네트워크의 경계를 확장합니다 VPN 케이블 모뎀이나 DSL 회선 등의 고속 인터넷 접속에 의해서, 기업 설정에 있어서의 VPN의 역할이 변화하고 있습니다. 몇 년 전까지만 해도 고속 연결이 비싸고 상대적으로 구하기 어려웠기 때문에 원격 사용자들은 주로 VPN을 사용하여 다이얼업 모뎀을 사용하여 네트워크에 다이얼인했습니다. VPN을 통해 기업 네트워크에 연결된 것은 전화 통화 길이뿐입니다. 많은 ISP가 분 단위로 과금하거나 매달 고객이 접속할 수 있는 시간 수에 제한을 두기 때문에 원격 사용자는 업무가 완료되면 바로 전화를 끊을 가능성이 높아졌습니다. 현재는 VPN을 통해 조직의 내부 네트워크에 접속하는 청부업자, 벤더 및 재택근무 종업원이 항상 켜져 있는 고속 접속을 실현할 가능성이 높아지고 있습니다.” 이러한 직원이 VPN을 사용할 수 있는 기간을 특별히 제한하지 않는 한 24시간 체제로 네트워크에 접속하는 것도 가능합니다. 문제는 각 VPN 연결에 의해 네트워크가 제어할 수 없는 새로운 위치로 확장된다는 것입니다. 이러한 연결은 각각 침입, 바이러스 또는 기타 문제에 대해 네트워크를 개방할 수 있습니다. 상시 접속을 통해 VPN에 접속하는 사용자에게는 특히 주의가 필요합니다. 다음으로 위험 증가에 대처하기 위한 몇 가지 제안을 제시합니다. • 둘 이상의 인증 도구를 사용하여 원격 사용자를 식별합니다: 멀티팩터 인증에서는 토큰이나 스마트카드 등의 사용자가 소유한 것과 지문이나 망막 스캔 등의 사용자에게 물리적으로 연관된 것이 추가됩니다. 이러한 시스템을 작동시키기 위해서는 각 원격 사용자는 컴퓨터와 함께 스마트 카드 리더, 지문 리더, 망막 스캐너 또는 고가의 가능성이 있는 다른 장치를 가지고 있어야 합니다. • 바이러스 대책 통합: 각 사용자의 컴퓨터에 최신 바이러스 소프트웨어가 설치되어 있는지 확인하십시오. 이 소프트웨어는 컴퓨터를 지속적으로 스캔하여 바이러스가 시스템에 침입하면 즉시 제거합니다. 파일이 캡슐화, 암호화 및 VPN 터널을 통해 전송되면 그 파일 내의 모든 바이러스가 방화벽을 통과하여 기업 네트워크에 침입합니다. 물론 바이러스를 검출하려면 바이러스 검사 소프트웨어가 네트워크 상에 존재해야 합니다. 다만, 벤더, 파트너 또는 청부업자가 독자적인 바이러스 대책 소프트웨어를 사용할 필요가 있기 때문에, 애초에 바이러스가 시스템에 침입할 가능성이 낮아집니다. • 사용 제한 설정: 모든 VPN 참가자에게 VPN 세션이 종료되면 즉시 종료해야 함을 전달합니다. 이러한 규정은 비즈니스 파트너 또는 청부업자와 체결하는 모든 계약에 기재해야 합니다. 또한 기업의 보안 정책의 일부이며 오리엔테이션 중 또는 보안 의식을 높이는 세션 중에 직원에게 설명해야 합니다. VPN 유형은 일반적으로 두 가지 다른 유형의 VPN을 설정할 수 있습니다. 첫 번째 유형은 2개 이상의 네트워크를 링크하여 사이트 간 VPN이라고 합니다. 두 번째 유형은 네트워크를 만듭니다 네트워크의 경계를 확장합니다 VPN 케이블 모뎀이나 DSL 회선 등의 고속 인터넷 접속에 의해서, 기업 설정에 있어서의 VPN의 역할이 변화하고 있습니다. 몇 년 전까지만 해도 고속 연결이 비싸고 상대적으로 구하기 어려웠기 때문에 원격 사용자들은 주로 VPN을 사용하여 다이얼업 모뎀을 사용하여 네트워크에 다이얼인했습니다. VPN을 통해 기업 네트워크에 연결된 것은 전화 통화 길이뿐입니다. 많은 ISP가 분 단위로 과금하거나 매달 고객이 접속할 수 있는 시간 수에 제한을 두기 때문에 원격 사용자는 업무가 완료되면 바로 전화를 끊을 가능성이 높아졌습니다. 현재는 VPN을 통해 조직의 내부 네트워크에 접속하는 청부업자, 벤더 및 재택근무 종업원이 항상 켜져 있는 고속 접속을 실현할 가능성이 높아지고 있습니다.” 이러한 직원이 VPN을 사용할 수 있는 기간을 특별히 제한하지 않는 한 24시간 체제로 네트워크에 접속하는 것도 가능합니다. 문제는 각 VPN 연결에 의해 네트워크가 제어할 수 없는 새로운 위치로 확장된다는 것입니다. 이러한 연결은 각각 침입, 바이러스 또는 기타 문제에 대해 네트워크를 개방할 수 있습니다. 상시 접속을 통해 VPN에 접속하는 사용자에게는 특히 주의가 필요합니다. 다음으로 위험 증가에 대처하기 위한 몇 가지 제안을 제시합니다. • 둘 이상의 인증 도구를 사용하여 원격 사용자를 식별합니다: 멀티팩터 인증에서는 토큰이나 스마트카드 등의 사용자가 소유한 것과 지문이나 망막 스캔 등의 사용자에게 물리적으로 연관된 것이 추가됩니다. 이러한 시스템을 작동시키기 위해서는 각 원격 사용자는 컴퓨터와 함께 스마트 카드 리더, 지문 리더, 망막 스캐너 또는 고가의 가능성이 있는 다른 장치를 가지고 있어야 합니다. • 바이러스 대책 통합: 각 사용자의 컴퓨터에 최신 바이러스 소프트웨어가 설치되어 있는지 확인하십시오. 이 소프트웨어는 컴퓨터를 지속적으로 스캔하여 바이러스가 시스템에 침입하면 즉시 제거합니다. 파일이 캡슐화, 암호화 및 VPN 터널을 통해 전송되면 그 파일 내의 모든 바이러스가 방화벽을 통과하여 기업 네트워크에 침입합니다. 물론 바이러스를 검출하려면 바이러스 검사 소프트웨어가 네트워크 상에 존재해야 합니다. 다만, 벤더, 파트너 또는 청부업자가 독자적인 바이러스 대책 소프트웨어를 사용할 필요가 있기 때문에, 애초에 바이러스가 시스템에 침입할 가능성이 낮아집니다. • 사용 제한 설정: 모든 VPN 참가자에게 VPN 세션이 종료되면 즉시 종료해야 함을 전달합니다. 이러한 규정은 비즈니스 파트너 또는 청부업자와 체결하는 모든 계약에 기재해야 합니다. 또한 기업의 보안 정책의 일부이며 오리엔테이션 중 또는 보안 의식을 높이는 세션 중에 직원에게 설명해야 합니다. VPN 유형은 일반적으로 두 가지 다른 유형의 VPN을 설정할 수 있습니다. 첫 번째 유형은 2개 이상의 네트워크를 링크하여 사이트 간 VPN이라고 합니다. 두 번째 유형은 네트워크를 만듭니다
[그림 9-4] 하드웨어 VPN은 서로 다른 벤더 제품의 VPN 조합을 온라인으로 유지할 수 있습니다. 또한 하드웨어와 소프트웨어를 모두 사용할 뿐만 아니라 다른 벤더에 의해서도 「혼합」된 VPN 시스템의 운용을 피할 수 없게 되는 경우가 있습니다. 증명서를 발행하는 회사, 클라이언트 소프트웨어를 처리하는 회사, VPN 종료를 처리하는 회사 등이 있을 수 있습니다. 과제는 이 모든 요소를 서로 대화하고 서로 성공적으로 의사소통하는 것입니다. 그러기 위해서는 널리 사용되고 있으며 IPSec 등의 모든 장치가 지원하는 표준 보안 프로토콜을 선택합니다. 이에 대해서는 이 장 및 제7장에서 후술하겠습니다. VPN 셋업 VPN에 참여한 사람은 2명뿐인 경우 비용, 기술적인 문제 및 관련 시간 측면에서 설정은 비교적 간단합니다. 단, 3개 이상의 네트워크 또는 개인을 연결해야 하는 경우는 몇 가지 옵션이 있습니다. 이러한 옵션(메쉬 설정, 허브 앤 스포크 배치 및 하이브리드 설정)에 대해서는 이후의 항에서 설명합니다. 메쉬 설정입니다 메쉬 컨피규레이션에서는 VPN 내의 각 참가자(즉 네트워크, 라우터 또는 컴퓨터)와 다른 모든 참가자 간에 Security Association(SA; 보안 어소시에이션)이라고 불리는 승인이 끝난 관계가 있습니다. VPN 설정에서는 VPN을 사용하는 다른 모든 참가자에 대해 이러한 각 참가자를 구체적으로 식별해야 합니다. 연결을 시작하기 전에 각 VPN 하드웨어 또는 소프트웨어 터미네이터는 라우팅 테이블 또는 SA 테이블을 체크하여 다른 참가자가 SA를 가지고 있는지 확인합니다. 메쉬 구성을 그림 9-5에 나타냅니다. [그림 9-4] 하드웨어 VPN은 서로 다른 벤더 제품의 VPN 조합을 온라인으로 유지할 수 있으며, 하드웨어와 소프트웨어를 모두 사용할 뿐만 아니라 다른 벤더에 의해서도 ‘혼합’된 VPN 시스템의 운용을 피할 수 없게 되는 경우가 있습니다. 증명서를 발행하는 회사, 클라이언트 소프트웨어를 처리하는 회사, VPN 종료를 처리하는 회사 등이 있을 수 있습니다. 과제는 이 모든 요소를 서로 대화하고 서로 성공적으로 의사소통하는 것입니다. 그러기 위해서는 널리 사용되고 있으며 IPSec 등의 모든 장치가 지원하는 표준 보안 프로토콜을 선택합니다. 이에 대해서는 이 장 및 제7장에서 후술하겠습니다. VPN 셋업 VPN에 참여한 사람은 2명뿐인 경우 비용, 기술적인 문제 및 관련 시간 측면에서 설정은 비교적 간단합니다. 단, 3개 이상의 네트워크 또는 개인을 연결해야 하는 경우는 몇 가지 옵션이 있습니다. 이러한 옵션(메쉬 설정, 허브 앤 스포크 배치 및 하이브리드 설정)에 대해서는 이후의 항에서 설명합니다. 메쉬 설정입니다 메쉬 컨피규레이션에서는 VPN 내의 각 참가자(즉 네트워크, 라우터 또는 컴퓨터)와 다른 모든 참가자 간에 Security Association(SA; 보안 어소시에이션)이라고 불리는 승인이 끝난 관계가 있습니다. VPN 설정에서는 VPN을 사용하는 다른 모든 참가자에 대해 이러한 각 참가자를 구체적으로 식별해야 합니다. 연결을 시작하기 전에 각 VPN 하드웨어 또는 소프트웨어 터미네이터는 라우팅 테이블 또는 SA 테이블을 체크하여 다른 참가자가 SA를 가지고 있는지 확인합니다. 메쉬 구성을 그림 9-5에 나타냅니다.
[그림 9-5] 메쉬 VPN 설정입니다 그림 9-5에서는 4개의 별도의 LAN이 메쉬 VPN에 결합되어 있습니다. 각 LAN에는, LAN 내의 다른 모든 참가자와 VPN 통신을 확립하는 기능이 있습니다. 새 LAN이 VPN에 추가된 경우 LAN에 새 사용자에 대한 정보를 포함하려면 다른 모든 VPN 장치를 업데이트해야 합니다. 따라서 각 호스트를 스테이트 테이블에 추가할 수 있습니다. 또한 각 LAN에서 VPN을 사용해야 하는 모든 호스트에는 VPN 클라이언트 소프트웨어를 작동시키고 VPN 내의 다른 모든 호스트와 통신하기 위해 충분한 메모리가 탑재되어 있어야 합니다. VPN의 문제는 호스트가 추가될 때마다 네트워크를 확장하고 모든 VPN 장치를 업데이트하는 것이 어려워진다는 것입니다. 빠르게 성장하는 네트워크의 경우 허브 앤 스포크 구성이 바람직합니다. 다음으로 그것에 대해 논의하겠습니다. 허브앤스포크 설정입니다 허브앤스포크 설정에서는 단일 VPN 라우터에 VPN 내의 모든 SA 레코드가 포함됩니다. VPN에 참여하는 LAN 또는 컴퓨터는 중앙 서버에만 접속해야 하고 VPN 내의 다른 머신에는 접속할 필요가 없습니다. 이 설정에 따라 브런치 사무실이나 컴퓨터가 추가됨에 따라 VPN의 크기를 쉽게 늘릴 수 있습니다. 그림 9-6은 허브 앤 스포크의 설정을 보여줍니다. [그림 9-5] 메쉬 VPN 설정입니다 그림 9-5에서는 4개의 별도의 LAN이 메쉬 VPN에 결합되어 있습니다. 각 LAN에는, LAN 내의 다른 모든 참가자와 VPN 통신을 확립하는 기능이 있습니다. 새 LAN이 VPN에 추가된 경우 LAN에 새 사용자에 대한 정보를 포함하려면 다른 모든 VPN 장치를 업데이트해야 합니다. 따라서 각 호스트를 스테이트 테이블에 추가할 수 있습니다. 또한 각 LAN에서 VPN을 사용해야 하는 모든 호스트에는 VPN 클라이언트 소프트웨어를 작동시키고 VPN 내의 다른 모든 호스트와 통신하기 위해 충분한 메모리가 탑재되어 있어야 합니다. VPN의 문제는 호스트가 추가될 때마다 네트워크를 확장하고 모든 VPN 장치를 업데이트하는 것이 어려워진다는 것입니다. 빠르게 성장하는 네트워크의 경우 허브 앤 스포크 구성이 바람직합니다. 다음으로 그것에 대해 논의하겠습니다. 허브앤스포크 설정입니다 허브앤스포크 설정에서는 단일 VPN 라우터에 VPN 내의 모든 SA 레코드가 포함됩니다. VPN에 참여하는 LAN 또는 컴퓨터는 중앙 서버에만 접속해야 하고 VPN 내의 다른 머신에는 접속할 필요가 없습니다. 이 설정에 따라 브런치 사무실이나 컴퓨터가 추가됨에 따라 VPN의 크기를 쉽게 늘릴 수 있습니다. 그림 9-6은 허브 앤 스포크의 설정을 보여줍니다.
[그림9-6] 허브앤스포크 VPN 구성입니다 그림 9-6에서는 허브앤스포크 VPN이 모든 통신을 주요 IT 직원이 상주하는 센트럴 사무실을 경유하는 것이 가장 일반적이기 때문에 중앙 VPN 라우터는 조직의 중앙 사무실에 상주하고 있습니다. 허브앤스포크 VPN은 중앙의 메인 사무실과 다수의 브런치 사무실을 가진 조직 내의 통신에 최적입니다. 허브앤스포크 VPN의 문제는 특히 브랜치 사무실이 전 세계의 다른 대륙에 있는 경우에 모든 통신이 중앙 라우터에 출입한다는 요건에 의해 통신 속도가 저하되는 것입니다. 또한 중앙 라우터는 착신 트래픽과 발신 트래픽을 모두 동시에 처리해야 하기 때문에 VPN 내의 다른 연결 대역폭을 두 배로 늘려야 합니다. 이러한 라우터의 고대역폭 요금은 매월 몇 천달러에 이를 수 있습니다. 단, 어쨌든 모든 통신이 센트럴 사무실을 경유해야 하는 상황에서는 모든 참가자에게 고도의 보안을 제공하기 때문에 허브 앤 스포크 설정은 의미가 있습니다. 하이브리드 구성 조직이 성장함에 따라 메쉬 설계 또는 허브 앤 스포크 설계로 시작되는 VPN은 대부분 이러한 두 가지 조합으로 진화합니다. 이것은 일반적인 시나리오이며, 하나의 설정이나 다른 설정으로만 전환할 필요는 없습니다. 메쉬 설정은 보다 효율적으로 작동하는 경향이 있기 때문에 네트워크의 가장 중요한 브랜치를 링크하는 중심 코어는 아마도 메쉬 설정이어야 합니다. 단, 브런치 오피스가 추가되면 센트럴 사무실의 센트럴 VPN 라우터에 연결하는 스포크로 추가할 수 있습니다. 특히 빨라야 할 브런치 사무실과의 중요한 통신은 메쉬 설정의 일부여야 합니다. 단, 해외 지사 등의 먼 곳의 사무실은 허브 앤 스포크 구성의 일부가 될 수 있습니다. 두 가지 설정을 결합한 하이브리드 설정은 허브 앤 스포크 옵션의 확장성과 메쉬 옵션의 속도라는 각 설정의 강점에서 장점이 있습니다. 설정, 엑스트라넷 및 인트라넷 액세스를 수행하는 허브 앤 스포크, 메쉬 또는 하이브리드 중 어느 설정을 사용하든 비즈니스 파트너와 조직의 다른 브랜치를 연결하는 VPN을 생성하면 물리적 고려 사항을 넘어서는 많은 의문과 고려 사항이 발생합니다. VPN의 양 끝은 실제로는 엑스트라넷을 작성하고 있는 새로운 장소로의 기업 네트워크의 확장을 나타냅니다. 독자적인 네트워크를 보호하기 위해 취하는 것과 같은 보안 대책을 VPN의 엔드포인트에 적용해야 합니다. 예를 들어, 각 원격 사용자 또는 비즈니스 파트너는 방화벽 및 안티 바이러스 소프트웨어를 활성화해야 합니다. VPN을 사용하면 사내 인트라넷을 통해 조직의 일부에 다른 영역에 대한 액세스를 허용할 수도 있습니다. 예를 들어, 시설을 다른 장소에 있는 여러 개의 다른 건물에 분산되어 있는 대기업을 들 수 있습니다. VPN을 사용하면 한 장소에 있는 IT 직원을 감시할 수 있게 됩니다 [그림9-6] 허브 앤 스포크 VPN 구성입니다 그림 9-6에서는 허브앤스포크 VPN이 모든 통신을 주요 IT 직원이 상주하는 센트럴 사무실을 경유하는 것이 가장 일반적이기 때문에 중앙 VPN 라우터는 조직의 중앙 사무실에 상주하고 있습니다. 허브앤스포크 VPN은 중앙의 메인 사무실과 다수의 브런치 사무실을 가진 조직 내의 통신에 최적입니다. 허브앤스포크 VPN의 문제는 특히 브랜치 사무실이 전 세계의 다른 대륙에 있는 경우에 모든 통신이 중앙 라우터에 출입한다는 요건에 의해 통신 속도가 저하되는 것입니다. 또한 중앙 라우터는 착신 트래픽과 발신 트래픽을 모두 동시에 처리해야 하기 때문에 VPN 내의 다른 연결 대역폭을 두 배로 늘려야 합니다. 이러한 라우터의 고대역폭 요금은 매월 몇 천달러에 이를 수 있습니다. 단, 어쨌든 모든 통신이 센트럴 사무실을 경유해야 하는 상황에서는 모든 참가자에게 고도의 보안을 제공하기 때문에 허브 앤 스포크 설정은 의미가 있습니다. 하이브리드 구성 조직이 성장함에 따라 메쉬 설계 또는 허브 앤 스포크 설계로 시작되는 VPN은 대부분 이러한 두 가지 조합으로 진화합니다. 이것은 일반적인 시나리오이며, 하나의 설정이나 다른 설정으로만 전환할 필요는 없습니다. 메쉬 설정은 보다 효율적으로 작동하는 경향이 있기 때문에 네트워크의 가장 중요한 브랜치를 링크하는 중심 코어는 아마도 메쉬 설정이어야 합니다. 단, 브런치 오피스가 추가되면 센트럴 사무실의 센트럴 VPN 라우터에 연결하는 스포크로 추가할 수 있습니다. 특히 빨라야 할 브런치 사무실과의 중요한 통신은 메쉬 설정의 일부여야 합니다. 단, 해외 지사 등의 먼 곳의 사무실은 허브 앤 스포크 구성의 일부가 될 수 있습니다. 두 가지 설정을 결합한 하이브리드 설정은 허브 앤 스포크 옵션의 확장성과 메쉬 옵션의 속도라는 각 설정의 강점에서 장점이 있습니다. 설정, 엑스트라넷 및 인트라넷 액세스를 수행하는 허브 앤 스포크, 메쉬 또는 하이브리드 중 어느 설정을 사용하든 비즈니스 파트너와 조직의 다른 브랜치를 연결하는 VPN을 생성하면 물리적 고려 사항을 넘어서는 많은 의문과 고려 사항이 발생합니다. VPN의 양 끝은 실제로는 엑스트라넷을 작성하고 있는 새로운 장소로의 기업 네트워크의 확장을 나타냅니다. 독자적인 네트워크를 보호하기 위해 취하는 것과 같은 보안 대책을 VPN의 엔드포인트에 적용해야 합니다. 예를 들어, 각 원격 사용자 또는 비즈니스 파트너는 방화벽 및 안티 바이러스 소프트웨어를 활성화해야 합니다. VPN을 사용하면 사내 인트라넷을 통해 조직의 일부에 다른 영역에 대한 액세스를 허용할 수도 있습니다. 예를 들어, 시설을 다른 장소에 있는 여러 개의 다른 건물에 분산되어 있는 대기업을 들 수 있습니다. VPN을 사용하면 한 장소에 있는 IT 직원을 감시할 수 있게 됩니다
[그림 9-7] VPN은 네트워크의 엑스트라넷과 인트라넷 액세스를 만드는 데 도움이 됩니다 VPN에서 사용되는 터널링 프로토콜 이전에는 VPN 확립에 사용되었던 방화벽이 독자적인 프로토콜을 사용했습니다. 이러한 방화벽은 동일한 브랜드의 방화벽을 사용하는 원격 LAN과의 연결만 확립할 수 있습니다. 오늘날에는 Internet Key Exchange(IKE; 인터넷 키익스체인지) 시스템에서 IPSec 프로토콜이 널리 받아들여지고 있기 때문에 독자 사양의 프로토콜 사용빈도는 크게 낮아지고 있습니다. 이 장의 이 섹션에서는 VPN에서 프로토콜을 적절하게 선택하기 위한 견고한 기반을 갖도록 IPSec 프로토콜 등에 대해 설명합니다. IPSec/IKE IPSec는, Internet Engineering Task Force(IETF; 인터넷 기술 특별 조사위원회)에 의해서 개발된 시큐어인 암호화 통신의 표준입니다. IPSec에 대해서는 제7장에서 자세히 설명하겠지만, 여기에서는 VPN과 관련된 IPSec의 개요에 대해 간단히 설명하겠습니다. IPSec는 패킷의 데이터 부분 암호화, 패킷이 유효한 송신원으로부터 송신되는 것을 보증하는 인증 및 2개의 VPN 호스트 간의 캡슐화를 제공합니다. IPSec에는 다음 두 가지 보안 방식이 있습니다: Authenticated Headers(AH; 인증 헤더) 및 Encapsulating Security Payload(ESP; 캡슐화 보안 페이. AH는 패킷의 인증에 사용되지만, ESP는 패킷의 데이터 부분을 암호화합니다. 어느 한쪽을 사용하는 선택을 할 필요는 없습니다. 두 가지 방법을 병용할 수 있습니다. IPSec은 트랜스포트 모드와 터널 모드의 두 가지 다른 모드로 작동할 수 있습니다. 트랜스포트 모드는 임의의 범위의 IP 주소로 호스트 간의 안전한 통신을 제공하는 데 사용됩니다. 터널 모드는 두 개의 개인 네트워크 사이에 보안 링크를 만드는 데 사용됩니다. 터널 모드는 VPN에 있어서 분명한 선택사항이지만 IPSec 프로토콜 자체에서는 사용자 인증이 제공되지 않기 때문에 클라이언트 투 사이트 VPN에서 터널 모드를 사용하는 것에 대한 우려가 있습니다. 단, Kerberos 등의 인증 시스템과 결합하면 IPSec은 사용자를 인증할 수 있습니다. 일반적으로 IPSec은 LAN 간 또는 클라이언트와 LAN 간의 데이터를 암호화하기 위해 공개 키 암호화를 사용하는 수단으로서 IKE와 조합하여 사용됩니다. IKE는 공개 키와 개인 키의 교환을 제공합니다. 키 교환은 VPN 연결을 시작하는 호스트에게 각각 시스템의 유효한 사용자임을 알리는 데 사용됩니다. IKE는 VPN 터널을 통과하는 데이터의 암호화에 사용하는 암호화 프로토콜을 결정할 수도 있습니다. IPSec/IKE VPN 접속을 확립하는 프로세스는, 다음과 같이 동작합니다.1. VPN의 한쪽 끝에 있는 호스트 또는 게이트웨이는 연결 설정을 요구하는 요청을 다른 쪽 끝에 있는 호스트 또는 게이트웨이로 보냅니다(두 호스트는 동일한 신뢰할 수 있는 기관에서 동일한 키(사전 공유 키라고 불림)를 취득했습니다. 2. 원격 호스트 또는 게이트웨이는 무작위 번호를 생성하고 번호 사본을 원래 요청한 기계로 되돌립니다. 3. 원래 기계는 난수 n을 사용하여 사전 공유 키를 암호화하고 원격 호스트 또는 게이트웨이로 사전 공유 키를 전송합니다. 4. 원격 호스트는 사전 공유 키를 복호화하여 자신의 사전 공유 키와 비교합니다. 여러 키가 있는 경우는 k 세트입니다 [그림9-7] VPN은 네트워크의 엑스트라넷과 인트라넷 액세스를 만드는 데 도움이 됩니다 VPN에서 사용되는 터널링 프로토콜 이전에는 VPN 확립에 사용되었던 방화벽이 독자적인 프로토콜을 사용했습니다. 이러한 방화벽은 동일한 브랜드의 방화벽을 사용하는 원격 LAN과의 연결만 확립할 수 있습니다. 오늘날에는 Internet Key Exchange(IKE; 인터넷 키익스체인지) 시스템에서 IPSec 프로토콜이 널리 받아들여지고 있기 때문에 독자 사양의 프로토콜 사용빈도는 크게 낮아지고 있습니다. 이 장의 이 섹션에서는 VPN에서 프로토콜을 적절하게 선택하기 위한 견고한 기반을 갖도록 IPSec 프로토콜 등에 대해 설명합니다. IPSec/IKE IPSec는, Internet Engineering Task Force(IETF; 인터넷 기술 특별 조사위원회)에 의해서 개발된 시큐어인 암호화 통신의 표준입니다. IPSec에 대해서는 제7장에서 자세히 설명하겠지만, 여기에서는 VPN과 관련된 IPSec의 개요에 대해 간단히 설명하겠습니다. IPSec는 패킷의 데이터 부분 암호화, 패킷이 유효한 송신원으로부터 송신되는 것을 보증하는 인증 및 2개의 VPN 호스트 간의 캡슐화를 제공합니다. IPSec에는 다음 두 가지 보안 방식이 있습니다: Authenticated Headers(AH; 인증 헤더) 및 Encapsulating Security Payload(ESP; 캡슐화 보안 페이. AH는 패킷의 인증에 사용되지만, ESP는 패킷의 데이터 부분을 암호화합니다. 어느 한쪽을 사용하는 선택을 할 필요는 없습니다. 두 가지 방법을 병용할 수 있습니다. IPSec은 트랜스포트 모드와 터널 모드의 두 가지 다른 모드로 작동할 수 있습니다. 트랜스포트 모드는 임의의 범위의 IP 주소로 호스트 간의 안전한 통신을 제공하는 데 사용됩니다. 터널 모드는 두 개의 개인 네트워크 사이에 보안 링크를 만드는 데 사용됩니다. 터널 모드는 VPN에 있어서 분명한 선택사항이지만 IPSec 프로토콜 자체에서는 사용자 인증이 제공되지 않기 때문에 클라이언트 투 사이트 VPN에서 터널 모드를 사용하는 것에 대한 우려가 있습니다. 단, Kerberos 등의 인증 시스템과 결합하면 IPSec은 사용자를 인증할 수 있습니다. 일반적으로 IPSec은 LAN 간 또는 클라이언트와 LAN 간의 데이터를 암호화하기 위해 공개 키 암호화를 사용하는 수단으로서 IKE와 조합하여 사용됩니다. IKE는 공개 키와 개인 키의 교환을 제공합니다. 키 교환은 VPN 연결을 시작하는 호스트에게 각각 시스템의 유효한 사용자임을 알리는 데 사용됩니다. IKE는 VPN 터널을 통과하는 데이터의 암호화에 사용하는 암호화 프로토
[그림 9-8] Windows XP는, 하나의 착신 VPN 접속을 받아들일 수 있습니다 리모트 워크스테이션을 접속하면, Windows XP 워크스테이션에 그림 9-9와 같은 다이얼로그 박스가 표시됩니다(Windows 2000 워크스테이션에는, 시스템 트레이에 네트워크 접속 아이콘이 표시됩니다) 이후 [절단(Disconnect)] 버튼을 클릭하면 어느 한 통화자가 언제든지 연결을 종료할 수 있습니다. [그림9-8] Windows XP는 하나의 착신 VPN 접속을 받아들일 수 있습니다. 리모트 워크스테이션을 접속하면 Windows XP 워크스테이션에 그림 9-9와 같은 대화상자가 나타납니다.(Windows 2000 워크스테이션에는 시스템 트레이에 네트워크 접속 아이콘이 표시됩니다) 이후 [절단(Disconnect)] 버튼을 클릭하면 어느 한 통화자가 언제든지 연결을 종료할 수 있습니다.
[그림 9-9] VPN을 통해 연결된 Windows 호스트에는 다음 대화 상자가 표시됩니다. 클라이언트 설정 서버를 설정하면 VPN을 사용할 각 클라이언트를 설정해야 합니다. 여기에는 VPN 클라이언트 소프트웨어 설치 및 설정 또는 Windows-to-Windows 네트워크의 경우 Network Connection Wizard를 사용하는 것이 포함됩니다. Fire Wall-1은 SecuRemote라는 클라이언트 소프트웨어를 사용하고 있습니다. 이 소프트웨어를 클라이언트 컴퓨터에 설치하면 VPN을 통해 다른 호스트 또는 네트워크에 연결할 수 있습니다. 고려해야 할 가장 중요한 점은 클라이언트 소프트웨어가 모든 클라이언트 플랫폼에서 작동하는지 여부 및 클라이언트 워크스테이션 자체가 방화벽에 의해 보호되고 있는지 여부입니다. VPN을 사용하여 LAN에 다이얼을 돌리는 모든 사용자는 LAN을 확장하여 바이러스나 해커가 접근할 수 있는 새로운 “구멍”을 엽니다. 원격 사용자가 노트북 및 기타 컴퓨터를 방화벽으로 보호해야 하는 요건은 조직의 VPN 정책의 일부가 될 수 있습니다. VPN 조끼 프랙티스 VPN의 정상적인 동작은 그 하드웨어 및 소프트웨어 컴포넌트와 전체적인 설정뿐만 아니라 그 외의 많은 베스트 프랙티스에도 의존합니다. 여기에는 특히 VPN에 적용되는 보안 정책 규칙, 방화벽 패킷 필터링과 VPN 트래픽의 통합 및 VPN이 적절하게 실행되고 있는지 확인하기 위한 VPN 감사가 포함됩니다. [Need for a VPN Policy] 기업 설정에서 VPN은 많은 다른 장소에서 많은 다른 워커에 의해 사용될 수 있습니다. VPN 정책은 VPN을 사용할 수 있는 사용자를 식별하고 모든 사용자가 VPN의 적절한 사용 방법을 확실히 파악하기 위해 필수적입니다. 이것은 개별 독립형 정책이든 더 큰 보안 정책 내의 구절이든 상관없습니다. 정책은 기업 네트워크에 VPN 액세스를 허용하는 사용자를 지정해야 합니다. 예를 들어, 벤더는 VPN 접속을 통해 네트워크에 액세스할 수 있지만, 액세스를 허가받는 것은 자사의 계정에 관련된 정보뿐입니다. 벤더 VPN 솔루션에는 관리자가 기업 네트워크 상에서 실행할 수 있는 위치를 제한할 수 있도록 하는 컨트롤이 필요합니다. 한편 이동 중 VPN을 통해 네트워크에 액세스하는 관리자 및 풀타임 직원에게는 네트워크 리소스에 대한 보다 포괄적인 액세스를 허용해야 합니다. 또한 인증 사용 여부 및 인증 사용 방법, 스플릿 터널링(VPN 회선을 통한 2 개의 접속)가 허가되어 있는지, 임의의 세션에서 VPN을 사용해 유저를 접속할 수 있는 기간, 바이러스 대책이 포함되어 있는지에 대해서도 기술할 필요가 있습니다. 패킷 필터링 및 VPN VPN을 설정할 경우 패킷 필터링과 관련하여 데이터 암호화 및 복호화를 수행할 위치를 사전에 결정해야 합니다. 암호화와 복호화는 패킷 필터링 경계의 바깥쪽 또는 안쪽 중 하나를 선택할 수 있습니다. 그림 9-10은 패킷 필터링의 경계 바깥쪽에 있는 암호화와 복호화를 나타내고 있습니다. 그림 9-10에 나타낸 시나리오에서는 방화벽과 VPN의 조합이 tran을 실행하도록 설정되어 있습니다 [그림 9-9] VPN을 통해 연결된 Windows 호스트에는 다음 대화 상자가 표시됩니다. 클라이언트 설정 서버를 설정하면 VPN을 사용할 각 클라이언트를 설정해야 합니다. 여기에는 VPN 클라이언트 소프트웨어 설치 및 설정 또는 Windows-to-Windows 네트워크의 경우 Network Connection Wizard를 사용하는 것이 포함됩니다. Fire Wall-1은 SecuRemote라는 클라이언트 소프트웨어를 사용하고 있습니다. 이 소프트웨어를 클라이언트 컴퓨터에 설치하면 VPN을 통해 다른 호스트 또는 네트워크에 연결할 수 있습니다. 고려해야 할 가장 중요한 점은 클라이언트 소프트웨어가 모든 클라이언트 플랫폼에서 작동하는지 여부 및 클라이언트 워크스테이션 자체가 방화벽에 의해 보호되고 있는지 여부입니다. VPN을 사용하여 LAN에 다이얼을 돌리는 모든 사용자는 LAN을 확장하여 바이러스나 해커가 접근할 수 있는 새로운 “구멍”을 엽니다. 원격 사용자가 노트북 및 기타 컴퓨터를 방화벽으로 보호해야 하는 요건은 조직의 VPN 정책의 일부가 될 수 있습니다. VPN 조끼 프랙티스 VPN의 정상적인 동작은 그 하드웨어 및 소프트웨어 컴포넌트와 전체적인 설정뿐만 아니라 그 외의 많은 베스트 프랙티스에도 의존합니다. 여기에는 특히 VPN에 적용되는 보안 정책 규칙, 방화벽 패킷 필터링과 VPN 트래픽의 통합 및 VPN이 적절하게 실행되고 있는지 확인하기 위한 VPN 감사가 포함됩니다. [Need for a VPN Policy] 기업 설정에서 VPN은 많은 다른 장소에서 많은 다른 워커에 의해 사용될 수 있습니다. VPN 정책은 VPN을 사용할 수 있는 사용자를 식별하고 모든 사용자가 VPN의 적절한 사용 방법을 확실히 파악하기 위해 필수적입니다. 이것은 개별 독립형 정책이든 더 큰 보안 정책 내의 구절이든 상관없습니다. 정책은 기업 네트워크에 VPN 액세스를 허용하는 사용자를 지정해야 합니다. 예를 들어, 벤더는 VPN 접속을 통해 네트워크에 액세스할 수 있지만, 액세스를 허가받는 것은 자사의 계정에 관련된 정보뿐입니다. 벤더 VPN 솔루션에는 관리자가 기업 네트워크 상에서 실행할 수 있는 위치를 제한할 수 있도록 하는 컨트롤이 필요합니다. 한편 이동 중 VPN을 통해 네트워크에 액세스하는 관리자 및 풀타임 직원에게는 네트워크 리소스에 대한 보다 포괄적인 액세스를 허용해야 합니다. 또한 인증 사용 여부 및 인증 사용 방법, 스플릿 터널링(VPN 회선을 통한 2개의 접속)이 허가되어 있는지, 임의의 세션에서 VPN을 사용해 유저를 접속할 수 있는 기간, 바이러스 대책이 포함되어 있는지에 대해서도 기술할 필요가 있다
[그림9-10] 패킷 필터 경계 바깥에서 이루어지는 암호화와 복호화 그림 9-11은 대체 방안을 제시하고 있습니다. 암호화와 복호화는 터널 방식을 사용하여 패킷 필터링 경계 내에서 수행됩니다. 이 그림 및 그림 9-10에 나타내는 네트워크 구성은 방화벽과는 다른 패킷 필터를 나타내고 있는 것에 주의해 주세요(이것은 설명을 명확하게 하기 위해서입니다). 실제로는 패킷 필터링은 방화벽 자체에 의해 수행되며 동일한 방화벽이 VPN 서비스를 제공하는 경우가 있습니다. 동시에 방화벽 기반 VPN 대신 다른 VPN 어플라이언스를 사용할 수도 있습니다. [그림9-10] 패킷 필터 경계 바깥에서 이루어지는 암호화와 복호화 그림 9-11은 대체 방안을 제시하고 있습니다. 암호화와 복호화는 터널 방식을 사용하여 패킷 필터링 경계 내에서 수행됩니다. 이 그림 및 그림 9-10에 나타내는 네트워크 구성은 방화벽과는 다른 패킷 필터를 나타내고 있는 것에 주의해 주세요(이것은 설명을 명확하게 하기 위해서입니다). 실제로는 패킷 필터링은 방화벽 자체에 의해 수행되며 동일한 방화벽이 VPN 서비스를 제공하는 경우가 있습니다. 동시에 방화벽 기반 VPN 대신 다른 VPN 어플라이언스를 사용할 수도 있습니다.
[그림 9-11] 패킷 필터링 경계 내에서 실행되는 암호화 및 복호화 그림 9-11에 나타내는 시나리오의 결과, 데이터가 VPN에 도달하기 전에 패킷 필터링이 실행됩니다. 잘못된 패킷은 방화벽 또는 VPN에 도달하기 전에 폐기될 수 있으므로 수신인 LAN 보호가 강화됩니다. PPTP 필터 PPTP는 오래된 클라이언트가 VPN을 통해 네트워크에 연결해야 하거나 터널이 NAT을 실행하는 방화벽을 통과해야 하는 경우에 일반적으로 사용됩니다. PPTP 트래픽이 방화벽을 통과하려면 이러한 통신을 허용하는 패킷 필터링 규칙을 설정해야 합니다. 착신 PPTP 접속은 TCP 포트 1723에 도착합니다. 게다가 PPTP 패킷에서는, 프로토콜 식별 번호 ID 47로 식별되는 Generic Routing Encapsulating(GRE; 총칭 라우팅 캡슐화) 패킷이 사용됩니다. 표 9-3 에, IP 주소 211.208.30.1 및 105.40.4.10 의 리모트 유저에게 사용하는 필터 규칙을 나타냅니다. [그림 9-11] 패킷 필터링 경계 내에서 실행되는 암호화 및 복호화 그림 9-11에 나타내는 시나리오의 결과, 데이터가 VPN에 도달하기 전에 패킷 필터링이 실행됩니다. 잘못된 패킷은 방화벽 또는 VPN에 도달하기 전에 폐기될 수 있으므로 수신인 LAN 보호가 강화됩니다. PPTP 필터 PPTP는 오래된 클라이언트가 VPN을 통해 네트워크에 연결해야 하거나 터널이 NAT을 실행하는 방화벽을 통과해야 하는 경우에 일반적으로 사용됩니다. PPTP 트래픽이 방화벽을 통과하려면 이러한 통신을 허용하는 패킷 필터링 규칙을 설정해야 합니다. 착신 PPTP 접속은 TCP 포트 1723에 도착합니다. 게다가 PPTP 패킷에서는, 프로토콜 식별 번호 ID 47로 식별되는 Generic Routing Encapsulating(GRE; 총칭 라우팅 캡슐화) 패킷이 사용됩니다. 표 9-3 에, IP 주소 211.208.30.1 및 105.40.4.10 의 리모트 유저에게 사용하는 필터 규칙을 나타냅니다.
L2TP 및 IPSec 패킷 필터링 규칙 L2TP는 방화벽을 통과하는 트래픽을 암호화하기 위해 IPSec 트래픽을 커버하는 패킷 필터링 규칙을 설정해야 합니다. 표 9-4 에, IP 주소 211.208.30.1 및 105.40.4.10 의 리모트 유저에게 사용하는 필터 규칙을 나타냅니다. L2TP 및 IPSec 패킷 필터링 규칙 L2TP는 방화벽을 통과하는 트래픽을 암호화하기 위해 IPSec 트래픽을 커버하는 패킷 필터링 규칙을 설정해야 합니다. 표 9-4 에, IP 주소 211.208.30.1 및 105.40.4.10 의 리모트 유저에게 사용하는 필터 규칙을 나타냅니다.
VPN 설치 후 VPN을 사용할 수 있는 각 컴퓨터에서 VPN 클라이언트를 테스트해야 합니다. 많은 다른 워크스테이션을 가진 조직에서 이것은 시간이 걸릴 전망입니다. 이를 쉽게 피할 수 있는 방법은 없지만 최종 사용자가 쉽게 설치할 수 있는 클라이언트 소프트웨어(테스트의 일부로 설치되어 있습니다)를 선택하면 시간과 노력을 절약할 수 있습니다. VPN 클라이언트의 테스트가 어떻게 작동하는지 이해하려면 다음 단계별 시나리오를 고려합니다. 1. VPN 클라이언트 소프트웨어와 인증서를 원격 사용자에게 발급합니다. 2. 원격 사용자에게 전화를 걸어 소프트웨어 설치 및 인증서 저장 과정을 안내합니다. 3. IPSec을 사용하고 있는 경우는, 리모트 유저의 머신과 VPN 게이트웨이 양쪽에서 IPSec 정책이 같은 것을 리모트 유저에게 확인합니다. 4. VPN 소프트웨어를 실행하여 게이트웨이에 연결하도록 사용자에게 지시합니다. (최종 사용자가 접속하고 있는 동안은 전화를 계속할 수 있습니다만, 리모트 사용자가 전화 회선을 1개만 가지고 있고, 인터넷에 다이얼 업 접속하고 있는 경우는, 전자 메일로 통신할 필요가 있는 경우가 있습니다) 5. 게이트웨이 연결에 문제가 있는 경우 원격 사용자에게 오류 메시지를 기록하거나 보고서를 작성하도록 전달하여 문제를 올바르게 진단하는 데 도움이 됩니다. 6. 연결이 확립된 후 원격 사용자는 사용자 이름과 비밀번호를 입력하고 인증을 요청받습니다. 클라이언트 테스트가 완료되면 VPN을 체크하여 파일이 허용 속도로 전송되고 있는지 및 필요에 따라 VPN의 모든 부분이 온라인 상태로 남아 있는지 확인해야 합니다. 파일 전송 테스트가 어떻게 작동하는지 이해하려면 다음 단계별 시나리오를 고려합니다. 1. 원격 사용자가 네트워크에 접속하면 웹 브라우저를 실행하여 서버에 접속하도록 지시합니다. 2. 프롬프트가 표시되면 서버 접근에 필요한 사용자 이름과 암호를 입력합니다. 3. 전송할 파일을 찾습니다. 4. 기업 네트워크에서 원격 사용자의 컴퓨터에 파일을 복사합니다(또는 그 반대도 마찬가지입니다). 5. 파일 전송에 걸리는 시간을 추적합니다. 6. 전송 후 파일을 열어 완전히 전송되었는지 확인하고 정상적으로 작동하는지 확인합니다. 7. 원격 사용자는 파일 전송이 종료되면 사내 네트워크에서 차단해야 합니다. 네트워크의 일부가 자주 다운되는 경우는, 다른 ISP(가능하면 VPN의 다른 부분에도 서비스를 제공하는 ISP)로 전환합니다. 다른 ISP로 전환할 필요가 있는 경우에는 다음 질문을 사용하여 어떤 ISP가 고객에게 도움이 되는지(안되는지)를 판단하는 것을 검토하십시오. • 네트워크가 오프라인이 되는 빈도는 얼마나 됩니까? • 프라이머리 서버가 다운된 경우에 저와 같은 고객을 온라인 상태로 두는 백업 서버가 있나요? • 정전 시 예비 전원이 있습니까? • 네트워크 백본에서 얼마나 떨어져 있습니까? (2홉 또는 홉이 가깝다고 간주되며 ISP가 백본에 가까울수록) VPN 설치 후 VPN을 사용할 수 있는 각 컴퓨터에서 VPN 클라이언트를 테스트해야 합니다. 많은 다른 워크스테이션을 가진 조직에서 이것은 시간이 걸릴 전망입니다. 이를 쉽게 피할 수 있는 방법은 없지만 최종 사용자가 쉽게 설치할 수 있는 클라이언트 소프트웨어(테스트의 일부로 설치되어 있습니다)를 선택하면 시간과 노력을 절약할 수 있습니다. VPN 클라이언트의 테스트가 어떻게 작동하는지 이해하려면 다음 단계별 시나리오를 고려합니다. 1. VPN 클라이언트 소프트웨어와 인증서를 원격 사용자에게 발급합니다. 2. 원격 사용자에게 전화를 걸어 소프트웨어 설치 및 인증서 저장 과정을 안내합니다. 3. IPSec을 사용하고 있는 경우는, 리모트 유저의 머신과 VPN 게이트웨이 양쪽에서 IPSec 정책이 같은 것을 리모트 유저에게 확인합니다. 4. VPN 소프트웨어를 실행하여 게이트웨이에 연결하도록 사용자에게 지시합니다. (최종 사용자가 접속하고 있는 동안은 전화를 계속할 수 있습니다만, 리모트 사용자가 전화 회선을 1개만 가지고 있고, 인터넷에 다이얼 업 접속하고 있는 경우는, 전자 메일로 통신할 필요가 있는 경우가 있습니다) 5. 게이트웨이 연결에 문제가 있는 경우 원격 사용자에게 오류 메시지를 기록하거나 보고서를 작성하도록 전달하여 문제를 올바르게 진단하는 데 도움이 됩니다. 6. 연결이 확립된 후 원격 사용자는 사용자 이름과 비밀번호를 입력하고 인증을 요청받습니다. 클라이언트 테스트가 완료되면 VPN을 체크하여 파일이 허용 속도로 전송되고 있는지 및 필요에 따라 VPN의 모든 부분이 온라인 상태로 남아 있는지 확인해야 합니다. 파일 전송 테스트가 어떻게 작동하는지 이해하려면 다음 단계별 시나리오를 고려합니다. 1. 원격 사용자가 네트워크에 접속하면 웹 브라우저를 실행하여 서버에 접속하도록 지시합니다. 2. 프롬프트가 표시되면 서버 접근에 필요한 사용자 이름과 암호를 입력합니다. 3. 전송할 파일을 찾습니다. 4. 기업 네트워크에서 원격 사용자의 컴퓨터에 파일을 복사합니다(또는 그 반대도 마찬가지입니다). 5. 파일 전송에 걸리는 시간을 추적합니다. 6. 전송 후 파일을 열어 완전히 전송되었는지 확인하고 정상적으로 작동하는지 확인합니다. 7. 원격 사용자는 파일 전송이 종료되면 사내 네트워크에서 차단해야 합니다. 네트워크의 일부가 자주 다운되는 경우는, 다른 ISP(가능하면 VPN의 다른 부분에도 서비스를 제공하는 ISP)로 전환합니다. 다른 ISP로 전환할 필요가 있는 경우에는 다음 질문을 사용하여 어떤 ISP가 고객에게 도움이 되는지(안되는지)를 판단하는 것을 검토하십시오. • 네트워크가 오프라인이 되는 빈도는 얼마나 됩니까? • 프라이머리 서버가 다운된 경우에 저와 같은 고객을 온라인 상태로 두는 백업 서버가 있나요? • 정전 시 예비 전원이 있습니까? • 네트워크 백본에서 얼마나 떨어져 있습니까? (2홉 또는 홉이 가깝다고 간주되며 ISP가 백본에 가까울수록)