VPN Security Architecture (작성중)

VPN 개요

VPN(Virtual Private Network)는 공중망상에 사설망을 구축하여 이용자가 마치 자기의 사설 구내망 또는 전용망같이 이용할 수 있게하는 네트워크 서비스다.

  • VPN의 유형

1. Site to Site
아래 그림의 “사용자1”은 외부 Site(지점)으로부터 본사 네트워크에 접속한 형태로 일반적으로 VPN라우터를 통해 연결하는 방식
2. Remote Access
“사용자2”는 출장근무자나 재택근무자 등으로 VPN Concentrator를 통해 본사 네트워크에 접속하는 방식


*위와 같은 일반적인 VPN구성은 다음과 같은 취약점에 노출될 수 있다.

  • VPN 보안 위협

1.Network Topology Discovery: 네트워크 구조가 노출되어 악의적인 사용자는 해킹의 접점을 파악하는 주요 정보로 활용할 수 있음
2.패스워드 공격: VPN 로그인과정에서 취약한 패스워드가 사용될 경우 Rainbow Table이나 Brute Force Attack에 노출될 수 있음
3.비인가 접근: 우회경로를 통해 공격당 할 수 있음
4.중간자 공격: 중간자(해커)가 인가된 사용자들이 전달하는 정보를 도청하거나 조작하여 전달할 수 있음
5.패킷스니핑: 스니퍼를 통해 네트워크 트래픽이 도청되고 분석 될 수 있음

*위와 같은 보안위협에 대해 아래와 같은 보안아키텍처로 대응해야 한다.

VPN 보안 아키텍처

Site to Site VPN 보안 가이드 완화된 보안위협
인터넷단 Router와 VPN Router의 적합한 설정-인터넷 접점라우터를 통해 1차 필터링: 외부로부터 특정 IP주소와 프로토콜로 VPN트래픽이 제한
-IDS/IPS를 통해 주변장비에 대한 접근시도 모니터링
-Site간 VPN Router는 특정 목적지 통신 IP(VPN라우터)로 제한하고 제한된 시스템 IP를 설정하여 통제함
Network Topology Discovery
OTP생성기 사용-One Time Password 사용으로 Password 인증의 보안강화 Password Attack(패스워드 공격)
내부 Firewal의 적합한 설정-방화벽을 통해 비인가된 포트에 복호화된 패킷 트래픽 통제 Unauthorized Access(비인가 접근)
VPN Router의 적합한 설정-구간암호화를 통한 원격지 트래픽의 보안: Site간 VPN라우터를 통해 구간암호화 통신 Man-in-the-Middle(중간자 공격)
Switched Network 구조-Switched 구조를 통한 스니핑 무력화 Packet sniffers(패킷스니핑)
Remote Access VPN 보안 가이드 완화된 보안위협
인터넷단 Router의 적합한 설정-인터넷 접점라우터를 통해 1차 필터링: 외부로부터 특정 IP주소와 프로토콜로 VPN트래픽이 제한
-IDS/IPS를 통해 주변장비에 대한 접근시도 모니터링
-VPN Concentrator의 인증으로 내부 네트워크 접근을 통제
Network Topology Discovery
OTP생성기 사용-OTP인증을 통한 보안강화: 사용자는 서버팜의 접근통제서버를 통해 VPN Concentrator와 연결이 제어됨Password Attack(패스워드 공격)
내부 Firewal의 적합한 설정-방화벽을 통해 비인가된 포트에 복호화된 패킷 트래픽 통제 Unauthorized Access(비인가 접근)
VPN Concentrator의 암호화모듈에 의해 구간암호화-구간암호화를 통한 원격지 트래픽의 보안 Man-in-the-Middle(중간자 공격)
Switched Network 구조-Switched 구조를 통한 스니핑 무력화 Packet sniffers(패킷스니핑)
  • Actors별 관련 보안통제모듈
Actor 보안통제 사항

보안관제
AC- Access Control Group(접근통제), AT- Awareness And Training Group(교육 및 훈련), AU- Audit And Accountability Group(감사와 추적성),
CA- Certification, Accreditation And Security Assessments Group(인증, 승인과 보안평가, CM- Configuration Management Group(설정관리), \\CP- Contingency Planning Group(위급상황 계획), IA- Identification and Authentication Group(계정과 권한), \\IR- Incident Response Group(사고대응), MA- Maintenance Group(업무연속성), MP- Media Protection Group(미디어 보호), \\PE- Physical and Environmental Protection Group(물리적 보안), PL- Planning Group(계획), PS- Personnel Security Group(개별보안), \\RA- Risk Assessment Group(위험평가), SA- System and Services Acquisition Group(시스템과 서비스 도입), \\SC- System and Communication Protection Group(시스템과 통신보안), SI- System and Information Integrity Group(시스템과 정보의 무결성)

장비관리자
AC- Access Control Group(접근통제), AT- Awareness And Training Group(교육 및 훈련), AU- Audit And Accountability Group(감사와 추적성), \\CA- Certification, Accreditation And Security Assessments Group(인증, 승인과 보안평가, CM- Configuration Management Group(설정관리), \\CP- Contingency Planning Group(위급상황 계획), IA- Identification and Authentication Group(계정과 권한), \\IR- Incident Response Group(사고대응), MA- Maintenance Group(업무연속성), MP- Media Protection Group(미디어 보호), \\PE- Physical and Environmental Protection Group(물리적 보안), PL- Planning Group(계획), PS- Personnel Security Group(개별보안), \\RA- Risk Assessment Group(위험평가), SA- System and Services Acquisition Group(시스템과 서비스 도입), \\SC- System and Communication Protection Group(시스템과 통신보안), SI- System and Information Integrity Group(시스템과 정보의 무결성)

장비관리자
AC- Access Control Group(접근통제), AT- Awareness And Training Group(교육 및 훈련), AU- Audit And Accountability Group(감사와 추적성), \\CA- Certification, Accreditation And Security Assessments Group(인증, 승인과 보안평가, CM- Configuration Management Group(설정관리), \\CP- Contingency Planning Group(위급상황 계획), IA- Identification and Authentication Group(계정과 권한), \\IR- Incident Response Group(사고대응), MA- Maintenance Group(업무연속성), MP- Media Protection Group(미디어 보호), \\PE- Physical and Environmental Protection Group(물리적 보안), PL- Planning Group(계획), PS- Personnel Security Group(개별보안), \\RA- Risk Assessment Group(위험평가), SA- System and Services Acquisition Group(시스템과 서비스 도입), \\SC- System and Communication Protection Group(시스템과 통신보안), SI- System and Information Integrity Group(시스템과 정보의 무결성)

장비관리자
AC- Access Control Group(접근통제), AT- Awareness And Training Group(교육 및 훈련), AU- Audit And Accountability Group(감사와 추적성), \\CA- Certification, Accreditation And Security Assessments Group(인증, 승인과 보안평가, CM- Configuration Management Group(설정관리), \\CP- Contingency Planning Group(위급상황 계획), IA- Identification and Authentication Group(계정과 권한), \\IR- Incident Response Group(사고대응), MA- Maintenance Group(업무연속성), MP- Media Protection Group(미디어 보호), \\PE- Physical and Environmental Protection Group(물리적 보안), PL- Planning Group(계획), PS- Personnel Security Group(개별보안), \\RA- Risk Assessment Group(위험평가), SA- System and Services Acquisition Group(시스템과 서비스 도입), \\SC- System and Communication Protection Group(시스템과 통신보안), SI- System and Information Integrity Group(시스템과 정보의 무결성)

계정관리자
AC- Access Control Group(접근통제), AT- Awareness And Training Group(교육 및 훈련), AU- Audit And Accountability Group(감사와 추적성), \\CA- Certification, Accreditation And Security Assessments Group(인증, 승인과 보안평가, CM- Configuration Management Group(설정관리), \\CP- Contingency Planning Group(위급상황 계획), IA- Identification and Authentication Group(계정과 권한), \\IR- Incident Response Group(사고대응), MA- Maintenance Group(업무연속성), MP- Media Protection Group(미디어 보호), \\PE- Physical and Environmental Protection Group(물리적 보안), PL- Planning Group(계획), PS- Personnel Security Group(개별보안), \\RA- Risk Assessment Group(위험평가), SA- System and Services Acquisition Group(시스템과 서비스 도입), \\SC- System and Communication Protection Group(시스템과 통신보안), SI- System and Information Integrity Group(시스템과 정보의 무결성)

사용자
AC- Access Control Group(접근통제), AT- Awareness And Training Group(교육 및 훈련), AU- Audit And Accountability Group(감사와 추적성), \\CA- Certification, Accreditation And Security Assessments Group(인증, 승인과 보안평가, CM- Configuration Management Group(설정관리), \\CP- Contingency Planning Group(위급상황 계획), IA- Identification and Authentication Group(계정과 권한), \\IR- Incident Response Group(사고대응), MA- Maintenance Group(업무연속성), MP- Media Protection Group(미디어 보호), \\PE- Physical and Environmental Protection Group(물리적 보안), PL- Planning Group(계획), PS- Personnel Security Group(개별보안), \\RA- Risk Assessment Group(위험평가), SA- System and Services Acquisition Group(시스템과 서비스 도입), \\SC- System and Communication Protection Group(시스템과 통신보안), SI- System and Information Integrity Group(시스템과 정보의 무결성)