VPN 디바이스는 원격 사용자들이 위험에 노출된 상태에서 자신의 중요한 데이터를 입력하지 않고도 로그인할 수 있도록 지원한다.

인터넷 사용자들을 위한 안전한 접속을 보장하는 가상 사설 네트워크(VPN)는 값비싼 프레임 릴레이나 시큐어 왠 접속의 번잡함을 대치할 수 있다. 사용자들이 원격으로 네트워크에 접속하더라도 VPN 게이트웨이는 사용자 데이터에 대한 인증, 기밀성, 보존성 등의 3가지 필수 요소를 제공하기 때문이다.
인증은 인증서와 패스워드, 스마트카드나 할당된 보안키를 이용해 이뤄진다. 기밀성은 암호화를 통해 해결할 수 있는데, VPN은 누군가가 차단한 트래픽이 그것을 해독할 수 없도록 구성돼 있다. 또 보존성은 데이터가 전송되는 동안 수정이 불가능하다는 것을 의미한다. VPN은 데이터를 변경하거나 새로운 데이터가 받아들여지는 것을 막을 수 있다.
하지만 VPN은 보안과 네트워크 인프라스트럭처의 문제를 불러일으키는 요인이 될 수 있다. 패킷은 암호화돼 있지만 암호화되지 않은 데이터는 암호화 터널 내부에서 검사를 할 수 없기 때문이다. 그러므로 VPN 디바이스 뒤에는 바이러스 스캐너나 트래픽 쉐이퍼, 또는 다른 어플라이언스 등을 설치해야만 한다. 그러나 모든 VPN 트래픽은 손상되지 않은 상태로 전송되기 때문에 이는 문제가 되지 않는다.

동작 원리
VPN은 OSI 모델의 레이어 3에서 동작한다. SSH, 프록시, 시큐어 IMAP, HTTPS 등과 달리 모든 애플리케이션들은 특정한 프로토콜의 지원 요구나 변경없이 VPN의 이점을 취할 수 있다. VPN 디바이스를 선택할 때는 지원되는 프로토콜, 플랫폼, 속도, 가격 등 4가지 요소를 반드시 고려해야만 한다.
필요로 하는 프로토콜 지원 여부를 확인하기에 앞서 우선 랜 투 랜 또는 원격 접속을 채택할 것인지를 결정해야 한다. 랜 투 랜 VPN은 왠 링크 또는 인터넷 접속에 걸쳐 두 개의 네트워크를 연결할 수 있도록 한다. 데이터는 엔드 포인트에서 엔드 포인트까지가 아닌 피어에서 하나의 VPN 디바이스로 암호화된다.
이러한 구성은 VPN의 양 끝단까지 신뢰할 수 있는 네트워크로 판단될 때 비로소 동작된다. 랜 투 랜 VPN은 고성능을 비롯 단순한 환경설정 및 유지보수라는 장점을 제공한다. 대부분의 랜 투 랜 VPN은 3DES 또는 AES 암호화와 키 교환을 위한 세션 셋업 등에 의존하는 IPSec 프로토콜을 사용하는데, 이러한 컨피규레이션은 VPN 게이트웨이 상에서 정적인 IP를 요구한다. 몇몇 벤더는 랜 투 랜 환경 하에서 동적인 IP를 다룰 수 있는 전용 프로토콜을 생성시키기도 하지만 그 어떤 것도 아직은 표준이 아니다.
원격 접속 VPN은 도전이다. 불행히도 표준 IPSec을 이용할 경우에는 원격 사용자들에게 발생할 수 있는 다이내믹 IP와 IP 변경과 같은 환경에서는 작동이 불가능하다. 언젠가 IPSec의 한 부분인 IKE2(Internet Key Exchange)는 표준이 될 것이다. 아쉽지만 그때까지는 전통적인 IPSec 클라이언트 프로그램을 설치해야만 사용할 수 있다. 하지만 전통적인 클라이언트 제품군은 상호간 쉽게 호환되지는 않고, 대부분의 원격 접속 VPN 또한 랜 투 랜으로 동작한다.
최근 새롭게 등장한 SSL VPN은 원격 접속을 위한 전통적인 프로그램을 대체할 수 있는 대안으로 주목을 받고 있다. SSL VPN은 커뮤니케이션 수단으로 HTTPS와 표준 웹 브라우저(일반적으로 윈도용 인터넷 익스플로러)를 사용한다. 왜냐하면 이 제품들은 클라이언트 프로그램이 필요없기 때문으로 VPN을 이용해 어디서든 접속이 가능하다.
물론 SSL VPN은 부정적인 면도 있다. SSL VPN은 특별한 브라우저나 플러그 인, 액티브엑스(ActiveX) 또는 자바를 필요로 하고, 호스트 네임은 IP 어드레스가 아닌 DNS 네임으로 접속해야 한다는 것이다. 이외에도 SSL은 IPSec보다는 다소 적은 트레이닝을 필요로 하지만 웹 애플리케이션이 아닌 것에 접속하기 위해서는 로컬 프록시 리스너(local proxy listener)를 사용해야 한다는 번거로움이 있다.

하나로 모든 것 즐기기
올 인 원 보안 어플라이언스, 즉 방화벽, 안티바이러스 필터링, IDS 등 수많은 첨단 보안 기능을 가진 VPN 디바이스는 단순한 것은 물론 통합 관리를 비롯 하드웨어 부피가 적기 때문에 비용을 줄일 수 있는 가능성이 높다. VPN, 특히 SSL VPN은 컴퓨팅 사용 전력이 많이 소요된다. 전용 암호화 액셀러레이터 카드를 이용해 이를 해결할 수는 있지만 올 인 원 시스템을 쉽게 혹사시킬 것이다.
불행히도, 전용 박스와 통합 어플라이언스 사이에서 선택을 가늠할 특별한 규정은 아직 없고, 벤치마크 결과가 유용하게 이용될 뿐이다. 그러나 이러한 테스트는 작은 패킷 사이즈와 풀 피처 세트를 포함하고 있다는 것을 명심해야 한다. 일부 벤더에서는 벤치마킹을 하는 동안 VPN 트래픽을 제외한 모든 콘텐츠 검사를 꺼놓거나 겨우 1400바이트의 패킷만을 테스트한 결과를 보여주기도 한다. 일반적으로 필요로 하는 처리량이 많으면 많을수록 전용 박스를 더욱 필요로 한다.

시스템 지원
모든 벤더들은 윈도98 또는 이후 버전을 모두 지원한다. 윈도 2000은 IPSec 클라이언트가 아닌 미리 짜 넣은 L2TP와 PPTS 클라이언트를 필요로 한다. 어떤 벤더들은 매킨토시, 리눅스, 다양한 유닉스 시스템과 핸드헬드 디바이스를 지원한다. 또 써드파티에서는 가격이 비싼 비 윈도 IPSec 클라이언트까지 필요로 할지도 모른다.
궁극적으로는 원격 접속 IPSec 클라이언트의 제한된 선택을 알게 될 것이다. 몇몇 VPN 벤더들은 VPN 클라이언트 하나에 방화벽과 안티바이러스, 침입 탐지 기능을 제공하기 위해 써드파티 개발자들과 파트너십을 맺고, 조금이라도 가격을 낮추려고 노력한다. 안티바이러스와 방화벽 모두를 사용하려고 하는 조직이라면 하나의 패키지에 클라이언트 부분의 보안 솔루션을 번들링한 제품이 다소 저렴할 것이다. 더불어 보다 집중된 운영 능력도 제공할 것이다.

향상된 기능
몇몇 제품은 사용자 그룹 정보 기반위에 정책과 컨피규레이션을 두게 한다. 그 이외의 것들은 클라이언트 정책 시행과 입증을 포함하고 있다. 액티브 디렉토리와 래디우스, LDAP 서버에 인증을 묶은 제품들은 사용자들에게 단순함을 제공한다. 또 VPN 패스워드 세트로 유지하는 대신에 사용자들은 단지 그들의 네트워크 패스워드를 사용할 수 있다.
기능들이 훨씬 향상되면서 QoS와 속도 구성은 필수적이 됐다. 이러한 기능들은 각각의 사용자들에게 사용할 수 있는 대역폭을 최대 또는 최소화하도록 결정한다. 만일 이러한 기능이 없이 브로드벤드 접속 또는 고속의 왠에 연결한다면 다이얼-업 사용자들이 쉽게 대역폭을 치고 들어갈 수 있을 것이다. QoS 컨트롤은 특별한 프로토콜들, 예를 들면 비디오와 VoIP 등 전송시간에 민감한 트래픽들이 최우선적으로 대역폭이나 우선 순위를 지정받을 수 있도록 한다.
특히 페일오버와 로드밸런싱은 네트워크 구성에 중요한 요소다. 원격 접속자들은 랜 접속이 차단되는 것을 원치 않는다. 보안 카드, 통합 VPN 박스, 전원 공급 장치 등 3가지가 랜 접속 문제를 일으키는 주 요인이다. 따라서 VPN 벤더들은 구매용으로 보안 액셀러레이터 카드를 추가적으로 제공, 이러한 각각의 카드는 VPN 박스가 조절할 수 있는 처리량이나 세션의 양을 증가시켜 하나의 카드가 고장나거나 빠지더라도 VPN 박스를 제대로 작동시킨다.
이러한 기능의 제품들은 프리미엄 가격으로 제공된다. 장비에 문제가 발생하고 네트워크 연결과 파일 전송이 불가능할 때에도 서버와 클라이언트가 계속 통신할 수 있다면 그렇지 않은 경우에 비해 더 많은 비용을 지불해야 하기 때문이다.
VPN이 제대로 설치되면, 설치 즉시 기술적인 문제는 해결된다. 일단 시스템이 설치되면 작동되는 것을 확인할 수 있을 것이다. 하지만 이러한 시스템은 어느 정도의 유지관리를 필요로 한다. 이는 단순한 컨피규레이션 패러미터를 제공하는 기존 인증 시스템과 통합되기 때문으로 VPN은 네트워크 보안을 강화하는 적절하고 간편한 방법이라고 할 수 있다.

VPN 게이트웨이 구매 5계명

1. 당신의 시스템 플랫폼을 모두 지원하는가.
2. 원하는 VPN 프로토콜과 암호화 알고리즘을 지원하는가.
3. 왠 접속에 알맞고, 충분한 퍼포먼스를 제공하는가.
4. VPN 게이트웨이와 클라이언트의 보안 피처를 일괄적으로 제공하는가.
5. 또는 허브 앤 스포크(hub-and-spoke) 네트워크의 편리한 셋업을 지원하는가.