 VPN 침입차단 시스템을 통해 구현

     나. Extranet 방식

        - 보안정책이 이질적인 협력업체나 관계기관의 LAN을 상호 연결시키는 B2B(Business to Business) 방식

        - Intranet 방식에 비하여 보안상의 위협이 큼

     다. Remote Acess 방식

        - 본사와 원격지의 허가를 받은 사용자간을 연결한 가상사설망

        - Mobile to LAN 연결방식

        - 이동사용자는 유무선 전화망과 인터넷을 통해 회사 내부 네트워크 접근

        - 이동 사용자의 노트북등에 VPN 클라이언트 소프트웨어가 설치되어야 함

        - 신원 도용과 도청을 방지하기 위하여 사용자 인증과 암호화 기능의 강화가 요구됨

 

  3.2 구현 방법에 따른 분류

      - 가상 사설망은 구현 방법에 따라서 전용시스템 방식, 라우터 방식, 파이어월 방식으로 분류할 수 있다.

     가. 전용시스템 방식

        - 가상사설망을 전용 하드웨어에 구현하여 클라이언트와 내부 내트워크 사이의 보안이 필요한 곳에 독립적으로 가상사설망 제품을 설치하는 것

        - LAN to LAN으로 구현되며 게이트웨이와 암호화장비가 결합한 형태

        - 전용기기를 사용하기 때문에 대역폭의 증가 또는 고속의 통신이 필요한 경우에 적합하고 가상사설망을 쉽게 확장할 수 있다는 것이 장점

        - 그러나 장비구입에 있어서 고가의 비용을 지불해야 한다는 단점

     나. 라우터 방식

        - 전송경로상에 있는 라우터가 가상사설망의 기능을 수행하도록 하는 방식으로 비용이 저렴

        - 이 방식에서 터널은 점대점 방식으로 형성되며 가상사설망의 기능은 터널의 종단에 위치한 라우터의 성능에 의존

        - 이 방식은 전용시스템 방식에 비해 비용이 상대적으로 저렴하지만, 전송경로상의 라우터는 기업내부에서 통제할 수 없는 경우가 많기 때문에 비밀정보의 노출을 막기 힘든 단점이 있다

     다. 방화벽 방식

        - 방화벽에 가상사설망 기능을 추가한 방식

        - 이 방식은 트래픽이 집중되는 방화벽에 VPN 기능까지 추가되어 더욱 병목현상을 가중시킬 수 있는 단점이 있음

 

4. VPN 터널링 기술

  4.1 터널링 기술

     - VPN을 구성함에 있어 가장 중요한 핵심기술

     - 외부로부터 어떠한 영향도 받지 않고 안전하게 데이터 스트림을 인터넷 상에서 가상의 파이프(두 노드 또는 네트워크 간에 가상의 링크)를 통해 전달시키는 기술

     - 터널링은 캡슐화(Capsulation), 전송(Transmission), 그리고 디캡슐화(Decapsulation) 과정을 포함

 

 4.2 터널링 개념도

     - 터널링 프로토콜은 먼저 라우팅 정보를 포함하는 추가 헤더정보로 프레임을 캡슐화하여 전송함

     - 캡슐화된 프레임은 추가헤더 정보내의 라우팅 정보를 기반으로 공중망을 경유하여 터널 엔드포인트로 전송됨

     - 캡슐화된 프레임이 망의 목적지에 도달하면 디캡슐화되어 최종목적지로 향하게 됨

  

http://apollo89.com/wordpress/?p=519 

 

 4.2 터널링 프로토콜

     - 터널링 프로토콜의 대표적인 기술로 PPTP,L2F, L2TP, IPSec 등과 같은 다양한 프로토콜이 있음 

     - VPN 터널링 프로토콜은 터널이 형성되고 운용되는 계층에 따라 아래와 같이 구분

     - OSI 참조 모델에서 데이터링크 계층인 2계층 터널링 기법은 가장 보편적인 형태로 대부분 IPSec 이전의 VPN 기술로 IP나 IPX 패킷을 PPP에 캡슐화한 후, 다시 터널링 프로토콜로 캡슐화하는 형태를 사용한다

 

http://www.slideshare.net/skccsocial/security-framework2

    가. PPTP(Point to Point Tunneling Protocol)

       - 마이크로소프트사와 몇몇 회사들에 의해서 제안된 표준

       - PPP(Point to Point Protocol)의 Packet을 IP Packet으로 Encapsulation하여 IP 네트워크에서 전송하기 위한 터널링 기법 

       - 원격사용자와 Private Network 사이에 Secure Connectivity 제공

       - PPTP는 기존의 PPP에 Tunneling을 구현해 주는 것, PPP가 두 peer사이에 data link를 만들어 주는 것이라면, PPTP는 그 connection위에 Tunnel을 만들어 주는 것

    나. L2TP(Layer 2 Tunneling Protocol)

       - PPTP(Microsoft)+L2F(Cisco)

       - L2TP는L2F(Layer 2 Forwarding) 프로토콜을 향상시키기 위해 PPTP와 L2F 프로토콜을 결합한 터널링 프로토콜임

        - IPSec의 기능을 이용한 강력한 보안 제공

    다. IPSec(Internet Protocol Security)

       - IP 망에서 안전하게 정보를 전송하는 표준화된 3계층 터널링 프로토콜

       - IP 계층의 보안을 위해 IETF에 의해 제안되어 VPN 구현에 널리 쓰이고 있음

       - IPv4에서는 선택적으로 구현되며, 차세대 인터넷 프로토콜 IPv6에서는 필수적으로 구현되는 프로토콜로 지정되어 있음

 

http://hyrobo.egloos.com/viewer/3513111

http://www.slideshare.net/hendramulyanto/ccna-icnd2

 

 

 

 

How VPN Works

In the Figure, host 1 and host 6 need to communicate. The connection passes in the clear between host 1 and the local Security Gateway. From the source and destination addresses of the packet, the Security Gateway determines that this should be an encrypted connection. If this is the first time the connection is made, the local Security Gateway initiates an IKE negotiation with the peer Security Gateway in front of host 6. During the negotiation, both Security Gateways authenticate each other, and agree on encryption methods and keys. After a successful IKE negotiation, a VPN tunnel is created. From now on, every packet that passes between the Security Gateways is encrypted according to the IPSec protocol. IKE supplies authenticity (Security Gateways are sure they are communicating with each other) and creates the foundation for IPSec. once the tunnel is created, IPSec provides privacy (through encryption) and integrity (via one-way hash functions).

 

After a VPN tunnel has been established:

• A packet leaves the source host and reaches the Security Gateway.
• The Security Gateway encrypts the packet.
• The packet goes down the VPN tunnel to the second Security Gateway. In actual fact, the packets are standard IP packets passing through the Internet. However, because the packets are encrypted, they can be considered as passing through a private "virtual" tunnel.
• The second Security Gateway decrypts the packet.
• The packet is delivered in the clear to the destination host. From the hosts' perspectives, they are connecting directly.

 

 

 

 

http://www.astriz.com/tech/18_VPN.pdf

http://www.netbuysell.co.kr/PDS/20080630/%EA%B0%80%EC%83%81%EC%82%AC%EC%84%A4%EB%A7%9D-VPN.pdf

https://sc1.checkpoint.com/documents/R77/CP_R77_VPN_AdminGuide/13894.htm

http://apollo89.com/wordpress/?p=519

http://www.slideshare.net/skccsocial/security-framework2

http://hyrobo.egloos.com/viewer/3513111

http://ipv6.com/articles/security/Virtual-Private-Network.htm