 가상 사설 네트워크(VPN)는 인터넷과 같은 공유 또는 공용 네트워크를 통한 연결을 포함하는 사설 네크워크의 확장입니다. VPN은 공유 또는 공용 인터네트워크를 통해 지점간 개인 링크 속성을 에뮬레이션하는 방법으로 두 컴퓨터 간에 데이터 전송이 가능합니다. 가상 사설 네트워크를 구성하고 작성하는 작업을 가상 사설 네트워킹이라고 합니다. T지점간 링크를 에뮬레이션 하기 위해, 데이터는 공유 또는 공용 인터네트워크를 통과하여 목적지에 도달할 수 있도록 라우팅 정보를 제공하는 머리글에 의해 캡슐화 됩니다. 개인 링크를 에뮬레이션 하기 위해 전송되는 데이터는 암호화 되어 기밀성이 유지됩니다. 공유 또는 공용 네트워크에서 차단되는 패킷은 암호 키가 없으면 암호화될 수 없는데, 개인 데이터가 캡슐화되고 암호화되는 링크를 가상 사설 네트워크(VPN) 연결이라고 합니다. 그림 1은 VPN의 논리적 개념을 나타냅니다.
그림 1 가상 사설 네트워크(VPN) VPN 연결은 사용자가 인터넷과 같은 공용 인터네크워크에서 제공하는 하위 구조를 사용하여 가정에서나 이동 중에도 회사 서버에 원격 액세스 연결을 할 수 있게 해 줍니다. 사용자의 입장에서 볼 때, VPN은 컴퓨터, VPN 클라이언트, 회사 서버인 VPN 서버 간의 지점간 연결입니다. 공유 또는 공용 네트워크의 정확한 하부 구조는 논리적으로 전용 사설 링크를 통해 데이터를 보내는 것처럼 보이므로 부적합합니다. VPN 연결은 또한 회사가 인터넷과 같은 공용 인터네트워크를 통해 지리적으로 떨어져 있는 사무실이나 다른 회사와 보안이 유지되는 통신을 유지하면서 연결을 라우팅할 수 있게 해 줍니다. 인터넷에서 라우팅 된 VPN 연결은 논리적으로 전용 WAN 링크 역할을 합니다. 원격 액세스 연결 및 라우팅 된 연결과 함께 VPN 연결을 통해 기업은 시외 전화나 구내 전화 전용 회선 또는 인터넷 서비스 제공자(ISP) 전용 회선을 사용할 수 있습니다. VPN 연결 요소 Windows NT 4.0 VPN 연결에는 그림 2에 설명된 것과 같이 다음 구성 요소가 포함됩니다. VPN 서버 VPN 클라이언트의 VPN 연결을 받아 들이는 컴퓨터입니다. VPN 서버는 원격 액세스 VPN 연결이나 라우터간 VPN 연결을 제공합니다. 자세한 내용은 VPN 연결을 참고하십시오. VPN 클라이언트 VPN 서버의 VPN 연결을 초기화하는 컴퓨터입니다. 원격 액세스 VPN 연결을 받는 개별 컴퓨터나 라우터간 VPN 연결을 받는 라우터를 VPN 클라이언트로 사용할 수 있습니다. Microsoft_ Windows NT_ 버전 4.0, Microsoft_ Windows_ 95, Microsoft_ Windows_ 98 등을 기반으로 하는 컴퓨터는 Windows NT 4.0 기반 VPN 서버에 대한 원격 액세스 VPN 연결을 만들 수 있습니다. 라우팅 및 원격 액세스 서비스(RRAS)를 실행하는 Windows NT 서버 4.0 기반 컴퓨터는 RRAS 기반 VPN 서버에서 Windows NT 4.0에 대한 라우터간 VPN 연결을 만들 수 있습니다. 비-Microsoft의 지점간 터널링 프로토콜(PPTP) 클라이언트를 VPN 클라이언트로 사용할 수도 있습니다. 터널. 연결에서 데이터가 캡슐화 되는 부분 VPN 연결. 연결에서 데이터가 암호화되는 부분. VPN 연결의 보안을 위해 연결의 같은 부분에서 데이터가 암호화되고 캡슐화 됩니다. 참고 터널을 만들면 데이터를 암호화하지 않아도 터널을 통해 보낼 수 있는데, 이것은 개인 데이터를 암호화되지 않고 읽기 쉬운 형식으로 공유 네트워크나 공용 네트워크를 통해 보내므로 VPN 연결이 아닙니다. 터널링 프로토콜 터널을 관리하고 개인 데이터를 캡슐화 할 때 사용됩니다. 이때 터널링 되는 데이터는 VPN 연결이 될 수 있게 암호화되어야 합니다. Windows NT 4.0에는 "지점간 터널링 프로토콜"이 들어 있습니다. 이 프로토콜에 대한 자세한 내용은 뒤에 나오는 지점간 터널링 프로토콜을 참고하십시오. 터널링된 데이터 일반적으로 개인 지점간 링크를 통해 보내는 데이터입니다. 통과 인터네트워크 캡슐화된 데이터가 통과하는 공유 또는 공용 네트워크입니다. Windows NT 4.0에서 통과 네트워크는 항상 IP 인터네트워크입니다. 인터넷이나 개인 IP 기반 인트라넷은 통과 네트워크가 될 수 있습니다.
그림 2 VPN 연결 구성 요소 VPN를 만드는 것은 전화 접속 네트워킹 및 요구 시 전화 접속 라우팅 절차를 사용하여 연결을 만드는 것과 매우 비슷합니다. VPN 연결에는 원격 액세스 VPN 연결과 라우터간 VPN 연결 등 두 가지 종류가 있습니다. 원격 액세스 VPN 연결 원격 액세스 VPN 연결은 원격 액세스 클라이언트인 단일 사용자 컴퓨터에서 만들어지며 사설 네트워크를 연결합니다. VPN 서버에서 VPN 서버 리소스나 VPN 서버가 연결된 네트워크 전체를 액세스할 수 있습니다. 원격 클라이언트에서 VPN 연결로 보내는 패킷은 원격 액세스 클라이언트 컴퓨터에서 발생합니다. 상호 인증의 경우 원격 액세스 클라이언트(VPN 클라이언트)는 자신을 원격 액세스 서버(VPN 서버)로 인증하며 서버는 자신을 클라이언트로 인증합니다. 라우터간 VPN 연결 라우터간 VPN 연결은 라우터에서 만들어지며 사설 네트워크의 두 부분을 연결합니다. VPN 서버는 VPN 서버가 연결된 네트워크에 라우팅 된 연결을 제공합니다. 라우터간 VPN 연결의 경우, 다른 라우터에서 VPN 연결로 보내는 패킷은 일반적으로 라우터에서 발생하지 않습니다. 상호 인증의 경우 호출 라우터(VPN 클라이언트)는 자신을 응답 라우터(VPN 서버)로 인증하고 응답 라우터는 자신을 호출 라우터로 인증합니다. VPN 등록 정보 PPTP를 사용하는 VPN 연결은 다음과 같은 속성을 갖습니다.
캡슐화 VPN 기술은 개인 데이터가 통과 네트워크를 통과할 수 있게 머리글과 캡슐화 하는 방법을 제공합니다. 인증 VPN 연결을 성립하기 위해 VPN 서버가 연결을 시도하는 VPN 클라이언트를 인증하고 VPN 클라이언트가 해당 사용 권한을 갖고 있는지 확인합니다. 상호 인증을 사용하는 경우에는 VPN 클라이언트가 VPN 서버도 인증하여 가장 VPN 서버에 대한 보호를 제공합니다. 데이터 암호화 데이터가 공유 또는 공용 통과 네트워크를 통과할 때 기밀성을 보장하기 위해 보낸 사람이 데이터를 암호화하고 받는 사람이 해독합니다. 암호화와 해독 프로세스는 보낸 사람과 받는 사람의 공통 암호화 키에 대한 지식에 따라 다릅니다. 공통 암호화 키가 없으면 통과 네트워크에서 VPN 연결로 보내는 차단된 패킷을 알 수 없습니다. 암호화 키의 길이는 중요한 보안 매개 변수입니다. 계산 기법을 사용하여 암호화 키를 판단할 수 있습니다. 이러한 기법은 암호화 키가 커질수록 계산력과 계산 시간이 더 필요합니다. 따라서 가능한 키의 크기를 최대로 해야 합니다. 또한 같은 키로 암호화하는 정보가 많을수록 암호화된 데이터를 해독하기 쉬워집니다. 일부 암호화 기법에는 연결 중 암호화 키의 변경 주기를 지정할 수 있는 옵션이 있습니다. Windows NT 4.0에서 VPN 기술을 사용해 암호화 키를 관리하는 방법에 대한 자세한 내용은 뒤에 나오는 'VPN 보안'을 참고하십시오. 주소 및 이름 서버 할당 VPN 서버가 구성되면 모든 VPN 연결이 성립된 인터페이스를 나타내는 가상 인터페이스를 만듭니다. VPN 클라이언트가 VPN 연결을 만들면 VPN 서버에 연결된 인터페이스를 나타내는 가상 인터페이스가 VPN 클라이언트에서 만들어집니다. VPN 클라이언트의 가상 인터페이스는 VPN 서버의 가상 인터페이스에 연결되어 지점간 VPN 연결을 만듭니다. VPN 클라이언트와 VPN 서버의 가상 인터페이스에 IP 주소를 지정해야 합니다. 주소는 VPN 서버에서 할당됩니다. 기본적으로 VPN 서버가 동적 호스트 구성 프로토콜(DHCP)을 사용하여 자신과 VPN 클라이언트의 IP 주소를 받습니다. IP 주소의 고정 풀을 직접 구성할 수도 있습니다. 도메인 이름 시스템(DNS)과 Windows 인터넷 이름 서비스(WINS) 서버를 할당하는 이름 서버 할당도 VPN 연결 성립 과정에서 일어납니다. VPN 클라이언트가 VPN 서버에서 VPN 서버가 연결되는 인트라넷의 DNS와 WINS 서버 IP 주소를 받습니다. 인터넷 및 인트라넷 기반 VPN 연결 VPN 연결은 사용자나 네트워크에 연결하기 위해 보안된 지점간 링크가 필요할 때 사용할 수 있습니다. 일반적으로 VPN 연결은 인터넷 기반이거나 인트라넷 기반입니다. 인트라넷 기반 VPN 연결 인트라넷 기반 VPN 연결을 사용하면 인터넷을 글로벌로 사용하면서도 시외 전화와 국제전화 요금이 부과되지 않습니다. 인터넷을 통한 원격 액세스 원격 액세스 클라이언트가 회사나 외부 네트워크 액세스 서버(NAS)로 시외 전화나 국제 전화를 거는 대신 클라이언트가 로컬 ISP로 전화를 걸 수 있습니다. 원격 액세스 클라이언트가 로컬 ISP에 성립된 물리적 연결을 사용하여 인터넷으로 회사 VPN 서버의 VPN 연결을 초기화합니다. VPN 연결이 만들어지면 원격 액세스 클라이언트가 개인 인트라넷 리소스를 액세스할 수 있습니다. 그림 3은 인터넷을 통한 원격 액세스를 나타냅니다.
그림 3 원격 클라이언트를 개인 인트라넷에 연결하는 VPN 연결 인터넷으로 네트워크 연결 인터넷으로 네트워크가 연결되면(그림 4 참고) 라우터가 VPN 연결을 통해 다른 라우터로 패킷을 전달합니다. VPN은 라우터의 데이터 링크 계층 링크 역할을 합니다.
그림 4 인터넷으로 VPN이 두 원격지 연결 전용 WAN 링크를 사용한 네트워크 연결 사무실 간에 비싼 시외 전화 전용 WAN 링크를 사용하는 대신 로컬 ISP 전용 로컬 WAN 링크를 사용하여 사무실 라우터를 인터넷에 연결합니다. 그러면 다른 라우터가 인터넷에서 라우터간 VPN 연결을 초기화합니다. 일단 연결이 되면 라우터 간에 VPN 연결을 사용하여 직접 프로토콜 트래픽이나 라우팅 프로토콜 트래픽을 전달할 수 있습니다. 전화 접속 WAN 링크를 사용한 네트워크 연결 지사 라우터가 회사나 외부 NAS로 시외 전화나 국제전화를 거는 대신 지사 라우터가 로컬 ISP로 전화를 겁니다. 지사 라우터가 로컬 ISP에 성립된 연결을 사용하여 인터넷에서 라우터간 VPN 연결을 회사 허브 라우터로 초기화합니다. VPN 서버 역할을 하는 회사의 허브 라우터는 전용 WAN 링크를 사용하여 로컬 ISP에 연결되어야 합니다. 로컬 ISP에 대한 전화 접속 연결을 사용하여 VPN 연결을 구성하는 방법에 대한 자세한 내용은 뒤에 나오는 VPN 주소 설정 및 라우팅을 참고하십시오. 전화 접속 WAN 링크를 사용하여 두 사무실을 인터넷에 연결할 수 있습니다. 그러나 이것은 ISP가 고객에게 요구 시 전화 접속 라우팅(IP 데이터그램이 고객에게 배달될 때 고객 라우터를 호출)을 제공하는 경우에만 가능합니다. ISP가 지원하는 고객에 대한 요구 시 전화 접속 라우팅의 범위는 넓지 않습니다. 인트라넷 기반 VPN 연결 인트라넷 기반 VPN 연결은 회사 인트라넷의 IP 연결성을 향상시킵니다. 인트라넷을 통한 원격 액세스 회사 인트라넷 중에서 인력 자원부와 같은 부서의 데이터는 매우 중요하므로 부서의 네트워크 세그먼트 연결을 다른 부서의 인트라넷과 물리적으로 끊어야 합니다. 이와 같은 방법으로 부서의 데이터를 보호할 수 있지만 별개의 네트워크 세그먼트에 물리적으로 연결되지 않은 사용자가 정보를 액세스할 수 있는 문제가 있습니다. VPN 연결을 사용하면 중요한 부서의 네트워크 세그먼트를 회사 인트라넷에 물리적으로 연결하지만 VPN 서버와는 분리할 수 있습니다. VPN 서버는 회사 인트라넷과 별개의 네트워크 세그먼트 간에 직접 라우팅 된 연결을 제공하지 않습니다. 회사 인트라넷에서 해당 사용 권한이 있는 사용자는 VPN 서버에서 원격 액세스 VPN 연결을 성립할 수 있으며 보호된 중요한 부서의 네트워크 리소스를 액세스할 수 있습니다. 또한 VPN 연결을 통한 모든 통신은 데이터 기밀성을 위해 암호화됩니다. VPN 연결을 만들 수 있는 권한이 없으면 별개의 네트워크 세그먼트가 보기에 나타나지 않습니다. 그림 5는 인트라넷을 통한 원격 액세스를 나타냅니다.
그림 5 인트라넷에서 보안된 네트워크에 대한 원격 액세스를 허용하는 VPN 연결 인트라넷을 통한 네트워크 연결 인트라넷에서 라우터간 VPN 연결을 사용하여 두 네트워크를 연결할 수도 있습니다. 예를 들어 매우 중요한 데이터를 사용하는 두 부서가 다른 곳에 있을 때 서로 통신하려면 이 방식의 VPN 연결이 필요합니다. 예를 들어 자금부가 인력 자원부와 임금 정보를 교환하기 위해 통신을 해야 합니다. 자금부와 인력 자원부가 VPN 클라이언트나 VPN 서버 역할을 할 수 있는 컴퓨터에서 공통 인트라넷에 연결됩니다. VPN 연결이 성립되면 다른 네트워크에서 회사 인트라넷을 통해 중요한 데이터를 교환할 수 있습니다. 그림 6은 인트라넷을 통해 연결된 네트워크를 나타냅니다.
그림 6 인트라넷에서 VPN 연결로 두 네트워크 연결 가상 사설 네트워킹 관리 가상 사설 네트워킹은 다른 네트워크 리소스와 같이 관리해야 하며 특히 인터넷 VPN 연결의 VPN 보안 문제를 주의 깊게 다루어야 합니다. 다음 사항을 고려하십시오.
사용자 관리 별개의 서버에서 같은 사용자의 계정을 구분하고 동시에 모든 계정을 유지할 수는 없으므로 관리자는 대부분 주 도메인 컨트롤러(PDC)나 원격 인증 전화 접속 사용자 서비스(RADIUS) 서버에 마스터 계정 데이터베이스를 설치합니다. 이와 같은 방법으로 VPN 서버가 인증서를 중앙 인증 장치로 보낼 수 있습니다. 전화 접속 로그인 원격 액세스와 VPN 기반 원격 액세스에 같은 사용자 계정이 사용됩니다. 주소 및 이름 서버 관리 VPN 서버에는 연결 성립 과정의 IP 컨트롤 프로토콜(IPCP) 협상 단계에서 VPN 서버의 가상 인터페이스와 VPN 클라이언트에 할당할 수 있는 IP 주소가 있어야 합니다. VPN 클라이언트에 할당된 IP 주소는 VPN 클라이언트의 가상 인터페이스에 할당됩니다. Windows NT 4.0 기반 VPN 서버에서 VPN 클라이언트에 할당된 IP 주소는 기본적으로 DHCP를 통해 받습니다. 고정 IP 주소 풀을 직접 구성할 수도 있습니다. 또한 VPN 서버는 IPCP 협상 과정에서 VPN 클라이언트에 할당할 DNS과 WINS 서버 주소로 설정되어야 합니다. 액세스 관리 Windows NT 4.0에서의 원격 액세스 VPN 연결에 대한 액세스는 사용자 계정에서 전화 접속 로그인 속성을 설정하여 관리합니다. 개인별로 원격 액세스를 관리하려면 원격 액세스 연결을 만들고 필요한 연결 매개 변수의 [원격 액세스 서비스]나 [라우팅 및 원격 액세스 서비스] 속성을 수정할 수 있게 사용자 계정의 [다이얼인] 속성에서 [사용자에게 전화 걸기 권한 허용] 설정을 선택합니다. 인증 관리 Windows NT 4.0 원격 액세스 서비스는 Windows NT 인증을 사용합니다. Windows NT 4.0 라우팅 및 원격 액세스 서비스(RRAS)에서 Windows NT나 RADIUS를 인증 공급자로 사용하도록 설정할 수 있습니다. Windows NT 4.0 인증 Windows NT 4.0을 인증 공급자로 선택하면 원격 액세스 연결을 시도하는 사용자가 보낸 자격이 일반 Windows NT 4.0 인증 장치에서 인증됩니다. RADIUS 인증 VPN 서버에서 RADIUS를 선택하여 인증 공급자로 설정하면 사용자 자격과 연결 요청 매개 변수가 일련의 RADIUS 메시지로 RADIUS 서버에 보내집니다. RADIUS 서버가 VPN 서버의 사용자 연결 요청을 받으면 내부 인증 데이터베이스를 사용해 사용자를 인증합니다. RADIUS 서버는 기타 관련된 사용자 속성의 중앙 저장소 데이터베이스를 유지 관리할 수도 있습니다. RADIUS는 인증 요청에 대해 예/아니오 응답 외에도 최대 세션 시간, 고정 IP 주소 할당 등과 같이 이 사용자가 응용할 수 있는 다른 연결 매개 변수에 대한 정보를 VPN 서버에 제공합니다. RADIUS는 내부 데이터베이스를 기준으로 인증 요청에 응답하거나 일반 개방형 데이터베이스 연결(ODBC) 서버나 Windows NT 4.0 PDC와 같은 다른 데이터베이스 서버의 프런트 엔드가 될 수 있습니다. 후자는 RADIUS 서버와 같은 컴퓨터나 다른 곳에 설치할 수 있습니다. 또한 RADIUS 서버는 원격 RADIUS 서버의 프록시 클라이언트 역할을 할 수 있습니다. RADIUS 프로토콜에 대한 자세한 내용은 RFC 2138과 RFC 2139를 참고하십시오. 계정 관리 Windows NT 4.0 라우팅 및 원격 액세스 서비스(RRAS)에서 RADIUS를 계정 공급자로 사용하도록 설정할 수 있습니다. RADIUS 계정 메시지를 모아 나중에 분석하기 위해 RADIUS 서버로 보냅니다. RADIUS 서버는 대부분 인증 요청 레코드를 계정 파일에 저장하도록 설정할 수 있습니다. 호출 시 호출 시작이나 호출 끝에 또는 미리 결정된 간격으로 계정 레코드를 요청하는 메시지(원격 액세스 서버에서 RADIUS 서버로 보내는) 집합도 있습니다. 다른 많은 회사도 요금 청구서와 이러한 RADIUS 계정 레코드를 읽어 여러 가지 유용한 보고서를 작성할 수 있는 감사 페키지를 갖고 있습니다. 네트워크 관리 Windows NT 4.0 SNMP 서비스가 설치되어 있으면 VPN 서버 역할을 하는 컴퓨터가 SNMP 에이전트로 단순 네트워크 관리 프로토콜(SNMP) 환경에 참가할 수 있습니다. VPN 서버는 Windows NT 4.0 SNMP 서비스와 함께 설치된 인터넷 관리 정보 기반(MIB) II의 다양한 개체 식별자로 관리 정보를 기록합니다. 인터넷 MIB II의 개체에 대한 자세한 내용은 RFC 1213을 참고하십시오.
최종 수정일 : 2000.4.15 | |
