VPN(Virtual Private Network)은 공용망을 이용하는 사용자에게 원격접속을 제공하는 네트워크입니다. VPN은 사설망과 같은 수준의 보안, 우선순위지정, 관리의 용이성, 그리고 확장성등을 제공합니다. 그리고 기업의 네트워크와 원격 사용자간의 PPP(Point to Point Protocol)를 이용한 접속방법중 가장 좋은 가격대 성능비를 가지고 있습니다. IP 기반의 VPN은 원격지점, 무선사용자 그리고 전화접속사용자들에게 Intranet을 제공하기위한 고객의 요구에 잘 부합합니다. 또한 VPN은 사업비용절감과 고객의 만족을 높이기위해 사업 Partner, 공급자 그리고 중요고객들과의 Extranet 접속을 제공합니다.

VPN은 다음과 같은 3가지 유형이 있습니다.

- Access VPNs
- Intranet VPNs
- Extranet VPNs


Access VPNs
Access VPNs은 사설망과 같은 수준의 네트워크를 개별사용자(무선사용자, 전화접속자)들과 회사 Intranet 혹은 공용망을 사용하는 Extranet에게 보안된 원격접속을 제공합니다.

Access VPN은 다음과 같은 2가지 유형이 있습니다.
- Client-Initiated Access VPNs
- NAS-Initiated Access VPNs

◆ Client-Initiated Access VPNs
Client-initiated access VPN은 원격사용자이 Client S/W를 사용하여 인터넷서비스를 제공하는 ISP를 통해 기업 네트워크로의 암호화된 IP Tunnel을 가능하게 합니다. Client-initiated access VPN이 NAS-initiated access VPNs에 비해 좋은점은 Client-initiated access VPN은 PSTN이나 ADSL을 통해 ISP를 지나서 기업네트워크까지 IPsec Tunnel을 구현한다는 것입니다. 사용자는 보안된 PPP연결을 ISP(Internet Service Providers)의 NAS와 생성하고, IPSec Tunnel은 PSTN이나 ADSL을 통해 생성됩니다. client-initiated access VPN을 위한 Soultion에서는 사용자가 항상 ISP와 PPP연결이 이루어져 있어야 합니다. VPN Client S/W 또한 IKE Mode 설정을 위해 고정된 IP나 동적인 IP를 사용해야 합니다.

◆ NAS-Initiated Access VPNs
NAS-Initiated Access VPN은 원격사용자가 ISP(Internet Service Providers)의 NAS에 전화접속을 제공한다. NAS는 기업의 사설 네트워크에 암호화된 Tunnel을 생성한다. NAS-Initiated Access VPN은 원격사용자들이 다중 Tunnel을 이용하여 여러개의 네트워크로의 접속을 제공한다.

Intranet VPNs
Intranet VPN은 공용망을 이용하여 본사, 원격지점들 그리고 지사들을 전용으로 연결합니다. Intranet은 기업내부에서 업무를 위한 네트워크입니다. Intranet VPN 안에서는 보안을 포함한 QoS(Quality of Service), 관리의 용이성 그리고 신뢰성등을 사설망과 같은 수준으로 유지함으로써 업무의 극대화를 제공합니다. Intranet은 최신의 정보와 서비스를 제공합니다. Intranet은 또한 일관된 정보의 신뢰된 연결을 제공함으로써 종업원들의 생산성을 향상시킬 수 있습니다. Intranet VPN을 구축함으로써 본사, 원격지점들 그리고 지사들에게 사설망과 같은 보안성과 접속성을 구현할 수 있습니다.

Extranet VPNs
Extranet VPN은 공용망을 이용하여 기업의 Intranet으로 연결하고자하는 고객들, 공급자, Partners과 연결합니다. Extranet은 고객들, 공급자, Partners에게 Intranet으로의 제한된 접근입니다(전화접속자와 원격지점들을 를 위한 인증된 접근과는 별도로) Extranet은 기업외부의 원격사용자들에게 접근을 하락한다는 점에서 Intranet과는 구별된다. 고객들, 공급자, Partners에게 좀더 많은 자원으로의 접근을 제공함으로써 Extranet VPN을 구축한 회사들은 적은 비용으로 향상된 고객만족을 제공할 수 있을것 입니다.





◆ Data Confidentiality
데이터 기밀성 (Data Confidentiality)은 네트워크를 통과하는 데이터의 내용을 제3자가 보더라도 알 수 없도록 하며 원래 데이터를 받을 사람만이 알 수 있도록 하는 것입니다. 이는 사전에 공유한 키를 사용하여 데이터를 암호화함으로써 가능합니다. 그러나 이 방법은 키가 노출될 경우 문제가 심각해지므로 이를 위해 안전한 키의 분배가 필요합니다. 이러한 키의 안전한 관리 메커니즘으로 IKE(ISAKMP
/OAKLEY) 프로토콜을 사용합니다.

◆ Data Integrity 데이터 무결성 (Data Integrity)은 네트워크를 통해 전달되는 데이터가 중간에서 변조되지 않았음을 보장합니다. 그래서 A가 B에게 메일을 보냈을 때 중간에 제3자인 C가 메일의 내용을 조금이라도 변조할 경우 원래의 메일을 받게 되는 B는 그 내용이 변조되었음을 알 수 있게 됩니다. 이것은 VPN이 암호화 및 전자서명(Digital Signature) 방식으로 통신하기 때문입니다

◆ Data Origin Authentication
데이터 근원 인증(Data Origin Authentication)은 네트워크를 통해 데이터를 보낸 자가 누구인지 인증하는 것입니다. 예를 들어, 원래는 A가 B에게 메일을 보내는데 중간에 제3자인 C가 자신이 A인 것처럼 속이고 보낸다 하더라도 그 데이터가 A에서 오지 않았음을 확인할 수 있습니다. 이것이 가능한 이유는 통신을 하고자 하는 당사자들끼리 공유한 키를 다른 제3자가 알지 못한다는 가정을 하였기 때문입니다. 따라서 메시지의 근원을 인증 할 수 있습니다.

◆ 접근 통제(Access Control)
접근 통제(Access Control)는 인증된 사용자에 대해서만 접근을 허가하는 서비스입니다. VPN은 기본적으로 IPSec 프로토콜을 사용하는데, 이 IPSec을 사용할 경우 게이트웨이간에 사전 협상을 합니다. 이 과정에서 VPN 게이트웨이에 설정된 여러 정보들이 통신하는 각 종단과 맞아야 상대방의 요청이 받아 들여지게 됩니다. 그러므로 사전 공유 정보를 알지 못하는 사람의 접근을 막을 수 있습니다.






◆ CA (Certificate Authority)
CA는 사용자에게 인증서를 발급하는 기관을 통칭합니다. 그리고 CA 자신이 발행한 인증서와 사용자 정보를 관리합니다. 이 CA가 발행하는 인증서는 여러 종류가 있을 수 있습니다. 일단 서로 VPN통신을 하기 위해서는 자신의 인증서, 상대의 인증서, 그 인증서를 신뢰 할만 하다고 인증하는 CA의 인증서가 필요합니다. 여기서 CA는 VPN통신을 하는 모든 종단들이 주체가 되어서 각 종단들에게 인증서를 발급해 인증을 할 수도 있으며 그 중 하나의 종단이 CA가 되어서 인증서를 발급하는 경우도 있을 수 있고, 외부의 다른 제3자가 CA가 될 수도 있습니다.

◆ AH(Authentication Header)
AH(Authentication Header)는 받은 데이터의 근원지를 인증하며 데이터의 무결성을 보장합니다. 이를 위해 MD5 나 SHA-1같은 해쉬 알고리즘을 사용합니다. 그리고 IP 패킷 각각에 대해서 무결성을 확인할 수 있습니다. 또한 AH에 일련번호를 부여하여서 재전송공격(Replay Attack)을 방지할 수 있습니다.
AH는 IP패킷의 IP헤더 뒤에 AH를 추가함으로써 인증을 보장합니다. 트렌스포트모드(Transport Mode)는 원래 IP해더의 출발지, 목적지를 그대로 유지하는 방법이며, 터널모드(Tunnel Mode)는 새로운 IP 헤더를 만들어서 원래의 IP 패킷 모두를 AH의 페이로드로 만드는 방법으로, 어느 한 쪽이 IPSec 게이트웨이 일 때 사용할 수 있으며 내부 IP 헤더를 보호할 수 있습니다.

◆ ESP (Encapsulation Security Payload)
ESP (Encapsulation Security Payload)는 IP 네트워크에 대한 비밀성과 무결성을 제공합니다. 이것은 IP 패킷을 암호화하여 데이터 전송 시 비밀성을 보장하게 되는 것입니다. 비밀성을 위한 암호화를 위해 DES, 3DES, CAST, BLOWFISH, IDEA, ,WOISH, SEED 등을 사용합니다. ESP 역시 데이터의 근원지를 인증하고 재전송 공격(Replay attack)을 방지 할 수 있습니다.
트랜스포트 모드에서 ESP의 기능은 원래의 IP 페이로드만을 보호하고, 원래의 IP 헤더는 보호하지 않지만, 터널 모드에서는 원래 IP 헤더와 IP 페이로드를 보호하고, 새로운 IP 헤더는 보호하지 않습니다. 또한 트랜스포트 모드는 데이터그램과 원래의 IP 헤더는 계속 유지되고, 원래 IP 데이터그램의 페이로드와 ESP 트레일러가 암호화됩니다.
자신의 IP 헤더의 기록은 인증되거나 암호화되지 않아서 바깥쪽 헤더에 있는 주소 정보는 데이터 그램이 전송되는 동안 공격자가 볼 수 있습니다. 반면, 터널 모드에서는 새로운 IP 헤더가 만들어져서, 원래 IP 데이터그램과 ESP 트레일러(Trailer)는 암호화됩니다. 그러므로 전송되는 동안 공격자가 헤더의 내용을 볼 수 없습니다.