앞 강좌에서는 VPN의 역사에서부터 왜 SSL VPN이 새롭게 선보이게 되었는지 간략하게 살펴 보았다. 이 번 강좌에서는 IAG에 대해서 설명을 시작하려고 한다. IAG 2007은 앞에서도 언급한 바와 같이 ISA 2006 스탠다드 에디션 방화벽에 탑재되어 판매되고 있다. 방금 박스를 풀은 상태에서 제공하는 기능에 대해 살펴 보고, 조직에서 안전한 원격 액세스를 제공하기 위해 어떤 조치를 취해야 하는지 알아 본다.

이 강좌에서 주로 살펴 볼 부분은 다음과 같다.

  • 연결 방식
    • 고급 애플리케이션 수준의 검사(inspection) 리버스 프록시
    • 포트 및 소켓 포워더
    • 네트워크 커넥터

다음 강좌에서 살펴 볼 부분은 다음과 같다.

  • 파일 액세스
  • 보안 기능
    • ISA 방화벽
    • 첨부파일 차단
    • 다양한 인증 프로토콜 지원
    • 포지티브/네거티브(positive/negative) 로직의 웹 애플리케이션 검사
    • 호스트 주소 변환
    • 안전한 로그오프 및 비업무 시간 제한
  • 고급 종단 장비 확인 및 정책 기반의 액세스

  1. 연결 방식

    다른 많은 SSL VPN 솔루션은 단일 연결 방식만을 사용하도록 제한하고 있지만, IAG 2007에서 클라이언트는 IAG 2007 VPN 게이트웨이에 다양한 연결 방식을 사용할 수 있다. IAG 2007은 액세스가 필요한 애플리케이션의 유형에 맞는 연결 방식을 제공하기 위해 다양한 옵션을 제공한다.

                        IAG 2007에서는 주로 다음과 같이 3 가지 연결 방식을 제공하고 있다.

  • 고급 애플리케이션 수준의 검사(inspection) 리버스 프록시
  • 포트 및 소켓 포워더
  • 네트워크 커넥터

  1. 고급 애플리케이션 수준의 검사 리버스 프록시

    IAG 2007에서 제공하는 고급 애플리케이션 수준의 검사 리버스 프록시는 ISA 방화벽에서 제공하는 웹 게시 규칙 기능과 아주 유사하다. 하지만, ISA 웹 게시 규칙과 IAG 2007 고급 애플리케이션 수준의 리버스 프록시와는 중요한 몇가지 차이점을 가지고 있다. 차이점은 다음과 같다.

           훌륭한 성능을 제공하는 애플리케이션 수준의 검사 기능

ISA 방화벽에서는 제품 출하시 HTTP 보안 필터가 내장되어 있다. 하지만, HTTP 보안 필터는 특정한 메쏘드를 차단/허용하거나 차단 서명을 생성하도록 구성하지 않는 한 최소한의 보호 기능을 제공한다.

            ISA 방화벽에서 제공하는 HTTP 보안 필터의 중요한 2가지 제한 사항은 다음과 같다.

  • 서명을 거부하도록 설정할 수 있지만, 화이트 리스트 즉, 허용하는 서명은 설정할 수 없다.
  • 서명은 그냥 문자열을 기반으로 작성하게 되며, URL이나 데이터를 좀더 명확히 정의하는 정규 표현식을 사용할 수 없다.

참고로, IAG 2007에서는 정규 표현식(RegEx)를 지원하며 차단/허용 규칙에서 사용할 수 있다. 아마도 리눅스에서 프로그래밍을 해보신 분이라면 정규 표현식에 대해 익히 알고 있을 것이라고 생각된다.

ISA 방화벽에서 제공하는 HTTP 보안 필터는 게시한 웹 서버와 인터넷 사용자간의 적절한 통신이 이루어지는지 확인하기 위해 엄청난 양의 작업량을 필요로 한다. 게시된 웹 서버에서 적절한 통신이 무엇인지 확인한 후에도, 여러분은 인터넷에서 공격하는 다양한 알려진 익스플로잇으로부터 게시된 서버를 보호하기 위해 어떤 통신을 차단할 지 검토해야 한다.

한편, IAGE 2007에서는 여러분이 게시하려는 업무상의 애플리케이션을 위해 충분한 애플리케이션 수준의 지식을 보유하고 있다. IAG 2007에서는 이를 위한 전문적인 팀이 운영되고 있으며, 업무에서 사용되는 애플리케이션에 필요한 적절한 통신이 무엇인지 그리고 어떤 통신을 차단해야 하는지 종합적인 정보를 제공하고 있다. 즉, 팀이 여러분이 해야 할 일을 대신해 주고 있으므로 업무에 대한 부담이 줄 수 있다.

IAG 2007에서는 포지티브 로직(게시된 웹 서버로 적절한 통신만을 허용함)뿐만 아니라 네거티브 로직 필터도 제공한다. 네거티브 로직 필터는 인터넷에서 이미 알려져 통용되고 있는 익스플로잇으로 파생되는 통신을 차단한다. 즉, 네거티브 로직 필터는 주로 알려져 있으며 해를 미칠 수 있는 통신을 차단한다. 그리고 포지티브 로직 필터는 제로데이 공격과 같은 통신을 차단한다.

IAG 2007에서는 마이크로소프트가 제공하는 다양한 애플리케이션(예를 들면, Exchange 웹 서비스(OWA, OMA, 액티브 싱크, RPC/HTTP), SharePoint 서비스, 마이크로소프트 CRM)뿐만 아니라 유명한 다른 애플리케이션(예를 들면, SAP 엔터프라이즈 포탈, Webtop Documentum, 도미노 웹액세스, SecureView 등등)을 게시할 수 있도록 제공한다. IAG 2007은 다양한 OS가 혼재되어 있는 이기종(heterogeneous) 환경에서도 충분한 원격 액세스 연결을 안전하게 지원하도록 설계되었다.

아래 그림은 SharePoint 서버를 게시하는데 사용하는 애플리케이션 지식 및 필터링의 예이다.

  1. 포탈을 자동으로 만드는 기능

    마이크로소프트가 개발하는 제품들에는 마법사라는 편리한 기능이 포함되어 있다. ISA 방화벽이외에 다른 회사의 SSL VPN 제품에는 여러분이 게시한 애플리케이션을 사용자가 연결할 수 있게 해주는 포탈 사이트를 자동으로 만들어 주지 않는다. ISA 방화벽의 웹 게시 규칙을 통해 사용자는 게시된 웹서버에 연결할 URL을 기억해야 할 필요가 있다. 하지만, 많은 수의 애플리케이션을 게시하는 경우라면 사용자는 각기 URL을 모두 기억해야 하는 큰 불편함을 겪을 수 밖에 없다. 사용자는 프로그래머이거나 웹코딩에 익숙하지 않다는 점을 기억해야 할 것이다.

아래 그림은 IAG 2007이 자동으로 만들어 주는 포탈의 예를 보여 주고 있다. 포탈을 생성하고, 포탈에 애플리케이션을 할당하여 게시하면, 포탈 페이지에 이 정보를 볼 수 있다. 여기에서는 IAG 2007의 리버스 프록시 기능을 예로 들어 설명하기 때문에 포탈에는 웹 애플리케이션만 볼 수 있지만, 실제로는 다양한 게시 서버를 이용할 수 있다. 물론, 이 포탈은 사용자가 로그온한 이후에 나타난다.

  1. 인증과 권한 부여를 통한 포탈 커스터마이징

    포탈을 생성하고 난 이후에는 포탈에 로그인하는 사용자 계정에 따라 포탈에 연결할 수 화면을 다르게 보여 주도록 커스터마이징할 수 있다. 사용자 계정과 보고된 보안 상태(IAG 2007의 종단 감시 기능의 결과)를 통해 사용자가 볼 수 있는 포탈을 결정할 수 있다. 여러 개의 포탈을 만들지 않고 하나의 포탈을 통해 사용자 계정 또는 로그온하는 컴퓨터에 따라 접속 환경이 바뀐다.

  1. 다양한 인증 프로토콜 지원

ISA 방화벽에서는 마이크로소프트 AD 인증 방식 이외의 다양한 인증 방식을 지원한다. IAG 2007은 ISA 방화벽이 지원하는 인증 프로토콜을 동일하게 지원한다. 예를 들면, IAG 2007은 액티브 디렉터리, LDAP, 노츠, 넷스케이프, 노벨을 지원하며, 심지어 TACAC+도 지원한다. 또한 관리자가 필요로 하는 애플리케이션 프로토콜과 프로바이더를 지원하도록 커스터마징할 수 있다.

reTweet
Posted by 문스랩닷컴
blog comments powered by Disqus
    TAG , ,

    댓글을 달아 주세요



    Web Analytics Blogs Directory