안
● 블루투스 영역에서 access point로서 블루게이트채용
● 블루게이트에서 각 단말에 IP할당
● 서비스 가능범위 100m
● VoIP기능 갖추고 있어 휴대폰으로 인터넷전화 이용가능
IP단말이 블루투스영역안으로 들어오게 되면 라우터 역할을 하는 블루게이트를 통해 로컬 IP를 할당받게 되고 블루게이트를 access point로 하여 블루게이트와 노트북이나 PDA, mobile phone등의 블루투스 칩을 내장한 디바이스들 사이에 연결이 확립되어 공중망에 접속할 수가 있다. 서비스 가능범위는 100m로 규정하고 있으며 mobile phone 사용자는 BLUEPAC network안에서는 low cost로 PSTN phone calls이나 인터넷 무선접속이 가능해지고 블루게이트 서비스 영역 밖에서는 일반적인 mobile telecomm 서비스(SMS, WAP, voice calls)를 받을 수 있다. 사무실이나 공항, 지하철 등 공공장소에서 셋업을 설정하기위한 블루투스 access point로서 블루게이트를 사용한다.
Ⅵ. IP와 L2TP
1. L2TP 보안 프로토콜
L2TP 보안 프로토콜은 제어 패킷들에 대해 인증, 무결성, 그리고 재 사용 방지 기능을 제공해야 한다. 그 외 이것은 제어 패킷을 보호할 수 있어야 한다. 또 데이터 패킷에 대해서는 무결성과 재 사용 방지 기능이 제공되어야 하며 암호 기능도 제공할 수 있어야 한다. 또한 L2TP 보안 프로토콜은 키 관리 기능과 이의 확장성을 갖고 있어야 한다.
이런 요구 사항들을 만족하기 위해 L2TP 보안을 적용하는 모든 상황에서는 L2TP 제어 패킷과 L2TP 데이터 패킷의 보호를 위해 IPsec ESP를 구현해야 한다. Null 암호를 포함해 모든 암호 관련 사항은 IPsec ESP가 지원되어야 한다. L2TP 데이터 트래픽을 처리하는 데 암호가 필요하지 않다면 Null 암호를 가진 ESP가 사용될 수 있다. 또 구현에 있어서 IPsec 메커니즘의 재 사용 방지 기능을 구현하는 것은 반드시 요구된다. 또 L2TP 보안 요구사항으로서 IPsec 프로토콜의 키 관리 요구사항을 만족해야 한다. IKE 는 IPsec DOI(Domain of Interpretation)를 사용하므로 인증, 보안 관련 협상 기능, 그리고 키 관리에 대한 기능을 지원한다.
2. PPP 압축과 암호(Stateless Compression and Encryption)
스테이트리스 암호 and/or 압축은 L2TP가 IP상에서 동작될 때 아주 필요하다. L2TP는 연결형 프로토콜이기 때문에 스테이트풀(Stateful) 압축과 암호(LAC에서의 압축과 암호)가 타당해 보이지만 IP상에서 동작할 때 이것은 바람직하지 않다. 보다 나은 압축을 제공하고 어쨋든 보다 안전한 암호기능을 제공하는 반면 신뢰할만한 전달 메커니즘 없이 사용되는 스테이트풀 방법은 패킷 손실이 증대하고 그리고 패킷 손실이 현저할 수 있는 인터넷상에서의 사용은 문제가 된다. 부가적으로 L2TP가 연결형일지라도 L2TP 규격은 스테이트풀 압축과 암호 방식의 구현에 있어 어려움을 야기할 수 있는 패킷 순서를 정의하지 않고 있다. 그러나 이런 고려사항은 L2TP가 비 IP 미디어(ATM, X.25, 혹은 Frame Relay) 상에서 동작될 때는 중요하지 않다. 왜냐하면 이런 미디어는 패킷의 순서가 보장되며 패킷 손실이 실제 적기 때문이다.
3. 비 IP 망에서 L2TP 구현시 고려사항
L2TP는 비 IP망에서 패킷 전송을 지원하는 데에도 필요하며 이때 비 IP망은 L2TP 제어 및 데이터 패킷을 처리할 수 있어야 한다. ESP 기능은 IP 페이로드 상에서 정의되기 때문에 IP 헤더에 대한 표현은 ESP의 사용을 위해 필요하지는 않다. 비 IP 망에서 구현된 L2TP는 IPsec ESP 패킷을 전송할 수 있어야 하고 ESP 헤더의 다음 페이로드 필드는 L2TP 프로토콜 번호가 설정되어 있어야 한다. IANA(Internet Assigned Numbers Authority)는 이를 위해 L2TP 프로토콜 번호로 115를 할당하고 있다.
IKE 메시지는 UDP를 통해 전송된다. 그런고로 비 IP 미디어 상에서 IKE 프로토콜을 따르기 위해 비 IP 미디어는 UDP 데이터그램 전송을 지원할 수 있어야 한다. IP 헤더가 비 IP 미디어 상에서 UDP 데이터그램에 표현되어 있지 않기 때문에 UDP 체크 섬에서 발신지에서는 0으로 설정하고 착신지에서는 이를 무시하여야 한다.
비 IP 미디어 상에서 ESP와 UDP 패킷 전송을 처리할 수 있는 정확한 메커니즘은 특별히 비 IP네트워크상에서 L2TP를 처리를 위한 표준(안)으로 언급되어져야 한다.
4. IPsec을 이용한 L2TP
L2TP 터널링은 L2TP 제어 패킷과 패킷 기밀성, 무결성, 그리고 인증성이 보장되지 않아 보안 측면에서 취약성을 갖고 있다. 또 L2TP가 터널 인증 기능을 갖고 있지만, 이것은 터널 생성 시 통신 양방(L2TP 클라이언트와 서버)의 인증에만 사용되고 있으며 통신 도중 데이터나 제어 패킷의 인증에는 적용되지 않는다. 그리고 L2TP에 PPP가 포함되어 있지만, PPP 인증 기능과 암호 기능 역시 L2TP 패킷 레벨에는 적용되지 않는다. 이러한 L2TP 프로토콜 보안의 취약점은 IPsec 프로토콜을 적용함으로써 보완될 수 있다. L2TP/IPsec 프로토콜의 패킷 포맷을 나타낸다. 즉, IPsec의 ESP와 AH 프로토콜에 L2TP/PPP 프로토콜 스택을 의무적으로 포함하고 모든 알고리즘을 포함하며, Null encryption option도 의무 사항으로 처리하므로 L2TP가 갖고 있는 보안 취약성을 보완할 수 있게 된다.
참고문헌
괴윤철·한탁돈·조성배, 멀티미디어 기술을 활용한 실용인터넷, 생능출판사
박경순, 윈도우 NT TCP/IP 네트워트 관리
송정동 외, 컴퓨터 통신과 인터넷, 학문사
시스코 네트워킹, 사이버출판사
Geoff Bennet, 인터네트워크@TCP/IP, 범한서적㈜, 1999
IP 라우팅 프로토콜, 사이버출판사
Nobukazu Iguchi, 기초부터 배우는 TCP/IP 네트워크 툴 활용, 성안당