`IPsec VPN의 멀티 업체 지원 부족 문제를 해결하라`

홈 > 뉴스 > 기획특집 > 통신/네트워크

`IPsec VPN의 멀티 업체 지원 부족 문제를 해결하라`

2000년 05월 01일 00:00:00

Network Computing

여러 내부 및 외부 네트웍을 통해 데이타의 안전을 보장하는 작업은 힘든 일일 수 있다. 원격 액세스의 보안을 위해 IPsec VPN의 세계에 입문해보자.

케이블, DSL, 모뎀 등 다른 연결 전략을 통해 또는 랜에 연결된 네트웍에서의 원격 사용자 지원은 보다 복잡한 일상의 필수 사항이다. 원격 액세스가 이렇게 복잡해진 이유는 위치에 관계없이 최종 사용자에게 안전하게 통신을 제공해야 하는 필요성 때문이다. VPN은 이 문제를 상당 부분까지 해결하지만 아직도 일부 문제가 있다.

■ 원격 사용자 인증 지원 미흡

점차 지리적으로 분산되는 추세에 있는 아웃소싱과 임시 직원, 컨설턴트 및 거래 협력업체들의 이동이 빈번한 현실에서 공공 네트웍을 통해 안전한 통신을 제공해야 할 필요성이 점차 커지게 됐다. 단일 업체 환경에서 VPN 솔루션은 원격 데스크탑에서 로컬 네트웍에 이르기까지 사용자를 쉽고 안전하게 연결한다. 그러나 대부분의 경우 외부 조직에게 특정한 소프트웨어 패키지의 사용을 강요할 수는 없다.
랜-투-랜 VPN과 달리 IPsec(IP 보안) VPN은 특히 성가시다. 핵심 IPsec 프로토콜이 표준화되고 광범위하게 지원될 뿐만 아니라 상호 운용이 가능하다. 하지만 원격 사용자 인증이나 클라이언트 구성과 같은 원격 액세스 지원 문제로 인해 IPsec VPN 상호 운용성은 구현과 지원이 쉽지 않다.
새로운 IETF 작업 그룹인 IPSRA(IPsec 원격 액세스)는 안전한 원격 액세스를 논의하고 있다. 이 그룹은 클라이언트 네트웍 구성과 인증에 초점을 둔 여러 초안을 작성하고 있다. 이들 프로토콜 초안(www. ietf.org/html. charters/ipsec-char ter.html에 수록)은 여전히 초기 단계에 있으며 일부 상호 운용성 작업이 현재 수행되고 있다.
시스코 시스템즈의 IOS, IRE의 세이프넷 계열 및 뉴브리지 네트웍(Newbridge Networks Corp.)의 130 시큐어 VPN 클라이언트(이전의 타임스텝 퍼미트/클라이언트)를 포함해서 일부 제품에 이러한 새로운 프로토콜이 함께 제공되고 있지만 다음 분기와 올 한 해 동안 보다 광범위하게 이들 프로토콜이 채택될 전망이다. 그리고 IETF만이 이 프로토콜을 지원하는 것은 아니다. 마이크로소프트는 IPsec를 통해 윈도우 2000과 L2TP(레이어 2 터널링 프로토콜)에 안전을 보장하고자 노력하고 있다.
IPsec 제품은 협상 중에 인증서를 사용할 수 있지만 많은 상호 운용성 문제로 인해 인증서 사용은 단일 업체 환경으로만 제한된다. 멀티 업체 상황에서는 상호적으로 IPsec 장치를 인증하기 위해 비밀이나 암호를 사용하는 사전 공유 IKE가 필요하다. 사전 공유된 비밀을 분배하고 관리할 필요가 있기 때문에 이 솔루션은 인증서만큼 안전하거나 구성이 자유롭지 않지만 사전 공유 비밀 IKE는 제한된 규모의 구현의 경우 가능성 있는 대안을 제시한다.
이번에 우리는 IOS 12.0(2a)T1이 있는 시스코의 4700, 뉴브리지의 234 시큐어 VPN 게이트웨이(이전의 타임스텝 퍼미트/게이트 4520), IRE의 소프트PK 2.1.0(빌드 15) 및 F-시큐어의 VPN+를 포함해서 현재 공급되고 있는 제품을 사용하여 상호 운용될 수 있는 IPSec의 의미와 요구 사항을 살펴봤다.