네트워크 보안 관련 질문입니다.

그냥 vpn encryption 정도면 되는거 아닌가요?

중간 단은 vpn으로 보안처리 하고요.

각 encryption/decryption device 부터 장비까지 연결이 closed circuit임을 증명하는게 쉬울듯여. 

조언 감사합니다.

VPN보안 처리라 함은 해당 장비 PC에 VPN software를 설치하는 것을 말하나요? 아니면 새로운 하드웨어 설치를 말하는 건가요?

하드웨어지요. 고객 요구사항 보니, 본인들 장비에 서드파티 VPN 소프트웨어 깔게 끔 해줄거 같지도 않고요 ^^;;

이런 경우엔 physical access를 restrict 할 수 있는 부분과, 없는 부분을 구분해서, 없는 부분은 VPN의 암호화로 검증하고, 있는 부분은 physical access를 통제함으로 검증 받아야할듯요. 가능한 한 VPN 장비를 고객 장비 가까이에 두고, crossover로 직접 연결해서, 다른 연결이 끼어들 여지를 안주면.. 굳이 analysis 방법이 아닌 inspection 정도로도 검증 할 수 있을거 같아요.

윗 분 말씀대로 엔드포인트마다 VPN 장비 놓고 연결하면 되지 않을까요?

이게 소프트웨어를 설치한다는 이야기 인 거죠? 하드웨어 설치가 아니라..

-_-;; 너무 몰라서 죄송하네요.. 

소프트웨어도 가능하고 하드웨어도 가능합니다만, 회사에서 사용하시는거면 하드웨어 설치로 추천드립니다.

single line을 통해서 데이터를 전송하신다고 말씀하신게 
정확하게 어떻게 구현하시려고 하시는 지는 모르겠어서 정확한 답변을 드리기는 어렵지만

일단 중간에 아무 Layer2 이상의 네트워크 장비 없이 두 Node가 Layer2 상에서 직접적으로 통신을 한다고 가정했을때
두 Node에서 송신/수신하는 모든 네트워크 패킷들의 MAC address (Layer2 주소) 가 항상 
1) 첫번째 Node의 MAC address 2) 두번째 Node의 MAC adddress 3) Broadcast address 
이 셋중 하나라면 중간에 아무 장비 없이 직접 통신한다는 증명을 할 수 있을 것 같습니다.
이 경우 각각 양쪽의 Node에서 tcpdump 라던지 wireshark 라던지 하는 네트워크 패킷 모니터링 툴을 이용해서 패킷들을 dump할 수 있는데
이 패킷들의이 가졌던 Layer2 주소들을 dump결과를 분석해서 보여주시면
두 node가 직접 연결되었다는 걸 증명하는 셈이 되지 않나 싶네요.

다만, point to point로 연결한다고 해도 
제 3자가 중간에 연결선을 따와서 도청을 하면 손쉽게 Data를 빼돌릴 수 있기 때문에 
암호화가 안되어 있다면 그다지 안전한 것도 아니고 
single line을 까는것도 비용적으로도 그다지 효율적이진 않은것 같기에
physi님이 말씀하신 것처럼 VPN등의 터널링을 이용해서 보안처리를 하는게 더 일반적이고 효과적인 방법인것 같습니다..

네트워크 패킷 모니터링... 제가 찾던 기능이네요... 그런데 설명을 듣고 보니 이것도 완벽하지 않네요.

그렇다면 네트워크 모니터링을 일정 기간 마다 해주고 로그 파일을 형성해서 보여주고 

동시에 VPN을 설치하면 되겠네요. 내일 당장 IT team과 이야기 해야 겠네요.

답변 정말 감사합니다.

마모는 대단합니다. 

빌딩간에 케이블이 있나요? 어느 정도 거리가 있다면 일반적으로 사용하는 cat5/6는 안될거고 dark fiber이나 마이크로 웨이브 (line of sight 가정하에)는 있어야 p2p될거 같구요. 그렇다면 양쪽에 라우터를 설치하면 될거 같은데 dedicated line자체가 없으면 site to site VPN이 답일듯합니다. 이건 솔루션이 무궁무진 하니 골라잡으시면 될거 같구요. 

좀 더 secure하게 하고 싶으시면 L2 VPN을 carrier한테 사시면 됩니다. ATT 예로 들면 ASE라는 상품이 있어요. 이 경우에도 양쪽에 firewall 설치 하면 트레픽 모니터링 필터링 가능합니다.

솔루션은 다양하니 입맛에 맞추어 고르실수 있으실거 같습니다.