SSL VPN 과 IPsec VPN 이해하기

[ Site to Site VPN ]

* 과거에는 VPN 기술이 발전하기 전이므로 전용회선을 통한 기업 본사와 지사 간 연결을 하였다.

* VPN 기술이 발전하면서 인터넷망에서 VPN 기술을 통하여 저렴한 가격으로 전용회선과 같은 환경을 구축할 수 있게 되었다.

* Site-to-Site VPN은 지사나 본사이 사용자들이 네트워크가 항시 전용회선으로 연결되어 있는 것처럼 느낄 수 있다.

* 접속방식 이후에 암호화 방식이다.

 

[ Site to Client VPN ]

* 개인 사용자가 외부업무를 보다가 회사의 인트라넷 또는 ERP 서버등으로 접속하고자 할 때 사용되는  VPN 방식이다.
* 개인용 PC에 접속용 클라이언트가 있으며 항시 연결이 아닌 필요할 때마다 인증을 통해 연결하는 방식이다.
* Local User 계정 등으로 접속할 수 있지만 기업은 Directory 서버를 통해 RADIUS 연결 방식을 주로 사용한다.

 

[ VPN 종류 및 차이점 ]

< PPTP VPN (Point-to-Point Tunneling Protocol) >
* VPN 터널을 생성하고 데이터를 캡처하며, VPN에 액세스 하기 위해 사용자는 승인된 비밀번호를 사용하여 VPN에 로그인한다.
* 옛날에는 제일 많이 구현하는 방식이었지만 암호화를 제공하지 않기 때문에 보안을 위해서는 더 이상 사용하지 않는 방식이다.

< L2TP (Layer to Tunneling Protocol) >
* MS와 Cisco 가 개발한 VPN 방식으로 보안 프로토콜과 결합하여 더 안전한 VPN을 하는 방식이다.
* 두 L2TP 연결지점 간에 터널을 형성하고 IPsec 프로토콜과 같은 다른 VPN의 데이터를 암호화하고 터널 보안에 중점을 두는 방식이다.
* L2TP는 데이터 기밀성 및 데이터 무결성에 관련해서 모두 다 제공하는 점이 PPTP와의 차이점이다.

 

< IPsec (IP Security Protocol)  VPN >
* IPsec 암호화 기술은 인터넷을 통해 데이터의 안전한 전송을 위해 VPN을 만드는 데 사용된다.
* IPsec은 다음과 같은 기능을 제공합니다.
 - 기밀성(Confidentiality): packets encrypted before transmission
 - 무결성(Integrity): authenticates packets at the destination peer to ensure that data has not been tampered during transmission
 - 인증(Authentication): peers authenticate source of all IPSEC protected packets
 - 리플레이방지(Anti-replay): prevents capture and replay of packets

< SSL (Secure Sockets Layer) VPN >  
* SSL VPN의 등장으로 Clientless 클라이언트리스 VPN이 등장하게 된다.
* 사용자는 VPN을 접속하기위해 전용 클라이언트 및 소프트웨어를 깔아야만 하고 설치, 관리 및 유지보수의 어려움이 있게 된다.
* 인터넷 브라우저가 익숙한 유저들에게는 SSL VPN 등장으로 관리자의 이점이 매우 많아지게 되었다.
* SSL은 웹서버와 웹브라우저간의 안전한 통신을 위해 넷스케이프에서 만든 프로토콜이다.
* 인터넷 연결의 편리성으로 인해 네트워크 접속이 용이해지면서 통신 암호화는 중요하게 되었다.
* SSL VPN은 사용자와 SSL VPN 장비 사이의 안전한 데이터의 교환을 위해 애플리케이션 계층에서 SSL을 이용한 암호화 서비스를 제공함으로써 기존 VPN의 문제점인 포트 블록(Port Block)과 같은 문제점을 해결해 준다
 
[ SSL VPN과 IPSec의 차이 ]
* 기본적으로 IPSec과 SSL VPN은 데이터의 기밀성 및 무결성 기능은 동일하며, 단지 데이터의 암호화를 구현하는 방식의 차이가 있을 뿐이다.

* SSL VPN은 웹 브라우저와 서버 간의 통신에서 정보를 암호화하는 SSL 보안 프로토콜을 사용하기 때문에 구축이 간편하고 비용이 적게 든다.

* IPsec VPN은 인터넷 프로토콜(IP) 보안 프로토콜을 이용하기에 별도의 하드웨어 장비가 필요하다.
* 서비스 측면에서 상호 보완 관계이며, 서비스 형태는 아래와 같다.
 - 네트워크 레이어 기술 : 일반적인 IPSec VPN에서 채택한 기술, IPSec/IKE(Internet Key Exchange) 사용
 - 트랜스포트 레이어 기술 : SSL VPN에서 채택한 기술, SSL을 사용하는 SOCKS 
 - 어플리케이션 레이어 기술 : SSL VPN에서 채택한 기술, SSL상에서 작동되는 HTTP(대부분의 웹 브라우저에 포함된 기술) 

구분	IPsec VPN	SSL VPN
성격	네트워크와 네트워크 연결	클라이언트와 네트워크 연결
프로토콜	IP	TCP
지원	TCP, UDP	TCP
OSI Layer	3 Layer	6 Layer
장비구성	2개의 서버(Gate Way) 장비 필요	1개의 서버 장비 필요
논리구성	소프트웨어 설치가 필요	웹브라우저만으로 사용
응용방법	어플리케이션에 영향 없음	SSL 포탈을 통해서 연결됨

* IPsec VPN은 양쪽에 VPN Gate Way(서버) 장비 2개를 서로 연결해서 네트워크와 네트워크를 연결하기 때문에 고 비용이 들게 된다.

* IPsec VPN은 3 Layer 계층에서 동작함으로 더 상위 계층에 해당되는 정보영역(Header, IP Address, Packet payload)이 모두 암호화 처리되어서 전달된다. 대신 IPsec VPN에서 추가한 IP sec Header가 앞쪽에 붙고, IP sec IP Address가 뒤쪽에 붙어서 전달된다.

* SSL VPN은 VPN보다 보안이 강화된 메시지 기반의 VPN이다.

* SSL VPN은 VPN Gate Way(서버) 장비 1개와 VPN클라이언트를 통해서 인터넷 웹브라우저를 통해 연결하는 VPN이기 때문에 구성 비용이 비교적 저렴하다.

* SSL VPN은 7 Layer 계층 중에서 6 Layer 계층에서 동작하는데 이는 SSL VPN 터널을 통해 이동되는 패킷은 데이터 부분만 암호화 처리되어 전달되고 나머지 부분은 일반적인 TCP 프로토콜을 통해 통신하는 데이터이다.

* SSL VPN은 말 드래로 SSL 프로토콜을 이용한 암호화를 이용하고, 일반 HTTPS와 똑같이 SSL Handshake 후 세션키를 생성해 SSL로 암호화한 트래픽을 세션키로 복호화를 하여 통신한다.