가상 사설망(VPN; Virtual Private Network)

• 개요
  • 인트넷 또는 공중망을 통해 사설망과 같은 보안 수준을 제공하는 네트워크
  • 물리적인 네트워크 구성과는 무관하게 논리적으로 폐쇄된 사용자 그룹을 구성하여 다양한 기능의 서비스를 제공하는 네트워크
     
• 등장 배경
  • 정보 공유를 위한 네트워크가 확장되었으며, 이동 사용자 혹은 재택 근무자가 증가
  • 전용회선 사용에 따른 통신 및 장비 등의 관리 비용이 급격히 증가
  • 확장된 인터넷 환경에서 안전하고 저렴한 통신 구현의 필요성이 증대
       
• 도입 범위에 따른 분류
  • Intranet VPN
    • LAN과 LAN의 연결로 거의 반영구적인 사설망
    • 자사와 연결
    • 서브넷 사이를 연결하는 만큼 대용량 통신을 처리하는 성능이 중요한 요소가 됨
    • 대부분 라우터, 방화벽 혹은 전용(Dedicated) VPN 장비를 이용한 LAN과 LAN 간의 암.복호화, 인증에 의해 구현
  • Extranet VPN
    • 보안 정책이 서로 이질적인 서브넷들을 상호연결시켜 주는 B2B VPN
    • Intranet VPN에 비해 보안 위험이 높고, 정교한 접근 설정이 필요하며, 상호운용성을 고려
    • 상호연결되어 자원을 공유하더라도 꼭 필요한 자원에 대해서만 접근을 허용해야 하고, 상대방은 항상 공격자가 될 수 있으므로 모든 가능한 경우를 대비한 총체적인 보안 솔루션이 요구됨
    • 본사로 집중되는 형태이기 때문에 대역폭의 확보가 중요하며, 파트너가 보유한 다양한 솔루션과 호환되어야 하기 때문에 호환이 보장되는 표준 기반의 솔루션이 필요함
  • 원격 접근(Remote Access) VPN
    • 모바일과 LAN의 연결
    • 이동 사용자가 사내의 자원에 안전하게 접근할 수 있도록 구현함으로써 업무의 능률을 높이고자 하는 것
    • 저속의 모뎀이나 무선 등으로 접속하기 때문에 회선의 신뢰성과 QoS(Quality of Service)가 중요한 요소가 됨
    • 상대적으로 구축 비용은 적게 드나, 일정하지 않은 위치에서 접속하기 때문에 인증 및 정보 보안이 중요
       
• 교환 방식에 따른 분류
  • IP 기반 VPN
    • 장비 구입 비용이 적고 현재 기업체에서 사용하는 단말과의 접속이 용이
    • 인터넷 트래픽이 급증항 경우, QoS 제공과 트래픽 관리 면에서 인터넷의 단점이 나타남
  • ATM 기반 VPN
    • 현재 기업체에서 사용되는 단말과 접속하기 위해 추가적인 정차기 필요하고 서비스 비용이 상대적으로 높음
    • ATM 셀, IP 패킷, 비 IP 패킷 모두를 전송할 수 있고, QoS, 망관리, 보안 등에서 뛰어남
  • MPLS 기반 VPN
    • 라벨을 이용해 데이터를 전송하므로 ATM 셀, IP 패킷을 모두 처리할 수 있음
    • IP 주소와 라우팅 정보를 ATM 스위칭 테이블에 직접 매핑시켜서 복잡한 과정을 생략할 수 있음
       
• VPN 구현 형태
  • 방화벽 기반 VPN
    • 방화벽에 VPN 터널링을 구현하는 것으로, 관리의 포인트가 단순화되는 장점
    • 트래픽이 증가할 때 암.복호화에 따른 성능 저하의 가능성이 있음
  • 라우터 기반 VPN
    • 라우터에 전용 ASIC을 사용할 수 있어 성능 문제 극복
    • 방화벽 수준의 높은 보안성을 제공할 수 없어 공격의 대상이 될 수 있음
  • 전용 VPN
    • LAN과 LAN사이를 인터넷 VPN으로 접속하기 위해 전용 하드웨어 방식으로 구현
    • 전용 제품이라 사용이 편리하고 일정한 성능 우지가 가능
    • 표준 프로토콜을 통한 호환성이 뒷받침되어야 본격적인 시장을 유지할 수 있음
  • 전용 소프트웨어
    • 노트북과 같은 개인 단말기에서는 소프트웨어를 통한 VPN 통신이 바람직함
    • 이동 중에 본사와 연결하는 용도로 사용
    • LAN 환경만큼 성능이 우수하지 않지만, 유동성이 높아 타 솔루션과 결합해 사용이 가능
         
• VPN 주요 기술 요소
  • 터널링 기술
    • 출발지와 목적지 간의 연결에 있어 데이터 암호화를 통해 전달되는 데이터의 내용을 공중망의 사용자로부터 보호하는 기술
    • VPN용 보안 프로토콜 : Layer2(L2F, PPTP, L2TP), Layer3(IPSEC, VTP, ATMP), Layer5(SOCKS V5, S니)
  • 키 관리 기술
    • VPN의 보안 알고리즘을 위한 안전한 키 생성과 키 교환 메커니즘으로, 보안 알고리즘을 협상하는 과정을 포함
    • SKIP(Sun Microsystems), Photuris(OBM), ISAKMP(CISCO) 등
  • VPN 관리 기술
    • VPN 서비스를 효과적이고 안정적으로 지원하는 기술
    • QoS 보장을 지원
         
  L2F(Layer 2 Forwarding)
  • 시스코가 제안한 VPN 프로토콜 중 하나로, IP 패킷 안에 NetBEUI 프로토콜이나 IP, IPX의 터널링을 지원
  L2TP(Layer 2 Tunneling Protocol)
  • IETF가 제안한 VPN 터널링 프로토콜 중 하나인데, 시스코의 L2F의 한계를 극복하고자 L2F와 마이크로소프트의 PPTP를 적절히 통합하여 탄생시킨 프로토콜로, 앤드 포인트 사이에 동시에 여러 개의 터널을 뚫는 것이 가능
  • 관리자가 특정 채널에 대한 업무를 전담할 수 있도록 함으로서 어느 정도의 QoS도 보장할 수 있으며, IPSec은 물론 애플토크나 IPX 같은 비 IP 프로토콜도 지원
  PPTP(Point To Point Tunneling Protocol)
  • 마이크로소프트의 3Com이 공동으로 개발한 VPN 터널링 프로토콜로, 공중망을 통해 패킷 데이터를 안전하게 전송하기 위한 VPN 터널링 프로토콜 중 하나
  • 외부로부터 액세스 제어가 가능하기 때문에 앤드 투 앤드나 서버 투 서버 터널링에 적합하며, 멀티 프로토콜 인캡슐레이션 과정을 통해 IPX, NetBEUI 등 어떤 형태의 패키지라도 전송이 가능