SSL VPN 이상오기술연구소장 / 에이티엠네트웍스 sangoh@atmnet.co.kr
Agenda IT현황및SSL VPN 시장전망 SSL VPN 적용분야 SSL VPN 도입시고려해야할사항 SSL VPN 도입사례결론
IT 현황및 SSL VPN 시장전망
리모트액세스에대한요구증가 많은기업체에서기업체내중요한애플리케이션및정보자산에대해로컬뿐만아니라리모트에서도액세스할수있는분산액세스에대한요구사항이증가하고있다. " Mark Fabbi 엔터프라이즈커뮤니케이션부사장가트너그룹
리모트액세스당면과제 - 데이터보안성취약 Memo Memo Memo Memo DSL/Dial-up 인터넷 T1/Ethernet 리모트사용자 @$%^ Memo @$%^ Memo???????????????????????????????????????????? 불법사용자 기업체네트웍 인터넷트래픽은불법사용자에의해노출될위험성이 높아정보보안에취약함 정보보안을위해서는데이터암호화가필요함 (VPN)
리모트액세스당면과제 - 설치 / 관리부담 전통적인 VPN 솔루션은클라이언트소프트웨어가필요함 - 계속적인유지와관리가필요 운영비용의증가 리모트사용자에대한지원이어려움
IPSec VPN 의제약점 IPSec 클라이언트가설치된컴퓨터외에서는 access 불가 특정지역외에서는사용제약이많음 고객사이트, 공항, 파트너사이트, PC 방등 정교한액세스컨트롤제공못함 - all or noting VPN 사용자증가시추가구입비용발생 설치및유지관리비용 / 인력부담
IPSec VPN vs SSL VPN IPSec VPN IPSec 클라이언트모듈탑재 IPSec VPN 인터넷 IPSec 터널 IPSec 터널 IPSec VPN 허가된서브넷 SSL VPN Exchange 서버 사용자메일계정 인터넷 SSL 터널 SSL VPN 브라우져사용자 SSL VPN 장비 인트라넷서버 허가된 URL/Object
SSL VPN 의장점 언제어디서나편리하게접속가능 공공장소, 고객사이트등장소및접속장비에제약없음 방화벽필터링및 NAT 사용으로인한제약없음 웹기반리모트액세스로별도클라이언트필요없음 쉽고빠른 VPN 구축및관리제공 놀라운 TCO 감소효과 높은보안성 : Full AAA 제공 (authentication,authorization,accounting) 애플리케이션레벨보안 인증된사용자에한해차별화된내부애플리케이션액세스권한제공
SSL VPN 시장현황및전망 $400 $350 $300 $250 $200 $150 $100 $50 $0 ( 단위 : $M) 프로스트 & 설리반 2003 년세계 SSL VPN 시장규모는 8,970 만달러 (361% 성장률 ) 가트너그룹 2004 년기업고객의 60% 가 SSL VPN 을도입할것으로예측 인포네틱스 2006 년 6 억달러까지성장예상 2002 2003 2004 2005 SSL Acceleration Entry level SSL VPN CAGR (02-05) 15% 56%
SSL VPN 동작원리 이용자 10M 인터넷 1G 10M 암호화된 SSL 세션터널 1G 1 3 1. Client SSL VPN 접속시도 - 인증서수신및체크 -SSL 핸드세이킹 ( 세션키생성 ) 2. 암호화된메시지처리 3. ID/PW 인증절차실행 4. Local 인프라접속실행 (User ID 별해당 Local 인프라접속가능 ) SSL VPN 장비 1G 1G 3 LOCAL 서버 POP3 서버 인증서버
SSL VPN 적용분야
( 해외 ) 지사인터라넷일반현황 구성형태 특 징 국제전용선 Internet + IPSec VPN Internet 고비용 ( 회선비, 운영비 ) End-to-End 운영이어렵다 본사운영인력지원이항시필요 본사와호환성있는 IPSec VPN 기종선정이어렵다 현지설치및운영인력이없다 본사운영인력지원이항시필요 운영비용이고가 E-mail 에의한정보전달에제한 사내 ERP 등의전산자원접속불가 보안에노출
SSL VPN 에의한해외망확장방안 구성형태 : 본사에 SSL VPN 기능의장치만설치하여 VPN 구현 해외지사는인터넷접속만으로가능 장점 해외지사에별도의장비나 Software 설치없이인터넷접속만으로 VPN 접속 이용자브라우저에내재되어있는 SSL 기능에의해높은보안성제공 이용자그룹에따른별도의접속권한부여가능 ERP 등본사와동일한업무적용분야를해외에서도적용 해외지사네트웍운영을위한별도의운영지원인력이필요없음
효과적인 Extranet 구축방안 일반현황 기업내, 외부이용자구분이용이하지않아별도의 Extranet을구축한다. 정보중요도에관계없이모든것을접속할수있거나, 전혀허용하지않는다. SSL VPN 에의한구현방법 본사에만 SSL VPN 장비설치하여네트워크구현하며, 접속하는이용자구분으로 Intranet, Extranet 을구분 이용자소속그룹별허용가능한정보를구분제공 SSL VPN 에의한 Extranet 장점 하나의 VPN으로 Intranet, Extranet 모두구현 인증절차에따라이용자에게허용된정보만제공 ( 직원은 Intranet 접속, 대리점은 Extranet 접속 ) 이용자그룹에따른차별화된접속권한부여가능 모든접속자에게 SSL 에의한높은보안성제공
Intranet, Extranet 구성도 SSL VPN LDAP 서버 인터넷 SSL 터널 Extranet 서버 직원 SSL VPN Netscaler 인트라넷영역 메일 대리점 내부정보
SSL VPN 도입시 고려해야할사항
1. 일반적인사항 이용자접속권한등록 그룹별접속권한 Content 접속권한 다양한애플리케이션지원 애플리케이션프록시구조 C/S 기반애플리케이션, 터미널액세스, 파일공유지원 SSL Transaction 처리능력 ( 가속 ) 이용자수의증가를고려한 Performance SSL 암호화된공격의차단등부가적인 needs
2. Multiple Application Instance 지원 포트프록시 (Port Proxy) 기반 SSL VPN 특정애플리케이션포트를사용하는각애플리케이션기반구조 동일애플리케이션포트를사용하는여러애플리케이션 instance 들을구별하기어려움 한사용자당하나의애플리케이션 instance 사용하도록규제 애플리케이션프록시 (Application Proxy) 기반 SSL VPN 애플리케이션포트구별자에독립적으로애플리케이션 request 처리 동시애플리케이션 instance 수에제한없음 포트프록시기반 SSL VPN 경우동일애플리케이션을여러개동시에 open 할수없음 예 ) Telnet 사용시한번에하나의 Telnet 만 access 할수있음
3. Dynamic Port 애플리케이션지원 Dynamic Port : 사용가능한포트들중무작위로사용포트선택 Dynamic Port 를사용하는애플리케이션증가 포트프록시기반 SSL VPN 은 Dynamic Port 사용애플리케이션지원못함 2 잘알려진포트 3 1 Local Config Siebel=127.0.0.1 8 2 3 nn 4 7 8 0 Port Proxy (127.0.0.1) 2 1 25 애플리케이션 Dynamic Port 9 7 4 6 5 SSL VPN 게이트웨이
4. VPN / non-vpn 트래픽구분처리 VPN 터널을통한액세스가필요한내부애플리케이션과단순인터넷웹서핑의두가지타입트래픽공존 대다수 VPN 제품의경우모든트래픽이 VPN 게이트웨이를통하게됨 이로인해기업내대역폭의낭비와사용자응답시간지체현상발생 애플리케이션 request 를분석하여 VPN 트래픽과 non-vpn 트래픽을 구분, 별도처리할수있는정교한애플리케이션레벨의컨트롤필요 => 내부자원절약및사용자만족도향상
5. Hard-coded IP address 지원 URL rewrite 기술사용시 direct IP address 지원못함 VPN Gateway 로전달이되지않아애플리케이션서비스실패 DNS 기반 address 뿐만아니라 direct IP 도지원할수있어야함
6. No Pre-installed Client S/W 대다수 SSL VPN 솔루션들이특정애플리케이션사용시별도의클라이언트용소프트웨어설치가필요함 Client/Sever 기반애플리케이션 터미널애플리케이션등 SSL VPN 의큰장점중의하나인 Clientless Client 의미퇴색 IPSec VPN 클라이언트소프트웨어같이설치 / 관리비용발생 별도의클라이언트소프트웨어설치없이 Transparent 하게 모든 TCP/IP 기반애플리케이션지원필요
7. end-to-end 애플리케이션보안 중요정보중요정보 중요정보중요정보 VPN 사용자 @$%^ @$%^???????????????????????????????????????????? 불법사용자 VPN 게이트웨이??? 하하하 ~ ^^ 서버 중요정보중요정보 불법사용자 일반적으로클라이언트와 VPN 게이트웨이까지만의보안솔루션제공 기업체내 VPN 게이트웨이부터서버까지의보안취약성대두 클라이언트에서서버까지 end-to-end 보안솔루션제공필요
8. 애플리케이션레이어보안제공 인터넷 암호화된바이러스또는또는침입공격 복호화된바이러스또는또는침입공격 바이러스에감염된클라이언트가 VPN 사용시내부자원감염우려 허가받은사용자가본인도모르게웜바이러스또는 DoS 와같은공격의근원지가될수있음 허가된사용자트래픽에대해서도 L7 기반 packet 검색필요
9. No Client Configuration 대다수 SSL VPN 솔루션의경우클라이언트가 VPN 세션을사용하는동안클라이언트 Registry 수정또는 HOSTS 파일변경 VPN 세션종료시클라이언트의모든 configuration 이원래상태로재복구됨 VPN 사용중클라이언트장비가 crash 또는재부팅되는경우 configuration 의자동복구가되지않음 문제해결을위해클라이언트장비와 VPN 게이트웨이의동시재부팅필요 클라이언트 configuration 의일체변경없이 SSL VPN 제공되어야함
10. 클라이언트측보안기능 클라이언트용방화벽 / 바이러스백신프로그램연동기능 바이러스및공격에노출된클라이언트의 VPN 액세스사전차단 클라이언트 Clean-Up 기능 브라우저캐쉬 / 쿠키자동 cleanup HTTP History 삭제 사용애플리케이션및File Transfer 윈도우 closing 자동 Plugin 제거
11. Comprehensive AAA Authentication ( 인증 ) LDAP RADIUS Active Directory SecurID (via RADIUS) Secure Computing TACACS+ 로컬 DB 자체내장 Authorization ( 권한 ) Network (IP addresse, 포트등 ) HTTP (URL, 쿠키등 ) 사용자별 / 그룹별권한설정및액세스콘트롤 Accounting / Auditing ( 감시 ) 사용자 login, logout, authorization 실패등감시
SSL VPN 도입사례
해외사례 금융 ( 은행 ) 요구사항 미국상위권주요은행 외부협력사및미국전역지사사용자대상으로 Outlook 웹액세스및SAP 사용을위한리모트액세스제공 적용기능 SSL VPN SSL 가속, 압축등부가기능 도입효과 Intranet, Extranet 의동시구현 편리한구축및운영 향상된보안접속 사용자편의성향상
국내사례 요구사항 기존네트웍환경변경없이전용선수준의보안과속도문제개선 ERP, CAD 등 C/S기반애플리케이션지원 도입효과 56K 전용선을 ADSL망으로대체, 속도개선및비용절감 사내업무의국, 내외확대적용으로 Intranet 확대적용 Intranet, Extranet 동시구현 운영단순화를통한업무개선 인터넷 SSL VPN 서버 협력사
사례 : Redundancy Network 구현 요구사항 기투자한 IPSec VPN 기종이단종되어신규 Site 의네트워크확장계획제한 기존 IPSec VPN과병행가능한솔루션 그룹웨어, ERP, CAD 애플리케이션지원 별도소프트웨어설치없이편리한사용성보장 현장사무소 도입효과 중복투자없이신규현장은 SSL VPN 으로확대적용 IT관리인원의업무효율증대및신규현장사이트증설용이 부가기능으로웜바이러스필터링 SSL VPN IPSec VPN
적용사례 : login 1. SSL-VPN 터널형성및인증 ID 와 Password 를입력후 <Enter> ID 와 PWD 도암호화해서전송됨
적용사례 : 접속메뉴 1. SSL-VPN 터널형성및인증 TEST 인증성공및 SSL VPN 터널형성완료
결 론
도입효과 VPN 구현및구축비용절감 SSL 보안접속으로안전한네트웍구현운영지원인력및운영경비의대폭적인절감이용자의접속이간단하며, 어느곳에서나접속가능 IPSec VPN의 Redundancy 네트웍으로도쉽게적용용이 Intranet, Extranet 을동시구현업무별, 기능별, 사용자별차별화된 VPN 구현
감사합니다 이상오기술연구소장 / 에이티엠네트웍스 Email : sangoh@atmnet.co.kr http://www.atmnet.co.kr