목차
1. 서론 ∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙ 3
2. VPN ∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙ 4
2.1 VPN개념 ∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙ 4
2.1.1 Network 구성도 ∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙ 5
2.1.2 VPN 동작 ∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙ 5
2.1.3 Private Network와 Public Network의 특징 ∙∙∙∙ 6
2.2 VPN접속의 형태 ∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙ 6
2.2.1 Before VPN과 After VPN의 비교 ∙∙∙∙∙∙∙∙∙∙∙ 7
2.3 VPN의 기술 ∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙ 8
2.3.1 Tunneling (터널링) ∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙ 8
2.3.2 Encryption(암호화) ∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙ 10
2.3.3 VPN의 하드웨어 ∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙ 10
3. IPsec ∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙ 12
3.1 인증헤더 (Authentication Header : AH) ∙∙∙∙∙∙∙∙∙∙∙∙∙∙ 12
3.1.1 인증 헤더 개요 ∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙ 12
3.1.2 키관리와 인증 헤더의 구조 ∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙ 13
3.1.3 인증 헤더의 구성 필드와 프로토콜 ∙∙∙∙∙∙∙∙∙∙∙ 14
3.1.4 인증 데이터의 계산 과정 ∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙ͨ
2. VPN ∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙ 4
2.1 VPN개념 ∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙ 4
2.1.1 Network 구성도 ∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙ 5
2.1.2 VPN 동작 ∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙ 5
2.1.3 Private Network와 Public Network의 특징 ∙∙∙∙ 6
2.2 VPN접속의 형태 ∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙ 6
2.2.1 Before VPN과 After VPN의 비교 ∙∙∙∙∙∙∙∙∙∙∙ 7
2.3 VPN의 기술 ∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙ 8
2.3.1 Tunneling (터널링) ∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙ 8
2.3.2 Encryption(암호화) ∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙ 10
2.3.3 VPN의 하드웨어 ∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙ 10
3. IPsec ∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙ 12
3.1 인증헤더 (Authentication Header : AH) ∙∙∙∙∙∙∙∙∙∙∙∙∙∙ 12
3.1.1 인증 헤더 개요 ∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙ 12
3.1.2 키관리와 인증 헤더의 구조 ∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙ 13
3.1.3 인증 헤더의 구성 필드와 프로토콜 ∙∙∙∙∙∙∙∙∙∙∙ 14
3.1.4 인증 데이터의 계산 과정 ∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙ͨ
본문내용
템과 안전하게 통신할 수 있도록 SA 관리 데이터와 키 재료로 개인이 각 시스템을 수동으로 설정하는 것이다. 이러한 방식은 작은 규모의 정적인 환경에서 상당히 실용적이지만 확장이 용이하지 않다.
② 자동화된 SA 와 키 관리
IPSec이 널리 보편화되고 사용됨에 따라 확장성이 있고 자동화된, 인터넷 표준의 SA관리 프로토콜이 필요하게 되었다. 그런 프로토콜은 AH와 ESP의 리플레이 방지 특성을 쉽게 사용할 수 있도록 해야하며 사용자 기반과 세션 기반의 키 방식의 SA를 생성하는 요구를 수용해야 한다.
③ IP를 위한 키 사용 방식
키 사용방식에는 호스트 기반과 사용자 기반의 두 가지가 있다. 호스트 기반의 키 사용 방식은 한 호스트의 모든 사용자가 통신하고자 하는 다른 호스트의 모든 사용자와의 트래픽에 같은 키를 사용하는 것이다. 반면, 사용자 기반의 키 사용 방식은 한 호스트의 한 사용자가 한 개 이상의 유일한 세션키를 가지며, 같은 호스트가 다른 사용자들과는 서로 다른 키를 가진다.
IP 보안에서 제공하는 무결성과 기밀성은 적절한 동적 키 관리 기술과 알고리즘을 사용한 호스트 기반의 키사용 방식을 적용함으로써 제공될 수 있다. 그러나 인증의 경우는 애플리케이션을 동작시키는 프로세스들이 자신의 SA를 요구하고 사용할 수 있어야 한다.
④ 키 관리 요구사항
모든 구현은 SA의 수동 설정을 지원하여야 한다.
모든 구현은 RFC에서 명시된 인터넷 표준의 SA 프로토콜을 지원해야 한다.
구현은 SA를 설정하는 다른 방법을 추가로 지원할 수 있다.
모든 구현은 호스트 기반의 키 사용 방식을 적용할 수 있도록 허용화여야만 한다.
IP 시스템은 키와 다른 SA 정보를 비 인가된 검사 및 변경으로부터 보호하기 위한 적절한 절차를 가져야만 한다.
⑤ 키관리 프로토콜
키 관리 프로토콜은 IPSec과는 독립적으로 구현되므로 여러 가지 키 관리 프로토콜 중에서 선택하여 쓸 수 있다. 키 관리 시스템에서 고려해야 할 중요한 점은 키의 수명 주기이다. Perfect Forward Secrecy(PFS)를 제공하기 위해 키는 키 관리 시스템 외부로는 얄려지지 않고 한번 파괴되면 다시는 재생해 낼 수 없어야 한다. 이것은 고의적으로나 사고로 노출된 경우 노출된 키에 의존해서 또 다른 키를 만들어낼 수 없다는 의미이다.
4. 결 론
인터넷의 광역성과 이를 이용한 상거래의 확대를 고려할 때, 앞으로 가상사설망은 인터넷을 기반으로 한 IP VPN이 대세를 이룰 전망이다. 여러 시장 조사 기관의 IP VPN 시장 전망도 매우 밝다. 실제 ‘한국 IP VPN 서비스 및 보안 어플라이언스 시장 분석/전망 보고서’에 따르면, 2005년 국내 IPVPN 서비스 시장 규모는 전년 대비 24% 증가한 1,292억원으로 나타났으며 향후 5년간 연평균 15.1%씩 성장, 2010년에는 시장 규모가 2,612억에 이를 것으로 전망된다. 보안 응용시장의 경우, 2005년 1,182억원을 형성했으며, 향후 5년간 연평균 17.6%로 성장해 오는2010년 2,653억원 규모에 이를 것으로 내다 봤다. 이에 따라, 기존 보안업체 뿐 아니라, 이제는 라우터 회사들을 비롯한 많은 통신장비 회사들도 VPN 시장에 진입하고 있다.
IPSEC과 MPLS가 향후 IP VPN 구축 기술의 두 축을 이룰 것으로 전망된다. IPSEC은 CPE(Continuing Professional Education) VPN으로, MPLS(multi protocol label switching)는 PP(Protection Profile) VPN으로 주로 적용되고, 필요에 따라 이 두 기술이 결합되어 활용될 것이다. IPSEC은 특히 강력한 보안 서비스를 제공할 수 있는 유력한 기술이다. IPSEC은 인터넷 보안에 필요한 전체 기술 중 네트워크 레벨에서 동작되는 보안 기술이다. IPSEC 프로토콜은 네트워크 계층에서 구현되므로 응용 계층에는 투명하게(transparent)하게 되며 사용자 프로그램에는 거의 아무런 영향을 끼치지 않는 장점을 갖는다. 또한 최근 인터넷 프로토콜의 채택시 쟁점이 되는 확장성도 갖추고 있고, IPv6에서는 의무 구현 사항으로 규정되어 있다. 최근 IPSEC 관련 주요 골격 프로토콜에 대한 표준화의 마무리와 함께 많은 IPSEC 구현 제품들이 출시 되고 있으며, 많은 VPN 솔루션 기술로 IPSEC이 채택되고 있다. 따라서 앞으로 IPSEC은 인터넷 보안 기반 기술로 자리잡을 전망이다.
참고문헌
1. Atkinson, R, "Security Architecture for the Interner Protocol", RFC 2401, NRL
2. Atkinson, R., "IP Authentication Header", RFC 2401, 1998.
3. Atkinson, R., "IP Encapsulating Security Payload", FRC 1827, NRL, August 1995.
4. D. Harkins, et. al., "The internet Key Exchange," RFC2409, IETE, 1998.
5. D. Maughan, et, al. "Internet Security Association and Key Management Protocol," RFC2408, IETF, 1998.
6. Neganand Dorawamy and Dan Harkins "IPSec", Prentic Hall 1999.
7. D. Maughan, "Internet Security Association and Key Management rotocol". RFC 2408 1998.
8. 한국정보보호 센터, “IP계층과 응용계층에서의 VPN 보안기술 포준(안)”, 1998.
9. 김장우, 추인호, “Using LINUX FIfth Edition", (주)교학사, 2000.
10. 이계상, "VPN 표준기술 동향", 정보통신표준화 워크샵, 2001.
11. 이계상, “VPN 보안 기술 표준 해설서 작성”, 한국정보보호진흥원, 2001.
12. 오덕환, '한국 IP VPN 서비스 및 보안 어플라이언스 시장 분석/전망 보고서', 2006
② 자동화된 SA 와 키 관리
IPSec이 널리 보편화되고 사용됨에 따라 확장성이 있고 자동화된, 인터넷 표준의 SA관리 프로토콜이 필요하게 되었다. 그런 프로토콜은 AH와 ESP의 리플레이 방지 특성을 쉽게 사용할 수 있도록 해야하며 사용자 기반과 세션 기반의 키 방식의 SA를 생성하는 요구를 수용해야 한다.
③ IP를 위한 키 사용 방식
키 사용방식에는 호스트 기반과 사용자 기반의 두 가지가 있다. 호스트 기반의 키 사용 방식은 한 호스트의 모든 사용자가 통신하고자 하는 다른 호스트의 모든 사용자와의 트래픽에 같은 키를 사용하는 것이다. 반면, 사용자 기반의 키 사용 방식은 한 호스트의 한 사용자가 한 개 이상의 유일한 세션키를 가지며, 같은 호스트가 다른 사용자들과는 서로 다른 키를 가진다.
IP 보안에서 제공하는 무결성과 기밀성은 적절한 동적 키 관리 기술과 알고리즘을 사용한 호스트 기반의 키사용 방식을 적용함으로써 제공될 수 있다. 그러나 인증의 경우는 애플리케이션을 동작시키는 프로세스들이 자신의 SA를 요구하고 사용할 수 있어야 한다.
④ 키 관리 요구사항
모든 구현은 SA의 수동 설정을 지원하여야 한다.
모든 구현은 RFC에서 명시된 인터넷 표준의 SA 프로토콜을 지원해야 한다.
구현은 SA를 설정하는 다른 방법을 추가로 지원할 수 있다.
모든 구현은 호스트 기반의 키 사용 방식을 적용할 수 있도록 허용화여야만 한다.
IP 시스템은 키와 다른 SA 정보를 비 인가된 검사 및 변경으로부터 보호하기 위한 적절한 절차를 가져야만 한다.
⑤ 키관리 프로토콜
키 관리 프로토콜은 IPSec과는 독립적으로 구현되므로 여러 가지 키 관리 프로토콜 중에서 선택하여 쓸 수 있다. 키 관리 시스템에서 고려해야 할 중요한 점은 키의 수명 주기이다. Perfect Forward Secrecy(PFS)를 제공하기 위해 키는 키 관리 시스템 외부로는 얄려지지 않고 한번 파괴되면 다시는 재생해 낼 수 없어야 한다. 이것은 고의적으로나 사고로 노출된 경우 노출된 키에 의존해서 또 다른 키를 만들어낼 수 없다는 의미이다.
4. 결 론
인터넷의 광역성과 이를 이용한 상거래의 확대를 고려할 때, 앞으로 가상사설망은 인터넷을 기반으로 한 IP VPN이 대세를 이룰 전망이다. 여러 시장 조사 기관의 IP VPN 시장 전망도 매우 밝다. 실제 ‘한국 IP VPN 서비스 및 보안 어플라이언스 시장 분석/전망 보고서’에 따르면, 2005년 국내 IPVPN 서비스 시장 규모는 전년 대비 24% 증가한 1,292억원으로 나타났으며 향후 5년간 연평균 15.1%씩 성장, 2010년에는 시장 규모가 2,612억에 이를 것으로 전망된다. 보안 응용시장의 경우, 2005년 1,182억원을 형성했으며, 향후 5년간 연평균 17.6%로 성장해 오는2010년 2,653억원 규모에 이를 것으로 내다 봤다. 이에 따라, 기존 보안업체 뿐 아니라, 이제는 라우터 회사들을 비롯한 많은 통신장비 회사들도 VPN 시장에 진입하고 있다.
IPSEC과 MPLS가 향후 IP VPN 구축 기술의 두 축을 이룰 것으로 전망된다. IPSEC은 CPE(Continuing Professional Education) VPN으로, MPLS(multi protocol label switching)는 PP(Protection Profile) VPN으로 주로 적용되고, 필요에 따라 이 두 기술이 결합되어 활용될 것이다. IPSEC은 특히 강력한 보안 서비스를 제공할 수 있는 유력한 기술이다. IPSEC은 인터넷 보안에 필요한 전체 기술 중 네트워크 레벨에서 동작되는 보안 기술이다. IPSEC 프로토콜은 네트워크 계층에서 구현되므로 응용 계층에는 투명하게(transparent)하게 되며 사용자 프로그램에는 거의 아무런 영향을 끼치지 않는 장점을 갖는다. 또한 최근 인터넷 프로토콜의 채택시 쟁점이 되는 확장성도 갖추고 있고, IPv6에서는 의무 구현 사항으로 규정되어 있다. 최근 IPSEC 관련 주요 골격 프로토콜에 대한 표준화의 마무리와 함께 많은 IPSEC 구현 제품들이 출시 되고 있으며, 많은 VPN 솔루션 기술로 IPSEC이 채택되고 있다. 따라서 앞으로 IPSEC은 인터넷 보안 기반 기술로 자리잡을 전망이다.
참고문헌
1. Atkinson, R, "Security Architecture for the Interner Protocol", RFC 2401, NRL
2. Atkinson, R., "IP Authentication Header", RFC 2401, 1998.
3. Atkinson, R., "IP Encapsulating Security Payload", FRC 1827, NRL, August 1995.
4. D. Harkins, et. al., "The internet Key Exchange," RFC2409, IETE, 1998.
5. D. Maughan, et, al. "Internet Security Association and Key Management Protocol," RFC2408, IETF, 1998.
6. Neganand Dorawamy and Dan Harkins "IPSec", Prentic Hall 1999.
7. D. Maughan, "Internet Security Association and Key Management rotocol". RFC 2408 1998.
8. 한국정보보호 센터, “IP계층과 응용계층에서의 VPN 보안기술 포준(안)”, 1998.
9. 김장우, 추인호, “Using LINUX FIfth Edition", (주)교학사, 2000.
10. 이계상, "VPN 표준기술 동향", 정보통신표준화 워크샵, 2001.
11. 이계상, “VPN 보안 기술 표준 해설서 작성”, 한국정보보호진흥원, 2001.
12. 오덕환, '한국 IP VPN 서비스 및 보안 어플라이언스 시장 분석/전망 보고서', 2006