VPN(가상 사설망)은 인터넷과 같은 개인 또는 공용 네트워크의 지점 간 연결입니다. VPN 클라이언트는 터널링 프로토콜이라는 특별한 TCP/IP 기반 프로토콜을 사용하여 두 컴퓨터 사이에 보안 채널을 설정하며 이 채널을 통해 두 컴퓨터가 데이터를 보낼 수 있습니다. 실제로는 다른 패킷과 마찬가지로 인터넷을 통해 데이터가 라우팅되지만 참가하는 두 컴퓨터 관점에서 보면 이러한 컴퓨터 간에는 전용 지점 간 링크가 있습니다. 일반적인 VPN 배포에서 클라이언트는 인터넷을 통해 원격 액세스 서버에 대한 가상 지점 간 연결을 시작합니다. 원격 액세스 서버는 호출에 응답하고, 호출자를 인증하고, VPN 클라이언트와 조직의 개인 네트워크 간에 데이터를 전송합니다.

지점 간 링크를 에뮬레이트하기 위해 데이터는 헤더와 캡슐화되거나 래핑됩니다. 헤더는 데이터가 공유 또는 공용 네트워크를 통과하여 끝점에 도달할 수 있도록 하는 라우팅 정보를 제공합니다. 개인 링크를 에뮬레이트하려면 전송되는 데이터는 기밀성을 위해 암호화됩니다. 이 버전의 Windows에서 지원되는 터널링 프로토콜에 대한 자세한 내용은 VPN 터널링 프로토콜(페이지는 영문일 수 있음)을 참조하십시오.

설치 요구 사항은 RRAS를 VPN 서버로 설치하기 위한 요구 사항을 참조하십시오.

VPN 연결

VPN 연결

VPN 연결에는 다음 두 가지 형식이 있습니다.

원격 액세스 VPN

원격 액세스 VPN 연결을 사용하면 재택 근무자나 이동 중인 사용자가 인터넷과 같은 공용 네트워크에서 제공하는 인프라를 사용하여 개인 네트워크의 서버에 액세스할 수 있습니다. 사용자 관점에서 VPN은 클라이언트 컴퓨터와 조직 서버 간의 지점 간 연결입니다. 논리적으로 데이터가 전용 개인 링크를 통해 전송되는 것처럼 나타나기 때문에 공유 또는 공용 네트워크의 인프라는 관계가 없습니다.

사이트 간 VPN

라우터 간 VPN 연결이라고도 하는 사이트 간 VPN 연결을 사용하면 조직이 보안 통신을 유지하는 동시에 공용 네트워크를 통해 다른 조직과 라우팅된 연결을 사용하거나 개별 사무실 간에 라우팅된 연결을 사용할 수 있습니다. 다음 그림과 같이 네트워크가 인터넷을 통해 연결되어 있으면 VPN 사용 라우터는 VPN 연결을 통해 패킷을 다른 VPN 사용 라우터로 전달합니다. 라우터에서 VPN 연결은 논리적으로 전용 데이터 링크 계층 링크로 표시됩니다.

사이트 간 VPN 연결은 두 개의 개인 네트워크를 연결합니다. VPN 서버는 VPN 서버가 연결된 네트워크에 대해 라우팅된 연결을 제공합니다. 호출 라우터는 자신을 응답 라우터에 인증하고 상호 인증을 위해 응답 라우터는 자신을 호출 라우터에 인증합니다. 사이트 간 VPN 연결에서 VPN 연결을 통해 두 라우터 중 하나로부터 전송된 패킷은 일반적으로 라우터에서 시작되지 않습니다.

인터넷을 통해 두 원격 사이트를 연결하는 VPN

인터넷에서 원격 사이트를 연결하는 VPN

VPN 연결의 속성

  • 캡슐화. 데이터가 전송 네트워크를 통과할 수 있도록 하는 라우팅 정보가 포함된 헤더와 비공개 데이터가 캡슐화됩니다. 캡슐화의 예는 VPN 터널링 프로토콜(페이지는 영문일 수 있음)(https://go.microsoft.com/fwlink/?linkid=140602)을 참조하십시오.

  • 인증. VPN 연결 인증은 다음 세 가지 형태로 수행됩니다.

    1. PPP(지점 간 프로토콜) 인증을 사용하여 사용자 수준 인증. VPN 연결을 설정하기 위해 VPN 서버는 PPP 사용자 수준 인증 방법을 사용하여 연결을 시도하는 VPN 클라이언트를 인증하고 VPN 클라이언트에 해당 권한이 있는지 확인합니다. 상호 인증을 사용하는 경우 VPN 클라이언트도 VPN 서버를 인증하여 VPN 서버로 가장하는 컴퓨터를 차단할 수 있습니다.

    2. IKE(Internet Key Exchange)를 사용하여 컴퓨터 수준 인증. IPsec(인터넷 프로토콜 보안) SA(보안 연결)를 설정하기 위해 VPN 클라이언트와 VPN 서버는 IKE 프로토콜을 사용하여 컴퓨터 인증서나 미리 공유한 키를 교환합니다. 이 경우 VPN 클라이언트와 서버는 컴퓨터 수준에서 서로를 인증합니다. 컴퓨터 인증서 인증은 훨씬 더 강력한 인증 방법이므로 이 방법을 사용하는 것이 좋습니다. 컴퓨터 수준 인증은 L2TP(Layer Two Tunneling Protocol)/IPsec 또는 IKE 버전 2 연결에만 사용됩니다.

    3. 데이터 원본 인증 및 데이터 무결성. VPN 연결에서 전송된 데이터가 연결의 반대쪽 끝에서 시작되었으며 전송 중에 수정되지 않았는지 확인하기 위해 데이터에는 보낸 사람과 받는 사람만 아는 암호화 키를 기반으로 하는 암호화 체크섬이 포함되어 있습니다. 데이터 원본 인증과 데이터 무결성은 L2TP/IPsec 및 IKE 버전 2 연결에 대해서만 사용할 수 있습니다.

  • 데이터 암호화. 데이터가 공유 또는 공용 전송 네트워크를 통과할 때 데이터의 기밀성을 보장하기 위해 보낸 사람이 데이터를 암호화하고 받는 사람이 암호를 해독합니다. 암호화 및 암호 해독 프로세스를 수행하려면 보낸 사람과 받는 사람이 공통 암호화 키를 사용해야 합니다.

    공통 암호화 키가 없으면 전송 네트워크에서 VPN 연결을 통해 전송된 패킷을 가로채도 해석할 수 없습니다. 암호화 키의 길이는 중요한 보안 매개 변수입니다. 계산 기술을 사용하여 암호화 키를 확인할 수 있습니다. 그러나 이러한 기술을 사용하는 경우 암호화 키가 길어짐에 따라 더 많은 컴퓨팅 기능과 계산 시간이 필요합니다. 따라서 데이터 기밀성을 보장하려면 가능한 가장 긴 키를 사용하는 것이 중요합니다.

추가 참조


목차