모바일 IP의 보안을 개선하라

Security Advances in Mobile IP
"모바일 IP의 보안을 개선하라"
시스코, 모바일 IP 사용자들을 위한 '제로 구성 클라이언트'와 단일 로그인 발표

시스코의 모바일 IP 제품 및 서비스를 사용하고 관리할 경우 Cisco IOS? 소프트웨어 릴리즈 12.3(4) T의 Dynamic Security Association and Key Distribution 기능으로 사용자와 관리자 모두에게 단순함을 제공할 수 있다. 이 기능을 통해 모바일 사용자들은 여러 번 거쳐야 하는 마이크로소프트 윈도 로그인을 사용하는 대신에 한 단계로 안전하게 로그인할 수 있다. 네트워크 관리자의 경우, 이 새로운 기능은 개별 모바일 클라이언트와 네트워크에서 모바일 IP 클라이언트 소프트웨어를 별도로 구성할 필요가 없어진다.
시스코의 인터넷 테크놀로지스 사업부의 기술 마케팅 엔지니어인 리차드 샤오(Richard Shao)는 "Dynamic Security Association and Key Distribution 기능은 기업의 기존 유선 인증 인프라를 토대로 구성되어 모바일 환경으로 확장되었다"면서, "최종 사용자들에게 있어서의 주요 이점은 PDA와 노트북 등 클라이언트 인증과 모바일 IP 인증 프로세스가 별도의 로그인을 요구하지 않는다는 것이다. 관리자들에게는 모바일 IP 로그인과 보안 기능이 소프트웨어에 의해 자동으로 설정될 수 있게 해준다. 키가 유연하게 생성되기 때문에 실제로 보안이 대폭 향상되었다"고 밝혔다.

모바일 IP에서의 '플러그 앤 플레이' 실현
IETF(Internet Engineering Task Force) 표준이며 네트워크 아키텍처인 모바일 IP는 모바일 IP 기기가 동일한 IP 어드레스를 유지하고 지속적인 네트워크 접속 상태에 있도록 해주며 네트워크 간의 이동을 보장해준다. 모바일 IP 기능은 1999년부터 Cisco IOS 소프트웨어에서 제공되어왔다. 유선 네트워크에서의 라우팅은 고정된 IP 어드레스를 토대로 하고 있다. IP 노드가 이동하고 홈 네트워크로 전환될 경우, 일반적인 IP 라우팅으로는 구현할 수가 없다. 액티브 세션이 만료되는 것이다.
모바일 IP는 노트북이나 이동전화, 또는 PDA 등 모바일 노드간의 커뮤니케이션을 비롯해, '홈 에이전트(home agent)'라고 불리는 홈 네트워크의 라우터와 외부 에이전트(foreign agent)로 로밍할 경우 모바일 노드에 부착된 포인트 역할을 하는 외부 에이전트로 불리는 라우터를 토대로 하고 있다. 외부 에이전트는 홈 에이전트의 패킷을 모바일 노드로 전송한다.

모바일 IP 기능을 통해 모바일 노드는 외부 및 홈 에이전트를 찾을 수 있으며 위치를 등록하고 로밍을 구현할 수 있다. 그런 다음 홈 에이전트는 전송된 위치에 따라 모바일 노드로 패킷을 전송하도록 터널 접속을 설정할 수 있다.
시스코의 기술자인 알페쉬 파텔(Alpesh Patel)은 "모바일 IP가 처음 발표되었던 당시에는 먼저 각각의 개별 기기를 구성한 다음 보안 파라미터 색인과 인증 알고리즘, 먼저 공유된 키 등을 포함한 보안 관련 기능으로 AAA (Authentica- tion, Authorization, Accounting) 서버를 구성해야 했다"면서, "새로운 Security Association and Key Distribution 기능으로 관리자들은 어떤 클라이언트 소프트웨어나 홈 에이전트의 구성을 준비할 필요가 없어졌다. 직원과 전문가가 부족한 소규모 환경에서는 이러한 단순한 도입 과정이 큰 매력적인 요소로 작용할 것"이라고 밝혔다.
기존 인증 인프라를 사용하기 때문에, Security Associat- on and Key Distribution 기능은 AAA 서버의 구성만으로 홈 에이전트로부터 RADIUS 요청을 수신할 때 모바일 IP 클라이언트를 인증하기 위해 Windows Domain Controller 데이터베이스나 Active Directory를 사용할 수 있다(그림 참조).
리차드 샤오는 "모바일 IP의 보안 역시 더욱 향상되었다"면서, "과거에는 보안이 정적이어서, SA(security associations)을 변경하지 않으면 클라이언트에도 동일하게 남아있게 된다. 현재는 키가 유연하게 생성되고 각 세션에 따라 다르며 형성된다"고 설명했다.
Dynamic Security Association and Key Distribution가 모바일 IP에 향상된 다른 주요한 기능으로는 사용자 인증을 거친 다음 모바일 기기로의 IP 어드레스를 역동적으로 할당할 수 있는 기능이 포함된다. 사용자는 다양한 모바일 기기를 사용해 윈도 도메인에 로그인 할 수 있다. 각 기기는 커뮤니케이션을 위해 특별한 IP 어드레스가 할당된다.
성공적인 등록에 대응하기 위해, DHCP(Dynamic Host Configuration Protocol) 서버 어드레스나 홈 어드레스 prefix 길이, DNS(domain name system) 어드레스 등과 같은 기본적인 구성 파라미터 또한 홈 에이전트가 전송한 등록 응답 메시지로의 확장 형태로 모바일 노드에 전송된다.


시스코의 체계화된 무선 인식 네트워크 솔루션(Cisco SWAN)
2003년 11월, 시스코의 체계화된 무선 인식 네트워크(SWAN)는 Cisco Aironet? 액세스 포인트와 CiscoWorks WLSE(Wireless LAN Solution Engine) 버전 2.5를 위한 새로운 무선 관리 기능을 발표했다.
시스코의 '무선 인식' 인프라 제품의 안전하며 통합된 무선랜 솔루션인 Cisco SWAN은 시장에서 입증되었으며 성능이 높고 기능이 다양한 Cisco Aironet 액세스 포인트에 대한 최적의 구축 및 관리를 통해 무선랜 총 소유 비용(TCO)을 최소화해준다.
시스코의 제품 매니저인 아누 게이드(Anu Gade)는 "시스코의 경쟁사 대부분은 유선 네트워크에 구축되는 전용 무선랜 어플라이언스를 보유하고 있다"면서, "이러한 무선랜이 성장함에 따라 이들을 관리하고 보호하는 것은 매우 힘들고 많은 문제점을 노출하고 있다.
Cisco SWAN은 기업 무선랜의 구축과 운영, 관리, 보안을 강화해주며 간소화해준다. 이 솔루션은 CiscoWorks WLSE 관리 콘솔을 통해 몇 대에서 몇 백, 몇 천 대의 Cisco Aironet 시리즈 액세스 포인트를 중앙에서 원격으로 유연하게 관리할 수 있다"고 밝혔다.
중부 플로리다 소재의 플로리다 병원(Florida Hospital)은 Cisco SWAN을 사용, Cisco Aironet 무선랜을 관리하는데 있어서 확실한 이점을 거두고 있다. 플로리다 병원의 네트워크 서비스 관리자인 길 스터지스(Gil Sturgis)는 "Cisco Works WLSE와 Cisco SWAN을 구축하기로 한 판단은 도입을 간소화하고 관리 기능을 향상시키며 복잡성에 관련된 문제를 해결하고 구축 변경을 신속히 하기 위한 것"이라고 구축 배경에 대해 설명했다.
Cisco SWAN은 플로리다 병원 관리자들에게 하나의 관리 콘솔에서 관리할 수 있도록 해주며 완벽한 운영 및 보안 툴을 제공해준다. 8,000명이 넘는 의사와 간호사, 병원 직원 등 7개 병동의 모바일 카트에서 무선 노트북을 사용하는 사람들에게 대폭 향상된 무선랜 도입, 관리, 보안 기능을 제공하고 있다.
Cisco SWAN은 인증되지 않은 액세스 포인트를 탐지하기 위해 RF 환경을 스캐닝 및 모니터링함으로써 네트워크의 보안을 향상시켰다. 개선된 보안 정책 모니터링, 경보 및 진단 툴, 액세스 포인트 자동 구성, 중앙에서의 보안 설정은 무선랜 도입을 최적화해준다.
Cisco SWAN의 RF 간섭 탐지 및 사이트 조사 지원 기능은 무선랜 네트워크 가동 시간을 최대화해주기 때문에 시간과 비용 효과가 매우 높다.
CiscoSWAN에는 Cisco Aironet 액세스 포인트와 CiscoWorks WLSE, Cisco Secure ACS(Access Control Server)와 같은 IEEE 802.1X 인증 서버, Wi-Fi 인증 무선랜 클라이언트 어댑터 등 4개의 핵심 요소를 포함하고 있다.
Cisco Aironet 및 시스코 호환 클라이언트 기기를 통해 기능 확장이 가능하며 향후에는 통합된 유무선 LAN 기능을 위해 무선 인식 시스코 유선 인프라 장비를 통해서도 확장할 수 있게 된다.
보다 상세한 정보를 원할 경우, cisco.com/go/swan을 방문하기 바란다.

맨위로

모바일 IP의 지속적인 향상
시스코의 IP 라우팅 및 기술 사업부 기술 담당자인 켄트 리웅(Kent Leung)은 "IP는 유선 네트워크를 위해 개발되었으며, 시스코는 모바일 IP를 시스코의 확장 가능하며 기능이 풍부하고 관리 가능한 유선 네트워킹 제품과 기술을 모바일이나 무선 환경으로 적용시키는 혁신적인 수단으로 간주하고 있다"면서, "모바일 IP를 위한 이러한 새로운 보안과 로그인 기능은 모바일 컴퓨팅을 보다 쉬우며 안전하고 기능적이게 만드는 새로운 향상 기능의 시작"이라고 설명했다.
독점적인 전화 시스템이 수년 동안에 걸쳐 개발된 것처럼, 다양한 무선 네트워크가 존재하며 모바일 IP 통합을 원활하게 하는 데에는 많은 문제점이 제기된다. 리웅은 "레거시 무선 네트워크는 유선 네트워크에 비해 동일한 기업에서도 서로 다르게 개발되었다"면서, "유선 네트워크는 구분이 논리적이며 관리적인 차원에서 진행된 반면, 대부분의 무선 네트워크는 하나의 큰 별도 개체이며 이동성은 물리 계층이나 애플리케이션 계층에서 관리된다. 모바일 IP는 네트워크 계층에서 이동성을 관리한다. 문제는 서로 다른 형태의 무선과 유선 네트워크, 무선 기기를 상호 운용하기 위해 Cisco IOS 소프트웨어 릴리즈에서 모바일 IP를 향상시키는 것"이라고 말했다.

효율화된 구축: Cisco IOS 소프트웨어의 Dynamic Security Associations and Key Distribution 기능은 로그인과 구성, 프로비저닝을 효율적으로 해줌으로써 모바일 IP 도입을 간소화해준다. 이러한 기능을 통해, SA(security associations)는 수동으로 구성될 필요가 없어진다. 모바일 IP 클라이언트는 사용자의 윈도 로그인과 비밀번호에서 SA를 추출할 수 있다.
홈 에이전트는 Windows Domain Controller나 Windows Active Directory에서 사용자를 인증한다. 일단 사용자가 인증되면, 홈 에이전트는 모바일 IP 등록 인증을 실행하기 위해 사용자의 SA를 유연하게 생성하게 된다.
 

시스코의 모바일 IP 개발 목적은 네트워크의 무선 부분을 유선 네트워크와 동일하게 간주하며 동일한 역할을 하도록 하는 것으로, 사용자들이 다양한 네트워크 부문으로 이동할 수 있게 해주는 동시에 동일한 IP 어드레스를 사용하고 접속을 유지할 수 있도록 해주는 것이다. 다양한 기업 사용자와 군대, 연구원, 소비자 등을 지원하는 데이터 로밍 서비스를 위한 모바일 IP 사용 증가는 최종적으로 '언제, 어디에서나' 접속을 제공한다는 목표에 접근하고 있다.
모바일 IP를 위한 클라이언트 소프트웨어는 모바일 IP의 설비와 매력을 증대시켜, 사용자와 애플리케이션이 서로 다른 형태의 네트워크 인프라에 대해서도 사용자 개입이나 시간 소비 없이 원활하게 접속할 수 있게 해줄 것으로 기대된다. 시스코는 이러한 개발의 선두주자로, 사용자가 가상사설망(VPN)을 켜고 끄도록 해주는 개방형의 표준 기반 접근 방법을 지원하며 NAT(Network Address Translation), 부호 분할 다중 접속(CDMA)이나 GPRS(General Packet Radio Service), IEEE 802.11b와 같은 무선 표준을 비롯해 윈도 2000, 윈도 XP, 윈도 포켓 PC도 지원하고 있다.

Cisco Mobile IP Dynamic Security and Key Distribution에 대한 백서는 아래의 사이트에서 제공된다: cisco.com/packet/161_7a1

맨위로

Cisco에 문의하세요



Packet 지난 호 보기