e2-3 이상오 최종c0%cc%bb%f... · 2012-05-06 · ssl vpn 동작원리 인터넷 이용자 10m...
TRANSCRIPT
Agenda
IT현황및 SSL VPN 시장전망
SSL VPN 적용분야
SSL VPN 도입시고려해야할사항
SSL VPN 도입사례
결론
IT 현황및 SSL VPN 시장전망
리모트액세스에대한요구증가
“많은 기업체에서 기업체 내 중요한애플리케이션 및 정보 자산에 대해 로컬
뿐만 아니라 리모트에서도 액세스 할 수
있는 분산 액세스에 대한 요구사항이
증가하고 있다. "
Mark Fabbi엔터프라이즈 커뮤니케이션 부사장가트너 그룹
리모트액세스당면과제-데이터보안성취약
인터넷
리모트사용자
DSL/Dial-up
기업체네트웍
• 인터넷트래픽은불법사용자에의해노출될위험성이높아정보보안에취약함
T1/Ethernet
불법사용자
MemoMemo
MemoMemoMemoMemo
@$%^???????????
???????????
@$%^???????????
???????????
• 정보보안을위해서는데이터암호화가필요함 (VPN)
리모트액세스당면과제-설치 / 관리부담
• 전통적인 VPN 솔루션은 클라이언트 소프트웨어가 필요함
- 계속적인 유지와 관리가 필요
• 운영 비용의 증가
• 리모트 사용자에 대한 지원이 어려움
IPSec 클라이언트가설치된컴퓨터외에서는 access 불가
특정지역외에서는사용제약이많음
ü 고객사이트, 공항, 파트너사이트, PC 방등
정교한액세스컨트롤제공못함 - “all or noting”
VPN 사용자증가시추가구입비용발생
설치및유지관리비용/인력부담
IPSec VPN의제약점
인터넷
IPSec 클라이언트모듈 탑재
IPSec 터널IPSec 터널
IPSec VPN
허가된 서브넷
IPSec VPN vs SSL VPN
인터넷
SSL VPN브라우져 사용자
SSL 터널
SSL VPN 장비
Exchange서버
인트라넷서버
허가된URL/Object
사용자메일계정
IPSec VPN
SSL VPN
IPSec VPN
언제어디서나편리하게접속가능
ü 공공장소, 고객사이트등장소및접속장비에제약없음ü 방화벽필터링및 NAT 사용으로인한제약없음
웹기반리모트액세스로별도클라이언트필요없음
ü 쉽고빠른 VPN 구축및관리제공
ü 놀라운 TCO 감소효과
높은보안성 : Full AAA 제공(authentication,authorization,accounting)ü 애플리케이션레벨보안
ü 인증된사용자에한해차별화된내부애플리케이션액세스권한제공
SSL VPN의장점
프로스트&설리반
2003년 세계 SSL VPN 시장 규모는 8,970만 달러 (361%성장률)
가트너 그룹
2004년 기업 고객의 60%가 SSL VPN을 도입할 것으로예측
인포네틱스
2006년 6억 달러까지 성장 예상
$0
$50
$100
$150
$200
$250
$300
$350
$400
2002 2003 2004 2005
Entry level SSL VPN
SSL Acceleration
CAGR(02-05)
15%
56%
(단위 : $M)
SSL VPN 시장현황 및 전망
SSL VPN 동작원리
인터넷
이용자이용자
1010MM1010MM
11GG
암호화된
SSL 세션터널
11GG
11GG 11GG
1. Client SSL VPN 접속시도-인증서수신및체크- SSL핸드세이킹(세션키생성)
2. 암호화된메시지처리3. ID/PW 인증절차실행4. Local 인프라접속실행 (User ID별해당 Local 인프라접속가능)
LOCAL LOCAL 서버서버POP3 POP3 서버서버
인증인증 서버서버
SSLSSL VPN VPN 장비장비
11
33
33
SSL VPN적용분야
(해외)지사 인터라넷 일반 현황
• E-mail 에 의한 정보 전달에제한
• 사내 ERP 등의 전산 자원접속 불가
• 보안에 노출
Internet
• 본사와 호환성있는 IPSec VPN 기종 선정이어렵다
• 현지 설치 및 운영 인력이없다
• 본사 운영인력지원이 항시 필요
• 운영 비용이고가
Internet + IPSec VPN
• 고비용 (회선비, 운영비)
• End-to-End 운영이 어렵다
• 본사 운영인력지원이 항시 필요
국제전용선
특 징구성형태
구성형태 : ü 본사에 SSL VPN 기능의장치만설치하여 VPN 구현ü 해외지사는인터넷접속만으로가능
장점
ü 해외지사에별도의장비나 Software 설치없이인터넷접속만으로VPN 접속
ü 이용자브라우저에내재되어있는 SSL 기능에의해높은보안성제공
ü 이용자그룹에따른별도의접속권한부여가능
ü ERP 등본사와동일한업무적용분야를해외에서도적용
ü 해외지사네트웍운영을위한별도의운영지원인력이필요없음
SSL VPN 에 의한 해외망 확장 방안
일반 현황
ü 기업 내, 외부 이용자 구분이용이하지 않아 별도의 Extranet을 구축한다.
ü 정보 중요도에 관계 없이모든 것을 접속할수 있거나, 전혀 허용하지않는다.
SSL VPN 에 의한 구현 방법
ü 본사에만 SSL VPN 장비 설치하여 네트워크구현하며,
ü 접속하는이용자 구분으로 Intranet, Extranet 을 구분
ü 이용자 소속그룹별 허용가능한 정보를구분 제공
SSL VPN 에 의한 Extranet 장점
ü 하나의 VPN으로 Intranet, Extranet 모두 구현
ü 인증 절차에따라 이용자에게허용된 정보만제공
(직원은 Intranet 접속, 대리점은 Extranet 접속)
ü 이용자 그룹에따른 차별화된접속 권한부여 가능
ü 모든 접속자에게 SSL 에 의한 높은 보안성제공
효과적인 Extranet 구축 방안
Intranet, Extranet 구성도
인터넷
직원
SSL 터널SSL VPN Netscaler
LDAP 서버
Extranet 서버
SSL VPN
인트라넷 영역
내부 정보
대리점
메일
SSL VPN 도입시고려해야할사항
1. 일반적인사항
이용자접속권한등록
ü 그룹별접속권한ü Content 접속권한
다양한애플리케이션지원
ü 애플리케이션프록시구조ü C/S기반애플리케이션, 터미널액세스, 파일공유지원
SSL Transaction 처리능력(가속)
이용자수의증가를고려한 Performance
SSL암호화된공격의차단등부가적인 needs
2. Multiple Application Instance지원
포트프록시(Port Proxy) 기반 SSL VPNü 특정애플리케이션포트를사용하는각애플리케이션기반구조ü 동일애플리케이션포트를사용하는여러애플리케이션 instance들을구별하기어려움
ü 한사용자당하나의애플리케이션 instance 사용하도록규제
애플리케이션프록시(Application Proxy) 기반 SSL VPNü 애플리케이션포트구별자에독립적으로애플리케이션 request 처리ü 동시애플리케이션 instance 수에제한없음
포트프록시기반 SSL VPN경우 동일애플리케이션을여러개동시에
open할수없음예) Telnet 사용시한번에하나의 Telnet만 access할수있음
PortProxy
(127.0.0.1)nn
23
47 2
1
80잘알려진포트잘알려진포트
25
1
Local ConfigSiebel=127.0.0.1
2
34
5
6
7
8
9
Dynamic Port
SSL VPN 게이트웨이
애플리케이션
3. Dynamic Port 애플리케이션지원
Dynamic Port : 사용가능한포트들중무작위로사용포트선택
Dynamic Port를사용하는애플리케이션증가
포트프록시기반 SSL VPN은 Dynamic Port 사용애플리케이션지원못함
4. VPN / non-VPN 트래픽구분처리
VPN 터널을 통한액세스가필요한내부애플리케이션과단순인터넷 웹
서핑의두가지타입트래픽공존
대다수 VPN 제품의경우모든트래픽이 VPN 게이트웨이를통하게됨
이로인해기업내대역폭의낭비와사용자응답시간지체현상발생
애플리케이션 request를분석하여 VPN 트래픽과 non-VPN트래픽을구분, 별도처리할수있는정교한애플리케이션레벨의컨트롤필요=> 내부자원절약및사용자만족도향상
5. Hard-coded IP address 지원
“URL rewrite”기술사용시 direct IP address 지원못함VPN Gateway로전달이되지않아애플리케이션서비스실패
DNS기반 address 뿐만아니라 direct IP도지원할수있어야함
6. No Pre-installed Client S/W
대다수 SSL VPN 솔루션들이특정애플리케이션사용시별도의클라이언트용소프트웨어설치가필요함
ü Client/Sever 기반애플리케이션ü 터미널애플리케이션등
SSL VPN의큰장점중의하나인 Clientless Client 의미퇴색
IPSec VPN 클라이언트소프트웨어같이설치/관리비용발생
별도의클라이언트소프트웨어설치없이 Transparent하게모든 TCP/IP기반애플리케이션지원필요
7. end-to-end 애플리케이션보안
일반적으로클라이언트와 VPN 게이트웨이까지만의보안솔루션제공기업체내 VPN 게이트웨이부터서버까지의보안취약성대두
클라이언트에서서버까지 end-to-end 보안솔루션제공필요
불법사용자
VPN게이트웨이VPN
사용자
중요정보중요정보
@$%^???????????
???????????
@$%^???????????
???????????
불법사용자
중요정보중요정보
? ? ? 하하하~ ^^ 서버
중요정보중요정보
바이러스에감염된클라이언트가 VPN사용시내부자원감염우려허가받은사용자가 본인도모르게웜바이러스또는 DoS와같은공격의근원지가될수있음
인터넷
암호화된바이러스또는침입공격
암호화된바이러스또는침입공격
복호화된바이러스또는침입공격
복호화된바이러스또는침입공격
8. 애플리케이션레이어보안제공
허가된사용자트래픽에대해서도 L7 기반 packet 검색필요
9. No Client Configuration
대다수 SSL VPN 솔루션의경우클라이언트가 VPN 세션을사용하는동안클라이언트 Registry 수정또는 HOSTS 파일변경
VPN 세션종료시클라이언트의모든 configuration이원래상태로재복구됨
VPN 사용중클라이언트장비가 crash 또는재부팅되는경우configuration의자동복구가되지않음
문제해결을위해클라이언트장비와 VPN 게이트웨이의동시재부팅필요
클라이언트 configuration의일체변경없이 SSL VPN 제공되어야함
10. 클라이언트측보안기능
클라이언트용방화벽/바이러스백신프로그램연동기능
ü 바이러스및공격에노출된클라이언트의 VPN 액세스사전차단
클라이언트 Clean-Up 기능ü 브라우저캐쉬 / 쿠키자동 cleanup
ü HTTP History 삭제
ü 사용애플리케이션및 File Transfer 윈도우 closingü 자동 Plugin 제거
11. Comprehensive AAA
Authentication (인증)
ü LDAP
ü RADIUS
ü Active Directory
ü SecurID (via RADIUS)
ü Secure Computing
ü TACACS+
ü 로컬 DB 자체 내장
Authorization (권한)
ü Network (IP addresse, 포트 등)
ü HTTP (URL, 쿠키 등)
ü 사용자별/그룹별 권한 설정 및 액세스콘트롤
Accounting / Auditing (감시)
ü 사용자 login, logout, authorization 실패 등 감시
SSL VPN 도입사례
요구사항
ü 미국 상위권주요 은행
ü 외부 협력사및 미국 전역지사 사용자대상으로
Outlook 웹 액세스 및 SAP 사용을 위한리모트 액세스제공
적용 기능
ü SSL VPN
ü SSL 가속, 압축 등 부가기능
도입효과
ü Intranet, Extranet 의동시 구현
ü 편리한 구축및 운영
ü 향상된보안접속
ü 사용자 편의성향상
해외사례 –금융(은행)
국내사례
요구사항
ü 기존 네트웍환경 변경없이전용선 수준의보안과 속도문제 개선
ü ERP, CAD 등 C/S기반 애플리케이션지원
도입효과
ü 56K 전용선을 ADSL망으로 대체, 속도개선 및 비용 절감
ü 사내 업무의국, 내외확대 적용으로 Intranet 확대적용
ü Intranet, Extranet 동시구현
ü 운영 단순화를통한 업무개선
협력사
인터넷 SSL VPN
서버
요구사항
ü 기 투자한 IPSec VPN 기종이 단종되어신규
Site 의 네트워크 확장계획 제한
ü 기존 IPSec VPN과 병행 가능한 솔루션
ü 그룹웨어, ERP, CAD 애플리케이션 지원
ü 별도 소프트웨어 설치없이편리한 사용성보장
도입효과
ü 중복 투자없이 신규 현장은 SSL VPN 으로
확대 적용
ü IT관리인원의업무 효율증대 및 신규현장
사이트증설 용이
ü 부가 기능으로웜바이러스필터링
현장사무소
SSL VPN IPSec VPN
사례 : Redundancy Network 구현
적용사례 : login
ID 와 PWD도 암호화해서 전송됨
1. SSL-VPN 터널형성 및 인증
q ID 와 Password 를 입력 후<Enter>
적용사례 : 접속메뉴
1. SSL-VPN 터널형성 및 인증 TEST
q 인증 성공 및 SSL VPN 터널 형성 완료
결 론
VPN 구현및구축비용절감
SSL보안접속으로안전한네트웍구현
운영지원인력및운영경비의대폭적인절감
이용자의접속이간단하며, 어느곳에서나접속가능
IPSec VPN의 Redundancy 네트웍으로도쉽게적용용이
Intranet, Extranet 을동시구현
업무별, 기능별, 사용자별차별화된 VPN 구현
도입효과
