1. trusted biz line 160401
-
Upload
- -
Category
Technology
-
view
62 -
download
2
Transcript of 1. trusted biz line 160401
Copyright © Mobile Convergence All rights reserved.
전용선 비용 절감을 위한 대안
Trusted Biz-Line2016.04
2 Mobile Convergence Properties
Contents
• 해외 네트워크 이용 현황
• TIPN 기반 해외 네트워크 이용 방안
• TIPN 기반 서버 통신 방안
※별첨. TIPN(Trusted IP Network) 소개
3 Mobile Convergence Properties
1. 해외 네트워크 이용 현황
4 Mobile Convergence Properties
해외 망 이용에 따른 이슈사항
해외 지사의 네트워크
본사 및 각 지점간의 안정적인 네트워킹 및
데이터 전송시 속도 및 보안을 위해 전용선
/VPN 사용
해외 지사의 전용선/VPN 사용시 문제점
보안취약성
고비용
속도/대역폭 안정성
해외 지사 네트워크 구성 예시
국내 기업의 해외 진출이 가속화 됨에 따라, 보안성과 안정성이 보장되는 효율적인 네트워크 구축이 필요함
5 Mobile Convergence Properties
전용회선 서비스
특정 가입자가 전용계약에 의해 독점적으로 사용할 수 있는 특정 지점간 직통으로 연결되어 있는 공중전기 통신회선
전용회선 서비스 : 전용회선을 가입자에게 설치/임대해 주는 서비스
전용회선 서비스는 국내와 국제전용회선(International Private Leased Circuit)으로 나뉨
전용회선 서비스 중 디지털 서비스는
‐ 디지털전용회선서비스(Digital Leased-line Service : DLS)
‐ 국제디지털 전용회선서비스(International Digital Leased-line Service : IDLS)로 나뉨
구분 제공속도 사용용도
DSO 이하 56/64Kbs 시내 · 시외 음성 및 저속 데이터 통신, 비상벨 등
Fractional T1(FT1) 64Kbs시내 · 시외 인터넷 게임방, 기업 통신망,
통신/SI, 금융기관 회선 등
DS1/DS31.544Mbps/
22.736Mbps시내 · 시외 · 대형 기업통신망, 고속데이터 통신
국내 전용회선 서비스 방식
6 Mobile Convergence Properties
VPN(Virtual Private Network)
인터넷을 전용선처럼 사용할 수 있도록 특수 통신체계와 암호와 기법을 제공하는 서비스로, 단순 내부정보 획득을 위한
일회성 접속, 사전 지정된 거점을 기반으로 한 접속 환경 제공에 활용 가능
VPN 이용 배경
‐ 정보의 공유를 위한 네트워크의 확장 필요
‐ 전용 회선 사용 증가에 따른 비용 증가
주요 기능
‐ 터널링 기법을 이용한 네트워크 보안 및 데이터 보안 지원
‐ 사용자 인증 기능
‐ VPN 장비별 개별 인증 및 사용자 관리
‐ 데이터 암호화
특장점
‐ 비 인가된 사용자로부터 내부 자원을 보호
‐ 내부의 허용된 서비스만을 안전하게 공개
‐ 외부의 불법적인 행동들에 대해 내부의 서버들을 보호
7 Mobile Convergence Properties
2. TIPN 기반 해외 네트워크 이용 방안
8 Mobile Convergence Properties
IP Network 이슈 사항
IP Network 의 개방성으로 인해 비 인증 상태에서도 Connectivity와 Visibility가 유지됨에 따라
보안성이 취약함.
사이버 공격은 비 인증 상태에서 네트워크 접속으로 인해 발생함.
8
보안 이슈의 원인
• Visibility• “Access with
undetermined trust”
IP Network
Server
LAN LAN LAN LAN
“Access withUndetermined Trust”
9 Mobile Convergence Properties
TIPN 기술의 특장점
TIPN 솔루션을 기반으로 인증 후 네트워크 접속을 통해 Trusted Networking 유지
No Visibility, No Connectivity 속성을 유지 한 후 인증 된 상태에서만 네트워크 접속 가능
(After Authentication, Authorized Connectivity Only)
구분 기존 IP Network TIPN 비고
Before Authentication
Visibility ○ Zero
Connectivity ○ Zero
AuthenticationOpen
Authentication ServerIsolated
Authentication Server
After Authentication
Visibility△
(False Positive, False Negative)
○
Connectivity△
(False Positive, False Negative)
○
10 Mobile Convergence Properties
TIPN 기반 Trusted Biz-Line
TIPN(Trusted IP Network) 기반의 네트워크 가상화를 통해 기관/기업 등에 보안성 및 안정성을 보장하여 믿을 수 있는
네트워크를 제공하는 서비스
적용 예시
‐ 본사와 지점간의 네트워크(국내/해외)
‐ 기업간의 제휴를 위한 네트워크
주요 기능
‐ 가상화 기술 기반으로 필요한 만큼의 분리된 네트워크 생성
‐ 통합 인증 및 사용자 관리
‐ 계층적 다중 터널링(Mobile IP VPN, L3 VPN)
특장점
‐ 관제 네트워크와 서비스 네트워크의 분리를 통해 믿을 수 있는 네트워크 환경 구축
‐ 서버 주소 은닉을 통해 외부의 공격 원천 차단
11 Mobile Convergence Properties
기업용 전용 네트워크 서비스 비교
VPN 전용선 Trusted Biz-Line
회선구성 다중회선(최대 4회선) 단일회선 제한 없음
대역폭 인터넷 회선 속도 구성에 따라 다름 인터넷 회선 속도
회선 비용 55,000원(회선/월) 30만원(Gbps/월) -
서비스 유형 구축/임대형 임대형 구축형
구성 VPN G/W, 회선 전용선TIPN Agent for Server,
TIPN G/W, TIPN Manager
관제 ○(고객사) 통신사 ○(고객사)
확장성 ★★★☆☆ ★☆☆☆☆ ★★★★★
12 Mobile Convergence Properties
네트워크 구성
Trusted Biz Line 대체 가능 여부는 업무 속성과 Traffic 규모에 따라 판단이 필요함.
ATM
콜센터
인터넷뱅킹
영업점
외부기관
코어 뱅킹 시스템
FRONT 단위 시스템
외부데이터
CORE AP SERVER
업무처리서비스
수신
여신
수출입
외환
대행
자동이체
상품 Factory
DBIO
DWIO
OCORE
BCORE
업무 Log
조회 Log
에러 Log
DW Log
연합회 신용정보 카드사
CCRM 중금 방카
자금관리 유가증권 재무회계
해외점포 국제금융 퇴직신탁
전용선/VPN
전용선/VPN
전용선
전용선
인터넷
전용선/VPN
해외지점
13 Mobile Convergence Properties
투자비용 비교(1)
전용선 vs. TIPN Gateway
설치 국가
전용선 TIPN Gateway(이중화)
대역폭(Mbps)
월간 사용료 연간 사용료연간 사용료
(10회선 이용시)수량 단가 금액
중국 10 7 84 840
2 500 1,000미국 6 2 24 240
인도네시아 8 12 144 1,440
(단위 : 백만원)
* TIPN Gateway는 국가에 상관없이 TIPN Gateway 설치시 TIPN 사용 가능* 10개 지점 기준
14 Mobile Convergence Properties
소요 장비
VPN TIPN Gateway
수량 단가 금액 수량 단가 금액
10개 지점 10 50 500 1 200 200
50개 지점 50 50 2,500 2 500 1,000
500개 지점 500 50 25,000 4 700 2,800
투자비용 비교(2)
VPN vs. TIPN Gateway
* User당 Agent 비용 동일 금액 가정
(단위 : 백만원)
15 Mobile Convergence Properties
3. TIPN 기반 서버 통신 방안
16 Mobile Convergence Properties
Server to Server – TIPN 적용 모델
구분 구성 방안 비고
TIPN Switch 전용 TIPN Switch를 제휴사 데이터센터에 설치하여
TIPN Gateway와 연동하여 금융기관 Server에 접속
Switch 제조 업체와 제휴/추가 개발 필요
TIPN Agent for Server제휴사 업무 Server에 TIPN Server Agent를 설치하여
TIPN Gateway와 연동하여 금융기관 Server에 접속
Server OS Linux로 한정/추가 개발 필요
17 Mobile Convergence Properties
Server to Server - TIPN Switch
Internet
제휴사
TIPNSwitch(전용)
금융기관
Switch용 Agent
Server #1
Server #N
TIPN Gateway TIPN Gateway
Server #N
Server #1
18 Mobile Convergence Properties
Server to Server - TIPN Agent for Server
Internet
Server용 Agent TIPN Gateway TIPN Gateway
Server #N
Server #1Server #1
Server #N
제휴사 금융기관
19 Mobile Convergence Properties
※별첨. TIPN(Trusted IP Network) 소개
20 Mobile Convergence Properties
TIPN 개요
네트워크 가상화 기술을 활용하여 기존 네트워크를 기반으로 외부 네트워크와 격리된 가상 네트워크를 구성하고, 권한이 있는 사용자만이 위·변조가 불가능하고 격리된 유일한 전송 경로를 통해 언제 어디서든 안전하게 정보를유통할 수 있는 환경을 제공하는 솔루션 임.※ 미국 국방부가 IP Network를 이용하여 중요 정보를 유통하기 위해 개발한 GIG 3.0을 벤치마킹하여 개발한 상용 솔루션
TIPN(Trusted IP Network)
• 인가된 사용자 만이 TIPN에 접속할 수 있으며, 정책기반으로부여된 권한이 있는 네트워크에만 접속 가능
IP Network
• IP Network의 특징인 연결성과 확장성으로 인해 두 개의 서로 다른 네트워크가 접속되면 하나의 네트워크로 전환
내부 Network
IP Network TIPN
IP Network
내부 Network
인가 사용자 非 인가 사용자 인가 사용자 非 인가 사용자
• Visibility : ○• Accessibility : ○
• Visibility : ○• Accessibility : ○
• Visibility : ○• Accessibility : ○• (권한이 있는
서버만 가능)
• Visibility : ו Accessibility : ×
TIPN Manager
하나의네트워크로 전환
Stealth NetworkTIPN
Gateway
가상 네트워크 기반상호 격리된 독립 네트워크 구성
기존 네트워크와 연결
21 Mobile Convergence Properties
TIPN 구성
TIPN 구성 요소 : TIPN Agent, TIPN Gateway, TIPN Manager
TIPN Agent TIPN ManagerTIPN Gateway
단말(사용자 단말/WiFi AP)과 TIPN Gateway간 인증 및 터널 생성∙관리∙종료를 위해 단말에 설치되는 S/W
TIPN Gateway와 연동하여 TIPN 전체시스템의 중앙집중형 관제 역할을 수행하는S/W
Tunnel 접속제어 기능, 가상 네트워크 생성 및 관리 기능을 수행하는 장비
Terminal (TIPN Agent)
LAN
WiFi
3G/LTE
인터넷
Access Network
Microwave
VR
VR
VR
VR
VR
VR
…
통합관제플랫폼
관제 네트워크 VPT
TIPN Gateway TIPN Gateway
VRn
VR2
VR1
…
Tunnel List
White ListWhite List
22 Mobile Convergence Properties
TIPN 주요 특징 – 네트워크 가상화
네트워크 가상화 : 기존 네트워크를 활용하여 “상호 격리된 가상 네트워크” 구성
네트워크 가상화 : 기존 네트워크를 활용하여 “상호 격리된 가상 네트워크” 구성
Terminal
ServerTIPN
Gateway
TIPNManager
기존
네트워크
가상 네트워크 #N
…
가상 네트워크 #1
관제 네트워크
TIPNGateway
관제네트워크
가상네트워크
#1…
가상네트워크
#N
서비스 Network관제 Network
Network Virtualization
관제 및 서비스 네트워크 분리
VR-16 VR-16
TIPN Gateway TIPN Gateway
VR-17 VR-17
VR-n VR-n
. . .
. . .
VR-0
VR-18 VR-18
Control Plane
TIPNData Plane
VR-0
ME0 ME0
Management Plane
TIPN Gateway 가상 네트워크 구성
구분 내용
Management Plane• Out-of-Band Management• In-Band Management
• 기존 체계
Control Plane • TIPN Signaling and Control • 관제용 네트워크
Data Plane
Virtual Routing • TIPN Data Plane • 격리된 서비스 네트워크
Global Routing • Global Routing • 기존 IP Network 연결
23 Mobile Convergence Properties
TIPN 주요 특징 – 중앙 집중 관제
주요 기능
• TIPN Manager : 전체 TIPN Gateway VPT 관리
• VPT : TIPN Gateway내 개별 TEP(Tunnel End Point)의 White List 관리
접속 제어 관리 체계 : TIPN Manager → VPT (Tunnel List) → TEP (White List)
TIPN 네트워크 접속 제어 : TIPN Manager를 통한 중앙 집중 관제
TIPNManager
VPT
Tunnel List
TEP TEP TEP. .
White List White List White List
VPT
Tunnel List
TEP TEP TEP. .
White List White List White List
. . .
TIPN Gateway #1 TIPN Gateway #N
24 Mobile Convergence Properties
TIPN 주요 특징 – 안정적인 사용자 인증
격리된 관제 네트워크 구성
• TIPN 관련 인증 및 제어 관련 Flow만 격리된 관제망으로 전달 (非 인증용 Flow 차단, 인증 서버 보호)
인증 안정성 확보 방안 : 인증서버 격리 (Global Routing Domain 직접 접속 차단)
관제 네트워크격리 구성
네트워크 가상화 기술을 활용하여 관제 네트워크(VR-16)와 서비스 네트워크를 상호 격리
Flow 기술 기반인증 정보 처리
Authentication Flow을 TIPN 관제 네트워크로 전달 (Flow Classifier)
인증 서버 보호
인증 서버 격리 Authentication용 Alias IP Address와
Redirection 기능을 활용하여 TIPN Control Domain에 위치한 TIPN Manager를 통해인증 수행
인증 서버에 대한 DDoS 공격 방어 비정상적 행위를 통한 인증서버 공격에 대해
방어 기능으로 인증 서버에 대한 DDoS Detection and Mitigation 기능 제공(패턴, 주기, 횟수 등 설정 가능)
인증 안정성 확보 방안인증 프로세스
TIPNManager
Terminal
...
...
VR-16
VR-18
VR-n
VR-0
TIPN Gateway
VPT
Tunnel List
A
B C D
A
B
C
D
Authentication Alias IP Address
TIPN Control Flow
DDoS Detection and Mitigation
Authentication Redirection
① 인증 요청
④ AuthenticationRedirection
⑤ 인증 결과 회신
③ DDoS 확인
② TIPN Authentication Flow
25 Mobile Convergence Properties
TIPN Gateway
…
VRTEP
TIPN 주요 특징 – 네트워크 격리
유일한 전송경로와 가상 네트워크를 통해 정책기반으로 부여된 권한이 있는 네트워크만 접속
• 격리된 전송 경로(Tunnel) : 단말 ↔ TIPN Gateway 간 구성되는 위·변조가 불가능한 터널
• VR(Virtual Router) : TEP 이후 구간의 독립성을 유지하여 개별 폐쇄 네트워크 구성
네트워크 격리 : 격리된 전송 경로(Tunnel) 및 VR을 연계하여 개별 폐쇄 네트워크 구성
VPN
TIPN
Terminal
IP Network
Server
…
VPNDevice
단일네트워크
Terminal
TIPN Gateway Server
IP Network … …
개별 폐쇄네트워크
구성
VRTEP
격리된 전송 경로(Tunnel)
격리된 전송 경로(Tunnel)VR(Virtual Router) 기반 독립 네트워크
• Visibility : ו Accessibility : ×
• Visibility : ○• Accessibility : ○
격리 기능 부재
26 Mobile Convergence Properties
TIPN 주요 특징 – 기존 VPN의 취약성 개선
인증 서버 보호 기능 (인증서버 주소 노출, DDoS 공격에 대한 취약점 등)의 취약성 개선
이동성이 보장되는 Mobile IP VPN Tunnel 구현 (IP-in-IP Tunnel 기술)
기존 VPN의 취약성 개선 : 인증 강화, Mobile IP Tunnel 이동성 보장
• Authentication
IPSec VPN Tunnel
• VPN Tunnel (IP-in-IP Tunnel)
• IPSec Encryption(Point to Point Encryption)
• Authentication 기능 부재
Mobile IP
• Mobile IP Tunnel
Enhanced Authentication(관제망 격리, 중앙 집중 관제)
TIPN Tunnel
Mobile IP VPN Tunnel
End-to-End Encryption(Optional)
기존 기술의 문제점
• 인증서버 보호 대책 취약
• IPSec VPN Tunnel과 Mobile IP Tunnel간의 연계시 통합 관리 및인증 체계 부재
TIPN 기반 대응 방안
• 격리된 관제 네트워크 구성
• 인증 서버 격리
• 중앙 집중 관제
• Mobile IP Tunnel의 이동성 보장
통합
관리
불가
연계
TIPN(Trusted IP Network)www.mobilecvg.com
T
㈜모바일컨버전스TEL : 02-521-3936
E-mail : [email protected]/mobilecvg