어디에 있든, 어떤 종류의 네트워크 연결을 가지고 있든 상관없이, 필요한 모든 디지털 리소스에 접근할 수 있는 것이 우리의 삶의 방식이 되었습니다. 다른 사업자에게 자료를 공유를 하는 업무를 맡은 경우 그리고 항상 네트워크를 사용해야하는 여행자의 경우, 이러한 모든 리소스에 대한 접근이 당연한 것으로 여겨집니다. VPN 추천 가이드를 읽어보세요.

공용 클라우드에서는 호스팅되는 어플리케이션이 위치 문제를 발생하지 않도록 큰 도움을 주지만, 보안 및 개인정보 보호와 같은 이유로 많은 리소스가 비공개로 호스팅됩니다. 이러한 개인 리소스에 대한 접근은 종종 VPN(가상 사설망)을 통해 처리됩니다.

VPN은 가상 사설망의 영문명(Virtual Private Network)의 약자로, 사용자가 인터넷을 통해 개인 네트워크에 안전하고 개인적으로 연결할 수 있도록 합니다. VPN은 VPN 터널이라는 암호화된 연결을 생성하고, 모든 인터넷 트래픽과 통신은 이 보안터널을 통해 전달됩니다.

포인트는 사용할 시점의 VPN 종류을 아는 것입니다. 다양한 VPN 종류을 고려하여, 어디에 적합한지 생각해봅시다. 두 가지 주요 VPN 종류, 즉 클라이언트 기반의 VPN 종류과 네트워크 기반의 VPN 종류을 살펴보겠습니다.

클라이언트 기반 VPN

클라이언트 기반의 VPN은 단일 사용자와 원격 네트워크 사이의 가상사설망입니다. VPN 연결을 설정하는데 관련된 어플리케이션이 있는 경우가 많습니다.

대부분의 시나리오에서 사용자는 VPN 클라이언트를 수동으로 시작하고, 사용자 이름과 비밀번호로 인증합니다. 클라이언트는 사용자의 컴퓨터와 원격 네트워크 사이에 암호화된 터널을 만듭니다. 그러면, 사용자는 암호화된 터널을 통해 원격 네트워크에 접근할 수 있습니다.

예를 들어, 클라이언트 기반의 VPN 어플리케이션으로는 시스코(Cisco)의 Anyconnect(애니커넥트)와 Pulse(펄스: 구 주니퍼: Juniper), 그리고 팔로 알토 네트웍스(Palo Alto Networks)의1 GlobalProtect(글로벌 프로텍트)가 있습니다.

윈도우나 맥, 모바일 운영 체제에는 종종 표준 기반의 VPN 클라이언트 옵션이 내장되어 있습니다. 예를 들어 맥북의 Mac OS X 10.10 에는 IPsec 및 PPTP(Point-to-Point Tunneling Protocol: 지점간 터널링 프로토콜)를 통한 L2TP(Layer 2 Tunneling Protocol: 2계층 터널링 프로토콜)이 내장되어 있습니다. 표준 기반의 시스코 IPsec과 일부 시스코 강화제품도 Mac 사용자에게 포함된 옵션입니다.

IPsec은 오랜기간 클라이언트 VPN 프로토콜로 이용되었지만 요즘에는 SSL이 더 자주 사용됩니다. 예를 들어, 시스코는 더 이상 기존 IPsec 클라이언트를 업데이트하지 않습니다. 대신 시스코의 고급 클라이언트 VPN 솔루션인 AnyConnect는 SSL을 사용합니다.

클라이언트 기반 VPN 앱을 사용하면 사용자가 어디서나 노트북 또는 모바일 장치를 개인 리소스에 쉽게 연결할 수 있습니다. 예를 들어, 여행 중에도 아이폰이나 아이패드, 그리고 맥북에서 VPN 클라이언트를 사용하여 회사와 연결할 수 있습니다. 이를 통해 기기와 회사 방화벽 사이의 보안 VPN 터널을 통해 원격으로 네트워크를 관리 할 수 ​​있습니다.

기본 연결 외에도 VPN 클라이언트는 향상된 보안 기능을 제공합니다. 하나는 네트워크에 사용자를 허용하기 전에 사용자의 장치를 주의깊게 검사하는 기능입니다. 예를 들어, 인증 프로세스 중에 시스코 AnyConnect 클라이언트는 장치에 특정 버전의 안티 바이러스 소프트웨어가 설치되어있고 특정 윈도우 도메인 일부인지 확인할 수 있습니다. 이를 통해 IT 팀은 단순 인증 실패 이외의 이유로 클라이언트 VPN 장치를 거부 할 수 있습니다.

프리미엄 VPN 클라이언트는 라이선스 비용이 있습니다. 클라이언트 소프트웨어는 무료일 수 있지만 방화벽은 일반적으로 허용되는 동시 VPN 연결 수에 따라 라이선스가 부여됩니다. 예를 들어, 사용자의 기기에 배포된 1000개의 VPN 클라이언트가 있지만 주어진 시간에 500개를 지원하기위한 방화벽에만 허가합니다.

네트워크 기반 VPN 종류

네트워크 기반 VPN은 신뢰할 수 없는 네트워크를 통해 두 네트워크를 안전하게 연결하는 가상 사설망입니다. 한 가지 일반적인 예로, IPsec 기반 WAN는 기업의 모든 사무실이 IPsec 터널을 사용하여 인터넷에 서로 연결되는 입니다.

여러 종류의 네트워크 VPN이 있지만, 가장 일반적인 세 ​​가지를 살펴 보겠습니다.

  • 경로 기반 및 정책 기반의 IPsec 터널
  • 동적 다지점 VPN (DMVPN)
  • MPLS 기반 L3VPN

IPsec 터널

가장 간단한 종류의 네트워크 VPN은 표준 기반의 IPsec 터널이며 대부분의 네트워크 라우터와 방화벽으로 이를 구축 할 수 있습니다.

원칙적으로 네트워크 기반 VPN 터널은 클라이언트 기반 IPsec 터널과 다르지 않습니다. 네트워크 및 클라이언트 구현 모두 암호화된 트래픽이 네트워크간에 이동하는 보안 터널을 만듭니다. 클라이언트 기반 IPsec 터널은 단일 장치에 대한 트래픽을 캡슐화하도록 설계되었지만 네트워크 기반 IPsec 터널은 장치의 전체 네트워크에 대한 트래픽을 전달하여 통신 할 수 있도록합니다.

두 네트워크 간의 IPsec 터널을 구축 할 때는 요소들이 다음 사항에 일치해야합니다.

  • 두개의 장치 중 터널의 끝 점이 될 장치는 무엇입니까? (누가 이야기를 하게될 것인가?)
  • 터널은 어떻게 인증됩니까? (어떻게 서로를 믿을 것인가?)
  • 어떤 트래픽이 터널을 통과하도록 허용됩니까? (무엇에 대해 이야기할 것인가?)

누가 이야기를 하게될 것인가?에 대한 대답은 일반적으로 한 쌍의 단일 IP 주소입니다. 한 방화벽 관리자가 다른 사람의 IP 주소를 피어 IP로 구성합니다.

어떻게 서로를 믿을 것인가?에 대한 대답은 대개의 경우 미리 공유된 키(암호) 또는 인증서의 교환입니다. 두 끝점은 공통 암호 집합을 사용하여 트래픽을 암호화하는 방법에 대해서도 일치해야합니다.

어떤 트래픽이 터널을 통과하도록 허용됩니까? 시스코 용어로, 허용된 트래픽을 지정하는 가장 일반적인 방법은 ACL(암호화 액세스 리스트)을2 사용하는 것입니다. 암호화 ACL은 대상 IP 네트워크와 통신 할 수있는 소스 IP 네트워크를 정의합니다. 터널의 양쪽에는 보안 연결이 형성되고 터널이 예상대로 트래픽을 전달하기위한 일치하는 요소(IP 네트워크 페어)가 있어야합니다.

일부 ACL을 사용하여 이를 통과 할 수 있는 트래픽을 정의하는 IPsec 터널을 일반적으로 정책 기반 VPN이라고합니다.

정책 기반 VPN의 문제점은 ACL이 비즈니스 요구 사항을 충족하기 위해 유지관리를 필요로 한다는 것입니다. 터널의 다른쪽에있는 네트워크에 액세스해야하는 새 IP 네트워크가 온라인 상태가되면 터널의 양쪽에있는 장치에서 ACL을 업데이트해야합니다.

리소스에 대해 신중하게 제어된 액세스를 제공하기 위해 두 사이트간에 단일 터널을 구축해야하는 경우, 정책 기반 IPsec 터널을 사용합니다. 저는 다음과 같은 상황에서 정책 기반 IPsec 터널을 사용했습니다.

  • 내 회사를 위해 일하는 다른 회사와의 연결
  • 원격 작업간의 개인 링크에 대한 백업
  • 기업 합병 중 새로운 시설을 온라인으로 만들기 위한 임시 연결
  • 재택근무 직원을 위한 연결

정책 기반 IPsec 터널과 달리 경로 기반 IPsec 터널은 가상 링크와 비슷하여 트래픽이 통과 할 수 있습니다. 경로 기반 VPN은 시스코 및 주피터를 포함한 다양한 네트워킹 공급 업체에서 제공을 하고 있습니다. 그러나 가용성은 플랫폼에 따라 다릅니다. 예를 들어 시스코 ASA는 경로 기반 VPN을 지원하지 않습니다.

IPsec VPN은 표준 기반이지만 공급 업체가 표준을 다르게 구현하는 것이 일반적입니다. 따라서 서로 다른 두 공급 업체의 장치 사이에 IPsec VPN 터널을 만드는 것은 네트워크 엔지니어에게 일종의 상도입니다.

저는 시스코 장비와 체크포인트 혹은 주피터 장비 사이에 IPsec 터널을 가져오는 데 많은 시간을 보냈습니다. 연결은 가능하지만, 터널 형성을 방해하는 문제를 찾기위해 구성 세부 정보와 로그 정보를 살펴보는 것이 까다로운 경우가 많습니다.

DMVPN (동적 다지점 VPN)

현재 버전의 DMVPN은3 IPsec 지점간 터널의 개념을 연결된 네트워크의 클라우드로 확장합니다. DMVPN을 사용하면 모든 네트워크가 DMVPN 클라우드를 통해 다른 네트워크와 직접 통신 할 수 있습니다.

DMVPN을 구현하려면 DMVPN 터널을 종료할 수 있는 장치가 필요합니다. DMVPN은 시스코의 기술이며 대부분의 경우 DMVPN은 시스코 라우터로 제한됩니다. 그러한 인기에도 불구하고 시스코 ASA 방화벽은 DMVPN을 지원하지 않습니다.

DMVPN은 GRE 터널, IPsec, NHRP (Next Hop Resolution Protocol) 및 라우팅 프로토콜을 사용해야하는 복잡한 기술이며, 모든 상호 의존적인 구성 요소는 Full mesh 통신을 허용합니다. 복잡성을 완화하기 위해 시스코는 훌륭한 DMPVN 디자인 가이드를 제공하여 네트워크 설계자가 기본 구성과 함께 자신의 환경에 가장 적합한 설계를 결정하는 데 도움을 주고 있습니다.

DMVPN을 사용하여 완료되면 핸드오프 표준 라우터 구성을 사용하여 공용 인터넷을 통해 더 큰 회사 네트워크에 원격 사이트를 연결합니다. 예를 들어, 저는 홈오피스 사용자를 위해 DMVPN 라우터를 사용하여 헤드엔드 사이트에 대한 중복 연결을 제공하고 사이트간 음성 통화 대기 시간을 최소화했습니다. 실질적으로 기존의 IPsec 지점 간 VPN 터널에서는 헤드엔드 중복성이나 지연 시간 감소는 가능하지 않습니다.

DMVPN은 원격 IP 주소를 알 필요가 없기때문에 동적으로 할당된 IP가 인프라에 안전하게 연결하고, DMVPN NHRP 허브 라우터에 IP 주소를 등록할 수 있습니다. 이를 통해 솔루션은 수천 개의 참여 사이트까지 확장 할 수 있습니다. 결과적으로는 기존의 WAN 연결처럼 느껴지게 됩니다.

MPLS 기반 L3VPN

보너스로 MPLS(Multiprotocol Label Switched) 네트워크를 통해 가장 일반적으로 배포되는 어플리케이션인 L3VPN에 대해 간단히 언급해야겠다고 생각했습니다.

MPLS는 AT&T, 버라이존 비즈니스(Verizon Business), Level 3 및 센츄리링크(CenturyLink)에서 운영하는 서비스 공급자네트워크에서 가장 많이 확인됩니다. MPLS를 사용하면 서비스 공급자가 네트워크를 가상화하여 고객이 물리적 네트워크를 공유하면서도 논리적으로 분리된 상태를 유지할 수 있습니다. MPLS는 서비스 공급자에만 국한되지 않습니다. 일부 대기업은 자체 글로벌 인프라를 위해 내부적으로 MPLS를 사용합니다.

회사가 서비스 공급자로부터 WAN 서비스를 받는 경우 서비스 공급자는 MPLS 네트워크를 통해 회사에 L3VPN 서비스를 제공할 가능성이 높습니다. 이 시나리오에서 회사의 각 사무실은 서비스 제공업체가 고객 라우터(서비스 공급자의 WAN 회로를 네트워크의 나머지 부분에 연결하는 라우터)로 간주하여 서비스 공급자에 연결합니다.

WAN 회로의 다른 쪽 끝에는 PE (Provider Edge; 프로바이더 에지) 라우터가 있습니다. PE 라우터는 회사 회로의 트래픽을 회사 고유의 VRF (Virtual route forwarding; 가상 경로 전달) 인스턴스로 전달한 다음 MPLS를 사용하여 트래픽에 태그를 지정하고 트래픽이 속한 VRF를 식별하여 공급자 코어 라우터로 전달합니다.

공급자 코어는 코어를 통해 다른 PE 라우터로 트래픽을 전달한 다음 다른 WAN 라우터로 전달합니다. 그러면 라우터에서 트래픽을 원격 사무실 네트워크로 전달합니다.

귀사에 이 L3VPN은 확인되지 않습니다. 귀사는 MPLS를 실행할 필요가 없습니다. 공급자의의 백본에서 트래픽이 어떻게 안전하게 전달되고 있는지 알 수 없습니다. OSPF 또는 BGP 라우팅을 사용하여 공급자와 피어링하여 자신에게 고유하게 할당된 VRF에 전달되는 경로를 알릴 수 있습니다. 그러나 그 역시도 트래픽이 한 라우터로 들어가고 다른 라우터로 나간다는 것만 알 수 있습니다.

원격 사무실간에 국내 또는 글로벌한 연결이 필요할 때 공급자로부터 L3VPN 서비스를 구입하고 보장된 서비스를 받아야 합니다.

인터넷을 통해 DMVPN을 구축하는 것은 실행가능한 연결 솔루션이지만 인터넷 서비스는 요구 사항에 따라 회사가 필요로하는 만큼 강력하지 않을 수 있습니다. 서비스 공급자는 음성 및 동영상 트래픽의 우선 순위를 지정할 수 있지만 (적절하게 표시되었다고 가정하였을 경우) 인터넷은 이러한 구분을 할 수 없습니다.

반면, 인터넷 대역폭은 이동 통신사의 L3VPN 서비스를 통해 실행되는 사설 WAN 대역폭에 비해 상당히 저렴합니다. 이러한 이유로 많은 기업은 때때로 네트워크 품질이 저하될 위험을 감수하고서라도 인터넷을 통한 VPN을 경험하기 위해 사설 WAN을 폐기하고 있습니다.

  1. https://www.paloaltonetworks.co.kr/
  2. https://ko.wikipedia.org/wiki/접근_제어_목록
  3. https://www.cisco.com/c/ko_kr/products/security/dynamic-multipoint-vpn-dmvpn/index.html