반응형
◆ SSL VPN
- 클라이언트 없이 VPN웹 서버의 인증을 받고,
- VPN gateway 장비와 사용자 브라우저 간에 터널링이 맺어지며, 사용자 로컬 PC에 gateway장비의 라우팅 정책이 내려지고, IP가 할당된다.
- gateway장비에는 F5사의 bigip, juniper사의 guniper vpn등이 있다.
- gateway는 보통 DMZ에 위치하고 사설ip와 공인ip를 함께 가지고 있다.
- 보다 안전한 구성은 gateway 가 두개의 NIC를 가지는 것이 아니라 상단의 L4스위치를 통해 사설ip로 라우팅이 되도록 하는 방법이 있다.
- gateway는 OU(Organizational units)를 통해 라우팅 정책을 설정하고 OU에 사용자를 매핑시켜 라우팅 정핵을 내려준다.
- OU별로 사용자에게 할당할 ip대역을 gateway config에 설정할 수도 있고, 별도의 DB를 구성하여 사용자별 고정 ip를 할당해줄 수 있다.
- 방화벽에서는 gateway에서 할당한 사설ip대역에 대해 업무시스템별로 필요한 최소한의 정책만 허용해야 한다.
◆ IPSEC VPN
- 물리적인 장비를 통해 어플리케이션레벨이 아닌 3계층 데이터링케 계층에서 터널링을 하는 기술
- 보통 LAN-TO-LAN 방식을 많이 사용한다.
- IPSEC VPN 이 설치된 사무실 또는 지사는 별도의 사업장 개념으로 보안 수준을 높여야한다.
- 사내 보안정책을 아무리 잘 적용해도 VPN으로 연결된 외부 사무실을 통해 정보유출이나 악성코드 유입이 가능하다.
- 특히 SSL-VPN과 다르게 IPSEC VPN을 전용선과 같은 개념으로 보는 경우가 많기 때문에 로깅이나 감사를 소흘히 하는 경우가 많다.
- 클라이언트 없이 VPN웹 서버의 인증을 받고,
- VPN gateway 장비와 사용자 브라우저 간에 터널링이 맺어지며, 사용자 로컬 PC에 gateway장비의 라우팅 정책이 내려지고, IP가 할당된다.
- gateway장비에는 F5사의 bigip, juniper사의 guniper vpn등이 있다.
- gateway는 보통 DMZ에 위치하고 사설ip와 공인ip를 함께 가지고 있다.
- 보다 안전한 구성은 gateway 가 두개의 NIC를 가지는 것이 아니라 상단의 L4스위치를 통해 사설ip로 라우팅이 되도록 하는 방법이 있다.
- gateway는 OU(Organizational units)를 통해 라우팅 정책을 설정하고 OU에 사용자를 매핑시켜 라우팅 정핵을 내려준다.
- OU별로 사용자에게 할당할 ip대역을 gateway config에 설정할 수도 있고, 별도의 DB를 구성하여 사용자별 고정 ip를 할당해줄 수 있다.
- 방화벽에서는 gateway에서 할당한 사설ip대역에 대해 업무시스템별로 필요한 최소한의 정책만 허용해야 한다.
◆ IPSEC VPN
- 물리적인 장비를 통해 어플리케이션레벨이 아닌 3계층 데이터링케 계층에서 터널링을 하는 기술
- 보통 LAN-TO-LAN 방식을 많이 사용한다.
- IPSEC VPN 이 설치된 사무실 또는 지사는 별도의 사업장 개념으로 보안 수준을 높여야한다.
- 사내 보안정책을 아무리 잘 적용해도 VPN으로 연결된 외부 사무실을 통해 정보유출이나 악성코드 유입이 가능하다.
- 특히 SSL-VPN과 다르게 IPSEC VPN을 전용선과 같은 개념으로 보는 경우가 많기 때문에 로깅이나 감사를 소흘히 하는 경우가 많다.
728x90
'호기심_메모' 카테고리의 다른 글
| Blind SQL Injection 개념 (0) | 2016.06.02 |
|---|---|
| DMZ 개념 (0) | 2016.06.02 |
| SW공학 : SW개발 방법론 (0) | 2016.04.20 |
| SW공학 : SW 개발 모델(모형) (0) | 2016.04.19 |
| SW공학 : SW공학 (0) | 2016.04.19 |
