방화벽(firewall) 정의
방화벽은 네트웍 게이트웨이 서버에 위치하고 있는 일련의 연관된 프로그램들로서, 다른
네트웍의 사용자들로부터 사설 네트웍의 자원들을 보호해준다 (이 용어는 보안정책과 함께 사용된 프로그램들에도 적용된다). 방화벽은
외부인이 자신의 공개되지 않은 자원에 접근하는 것을 막고, 자기회사의 직원들이 접속해야할 외부의 자원들을
통제하기 위해 기업의 인트라넷과 인터넷
사이에 설치된다.
기본적으로 방화벽은 라우터 프로그램과 밀접하게 동작함으로써, 모든 네트웍
패킷들을 그들의 수신처로 전달할 것인지를 결정하기 위해 검사하고, 여과한다. 또한 방화벽은 워크스테이션 사용자 대신 네트웍에 요청을
해주는 프럭시 서버의 기능을 아예 포함하거나 또는 함께 상호 협력하여 동작한다.
방화벽은 네트웍의 다른 부분들과는
별개로, 특별히 지정된 컴퓨터에 설치되는
경우가 많은데, 이는 들어오는 요구가 사설 네트웍 자원으로 곧바로 전달되지 않도록 하기 위한 것이다.
방화벽의 차폐방법에는 몇 가지가 있다. 단순한 방법 중 하나는 들어오는 요구가 받아들일만한(즉, 이전에 확인된) 도메인 이름이나 IP 주소로부터
오는 것인지를 확인하는 것이다. 이동중인 사용자들을 위해서는 보안접속절차나 인증확인 등을 통해 사설
네트웍에 원격접속 할 수 있도록 허용한다. 방화벽 제품들을 만드는 회사들이 꽤 있다. 방화벽에 포함되어야할 기능으로는, 사용기록, 보고, 공격이 시작된 시점에서의 자동경보, 그리고 방화벽의 제어를 위한 그래픽사용자 인터페이스
등이 있다.
VPN 정의
및 개념
VPN의 정의
가상 사설망 VPN(Virtual Private Network)은 기업에게 공중망(Public
Network)을 이용해 사설망과 같은 서비스를 제공하는 가상의 보안 사설망이다.
즉, 사설망과 공중망의 중간 형태로 이 둘의 단점을 해소하고 장점을 활용해 공중 통신망인 인터넷을 사용해 사설망을
구축할 수 있게 해주기 때문에, 인터넷으로 일반 전용회선을 사용한 것과 동일한 보안상의 효과를 볼 수
있다.
VPN은 전세계 공중 데이터 망
사용을 가능케 하므로 장비와 회선 임대료 비용을 절감할 수 있다. 따라서 업체들은 글로벌한 새로운 서비스와
시설들을 신속하게 사용할 수 있다.
VPN의 핵심인 보안을 가능케
하는 기술에는 인증, 암호화, 터널링 등이 있다
인증
인증(Authentication)은 보안을 수행해야 하는 VPN에서 가장
필수적인 것으로, 정보를 주고받는 양자의 신원을 확인하는 것이다.
VPN 인증 시스템은 공유키를
기반으로 하는 것이 대부분이며, 키들은 해시값(hash value)을
생성하는 해싱 알고리즘을 통해 실행된다.
인증에는
♦사용자 계정으로
신분 확인을 하는 사용자 인증
♦IP 주소로 확인하는 클라이언트 인증
♦서비스 포트로
인증 과정을 거치는 세션 인증 등이 있다.
인증 방식은 CHAP, PAP, 고유 암호, 토큰 카드(Token card) 등의 내장형과 RADIUS, TACACS++ 등의
외장형이 있다.
일단 신원이
파악되면 사용자들은 신원에 기반을 둔 상세한 프로필에 따라 자료를 제공받을 수 있게 된다. VPN은
또한 일단 사용자가 기업 내의 네트워크에 들어오면 그들의 행동을 모니터할 수 있는 툴을 제공한다.
인증은 파이어월을
통해 접속하고 있는 사람들의 신원을 확인한 뒤 정보 교류를 시작할 수 있게 해준다. 인증 과정이 성공적으로
실행되면 사용자들은 e-메일이나 데이터베이스 애플리케이션 등과 같은 내부 네트워크의 데이터에 액세스할
수 있게 된다.
인증은 기본적으로
세션의 시작점에서 실행되고 방해자가 결코 끼어들 수 없는 세션 안에서 전달된다. 인증은 데이터의 무결성을
확인하는 데도 사용된다. P2P 방식은 동일한 호스트를 사용하는 사용자 별로 차별화된 네트워크 접근
권한을 할당할 수 없는 단점을 갖고 있다.
암호화
암호화(Encryption)는 공중망을 통해 정보를 전송시킬 때 전송되는 정보를 숨기는 작업이다. 정보를 숨기는 것과 숨겨진 정보를 풀어내는 과정을 통해 데이터를 주고받는 양자가 합의된 규칙을 따름으로써 보안이
이뤄진다.
터널링
터널링(Tunneling)은 인터넷 네트워크 상에서 외부의 영향을 받지 않고, 데이터
전송의 시작 지점과 목표 지점에 걸쳐 가상 터널을 만들어 정보를 안전하게 주고받을 수 있게 하는 것을 의미한다.
터널을 구성하는
주요 목적은 네트워크 상에 터널과 관련해 상호 약속된 프로토콜로 세션을 구성하고 외부 사용자로부터 이 터널을 보호하는 것이다.
가상사설망(VPN)인터넷이 공중망의 백본(backbone)이 되는 네트워크로 자리잡고 보안 기술이 체계화됨에 따라 VPN(Virtual Private Network)이 급속도로 확산되고 있다. VPN은 정의 그대로 공중망을 통해 사설망과 같은 안전한 커뮤니케이션 채널을 구축하는 솔루션을 의미한다.
(1)
VPN의 장점
첫째, VPN은 비용을 크게 절약할 수가 있다. 전용선의 경우 물리적 접속이므로 회선 비용이 크게 소요된다. 전용선으로 연결하려는 지점들이 많아질수록 그 비용은 곱절로 증가하게 된다. 그러나, VPN은 인터넷이라고 하는 공중망을 사용하므로 인터넷과의 접속점인 POP (Point of Presence)과의 접속만 하면 되고, 이때에 소요되는 통신비는 시내 전화 사용료에 해당하는 적은 비용이다.
둘째, 관리의 편의성이다. 더 이상 전용선과 교환기 시스템과의 연동을 고려할 필요가 없다. 인터넷이라고 하는 표준 네트워크를 사용하므로 관리 분야도 크게 줄며, 중앙에서 통제하여 관리할 경우 효율성이 크게 증대된다.
셋째, 확장성이 용이하다. 인터넷은 계속해서 업그레이드가 될 것이며, 그럴 경우에도 호환성을 유지하면서 자연스럽게 확대될 수 있다.
넷째, 기관의 LAN 접속은 물론 개인적으로 접속하려는 이들에게도 안전한 커뮤니케이션을 일관성있게 연결할 수 있다. 보통 개인이 모뎀을 통해 자신이 속한 네트워크 환경에 접속하려면 모뎀풀을 통해 접속해야 하므로, 통신 라인의 관리도 어렵고 접속 환경도 불편하다. 이에 반면, VPN은 인터넷에 접속하면서 바로 터널링(tunneling)을 이루게 되므로 편리하게 사용할 수가 있다
첫째, VPN은 비용을 크게 절약할 수가 있다. 전용선의 경우 물리적 접속이므로 회선 비용이 크게 소요된다. 전용선으로 연결하려는 지점들이 많아질수록 그 비용은 곱절로 증가하게 된다. 그러나, VPN은 인터넷이라고 하는 공중망을 사용하므로 인터넷과의 접속점인 POP (Point of Presence)과의 접속만 하면 되고, 이때에 소요되는 통신비는 시내 전화 사용료에 해당하는 적은 비용이다.
둘째, 관리의 편의성이다. 더 이상 전용선과 교환기 시스템과의 연동을 고려할 필요가 없다. 인터넷이라고 하는 표준 네트워크를 사용하므로 관리 분야도 크게 줄며, 중앙에서 통제하여 관리할 경우 효율성이 크게 증대된다.
셋째, 확장성이 용이하다. 인터넷은 계속해서 업그레이드가 될 것이며, 그럴 경우에도 호환성을 유지하면서 자연스럽게 확대될 수 있다.
넷째, 기관의 LAN 접속은 물론 개인적으로 접속하려는 이들에게도 안전한 커뮤니케이션을 일관성있게 연결할 수 있다. 보통 개인이 모뎀을 통해 자신이 속한 네트워크 환경에 접속하려면 모뎀풀을 통해 접속해야 하므로, 통신 라인의 관리도 어렵고 접속 환경도 불편하다. 이에 반면, VPN은 인터넷에 접속하면서 바로 터널링(tunneling)을 이루게 되므로 편리하게 사용할 수가 있다
(2) VPN 제품 유형
VPN의 제품은 일반적으로 다음의 4가지로 분류된다.
◆ 방화벽 기반 VPN
방화벽에 VPN 터널링을 구현하는 것으로서 관리의 포인트가 단순화되는 장점이 있다. 그러나, 트래픽이 증가할 경우 암호/복호화에 따른 성능 저하의 가능성이 있다.
◆ 라우터 기반 VPN
라우터도 인터넷과 접속되는 길목에 위치하므로 VPN을 구현할 수 있는 디바이스이다. 라우터는 전용 ASIC을 사용할 수 있어 성능 문제는 극복할 수 있지만, 방화벽만큼 높은 보안성을 제공할 수가 없으므로 공격의 대상이 될 수가 있다.
◆ 전용 하드웨어
LAN과 LAN사이를 인터넷 VPN으로 접속하기 위해서 전용 하드웨어를 사용하는 방식이 많이 나오고 있다. 이는 전용제품이라는 점에서 사용이 편리하고 성능을 유지하는 것이 가능하다. 그러나, 표준 프로토콜을 통한 호환성이 뒷받침되어야 본격적인 시장을 유지하게 될 것으로 예상된다.
◆ 전용 소프트웨어
노트북 컴퓨터같이 개인이 쓰는 용도에서는 소프트웨어적으로 VPN을 구현하는 것이 바람직하다. 이 유형은 주로 이동 중에 본사와 연결하는 용도로 사용되는데, LAN 환경만큼 성능이 우수하지는 않지만 유동성이 높으므로 위의 솔루션들과 결합되어 많이 사용된다.
VPN의 제품은 일반적으로 다음의 4가지로 분류된다.
◆ 방화벽 기반 VPN
방화벽에 VPN 터널링을 구현하는 것으로서 관리의 포인트가 단순화되는 장점이 있다. 그러나, 트래픽이 증가할 경우 암호/복호화에 따른 성능 저하의 가능성이 있다.
◆ 라우터 기반 VPN
라우터도 인터넷과 접속되는 길목에 위치하므로 VPN을 구현할 수 있는 디바이스이다. 라우터는 전용 ASIC을 사용할 수 있어 성능 문제는 극복할 수 있지만, 방화벽만큼 높은 보안성을 제공할 수가 없으므로 공격의 대상이 될 수가 있다.
◆ 전용 하드웨어
LAN과 LAN사이를 인터넷 VPN으로 접속하기 위해서 전용 하드웨어를 사용하는 방식이 많이 나오고 있다. 이는 전용제품이라는 점에서 사용이 편리하고 성능을 유지하는 것이 가능하다. 그러나, 표준 프로토콜을 통한 호환성이 뒷받침되어야 본격적인 시장을 유지하게 될 것으로 예상된다.
◆ 전용 소프트웨어
노트북 컴퓨터같이 개인이 쓰는 용도에서는 소프트웨어적으로 VPN을 구현하는 것이 바람직하다. 이 유형은 주로 이동 중에 본사와 연결하는 용도로 사용되는데, LAN 환경만큼 성능이 우수하지는 않지만 유동성이 높으므로 위의 솔루션들과 결합되어 많이 사용된다.
