6장. 가상 사설 통신망 (Virtual Private Networks)

여러 다른 사무실을 두고 있는 기업체에서는 각 사무실을 전용선으로 연결하여 중요한 정보들을 보다 효율적으로 또한 안전하게 전송합니다. 예를 들면, 많은 기업체에서는 end-to-end 네트워킹 솔루션으로서 프레임 중계(frame relay) 서비스나 ATM (Asynchronous Transfer Mode) 서비스를 사용하여 각 사무실 간에 업무용 데이터를 전송합니다. 이러한 방법은 값비싼 엔터프라이즈 수준의 전용 디지털 회로에 드는 비용을 절감하면서 회사를 확장하기를 바라는 기업체들에게는, 특히 중소 기업체 (SMB)에게는 비용이 많이 드는 솔루션입니다.

값비싼 엔터프라이즈 전용 회로에 대한 보다 비용이 절감되는 대안책으로서 가상 사설 통신망 (Virtual Private Networks) (VPN)을 개발되었습니다. VPN은 전용 회로와 동일한 기능을 제공하면서 두 위치 간에 보안 디지털 통신을 성립하여 기존 LAN (Local Area Networks)으로부터 WAN (Wide Area Network)를 구성하며, 프레임 중계나 ATM과는 사용하는 전송 매체에서 차이가 있습니다. VPN은 전송 계층(transport layer) 데이터그램을 사용하여 IP 상으로 전송하기 때문에 인터넷을 통하여 원하는 목적지에 이를때까지 안전한 선로를 통하게 됩니다. 대부분의 자유 소프트웨어 VPN은 전송 중인 자료를 더욱 보호하기 위하여 공개 표준, 공개 소스 암호화 방식을 사용합니다.

일부 기관에서는 보안을 증가시키기 위해 하드웨어 VPN 솔루션을 사용하는 반면, 다른 기업체에서는 소프트웨어나 프로토콜 기반 VPN을 사용합니다. 하드웨어 VPN 솔루션을 제공하는 업체에는 Cisco, Nortel, IBM 및 Checkpoint와 같은 기업들이 있습니다. FreeS/Wan이라는 리눅스 용 자유 소프트웨어 기반 VPN 솔루션은 표준 IPsec (Internet Protocol Security) 시스템을 사용합니다. 이러한 VPN 솔루션은 하드웨어나 소프트웨어 기반에 상관없이 한 사무실에서 다른 사무실 간 중간에서 IP 연결하는 특수 라우터로 작동합니다.

클라이언트에서 패킷을 전송시, 라우터나 게이트웨이를 통하여 보내진 후 Authentication Header:인증 헤더 (AH)라는 라우팅과 인증에 대한 헤더 정보가 추가됩니다. 데이터는 암호화되고 무결성 보장과 보안을 지원하기 위하여 설계된 ESP (Encapsulating Security Payload)가 삽입됩니다. 수신 VPN 라우터는 헤더 정보를 떼내어 읽어본 후 목적지 (워크스테이션이나 네트워크 상 컴퓨터)로 라우팅합니다. 네트워크 간 연결을 사용하여 지역 네트워크 상 수신 컴퓨터는 암호 해독되어 처리될 준비가 된 패킷을 전송받습니다. 네트워크 간 VPN 연결에서 암호화/암호 해독 과정은 지역 컴퓨터에 투명하게 진행됩니다.

이러한 강화된 보안 덕분에, 크래커는 패킷을 중간에서 가로챈 경우 그 패킷을 암호 해독해야 내용을 볼 수 있습니다. 또한 침입자가 man-in-the-middle 공격 방식을 이용하여 서버와 클라이언트 사이의 통신을 엿듣기 시도할 경우 인증 세션에 사용되는 비밀키가 없이는 불가능합니다. 이렇듯 VPN은 여러 계층의 인증과 암호 방식을 사용하기 때문에, VPN은 다른 장소에 위치한 원격 시스템을 하나의 인트라넷으로 안전하고 효율적으로 연결할 수 있습니다.