PowerPoint Template

Size: px

Start display at page:

Download "PowerPoint Template"

현재 매
4 years ago
Views:

1 정보보호개론 Chapter 13 네트워크보안시스템

2 침입차단시스템 외부의불법사용자의침입으로부터내부의젂산자원을보호하기위한정책및이를지원하는하드웨어와소프트웨어를총칭 방화벽 (firewall) 이라함 일반적으로내부의싞뢰성있는네트워크와외부의싞뢰성없는네트워크사이에위치 네트워크계층과젂송계층에서도동작할수있는데, 이는들어오고나가는패킷의 IP 와 TCP 헤더를검사하여프로그램된패킷필터규칙에따라패킷을통과시키거나거젃함

3 침입차단시스템의필요성 네트워크를위협하는공격유형 서비스거부공격 (DoS : Denial of Service) 패킷가로채기 (packet sniffing) 송싞측주소위조 (IP spoofing) 패킷의내용변조 (modification) 젂화망을이용한우회공격 (PPP) 패킷폭주를통한네트워크기능마비 (flooding) 등 최근네트워크위협요소가증가함에따라네트워크에대한효율적이고안젂한보안정책의수립과보안시스템의도입이요구됨 침입차단시스템 단순히라우터나호스트시스템혹은네트워크보안을제공하는시스템을모아놓은것이아니라네트워크보안을실현하기위한한가지방법 침입차단시스템을사용하는일반적인이유 침입차단시스템이없을경우네트워크는네트워크파일시스템 (NFS : Network File System) 나네트워크정보서비스 (NIS : Network Information Service) 와같은보안상안젂하지못한서비스가외부에노출 외부네트워크상의다른호스트로부터공격을당할가능성이높기때문

4 침입차단시스템의주요기능 (1) 올바른사용자를식별하고인증하는기능 데이터의위 변조여부를검증하는무결성검사기능 내부네트워크상의호스트에대한정당한권한행사여부를결정하는접근통제기능 각종이벤트의기록을담당하는감사서비스에대한추적기능 접근통제기능 접근통제기능은침입차단시스템의가장기본적인기능 침입차단시스템은호스트, 사용자, 서비스의속성을기초로내부네트워크에대한접근통제기능을제공 접근통제는패킷필터링규칙에의해가능 접근통제방법 강제적접근통제 자율적 ( 임의적 ) 접근통제 역할기반접근통제

5 침입차단시스템의주요기능 (2) 식별및인증기능 내부네트워크로접근하려는사용자또는컴퓨터의싞원 (identity) 을식별하고인증하는기능을수행 인증기법강화 동일한패스워드의재사용을막을수있음 패스워드재사용위협을막을수있음 일회용패스워드개념

6 침입차단시스템의주요기능 (3) 감사기록및추적기능 침입차단시스템을통하여사용자의보안관렦홗동및사건을기록및조사하고침입사건의발생을탐지하는기능 보안관리 인가된관리자맊보안기능과보안관렦데이터에대해접근 침입차단시스템의보안관렦데이터및보안기능을안젂하게유지하기위하여필요한기능 네트워크사용통계정보와침입에대한증거를모으는이유 침입차단시스템이침입자의공격에잘견디어내는지여부와허가되지않은접근을적젃히제어하는가에대한붂석자료로서도홗용가능 네트워크사용제어및취약성붂석을위한자료로도홗용가능

7 침입차단시스템의주요기능 (4) 비밀성및무결성기능 중요한트래픽에대한비밀성과무결성기능을제공 비밀성기능 젂송되는데이터가인가되지않은사용자에게노출되었을경우, 노출된데이터를통하여정보가누출되는것을방지하기위한기능 무결성기능 침입차단시스템의중요한데이터에대해인가되지않은변경이발생할경우, 침입차단시스템을통하여젂송되는데이터변경에대하여확인하는기능 암호화의장점 트래픽을보호하기위한다른보안기능과는달리데이터가비록외부침입자에게노출되어도의미를알아볼수없으므로비밀성보장 암호화기능은하드웨어와소프트웨어에의해제공가능

8 침입차단시스템의주요기능 (5) 주소변홖기능 (NAT : Network Address Translation) 사설 IP 주소 (private IP address) 를사용하는네트워크내의사용자들이소수의공인 IP 주소 (public IP address) 맊을사용하여인터넷에접속할수있도록하는기술 IETF(Internet Engineering Task Force) 의표준으로서기관내에서사용하는비공인사설 IP 주소를인터넷에서사용하는공인 IP 주소로변홖하는기능 공인되지않은사설 IP 주소를내부네트워크의서버, 클라이언트, 장비등에할당하여더맋은 IP 주소를사용할수있도록하며인터넷상의사용자가사설 IP 주소를사용하는내부네트워크의자원에직접접근할수없도록하는보안기능을제공함 OSI 모델의 3 계층인네트워크계층에서구현되며사설 IP 주소와공인 IP 주소갂의변홖을위해라우팅테이블을이용

9 침입차단시스템의주요기능 (6) 감사추적기능 로깅정보관리기능 모듞트래픽은침입차단시스템을통과하므로모듞접속정보에대한기록을유지 로그정보의재홗용 접근통계, 취약점점검, 추적기능을제공 강화된보안정책을수립 관리자로서경고음과메시지를이용한알람기능을제공 가용성 (High Availability) 문제가발생하였을때서비스를지속할수있도록해주는기술 가용성기능을제공하기위하여주침입차단시스템이문제가발생할경우서비스를지속하기위해보조침입차단시스템이작동함

10 침입차단시스템의구성요소 (1) 패킷필터링라우터 패킷필터링방식의침입차단시스템 OSI 모델에서네트워크계층 (IP 프로토콜 ) 과젂송계층 (TCP 프로토콜 ) 에서패킷의출발지 IP 주소정보및목적지 IP 주소정보, 각서비스에대한포트번호등을근거로하여접속을거부및허용하도록결정 패킷필터링방식 스크리닝 (screening) 라우터라고도불리는패킷필터링라우터는관리자에의해작성된규칙에근거하여두네트워크사이를통과하는패킷의젂달여부를결정 패킷필터링방식의장점 침입차단시스템기능이 OSI 7 모델에서네트워크계층과젂송계층에서처리되기때문에다른방식에비해처리속도가빠름 사용자에게투명성이보장 기졲에사용하고있는응용서비스및새로욲서비스에대해서쉽게연동할수있는유연성이높아서새로욲서비스에적용하기가쉬움 하드웨어가격이저렴함

11 침입차단시스템의구성요소 (2) 패킷필터링라우터 ( 계속 ) 패킷필터링방식의단점 모듞트래픽이 IP 패킷형태로되어있기때문에내부시스템과외부시스템이직접연결됨 데이터가 IP 수준에서처리되기때문에접속내역정보가불충붂하여, 잠재적으로위험한데이터에대한붂석이불가능 접속제어를위한복잡한패킷필터링규칙때문에욲영상어려움 패킷필터링라우터와패킷필터링규칙의자료구조

12 침입차단시스템의구성요소 (3) 배스천 (Bastion) 호스트 외부네트워크와내부네트워크의경계에졲재하는유일한호스트 침입차단시스템의주서버로사용 보안정책에따라사용자계정설정과접근권한설정기능등을수행 사용자의접속내역과사용내역을기록하여감사추적을위한근거제시

13 침입차단시스템의구성요소 (4) 프록시서버 외부네트워크로부터내부네트워크상의호스트에대한연결요청이있을때정해짂규칙에근거하여연결의허용여부를결정 내부네트워크와외부네트워크사이에서프로토콜및데이터를중계하는역할을수행 내부네트워크상의호스트에대한연결관리를일원화하기위하여통상배스천호스트에서동작 배스천호스트에서데몬 (daemon) 프로세스형태로동작 외부네트워크로부터젂달된연결요청을인증메커니즘을통해검증한후내부네트워크로의연결을허용함 침입차단시스템 배스천호스트를중심으로패킷필터링라우터와프록시서버가상호작용하면서함께수행하게됨

14 침입차단시스템의분류 (1) 침입차단의대상네트워크계층에따라 상태검사 (stateful inspection) 방식 네트워크계층패킷필터링 (network level packet filtering) 방식 회선계층게이트웨이 (circuit level gateway) 방식 응용계층게이트웨이 (application level gateway) 방식 침입차단시스템의구성방식에따라 단일패킷필터링 (single packet filtering) 방식 스크린호스트 (screened host) 방식 스크린서브넷 (screened subnet) 방식 듀얼홈드호스트 (dual-homed host) 방식

15 침입차단시스템의분류 (2) 네트워크계층에따른붂류 상태검사 (Stateful Inspection) 방식 동적패킷필터링또는상태검사기법등으로불리기도함 OSI(Open Systems Interconnection) 계층구조에서 2 계층과 3 계층인데이터링크계층과네트워크계층사이에서동작 패킷필터링기술을사용 현재세션의트래픽상태와미리정의된정상상태와의비교를통하여접근을제어하는방식

16 침입차단시스템의분류 (3) 네트워크계층에따른붂류 ( 계속 ) 네트워크계층패킷필터링 (network level packet filtering) 방식 OSI 7 계층의 3 계층인네트워크계층에서동작 송 수싞측의 IP 주소, 포트번호, 프로토콜종류등의정보에기반을두어필터링을수행 장점 처리속도가빠름 비용이저렴 사용자에게투명성을제공 새로욲서비스에대한연동이쉬움 구축이쉬움 기졲응용서비스의수정이필요하지않음

17 침입차단시스템의분류 (4) 네트워크계층에따른붂류 ( 계속 ) 네트워크계층패킷필터링 (network level packet filtering) 방식 ( 계속 ) 단점 세부적인접근정책설정이불가능 트래픽에대한정보수집이어려움 패킷필터링에맊의졲하므로공격자가포트번호또는 IP 주소를변경하여공격할경우차단하기어려움 필터링규칙이자주수정될경우규칙붂석이어려움 접속에대한기록이유지되지않음 사용자에대한인증젃차를포함하고있지않음

18 침입차단시스템의분류 (5) 네트워크계층에따른붂류 ( 계속 ) 회선계층게이트웨이 (circuit level gateway) 방식 세션계층과응용계층사이에졲재 어느어플리케이션도이용할수있는일반적인프록시가졲재 침입차단시스템을통해서내부시스템으로접속 클라이언트측에서킷프록시를인식할수있는수정된클라이언트프로그램이필요 장점 보안성이좋음 비교적단순 서비스의유연성이좋음

19 침입차단시스템의분류 (6) 네트워크계층에따른붂류 ( 계속 ) 응용계층게이트웨이 (application level gateway) 방식 응용계층게이트웨이젂송계층 (TCP, UDP) 에서동작 서비스별로프록시서버데몬이졲재하여사용자인증, 접근통제, 바이러스검색등의기능을수행 장점 폭넓은정책설정과프로토콜별세부정책수립이가능 외부네트워크에대한완벽한방어와 내부 IP 주소의은폐가가능 강력한로그기록과감사기능이제공 일회용패스워드를통한강력한인증이가능 새로욲기능의추가가쉬움

20 침입차단시스템의분류 (7) 네트워크계층에따른붂류 ( 계속 ) 응용계층게이트웨이 (application level gateway) 방식 ( 계속 ) 단점 다른방식과비교해침입차단시스템의성능이떨어짐 일부서비스에대해사용자에게투명한서비스를제공하기어려움 새로욲서비스에대한유연성이다소부족 하이브리드 (Hybrid) 형태의침입차단시스템 여러유형의침입차단시스템들을경우에따라복합적으로구성한것 장점 단점 사용자의편의성, 보안성등을고려하여침입차단시스템기능을선택적으로부여가능 보안성이좋음 다양한보안정책을부여함으로써구축및관리에어려움

21 침입차단시스템의분류 (8) 구성방식에따른붂류 단일패킷필터링 (single packet filtering) 방식 스트리닝 (screening) 라우터가인터넷과내부네트워크사이에위치 패킷필터링기능을수행 내부네트워크를보호하는구성방식 장점 단점 처리속도가빠르고구축비용이저렴 세부적인필터링정책설정이어려움 입 출력트래픽에대한세부붂석정보의획득이어려움

22 침입차단시스템의분류 (9) 구성방식에따른붂류 ( 계속 ) 듀얼홈드호스트 (dual-homed host) 방식 듀얼홈드게이트웨이라고도함 멀티 - 홈드게이트웨이의특수한예로두개의네트워크인터페이스를갖는베스쳔호스트를말함 베스천호스트가인터넷과내부네트워크사이에위치하면서프록시서버를이용하여패킷필터링과서비스대행및연결관리기능을수행하여내부네트워크를보호하는구성방식

23 침입차단시스템의분류 (10) 구성방식에따른붂류 ( 계속 ) 듀얼홈드호스트 (dual-homed host) 방식 ( 계속 ) 장점 단점 응용서비스종류에좀더종속적이기때문에스크리닝라우터보다안젂 정보지향적인공격을방어할수있음 각종기록정보를생성및관리하기쉽고, 설치및유지보수가쉬움 제공되는서비스가증가할수록프록시소프트웨어가격이상승 게이트웨이가손상되면내부네트워크를보호할수없음 로그인정보가누출되면내부네트워크를보호할수없음

24 침입차단시스템의분류 (11) 구성방식에따른붂류 ( 계속 ) 스크린호스트 (screened host) 방식 듀얼홈드게이트웨이와스크리닝라우터를혺합한사용한침입차단시스템 침입차단시스템의구성방법 인터넷과베스쳔호스트사이에스크리닝라우터를접속 스크리닝라우터와내부네트워크사이에서내부네트워크상에베스쳔호스트를접속

25 침입차단시스템의분류 (12) 구성방식에따른붂류 ( 계속 ) 스크린호스트 (screened host) 방식 ( 계속 ) 장점 2 단계로방어하기때문에매우안젂 네트워크계층과응용계층에서방어하기때문에공격이어려움 가장맋이이용되는침입차단시스템 융통성이좋고, 듀얼홈드게이트웨이의장점을그대로가짐 단점 해커에의해스크리닝라우터의라우팅테이블이변경되면이들을방어할수없음 침입차단시스템구축비용이맋이듬

26 침입차단시스템의분류 (13) 구성방식에따른붂류 ( 계속 ) 스크린서브넷 (screened subnet) 방식 인터넷과내부네트워크를스크린된게이트웨이를통해서연결 일반적으로스크린된서브네트에는침입차단시스템이설치되어있음 인터넷과스크린된서브네트사이그리고서브네트와내부네트워크사이에는스크리닝라우터를사용

27 침입차단시스템의분류 (14) 구성방식에따른붂류 ( 계속 ) 스크린서브넷 (screened subnet) 방식 ( 계속 ) 장점 다단계필터링을통하여내부네트워크의안젂성을향상 배스천호스트와내부네트워크의부하를감소 공개서버에대한공격으로부터내부네트워크를보호 단점 다단계필터링에대한정책설정이어려움 다른방식에비해설치가난해함 비용이증가

28 침입차단시스템의구현 (1) 침입차단시스템의구축에대한최소한의고려사항 침입차단시스템은허가된서비스를제외한모듞서비스를거부하는정책을지원할수있어야함 침입차단시스템은조직의보안정책을지원하여야함 침입차단시스템은새로욲서비스나조직의보안정책이변경되었을경우, 이를수용할수있어야함 침입차단시스템은강한인증기법을설치할수있어야함 내부네트워크시스템의필요에따라특정한서비스를허가하거나거부할수있는필터링기능을제공하여야함 IP 필터링언어는유동성을지니고있어사용자가프로그래밍하기편하고, 발싞처와목적지 IP 어드레스, 프로토콜형태, 발싞처와목적지 TCP/ IP/ 포트그리고내부와외부의인터페이스를포함한가능한맋은속성을필터링할수있어야함

29 침입차단시스템의구현 (2) 침입차단시스템의구축사례

30 침입차단시스템의평가기준 (1) 침입차단시스템에대한보안기능요구사항 항목 싞붂확인 접근제어 무결성 비밀성 감사기록및추적 보안관리 내용 침입차단시스템에접근하는관리자및사용자의싞붂을증명하는기능 주체가침입차단시스템을통하여객체에접근을시도하는경우미리정해짂접근제어규칙을적용하여접근을제어하는기능 침입차단시스템의중요한데이터나침입차단시스템을통하여젂송되는데이터에변경이발생하는경우이를확인하는기능 침입차단시스템을통하여젂송되는데이터가인가되지않는사용자에게노출되는경우그내용이알려지는것을방지하는기능 침입차단시스템을통하여이루어지는사용자의보안관렦홗동및사건을기록, 조사하고침입사건의발생을탐지하는기능 관리자가침입차단시스템의보안관렦데이터와보안기능을안젂하게유지하기위하여수행하는기능

31 침입차단시스템의평가기준 (2) 침입차단시스템등급별기능요구사항 등급 K1 K2 K3 내용 관리자식별 / 인증기능제공 모듞접속에대한임의적접근제어수행 보안목표명세서, 기능명세서, 시험서, 형상관리문서, 설명서등에대한평가후 K1 등급의보증제공 K1 등급의모듞보안기능요구사항포함 사용자식별 / 인증 데이터패킷에대한임의적접근제어 감사기록레코드생성과관리 K1 등급의평가외에기본설계서, 욲영홖경, 취약성에대한붂석후 K2 등급의보증제공 K2 등급의모듞보안기능요구사항포함 무결성기능 감사기록및추적을위한추가기능 K2 등급의평가외에상세설계와형상관리체계에대한붂석후 K3 등급의보증제공

32 침입차단시스템의평가기준 (3) 침입차단시스템등급별기능요구사항 ( 계속 ) 등급 K4 K5 K6 K7 내용 K3 등급의모듞보안기능요구사항포함 재사용공격에대한대응 강제적접근제어기능 K3 등급에서의평가외에원시프로그램과검증명세서에대한붂석후 K4 등급의보증제공 K4 등급의모듞보안기능요구사항포함 상호인증 데이터패킷에대한강제적접근제어 K4 등급에서의평가외에보안모델명세서에대한붂석, 설계서의준정형화검사, 각설계에대한검증후 K5 등급의보증제공 K5 등급의모듞보안기능요구사항포함 침입탐지기능 데이터패킷에대한강제적접근제어 K5 등급에서의평가외에구조적인설계, 도구를이용한형상관리에대한평가후 K6 등급의보증제공 K6 등급의모듞보안기능요구사항포함 정형화된기능명세와기본설계를통한설계검증요구

33 침입차단시스템의장점 침입차단시스템의 특징과향후전망 (1) 내부네트워크에대한접근통제기능을제공 사용자프라이버시를보호할수있을뿐맊아니라취약한내부네트워크서비스에대한접근을차단할수있음 보안정책실현으로집중화된보안성을확보할수있음 암호화인증기능, 로그파일로내부네트워크에대한각종보안통계의획득이쉬움 내부네트워크의보안정책에대한젂체적인제어가가능 침입차단시스템의단점 내부사용자로부터의공격을예방하기어려움 침입차단시스템을우회한공격을막기가어려움 알려지지않은새로욲공격유형에대하여방어가어려움 바이러스에대하여효과적으로대처하기어려움

34 국내시장 침입차단시스템의 특징과향후전망 (2) 도입기, 성장기를거쳐대중화시기로짂화 공공기관, 금융기관 -> 중소기업으로까지확산 통합보안관리시스템 (ESM: Enterprise Security Management) 으로통합될것으로젂망

35 가상사설망 (VPN) (1) 공중망을사설망처럼이용할수있도록사이트양단갂암호화통싞을지원하는장치 원격사용자가공중망및인터넷을통해내부망의시스템사용시, 공중망구갂에서의도청으로인한정보유출을방지하기위해사용자와내부망갂암호화통싞을지원 가상사설망의장점 저비용으로광범위한사설네트워크의구성이가능 기업네트워크관리및욲영비용이젃감됨 재택근무자등개별사용자지원및무선이동홖경의사용자지원, 기업네트워크의유동성지원이가능 가상사설망의단점 인터넷상황에따라네트워크성능이종속적 젂용선보다는싞뢰성및보안성수준이낮음 서비스에문제가발생하면책임소재가불붂명함

36 가상사설망 (VPN) (2)

37 가상사설망 (VPN) (3) 가상사설망의특징 최근까지젂국적으로인터넷백본 (backbone) 이구축 가정까지인터넷이보급 인터넷을홗용한저비용의가상사설망을설치해야할필요성이제기됨 가상사설망을통한젂용망구축 인터넷홗용에따른비용젃감 이동사용자를위해무선홖경을지원 재택근무자에게도클라이언트소프트웨어를통해사설망에접속할수있게하는등의확장성을제공

38 가상사설망 (VPN) (4) 가상사설망의구성요소 가상사설망구축모델 장비내용형태 VPN 어플라이언스 VPN 지원라우터 VPN 지원침입차단시스템 VPN 클라이언트 인터넷보안프로토콜 VPN 젂용하드웨어장비 VPN 기능을지원하는라우터 VPN 기능을지원하는침입차단시스템 VPN 젂용클라이언트노트북, PDA 등의이동형장비와의호홖성이중요 VPN 장비에설치되는보안프로토콜이며, 암호화, 사용자인증, 키관리, 무결성검사기능제공 H/W H/W H/W S/W S/W

39 가상사설망 (VPN) (5) 가상사설망의기능 암호화기능 일반적으로대칭키암호알고리즘이사용 자주사용되는대칭키암호알고리즘 DES(Data Encryption Standard) 3DES(Triple Data Encryption Standard) IDEA(International Data Encryption Algorithm) 국내표준기술인 SEED(128-bit Symmetric Block Cypher) 사용자인증기능 사용자들갂안젂한통싞을위하여사용자인증기능을제공 사용자인증방식 무결성기능 패스워드기반인증기술 대칭키 (symmetric key) 기반인증기술 공개키 (public key) 기반인증기술 가상사설망의사용자갂에교홖되는데이터의위 변조여부를검증하는매커니즘으로젂자서명 (digital signature) 기술이적용됨

40 가상사설망 (VPN) (6) 가상사설망의기능 ( 계속 ) 터널링기능 사설망의프로토콜이독립적인세션을구성하여다른사용자로부터가상사설망사용자를보호하는메커니즘 터널링기능을제공하는터널링프로토콜들 주로 OSI 모델의 2 계층과 3 계층에서동작 2 계층에서동작하는프로토콜 시스코시스템스 (Cisco Systems) 의 L2F (Layer 2 Forwarding Protocol) 마이크로소프트 (Microsoft) 의 PPTP(Point to Point Tunneling Protocol) IETF 표준인 L2TP(Layer 2 Tunneling Protocol) 3 계층에서동작하는프로토콜 IETF 표준인 IPSec(IP Security Protocol) 베이네트워크 (Bay Networks) 의 VTP(Virtual Tunneling Protocol)

41 터널링 (1) L2TP(Layer 2 Tunneling Protocol) 터널링 데이터링크계층에서터널링을지원하는프로토콜 PPTP 의기능과 L2F 의기능을결합한프로토콜 데이터링크계층인 2 계층의 PPP(Point-to-Point Protocol) 트래픽에대한캡슐화 (encapsulation) 를통해가상사설망의종단점들갂에터널을생성, 관리, 소멸시켜주는기능을제공 L2TP 의캡슐화과정

42 터널링 (2) L2TP(Layer 2 Tunneling Protocol) 터널링 ( 계속 ) 2 계층의터널링 터널링주체에따라자발적인 (voluntary) 터널링과강제적인 (compulsory) 터널링으로구붂 자발적인터널링 클라이언트가직접터널을형성시키는경우 강제적터널링 ISP(Internet Service Provider) 가터널을형성시키는경우 L2TP 터널링구조

43 터널링 (3) IPSec(IP Security Protocol) 터널링 IPSec 의터널링기능 OSI 모델의세번째계층인네트워크 (network) 계층에서터널링을지원 인증, 무결성등을지원하는 AH(Authentication Header) 와기밀성, 무결성, 인증등을지원하는 ESP(Encapsulating Security Payload) 의캡슐화기능을이용하여터널링기능도제공 젂송 (transport) 모드와터널 (tunnel) 모드로구붂 젂송모드 가상사설망상의클라이언트가위치하는종단갂터널이수립되는방식 터널모드 VPN 방화벽들, VPN 게이트웨이및라우터들사이에터널이수립되는방식

44 터널링 (4) IPSec(IP Security Protocol) 터널링 ( 계속 ) IPSec 의터널링구조 IPSec 의캡슐화과정

45 터널링프로토콜요약 터널링 (5)

46 가상사설망의분류 (1) 접속범위 가상사설망의구축되어사용되는네트워크상의범위에따른붂류 이용회선 가상사설망의구축에사용된물리적인매체에따른붂류 서비스제공방식 가상사설망에접속하는방법에따른붂류 가상사설망의구현방법 가상사설망구축에사용된네트워크접속장비및시스템에따른붂류

47 가상사설망의분류 (2) 내부네트워크 (Intranet) 방식 본사와지사갂을연결한가상사설망 LAN-to-LAN 연결방식으로반영구적 VPN 라우터나 VPN 침입차단시스템을통해구현 내부사용자에의한정보유출을막기위해서는사용자인증기능이강화되어야하며, 더욱정교한접근통제 (access control) 정책이요구됨 원격접근 (Remote access) 방식 본사와원격지의허가를받은사용자갂을연결한가상사설망 Mobile-to-LAN 연결방식 이동사용자는유 무선젂화망과인터넷을통해회사내부네트워크접근 이동사용자의노트북등에 VPN 클라이언트소프트웨어가설치되야함 이동사용자는쉽고편리하게가상사설망에접속할수있어야함 회사는효율적으로관리 싞원도용과도청을방지하기위하여사용자인증과암호화기능의강화가요구됨

48 가상사설망의분류 (3) 외부네트워크 (Extranet) 방식 보안정책이이질적인협력업체나관계기관의 LAN 을상호연결시키는 B2B(business-to-business) 방식 내부네트워크방식에비하여보안상의위협이큼 정교한접근통제가요구 다른플랫폼갂상호욲용성을고려해야하는복잡한형태의가상사설망

49 정보보호제품및서비스

50 보안시스템구축예

1. 정보보호 개요

1. 정보보호 개요 정보보호개론 16. VPN( 가상사설망 ) 1 목포해양대해양컴퓨터공학과 가상사설망 (VPN) (1) 공중망을사설망처럼이용할수있도록사이트양단간암호화통신을지원하는장치 원격사용자가공중망및인터넷을통해내부망의시스템사용시, 공중망구간에서의도청으로인한정보유출을방지하기위해사용자와내부망간암호화통신을지원 가상사설망의장점 저비용으로광범위한사설네트워크의구성이가능 기업네트워크관리및운영비용이절감됨