Скачать презентацию VPN 기술 및 보안 2002 4 15 채기준
324ebe26c21719f0cb8330c48286201b.ppt
- Количество слайдов: 46
Скачать презентацию VPN 기술 및 보안 2002 4 15 채기준
Скачать презентацию VPN 기술 및 보안 2002 4 15 채기준
VPN 기술 및 보안 2002. 4. 15 채기준 kjchae@ewha. ac. kr 1
목 차 § § § § VPN 정의 및 등장 배경 VPN 특징 VPN 기술 및 구현방식 VPN 프로토콜 Key 관리 기법 국내외 VPN 시장 현황 Summary 2
VPN(Virtual Private Network) 이란? l 공중망을 이용하여 사설망처럼 직접 운용 관리할 수 있는 것으로 컴퓨터 시스템과 프로토콜들의 집합으 로 구성 VPN 설치 전 VPN 설치 후 3
VPN 등장 배경 작업환경 변화 이동성 요구 네트워크 확장 요구 증가 강력한 보안 요구 인터넷 기술 발달 이동성과 확장성 제공 비용 감소 효과 인터넷 기술과 부합하는 새로운 기술 VPN 4
VPN 특징 (1/2) l 특징 § Internet의 개방적이고 분산된 하부구조 사용 § ISP에 POP(Points of Presence)으로 연결 § 전송되는 데이터에 Encryption, Authentication 등 보안기능 제공 l 장점 § 비용 절감 § 유연성 있는 운영과 관리의 수월성 § 확장성과 이동성 제공 § 안전성 보장 § 편리한 네트워크 구성 환경 제공 5
VPN 특징 (2/2) l Tunneling § The “Virtual” in VPN § 사용자의 VPN 응용 프로그램으로부터 ISP와 Internet infra를 숨기는 것 l 다양한 Security Services § The “Private” in VPN § VPN 상의 두 사용자간에 있는 tunnel이 private link인 것처럼 보이게 하는 것 6
VPN 기술 Key 관리 기술 VPN 서비스 위해 필요한 보안 사항들을 협상 키관리 프레임워크 ISAKMP/OAKLEY를 이용 터널링 기술 End-to-End 전용 회선 연결과 같은 효과 두 종단 사이에 가상적인 터널 형성하는 기술 VPN 관리 기술 효과적이고 안정적으로 VPN 서비스 지원하는 기술 Qo. S 보장 지원 암호화, 인증 기능 제공 각 네트워크 계층별로 터널링 프로토콜 존재 7
VPN 구현 방식 l Remote Access(Dial-up) VPN § 본사와 원격지 허가 받은 사용자간의 네트워킹 § Client-to-LAN 방식 사용 § 사용이나 관리상의 용이성이 중요한 부분 l Intranet VPN § 본사와 지사간의 네트워킹 § LAN-to-LAN 방식 사용 l Extranet VPN § 본사와 사업 파트너 또는 고객 등과의 네트워킹 § 보안 정책이 다른 subnet들을 상호 연결 § 높은 보안 위험성 복잡한 구현 형성 8
VPN 구현 방식 CORPORATE INTRANET MAIN OFFICE INTRANET 9
VPN 프로토콜 l 역할 § Packet Encapsulation § Tunnel 생성 및 관리 § Cryptographic Key 관리 l 종류 § Layer 2 프로토콜 • Client-to-LAN VPN을 관리하는 데 주로 사용 • 예) PPTP, L 2 F, L 2 TP § Layer 3 프로토콜 • LAN-to-LAN VPN을 관리하는 데 주로 사용 • 예) IPSec § Session Layer 프로토콜 • 응용 계층에서 필터링을 지원하는 데 주로 사용 • 예) SOCKS V 5 10
VPN 프로토콜 LAN-to-LAN VPN 인터넷 기업 LAN 1 기업 LAN 2 VPN 장비 Remote Access VPN Mobile Worker 11
Layer 2 Tunneling 방식 l Voluntary Tunneling § Client-initiated Tunneling § Client가 직접 Tunnel 서버와 Tunnel 형성 end-to-end Tunnel § 클라이언트에 PPTP/L 2 TP 가 탑재되어 있어야 함 § 동시에 TCP/IP를 이용하여 다른 Internet 호스트에 접근 가능 l Compulsory Tunneling § § § ISP-initiated Tunneling ISP Remote Access Switch가 Client 대신 Tunnel 형성 ISP가 VPN 제공하는 경우 주로 사용 말단 사용자에게 투명성 제공 초기연결 링크가 Tunnel 밖에서 일어나므로 attack 위험 12
Layer 2 Tunneling 방식 Voluntary Tunneling 인터넷 client 1 Server client 2 Compulsory Tunneling 인터넷 client 1 server RAS client 2 13
PPTP (Point-to-Point Tunneling Protocol) l 2 계층 프로토콜 l Microsoft에서 제안 l 원격 사용자 인증 위해 PPP(Point-to-Point Protocol) 사용 l 원격 사용자와 Private Network 사이에 Secure Connectivity 제공 l PPP 패킷 Encapsulation을 위해 GRE(Generic Routing Encapsulation) 사용 l 다양한 프로토콜 지원 (IP, IPX, Net. BEUI, …) 14
L 2 TP (Layer 2 Tunneling Protocol) l 2 계층 프로토콜 l PPTP(Microsoft) + L 2 F(Cisco) l 하나의 Tunnel안에 여러 Session 가능 l 같은 site의 각 Tunnel마다 Qo. S 매개변수 지정 가능 l IPSec의 기능을 이용한 강력한 보안 제공 l 같은 스트림 이용해서 제어 메시지 & 데이터 메 시지 동시 전달 l 다양한 네트워크 형태(IP, ATM, X. 25, etc)에서 사용 가능 15
SOCKS V 5 l Session Layer proxy 프로토콜 l SOCKS V 4의 확장 형태 Client Authentication, Encryption Negotiation, UDP Proxy 등 보안 기능 추가 l 응용 계층에서 필터링을 지원 l SSL/TLS 결합 사용 가능 l 2, 3계층 Tunneling 프로토콜에 비해 뛰어난 액세스 제어 기능 제공 Extranet VPN에 적합 16
IPSec (IP Security) l 3 계층 프로토콜 l IETF IPSec Working Group에 의해 제안 l IP 계층에서의 보안 프로토콜을 제공하기 위한 개방 구조 프레임워크 l LAN-to-LAN & Client-to-LAN 17
IPSec 구성 요소 l 인증과 암호화 위한 헤더 § AH (Authentication Header) § ESP (Encapsulating Security Payload) l 연결 관리와 정책 관리를 위한 데이터베이스 § SPD(Security Policy Database) 보안 정책 데이터베이스 § SAD(Security Association Database) 보안 연계 데이터베이스 l Key 관리 메커니즘 § IKE(ISAKMP/OAKLEY) 18
VPN 프로토콜 비교 PPTP L 2 TP IPSec SOCKS V 5 표준화 Microsoft RFC 2661 RFC 2401~2410 RFC 1928, 1929, 1961 제공계층(OSI) 2계층 3계층 5계층 모드 Client-Server Peer-to-Peer Client-Server 제공하는 프로토콜 IP, IPX, Net. BEUI, etc IP TCP, UDP/IP 터널 서비스 Single PPP tunnel Per connection Multiple PPP tunnel, Per SA Session-by-Session 사용자 인증 X Per connection X X O 데이터 인증/암 호화 X (PPP 의해 제공) Packet 단위 제공 Message 단위 제공 키 관리 X X ISAKMP/IKE GSS-API/SSL 엑세스 제어 X X Packet filtering Packet/content filtering, proxying 효율적인 VPN Remote access Intranet Extranet
IPSec (인증) l AH(Authentication Header) § IP 데이터그램에 제공하는 기능 • 인증, 무결성 § 인증 절차 • MD 5, SHA-1 등의 인증 알고리즘을 이용하여 키 값과 IP 패킷의 데 이터를 입력으로 한 인증 값을 계산하여 AH 의 인증 필드에 기록 • 수신자는 같은 키를 이용하여 인증 값을 검증 § 트랜스포트모드 vs. 터널모드 Transport mode AH IP header AH IP payload Authenticated except for mutable fields in ‘IP header’ Tunnel mode AH New IP header AH IP header IP payload Authenticated except for mutable fields in ‘New IP header’ 20
IPSec (암호화) l ESP(Encapsulation Security Payload) § IP 데이터그램에 제공하는 기능 • 선택적 인증, 무결성, 기밀성, 재연공격방지 • 부분적인 순서 무결성, 제한적인 트래픽 플로우 비밀성 § 적용방법 • ESP 단독 • ESP+AH 조합된 형태 (터널모드 사용 시) § 보안 서비스 • host vs. host • host vs. 보안 gateway • 보안 gateway vs. gateway 21
IPSec (암호화) l ESP(Encapsulation Security Payload) § 터널 종단간에 협상된 키와 암호화 알고리즘으로 데이터 그램 암호화 § 트랜스포트모드 vs. 터널모드 Transport mode ESP IP header ESP header IP payload ESP trailer ESP auth Encrypted Authenticated Tunnel mode ESP New IP header ESP header IP payload ESP trailer ESP auth Encrypted Authenticated 22
AH와 ESP 이용한 IPSec 보안 호스트 A 보안 게이트웨이 2 보안 게이트웨이 1 호스트 B 보안 게이트웨이 사이는 AH 사용 IPSEC Authentication only IPSEC Encryption & authentication 말단 호스트 사이는 ESP 사용 IP header 보안 게이트웨이 사이 New IP header 보안 게이트웨이 2 와 호스트 B 사이 AH Added AH ESP header Payload ESP trailer ESP auth IP header 호스트 A 와 보안 게이트웨이 1 사이 ESP header Payload ESP trailer ESP auth ESP applied packet 23
암호 알고리즘 l PPTP § MPPE(Microsoft Point-to-Point Encryption) 사용 RC 4 사용 (40 bits or 128 bits) l L 2 TP § PPP 사용 가능하나 IPSec을 선호 l IPSec § ESP에서 DES 사용 § 여러 가지 알고리즘 중에서 선택적으로 사용 가능 A 고려사항 너무 자주 key를 변경하는 것은 네트워크 효율에 영향 미친다. 24
Key 관리 기법 l 게이트웨이를 위한 key 관리 § 종류 • 두 보안 게이트웨이 사이 Device 자체를 인증 Hard-wired key가 포함되지 않은 경우 : random하게 생성 • 보안 게이트웨이와 이동성을 지닌 사용자 사이 Interoperable PKI § 동적 key 관리법 사용 (IKE) • Key를 자주 교환하고 많은 수의 사이트 있을 경우 적합 • Session key는 보안 게이트웨이나 key 관리 서버에 의해 random 하게 생성 25
Key 관리 기법 l 사용자를 위한 key 관리 § 필요로 하는 모든 IPSec SA 파라미터를 생성하는 central 사이트를 설정 사용자에게 이것을 보내주는 메커니즘 제공 § Remote VPN 사용자는 보안 게이트웨이를 통해 인증 을 받아야 함 26
ISAKMP (Internet Security Association & Key Management Protocol) l SA 관리와 key 관리를 정의하기 위해 IETF에서 제안 된 프레임워크 l 주요 내용 § SA의 설정, 협상, 변경, 삭제 위한 과정 § 패킷 포맷, Key 생성 § 인증된 데이터 교환을 위한 페이로드 l IPSec § 보안, 인증을 제공하기 위해 양쪽간에 사용할 암호 알고리 즘, key 등에 대한 합의 있어야 함 § Key 교환 위한 필수사항 • Manual key exchange • Automated key exchange 27
Oakley l ISAKMP에서 사용하는 key 교환 메커니즘 l Diffie-Hellman 프로토콜에 기반 § 양쪽이 가지고 있는 암호 알고리즘에 필요한 공유 키를 생 성하는 방법 l 네트워크 상에서 가능한 공격을 방지하기 위한 메커 니즘 첨가하여 설계됨 l IPSec 위한 IETF의 제안 § ISAKMP와 Oakley 결합하여 키 교환과 SA 협상 위한 프로 토콜인 IKE 프로토콜 사용을 제안 28
국내 VPN 시장 현황 l l l 1999년 약 200억원 시장 규모 형성 2000년 500억원 이상 규모 확장 예상 국내 ISP 및 주요 기업들이 VPN 서비스 시작 주로 대기업 및 유통회사를 대상으로 하고 있음 대부분 Remote Access VPN 위주의 서비스 제공 VPN 전용 하드웨어 위주로 시장 형성 29
한국통신 l en. Tum (www. entum. com) § 기업망 구성을 대행하는 서비스로 자체 사내망 구성과 인터넷 그리고 원격접속 서비스 등 기업전산환경 구축을 위한 모든 작업과 관리를 아웃소싱하는 토탈 솔루션 30
한국피에스아이넷 (구)아이네트 l 2000. 2 회사 개명(www. kr. psi. net) l 보안 서비스로 Managed VPN 서비스 제공 l VPN 전용장비(VPNet’s VSU)를 이용하여 Remote 및 LAN-to-LAN VPN 서비스 제공 l Remote VPN 가입자 관리 및 네트워크 관리는 본 사에서 수행 l 서비스 제공 업체 제일제당, 두산그룹 31
데이콤 l 천리안 01421을 통해 ‘CPN(천리안 가상 사설망)’ VPN 서비스 제공 l 별도의 장비 필요 없이 전화선 이용 기존 라우터에 L 2 TP/L 2 F 적용 l 모뎀이 설치된 PC가 있으면 가입 즉시 어디서나 사 용이 가능 l 각지의 네트워크 사용자를 본사에서 직접 관리 가능 l CISCO와 전략적 제휴를 통해 서비스 관리 시스템 개발 중 l 서비스 제공 예정 업체 데코, 이랜드, 포스코, LG-IBM 32
기타 ISP 업체들 l SK 텔레콤 § 01442 망을 통한 Dial-up 사용자 중심의 VPN 서비스 제공 l 삼성 SDS § ‘유니웨이 인터넷 VPN’ 통해 삼성-GE 의료기기, ㈜새한 등에 서비스 제공 l 현대정보기술 신비로 § 현대그룹 중심으로 인터넷 VPN 서비스 33
기타 장비 업체들 l 노텔 § Contivity Access • 대기업 위주의 상품 • LG 인터넷, 아시아나항공, 경동보일러, 한국통신, etc § Baystack Instant Internet • 중소기업을 공략하기 위한 저렴한 VPN 솔루션 제품 l 한국 쓰리콤(코리아링크) § Net. Builder • 보험회사 중심 l Time. Step § Permit Gate 4520 • 삼성항공 l 퓨처시스템 § Secureway. Suite : End-to-end 통합 보안 솔루션 제품 34
해외 VPN 시장 현황 l 해외 ISP들은 사설 IP망을 이용하여 Managed IP VPN 서비스 제공 l 대부분의 ISP들이 Remote 및 LAN-to-LAN VPN 서비스 제공 l ISP의 VPN 서비스를 가입해서 주로 사용하는 형 태가 일반화 35
해외 기업들의 VPN 적용 현황 Fortune 1000 companies are expected to adopt VPNs 36
해외 기업들의 VPN 적용 현황 Outsourced network management services : U. S. market 37
해외 VPN 시장 현황 (1999년) l VPN 전용 하드웨어 제품 매출 § 1999년 1/4분기 3. 7 million(1998년 4/4분기 비해 2배 증가) § 1999년 4/4분기 160 million 예상 l 라우터 기반 VPN 제품 매출 § 1999년 1/4분기 443 million § 1999년 4/4분기 697 million 예상 38
해외 VPN 시장 동향 l VPN 장비와 서비스 시장 규모 (by www. instat. com) § § 1999년 2. 67 billion 시장 규모 2000년에는 1999년보다 70% 확대 예상 2001년에는 2000년보다 145% 확대 예상 2002년에는 2001년보다 81% 확대 예상 39
VPN 제품 동향 장 점 Firewall related S/W VPNs Tunnel terminator가 firewall 내에 있어서 안전 보장 서버의 H/W 업그레이드로 성능 향상 VPN 통합하는데 저렴한 추가비용 Router & Switch VPNs 간단한 VPN 관리 Standalone S/W VPNs H/W based VPNs 단 점 데이터 암호화 : CPU intensive operation firewall 성능 저하 최상의 통합 VPN-firewall 제품 생산이 어려움 Traffic 전송 성능 저하 서버의 H/W 업그레이드로 성능 향상 기존 H/W 사용 가능 다기능 box : 구성과 유지가 쉬움 단기능 box : 최상의 성능 지원 VPN 관리를 위해 별도의 S/W 필요 다기능 box : 성능 저하 단기능 box : 별도의 관리 도구 및 디렉토리 필요, 업그레이드 어려움
해외 제품 분석 (1/2) Product (corporation) Elron Software (Elron Software Inc) Gauntlet VPN 5. 5 (NAI · PGP) Safe. Net/Soft-PK (IRE) Net. Hawk (Cylink) Implementation method Firewall related VPN Standalone S/W VPN H/W based VPN Tunneling Protocol IPSec(ESP/AH) Protocol Supported IP/IPX DHCP SCEP, XAUTH, FIPS PUB 140 -1, IPComp IEEE 802. 3 Ethernet IPSec Encryption DES, Triple-DES, Blowfish, CAST DES, DES and CAST DES, Triple-DES IPSec DES, Triple-DES, MD 5, SHA-1, FIPS PUB 46 -1 / 46 -3 Authentication MD 5, SHA-1 PKCS 10 standards PKCS 7, 10, 12 Key management IKE, Diffie. Hellman, X. 509 v 3 IKE, Manual IKE 41
해외 제품 분석 (2/2) Product (corporation) SAFEPIPE (Eicon Networks) VPCom (Ashley Laurent Inc) VPN-1 Appliance (Check Point software) VPNWare (VPNet) Implementatio n method Integrated H/W Product H/W based VPN Tunneling Protocol IPSec (ESP) IPSec (ESP, AH) Protocol Supported IP, RIP, OSPF IP, DHCP, L 2 TP/PPTP RIPv 1, , OSPFv 2 Encryption Triple-DES - DES, Triple-DES Authentication User: RADIUS Data: MD 5, SHA 1 User: RADIUS, LDAP User: RADIUS, Digital Certification Data: CBC-DESMAC, MD 5, SHA-1 User: RADIUS, LDAP, X. 509 v 3 Data: MD 4, SHA-1 Key management IKE (ISAKMP /Oakley) Diffie-Hellman IKE (ISAKMP/ Oakley) IKE, FWZ, SKIP IKE, SKIP RIPv 2 RIPv 1, RIPv 2 42
국내 제품 분석 (1/2) Product (corporation) Secuway Suite 2000 (퓨처시스템) Secure. Works VPN (어울림정보기술㈜ ) Secui. VPN 100 (secui. com) Implementation method H/W based VPN (Firewall, IDS, Policy) H/W based VPN (기본 Firewall 기능) Tunneling Protocol IPSec IPsec(ESP, AH) Protocol Supported FTP, SMTP, HTTP, NNTP, IEEE 802. 3 Ethernet, TCP/IP, IEEE 802. 3 Ethernet IPv 4 Encryption SEED, DES, Triple. DES, RC 5, CAST 128, Blowfish, Crypton DES, Triple-DES, CAST, AES, Twofish, SEED, HAS 160, KCDSA DES, Triple-DES, BLF, CAST, SEED Authentication MD 5, SHA-1, PKCS 10 MD 5, SHA-1 Key management IKE(ISAKMP/Oakley) IKE 43
국내 제품 분석 (2/2) Product (corporation) Cyzen. SOS-B 1000 System ((주)사이젠텍) Xecure. VPN Gateway 3000 Series ((주) 시큐어넥서스 ) SUHOSHIN (시큐어소프트㈜ ) Implementation method Firewall related VPN (N/W 통합 보안 장비) Hardware based VPN Firewall related VPN Tunneling Protocol IPSec Protocol Supported IEEE / ANSI 802. 3 IP IP Encryption DES, Triple-DES, SEED DES, Triple-DES, RSA, MD 5, SHA 1, SEED, Rijndael(AES), ECC HASP, SEED, DES, Triple-DES, RC 2, RC 4, Blowfish Authentication MD 5, RSA PSK/RSA MD 5 Key management IKE Diffie-Hellman IKE(ISAKMP/Oakley) IKE(RFC 2409) RSA 44
Summary 비용 절감, 관리의 수월성, 안전성을 제공하는 VPN 암호화, 인증, 키관리 PPTP, L 2 TP, IPSec, SOCKS v 5 Remote Access VPNs Firewall related S/W VPNs Intranet VPNs Router & Switch VPNs Standalone S/W VPNs Extranet VPNs H/W based VPNs 45
Summary l VPN 기술 발전 동향 § 통합 보안 장비에 VPN 장착 (VPN, Firewall, Router, IDS 등의 기능 통합) § Hardware 구현 등을 통한 성능 향상 (Silicon-level encryption/decryption 등) § 표준에 기반한 제품 구현 – 상호운용성 제공 (IPSec, IPSRA, IPSP …) § 정책 기반의 보안 및 관리 46
Скачать презентацию VPN 기술 및 보안 2002 4 15 채기준
324ebe26c21719f0cb8330c48286201b.ppt