[네트워크] 용어 정리(VPN, NAC, SSO)

VPN(Virtual Private Network, 가상사설망)

VPN은 공중네트워크를 통해 한 회사나 몇몇 단체가 통신 내용을 바깥 사람에게 드러내지 않고 통신할 목적으로 쓰이는 사설 통신망이다. 

가상 사설망에서 메시지는 인터넷과 같은 공공망 위에서 표준 프로토콜을 써서 전달되거나, 가상 사설망 서비스 제공자와 고객이 서비스 수준 계약을 맺은 후 서비스 제공자의 사설망을 통해 전달된다.

 

왜쓰는가(Why)?

직접 전용망을 구축하거나 통신 사업자에게 전용망을 임대하고 이를 연결하기 위한 전용 네트워크 장비를 도입하는데

막대한 비용이 들기 때문에 이를 대체하기 위한 수단으로써 VPN을 사용하는 경우가 많다.

 

위의 그림에서와 같이 본점과 지점간에 전용망을 연결하는 것과 공중망(인터넷) 상에서 VPN 터널을 구성하고 VPN을 연결하는 것이 논리적으로 동일하다고 할 수 있다.

VPN은 인터넷을 통해 전용망과 같은 사설 네트워크를 구성할 수 있도록 해주는 기술이라고 이해하면 된다.

 

VPN 터널링 프로토콜

VPN 연결을 구성하는 가장 중요한 요소인 VPN 터널링 프로토콜은 다음과 같은 역할을 한다.

1. VPN 연결 지점간에 오가는 데이터 패킷의 암호화
2. VPN 터널의 생성 및 관리
3. 암호화 키 관리
4. 데이터가 전송 네트워크를 통과할 수 있도록 하는 라우팅 정보를 포함한 헤더와 게인데이터를 캡슐화
5. 캡슐화된 프레임은 헤더에 추가되어 있는 라우팅 정보(Ex-IP주소)를 기반으로 인터넷과 같은 공중망을 경유하여 터널의 엔드포인트로 전송되고 목적지에 도달하면 디캡슐화 되어 최종 목적지로 향하게 된다.

대표적인 VPN 터널링 프로토콜

• PPTP(Point-to-Point Tunneling Protocol)
• L2TP(Layer 2 Tunneling Protocol)
• IPsec(IP Security)

 

PPTP(Point-to-Point Tunneling Protocol)

PPTP는 인터넷 프로토콜인 TCP/IP를 그대로 이용하면서도 외부인이 접근할 수 없는 별도의 가상사설망을 구축할 수 있도록 해주는 프로토콜.

PPTP를 사용하여 VPN 사용자(클라이언트)는 PPP(Point-to-Point)방식으로 서버에 접속한 후 인증을 받으면 VPN터널이 생성되고 이를 통해 VPN 연결이 가능해진다.

주로 외부에서 사내의 서버에 접속하기 위해 널리 이용된다.

---

NAC(Network Access Control, 네트워크 접근 제어)

엔드포인트가 네트워크에 접근하기 전 보안 정책 준수 여부를 검사하여 네트워크 사용을 제어하는 것.

+ 엔드포인트(endpoint) - 노트북, 컴퓨터, 스마트폰 등 네트워크에 접속하는 모든 유무선 단말기를 일컫는다. 

 

NAC의 주요 기능

1. 접근제어 / 인증
2. PC 및 네트워크 장치 통제(무결성 체크)
3. 해킹, 웹, 유해 트래픽 탐지 및 차단

 

동작과정

NAC의 접근 제어 및 인증 기능은 일반적으로 MAC주소를 기반으로 수행.

MAC주소를 IP 관리 시스템의 관리자에게 알려줘야 한다. 관리자가 MAC 주소를 NAC에 등록하면 사용자는 비로소 해당 네트워크를 사용할 수 있는 권한을 갖게 된다.

 

1. 네트워크 접근 요청 : 접속하고자 하는 PC 사용자는 최초 네트워크에 대한 접근을 시도
2. 사용자 및 PC 인증 : NAC에 등록되어 있는 MAC 주소를 통해 사용자 PC를 인증하거나 SSO와 연계하여 네트워크에 접근하고자 하는 사용자의 아이디와 패스워드를 추가로 요청하여 인증을 수행한다. 인증 과정에서 백신이나 보안 패치의 적절성 여부를 검토한다.
3. 네트워크 접근 허용 : 인증이 완료된 경우 네트워크에 대한 접근을 허용한다.
4. 네트워크 접근 거부 : 보안 정책이 제대로 준수되지 않았거나 바이러스에 감염되어 있는 경우 네트워크 접근이 거부되고, 네트워크에서 격리된다. 격리된 PC는 필요한 정책 적용이나 치료 과정을 거쳐 다시 점검한다.

---

SSO(Single Sign-On, 싱글 사인 온)

SSO는 사용자가 한 세트의 로그인 인증 정보를 사용하여 세션에 한 번 로그인하면 다시 로그인하지 않고도 해당 세션에서 여러 관련 애플리케이션과 서비스에 안전하게 액세스할 수 있게 해주는 인증 체계.

 

동작과정

1. 사용자가 SSO 로그인 인증 정보를 사용하여 신뢰할 수 있는 애플리케이션 중 하나에 로그인하거나 모든 신뢰할 수 있는 애플리케이션이 연결된 중앙 포털(Ex-직원 포털 or 대학생 웹사이트)에 로그인합니다.
2. 사용자가 성공적으로 인증되면 SSO 솔루션이 사용자 ID 관련 특정 정보(Ex- 사용자 이름, 이메일 주소 등)가 포함된 세션 인증 토큰을 생성한다. 이후 해당 토큰은 사용자의 웹 브라우저나 SSO 또는 IAM 서버에 저장된다.
3. 사용자가 신뢰할 수 있는 다른 애플리케이션에 액세스를 시도하면 해당 애플리케이션이 SSO 또는 IAM 서버에서 사용자가 해당 세션에 이미 인증되었는지 확인한다. 이미 인증된 경우 SSO 솔루션은 디지털 인증서로 인증 토큰에 서명하여 사용자를 확인하고 사용자에게 애플리케이션에 대한 액세스 권한을 부여한다. 그렇지 않은 경우 로그인 인증 정보를 다시 입력하라는 메시지가 표시된다.