RADIUS “클라이언트 관리 집중화의 일등공신”

홈 > 뉴스 > 기획특집 > 엔터프라이즈 컴퓨팅

RADIUS “클라이언트 관리 집중화의 일등공신”

2000년 09월 01일 00:00:00

Network Computing

기업들이 전통적인 원격 전화접속 플랫폼을 VPN(Virtual Private Network)으로 대체, 혹은 보강하는 데 따른 비용절감 효과를 인식하면서, 중요한 의문 한가지가 생겨났다. 즉, ‘클라이언트 데이터베이스의 이행 및 유지보수를 관리하는 최선의 방법은 무엇인가’ 하는 문제다. 그리고 그 대답은 아마도 래디우스(RADIUS: Remote Authentication Dial-In User Service)가 될 것이다.

전화접속 플랫폼에는 기존의 기업 랜 인프라에 연결된 모뎀 뱅크가 포함돼 있다. 사용자 인증에는 아마도 클라이언트의 로그온 요청이 기업 랜으로 넘어가기 전에 별도의 수하/응답(challenge/ response) 보안을 제공하는 시큐어ID나 악센트 테크놀로지즈의 디펜더 토큰즈(Defender Tokens)와 같은 강력한 방안들이 포함될 것이다. 마이크로소프트 윈도 NT, 노벨 네트웨어, 혹은 유닉스 보안 데이터베이스는 그러한 요청을 확인한다. 네트워크로 접속을 시도하는 클라이언트의 인증을 확인하는 데는 몇 가지 방법이 있다. 한 가지는 VPN 스위치에 있는 내장 클라이언트 데이터베이스를 사용하는 것이다. 이 방안은 보통 이행에 가장 노력이 적게 들어간다. 하지만, VPN이 늘어나는 부하를 처리하고 백업 기능을 지원하기 위해 복수 스위치로 성장하게 되면, 데이터베이스를 다른 VPN 스위치에 데이터베이스를 복사하거나, 혹은 다른 클라이언트 확인 방안을 채택해야 할 필요가 있을 것이다.

■ 래디우스 이용하기

래디우스는 단일이나 복수 VPN 스위치 모두를 위한 클라이언트 관리를 집중화해주는 방법이다. 리빙스턴 엔터프라이지즈(현재 루슨트 테크놀로지즈 소유)의 스티브 윌리언스가 만든 래디우스는 네트워크 접속 서버(VPN 스위치)와 중앙 인증 및 권한부여 서버(래디우스 서버나 RFC 2138)간의 인증 및 권한부여 정보를 통합해준다.

거의 대부분의 VPN 스위치들은 우선 스위치의 내장 데이터베이스에 액세스한 다음 일치하는 것이 발견되지 않으면 외장 래디우스 서버로 액세스함으로써 클라이언트를 인증하는 기능을 제공하고 있다. 클라이언트 인증용으로 집중화된 래디우스 데이터베이스를 사용하면 많은 이점을 누릴 수 있지만, 무엇보다도 우선 이것은 수동으로 복수 VPN 스위치 데이터베이스를 동기적으로 유지시킬 필요를 없게 해준다(사용자가 암호를 변경하기 시작한 후에는 거의 불가능한 일이다). 래디우스를 이행함으로써 정보 보안 및 네트워크 관리자들은 그들의 업무적 의무를 대폭적으로 간소화할 수 있고, 매일 새로운 클라이언트나 스위치 변화가 생길 때마다 복수 스위치를 업데이트해야 할 필요가 없어지기 때문에 감사한 마음을 갖게 될 것이다. 기존의 RAS(Remote Access Service) 환경에서 래디우스를 사용하고 있다면, 인프라에 어떠한 변경도 가할 필요 없이 기존 환경용의 VPN 지원에 필요한 래디우스 속성만 간단히 추가할 수 있다.

VPN에서의 래디우스 서버 이행으로 깊이 들어가기 전에, 우선 VPN에서 사용되는 다양한 프로토콜들을 잠깐 살펴볼 필요가 있는데, 그것은 프로토콜의 선택이 VPN 이행에 직접적인 영향을 미치기 때문이다. 고려해야 할 프로토콜로는 PPTP(Point-to-Point Tunneling Protocol), L2TP(Layer 2 Tunneling Protocol) 및 IPSec(IP Security) 등 세 가지가 있으며, IPsec은 엄밀히 말하자면 프로토콜들의 집합이다. ‘버추얼 프라이비트 네트워킹’(Virtual Private Networking, A View From The Trenches, 브루스 펄무터·조나단 자코버 공저, 1999. 프렌티스 홀)이란 책자에서 VPN 프로토콜에 대해 보다 상세한 분석을 제공하고 있다.