풍부한 인증 프로토콜 지원


ISA 방화벽은 AD 인증(RADIUS 인증을 사용하는 경우 제외)만을 지원하지만, IAG는 AD 이외에 다양한 인증 프로토콜과 인증 프로바이더를 지원합니다. LDAP은 정확히 말하면 AD를 위해만 제공되는 것이 아니라 지원하는 모든 인증 프로바이더 중 하나입니다. 아래 그림에서는 지원하는 인증 프로바이더의 목록을 보여 주고 있습니다.


앞서 IAG 2007 장비에는 ISA 방화벽이 설치되어 제공된다는 점을 설명한 적이 있습니다. ISA 방화벽은 IAG 2007의 핵심 구성요소와 윈도우 운영체제를 보호하기 위해 사용됩니다. 즉, ISA 방화벽이 설치되면 더 이상 어떤 공격자들도 윈도우 운영체제의 부분을 털 끝 하나라도 건드리지 못하게 됩니다.


ISA 방화벽과 IAG 2007은 효율적으로 동작하기 위해 통합되어 있으며 구성도 통합된 구조입니다. IAG 2007에서 포탈을 생성하고 애플리케이션 프로바이더를 구성할 때 ISA 방화벽에서는 해당하는 장비와 서비스를 사용할 수 있게끔 정책을 자동으로 구성하여 줍니다. 즉, IAG 2007을 본연의 목적으로 사용하지 않는 한(ex.원격 액세스 VPN 서버로 구성, PPTP, L2TP/IPSec VPN 솔루션 게이트웨이로 사용) ISA 방화벽에 대해 별도의 정책을 작성할 필요가 거의 없다는 의미입니다.


지원하는 인증 프로토콜과 프로바이더는 다음과 같습니다.

  • ACE
  • NT Domain
  • Active Directory
  • Netscape LDAP Server
  • Notes Directory
  • Novell Directory
  • RADIUS
  • TACACS+
  • WINHTTP
  • Other

Other를 선택한 경우에는 IAG 2007 콘솔에서 인증 프로토콜과 프로바이더에 대해 직접 구성할 수 있습니다. 이 또한 IAG 2007의 유연함을 보여주는 것으로 현재 또는 앞으로 발표되는 인증 프로토콜 및 프로바이더를 실제적으로 지원할 수 있게 해 줍니다.




포지티브 및 네거티브 로직의 웹 애플리케이션 검사(inspection)


IAG 2007 SSL VPN 게이트웨이가 다른 SSL VPN 솔루션에 비교할 때 강점으로 내세울 수 있는 기능이 2 가지가 있으며 이 중 하나가 바로 포지티브 및 네거티브 로직 기반의 필터링 기능입니다. 현재 이 기능을 지원하는 SSL VPN 솔루션은 없는 것으로 알려져 있습니다.


대부분의 SSL VPN에서는 지극히 제한된 애플리케이션 수준의 검사 기능을 지원합니다. 즉, ISA 방화벽의 HTTP 보안 필터와 같이 네거티브 로직을 사용하여 여러분이 직접 작성한 서명에 대해서만 검사를 수행할 수 있습니다. 네거티브 로직 필터의 문제점은 바로 알려져 있는 익스플로잇으로부터 보호할 수 있다는 점입니다.


IAG 2007에서는 네거티브 로직뿐만 아니라 포지티브 로직도 지원합니다. 포지티브 로직이란 게시한 서비스에 대해 "안전하다고 알려져 있는" 통신에게만 허용한다는 의미입니다. 시스템이 해당 애플리케이션에 대한 심도있는 이해가 있는 경우에만 포지티브 로직 필터링 기능을 사용할 수 있다는 점을 주의해야 합니다.


예를 들면, IAG 2007을 통해 OWA나 SharePoint를 게시할 때에 자동으로 포지티브 로직 필터가 적용됩니다. 이러한 필터는 수백 수천 번의 실험과 테스트를 거쳐 완성된 것입니다.


만약 네거티브 로직 필터에 일치하는 연결이 있는 경우 곧바로 차단합니다. 또한 포지티브 로직 필터에 일치하지 않는 경우에도 연결이 차단됩니다. 네거티브 필터와 포지티브 필터를 적절히 조합하여 사용함으로써 알려져 있는 익스플로잇 뿐만 아니라 제로데이 공격으로부터 보호할 수 있습니다.

아래 그림은 복잡한 정규 표현식 기반으로 필터를 어떻게 구성하는지 보여 줍니다. Whale 포탈, Whale 내부 사이트, Whale 이벤트 모니터와 같은 IAG 2007 기본 구성 요소를 볼 수 있습니다.

아래 그림은 게시한 OWA 사이트에 적용된 복잡한 포지티브 및 네거티브 로직 필터를 보여주고있습니다. ISA 방화벽의 HTTP 보안 필터는 특정한 문자열(서명)을 기준으로 차단할 수 있는데 반해, IAG 2007은 특정한 문자열을 손쉽게 표현할 수 있는 정규표현식으로 허용 또는 거부하는 서명을 사용할 수 있습니다. OWA와 기타 서비스들은 IAG 장비에 이미 제공되고 있으며 포지티브 및 네거티브 로직 필터도 미리 구성되어 있습니다. 따라서, 여러분은 어떤 애플리케이션을 "사용"해야 하는지 알기만 하면 됩니다.


reTweet
Posted by 문스랩닷컴
blog comments powered by Disqus

    댓글을 달아 주세요



    Web Analytics Blogs Directory