클라이언트/서버 커넥터는 다양한 업무용 애플리케이션(ex. 익스체인지, 로터스 노츠, 시트릭스, 터미널 서비스,  FTP, Telnet 통신)을 즉시 사용할 수 있도록 박스 장비에서 기본적으로 제공한다.

지원하는 터널링 모드는 다음과 같다.

  • 포트 포워딩: 클라이언트는 ISA 방화벽 내의 실제 애플리케이션 서버의 IP 주소를 사용하지 않고 ISA 방화벽의 특정한 주소/포트로 접속한다. SSL VPN 클라이언트는 게이트웨이로 전송하는 트래픽을 SSL로 캡슐화하여 전송한다. 포트 포워딩은 일정한 TCP 포트를 사용하는 애플리케이션에 대해 가장 효과적인 사용방법이며 HTTP나 SOCKS 프록시를 지원하는 경우에도 사용할 수 있다.
  • 소켓 포워딩: MS WSP(Winsock Service Provider) 인터페이스를 후킹하는 방식으로 하위 수준의 소켓을 처리하기 위해 LSP/NSP(Windows Layered Service Provider/Name Space Provider) 인터페이스를 사용한다. NSP는 터널링되는 내부 서버 이름을 풀이하는데 사용한다. 이 방식은 TCP, UDP 그리고 어떤 포트라도 사용가능한 모든 Winsock 애플리케이션을 지원한다.

두 터널링 모드의 장단점을 파악하여 사용하는 것이 중요합니다.

출처: MS IAG 사이트
reTweet
Posted by 문스랩닷컴
blog comments powered by Disqus

    댓글을 달아 주세요

    미국 네바다 주, 라스 베가스에서 열리고 있는 Interop 2007 Trade Show에서 마이크로소프트는 IAG(Intelligent Application Gateway) 2007 SP1의 공개 베타가 임박했다고 발표했습니다.

    IAG 2007 SP1의 가장 큰 특징은 바로 윈도우 비스타 운영체제의 지원입니다. 좀더 자세히 알아 보면,

    IAG 2007 SP1에는 윈도우 비스타 운영체제 지원, Exchange Server를 사용하는 윈도우 모바일 5.0 장비로 이메일 PUSH 지원, ADFS(Active Directory Federation Services) 향상 그리고 IAG 2007의 성능 향상 등을 포함하고 있습니다.

    또한, 마이크로소프트가 최근 발표한 통합 보안 솔루션인 FCS(Forefront Client Security)를 완벽하게 지원하며 윈도우 XP와 윈도우 비스타 클라이언트 모두 사용가능합니다.

    또한, Pyramid Computer Gmbh, nAppliance Networks, SufControl, Mendax Microsystems, Baosight 등의 새로운 OEM 파트너가 추가되었습니다. 물론 기존의 파트너인 Celestix와 Network Engines는 그대로 협력하고 있습니다.
    사용자 삽입 이미지

    reTweet
    Posted by 문스랩닷컴
    blog comments powered by Disqus

      댓글을 달아 주세요

      풍부한 인증 프로토콜 지원


      ISA 방화벽은 AD 인증(RADIUS 인증을 사용하는 경우 제외)만을 지원하지만, IAG는 AD 이외에 다양한 인증 프로토콜과 인증 프로바이더를 지원합니다. LDAP은 정확히 말하면 AD를 위해만 제공되는 것이 아니라 지원하는 모든 인증 프로바이더 중 하나입니다. 아래 그림에서는 지원하는 인증 프로바이더의 목록을 보여 주고 있습니다.


      앞서 IAG 2007 장비에는 ISA 방화벽이 설치되어 제공된다는 점을 설명한 적이 있습니다. ISA 방화벽은 IAG 2007의 핵심 구성요소와 윈도우 운영체제를 보호하기 위해 사용됩니다. 즉, ISA 방화벽이 설치되면 더 이상 어떤 공격자들도 윈도우 운영체제의 부분을 털 끝 하나라도 건드리지 못하게 됩니다.


      ISA 방화벽과 IAG 2007은 효율적으로 동작하기 위해 통합되어 있으며 구성도 통합된 구조입니다. IAG 2007에서 포탈을 생성하고 애플리케이션 프로바이더를 구성할 때 ISA 방화벽에서는 해당하는 장비와 서비스를 사용할 수 있게끔 정책을 자동으로 구성하여 줍니다. 즉, IAG 2007을 본연의 목적으로 사용하지 않는 한(ex.원격 액세스 VPN 서버로 구성, PPTP, L2TP/IPSec VPN 솔루션 게이트웨이로 사용) ISA 방화벽에 대해 별도의 정책을 작성할 필요가 거의 없다는 의미입니다.


      지원하는 인증 프로토콜과 프로바이더는 다음과 같습니다.

      • ACE
      • NT Domain
      • Active Directory
      • Netscape LDAP Server
      • Notes Directory
      • Novell Directory
      • RADIUS
      • TACACS+
      • WINHTTP
      • Other

      Other를 선택한 경우에는 IAG 2007 콘솔에서 인증 프로토콜과 프로바이더에 대해 직접 구성할 수 있습니다. 이 또한 IAG 2007의 유연함을 보여주는 것으로 현재 또는 앞으로 발표되는 인증 프로토콜 및 프로바이더를 실제적으로 지원할 수 있게 해 줍니다.




      포지티브 및 네거티브 로직의 웹 애플리케이션 검사(inspection)


      IAG 2007 SSL VPN 게이트웨이가 다른 SSL VPN 솔루션에 비교할 때 강점으로 내세울 수 있는 기능이 2 가지가 있으며 이 중 하나가 바로 포지티브 및 네거티브 로직 기반의 필터링 기능입니다. 현재 이 기능을 지원하는 SSL VPN 솔루션은 없는 것으로 알려져 있습니다.


      대부분의 SSL VPN에서는 지극히 제한된 애플리케이션 수준의 검사 기능을 지원합니다. 즉, ISA 방화벽의 HTTP 보안 필터와 같이 네거티브 로직을 사용하여 여러분이 직접 작성한 서명에 대해서만 검사를 수행할 수 있습니다. 네거티브 로직 필터의 문제점은 바로 알려져 있는 익스플로잇으로부터 보호할 수 있다는 점입니다.


      IAG 2007에서는 네거티브 로직뿐만 아니라 포지티브 로직도 지원합니다. 포지티브 로직이란 게시한 서비스에 대해 "안전하다고 알려져 있는" 통신에게만 허용한다는 의미입니다. 시스템이 해당 애플리케이션에 대한 심도있는 이해가 있는 경우에만 포지티브 로직 필터링 기능을 사용할 수 있다는 점을 주의해야 합니다.


      예를 들면, IAG 2007을 통해 OWA나 SharePoint를 게시할 때에 자동으로 포지티브 로직 필터가 적용됩니다. 이러한 필터는 수백 수천 번의 실험과 테스트를 거쳐 완성된 것입니다.


      만약 네거티브 로직 필터에 일치하는 연결이 있는 경우 곧바로 차단합니다. 또한 포지티브 로직 필터에 일치하지 않는 경우에도 연결이 차단됩니다. 네거티브 필터와 포지티브 필터를 적절히 조합하여 사용함으로써 알려져 있는 익스플로잇 뿐만 아니라 제로데이 공격으로부터 보호할 수 있습니다.

      아래 그림은 복잡한 정규 표현식 기반으로 필터를 어떻게 구성하는지 보여 줍니다. Whale 포탈, Whale 내부 사이트, Whale 이벤트 모니터와 같은 IAG 2007 기본 구성 요소를 볼 수 있습니다.

      아래 그림은 게시한 OWA 사이트에 적용된 복잡한 포지티브 및 네거티브 로직 필터를 보여주고있습니다. ISA 방화벽의 HTTP 보안 필터는 특정한 문자열(서명)을 기준으로 차단할 수 있는데 반해, IAG 2007은 특정한 문자열을 손쉽게 표현할 수 있는 정규표현식으로 허용 또는 거부하는 서명을 사용할 수 있습니다. OWA와 기타 서비스들은 IAG 장비에 이미 제공되고 있으며 포지티브 및 네거티브 로직 필터도 미리 구성되어 있습니다. 따라서, 여러분은 어떤 애플리케이션을 "사용"해야 하는지 알기만 하면 됩니다.


      reTweet
      Posted by 문스랩닷컴
      blog comments powered by Disqus

        댓글을 달아 주세요

         

        보안 기능

         

        지금까지 IAG 2007에서 제공하는 원격 액세스 기능에 대해 집중적으로 살펴 보았습니다. 원격 액세스는 지금까지 강좌에 걸쳐 강조했던 만큼이나 매우 중요한 부분이지만, 전체를 다 아우르지는 않았습니다. 이제 원격 액세스 기능이 이어 설명할 기능이 바로 보안 기능입니다. 원격 액세스를 안전하게 지원하기 위해서는 앞서도 언급했다시피 SSL VPN 연결을 통해 공격자들이 회사 내의 정보를 훔치거나, 변경, 파괴하는 것을 막아야 합니다.

         

        IAG 2007에서 보안 원격 액세스 기술은 다른 SSL VPN 솔루션과 비교하여 상대적인 우위를 가지고 있습니다. 이제 IAG 2007에서 제공하는 보안 특징을 하나씩 살펴 보도록 하겠습니다.

         

        • ISA 방화벽
        • 첨부 제거
        • 풍부한 인증 프로토콜 지원
        • 포지티브 및 네거티브 로직의 웹 애플리케이션 검사
        • 호스트 주소 변환
        • 안전한 로그오프 및 비사용시 초과시간 설정

         

        ISA 방화벽

         

        IAG 2007 장비에는 ISA 방화벽 프로그램이 함께 제공됩니다. IAG 2007이 종단에 위치하는 장비로 사용하도록 구현되었기 때문에 방화벽 기능이 필요하고 필연적으로 ISA 방화벽을 제공하는 것입니다. IAG 2007을 종단 장비로 그럴듯하게 사용하기 위해서는 방화벽이 자체를 보호할 뿐 아니라 IAG 2007 장비 뒤에 위치한 컴퓨터들도 보호할 수 있어야 합니다. ISA 방화벽보다 나은 솔루션에는 어떤 것이 있을까? 대부분의 관리자들은 "하드웨어" 방화벽이라고 곧바로 응답할 수도 있습니다. 하지만, 어떤 제품이라도 보안상 완벽하지 않으며, 하지만, ISA 방화벽은 상대적으로 보안상 취약점이 적으며, 이에 대한 부분은 www.secunia.com에서 검색해 보면 쉽게 알 수 있습니다.

         

         

        첨부 제거(Attachment Wiper)

         

        SSL VPN의 또 하나의 중요한 목적은 어디서에든지 인터넷인 연결된 곳이라면 안전한 액세스를 허용하는 것이라 말할 수 있습니다. 회사의 직원은 자신이 어디에서 위치하고 있든지 빠르고 효율적으로 회사 업무를 수행하려고 한다면 그 어디 중에는 안전하지 않은 장비도 있을 수 있습니다. 예를 들어, 인터넷에 연결된 컴퓨터가 웹 브라우저를 통해 액세스하는 것을 허용하려면 SSL VPN 게이트웨이의 아웃바운드 TCP 443번을 허용해야 합니다.

         

        언제 어디서든지, 회사 내부 정보에 연결하는데 사용할 수 있는 장비를 살펴 보며 다음과 같을 것입니다.

        • 공항에서 이용하는 키오스크
        • 바나 식당에서 이용하는 키오스크
        • 집에서 자녀들과 함께 사용하는 관리되지 않는 컴퓨터
        • 친구 집에 있는 관리되지 않는 컴퓨터
        • 호텔, 공항, 박람회 등의 네트워크에서 연결한 관리되지 않는 노트북
        • 애플이나 리눅스 컴퓨터와 같이 운영 체제가 안전하기 때문에 더 이상의 보안을 신경쓸 필요가 없다고 잘못된 인식을 가진 사용자가 사용하는 컴퓨터

         

        언제 어디서든지 액세스를 허용하는 시나리오에서는 앞서 언급한 안전하지 않은 장비로부터 발생하는 위험을 예방하는 일련의 수단을 강구할 필요가 있습니다. IAG 2007에서는 첨부 제거 애플리케이션을 통해 이러한 문제점을 해결합니다. 첨부 제거의 목적은 세션이 종료된 후에도 다른 사람이 더 이상 그 SSL VPN 세션을 사용할 수 없게 합니다.

         

        첨부 제거는 다음의 특징을 가집니다

        • 세션이 종료된 후에는 브라우저 캐시를 삭제. 사용자는 이러한 과정에 개입할 필요가 없으며 사용자 모르게 처리됨.
        • 애플리케이션은 특정한 애플리케이션이 사용한 사용자 정의 캐시를 삭제함으로써 최적화된 삭제 기능을 제공
        • 다운로드한 파일/페이지, 자동입력 형식에서 입력한 데이터, 자동 입력 URL, 쿠키, 열어본 페이지 목록 등을 포함하는 개인 정보를 원천적으로 제거
        • 사용자가 로그오프 하는 등, 세션 시간이 초과된 경우, 예약을 통해 로그오프가 된 경우와 같이 다양한 로그오프를 지원
        • 보안 정책 제어. 예를 들어, 삭제 금지, 다운로드 금지와 같은 정책을 정할 수 있음. 또는 "no-cache"(HTML 태그)를 허용하기 위해 정책을 정할 수 있음.

         

        한가지 명심해야 할 사항 중 하나는 첨부 삭제는 파일에 대한 완벽한 삭제를 제공한다는 점입니다. 즉, 파일이나 기타 객체가 삭제되면 더 이상 실제 파일을 복구할 수 있는 솔루션이 없을 정도로 확실하게 지웁니다.

        reTweet
        Posted by 문스랩닷컴
        blog comments powered by Disqus

          댓글을 달아 주세요

          이번 문서는 IAG 2007의 세 번째 강좌입니다.

          주요 목차는 다음과 같습니다.

          공유 파일 액세스

          보안 옵션

          • ISA 방화벽
          • 첨부 제거
          • 풍부한 인증 프로토콜 지원
          • 포지티브 및 네거티브 로직의 웹 애플리케이션 검사
          • 호스트 주소 변환
          • 안전한 로그오프 및 비사용시 초과시간 설정



          공유 파일 액세스

          맨 처음 강좌를 시작했을 때를 다시 한번 살펴 보면, SSL VPN이 사용자에게 지원하는 가장 중요한 기능 중에 하나가 원격지에서 네트워크 파일에 대한 액세스를 제공하는 것입니다. 인터넷을 통해 SMB/CIFS 파일 공유한다는 것은 보안상 아주 취약하다는 것을 대부분 다 알고 있을 것입니다. SSL VPN이 왜 필요한지 이해하는데 있어 먼저 SSL VPN이 어떤 부분에 필요한지를 파악하면 쉽게 알 수 있습니다.

          IAG 2007에서는 파일을 공유하기 위한 원격 액세스 지원을 위해 다양한 기능을 제공합니다. 파일 공유 액세스 구성요소는 사용자 인터페이스를 통해 손쉽게 사용하고 구성할 수 있습니다. Exchange 2007과는 달리 이러한 작업을 진행하기 위해 명령 프롬프트에서 입력할 필요가 없습니다.

          아래 그림은 사용자가 원격지에 있는 공유 파일을 액세스하는 것을 보여 줍니다. 파일 공유 옵션에서는 사용자의 포탈 페이지를 보여주고, 포탈 링크를 클릭하면 해당 파일 공유를 여러분이 자주 보아왔던 탐색기와 비슷한 형태로 보여줍니다. 사용자들은 탐색기를 사용하듯이 서버의 공유 폴더는 살펴 볼 수 있습니다. 사용자가 필요한 파일을 찾았다면 마우스 오른쪽 버튼으로 이 파일을 클릭하고 download 메뉴를 이용하여 다운로드받을 수 있습니다. 물론 SSL VPN 통신으로 안전하게 클라이언트에게 전송됩니다.

          하지만, SSL VPN에서는 파일을 다루는 방식이 약간 다릅니다. 즉, 일반적인 네트워크 공유 상태에서는 사용자가 실시간으로 파일을 변경하거나 편집할 수 있습니다. 하지만, SSL VPN에서는 이러한 기능을 제공하지 않습니다. 따라서, 사용자는 파일을 로컬로 다운로드하여 작업을 하고 그 다음에 서버로 업로드하는 방식을 취해야 합니다.

          또한, Open 메뉴를 사용하여 파일의 내용을 열어 볼 수는 있습니다.

          아래 그림은 관리자가 서버에서 공유할 폴더를 구성하는 것을 보여 주고 있습니다. IAG 2007에서는 먼저 파일 서버를 도메인의 멤버 서버로 등록해야 해야 합니다. 단독 서버인 경우에는 멤버 서버의 공유 폴더와 연동하면 사용할 수 있습니다. 공유할 파일 서버를 선택하고 나서 어느 사용자가 액세스할 수 있는지 선택할 수 있습니다. 공유에는 공유 권한과 NTFS 권한 모두 적용되므로 권한에 대해서 한번 더 검토해야 합니다

          아래 그림은 윈도우 서버 기반의 공유뿐만 아니라 Novell 파일 서버로의 원격 액세스도 지원하는 것을 보여 줍니다. 이러한 작업을 위해서는 IAG 2007에 Novell 클라이언트 소프트웨어를 설치해야 합니다.

          우리가 파일 공유라고 한다면 보통 네트워크 드라이브 매핑, 그리고 액티브 디렉터리에서 사용되는 홈 디렉터리를 들 수 있습니다. IAG 2007에서는 이러한 공유 기능 또한 지원합니다. 아래 그림은 Don't Define User's Home Directories, Use Domain Controller Settings for Home Directoriesuse the Following Template for Home directories를 사용할 수 있는 옵션을 제공합니다. 또한 User's Home Directory Will be Displayed Every Time File Access is Loaded도 제공합니다. 홈 디렉터리 기능에 대해 자동화된 지원을 하기 때문에 사용자들은 편리하게 자신의 컴퓨터를 다루듯이 사용할 수 있습니다.

          네트워크 드라이브를 사용자들이 사용할 수 있게 해주는 스크립트를 통해 매핑하는 경우에는 단지 Show Mapped Drives옵션을 켜고, 스크립트 엔진을 정하면 됩니다. 네트워크 드라이브도 사용자의 포탈에 나타나며 손쉽게 액세스할 수 있습니다.


          To be Continued...

          reTweet
          Posted by 문스랩닷컴
          blog comments powered by Disqus

            댓글을 달아 주세요

             앞 강좌에서는 VPN의 역사에서부터 왜 SSL VPN이 새롭게 선보이게 되었는지 간략하게 살펴 보았다. 이 번 강좌에서는 IAG에 대해서 설명을 시작하려고 한다. IAG 2007은 앞에서도 언급한 바와 같이 ISA 2006 스탠다드 에디션 방화벽에 탑재되어 판매되고 있다. 방금 박스를 풀은 상태에서 제공하는 기능에 대해 살펴 보고, 조직에서 안전한 원격 액세스를 제공하기 위해 어떤 조치를 취해야 하는지 알아 본다.

             앞 강좌에서는 VPN의 역사에서부터 왜 SSL VPN이 새롭게 선보이게 되었는지 간략하게 살펴 보았다. 이 번 강좌에서는 IAG에 대해서 설명을 시작하려고 한다. IAG 2007은 앞에서도 언급한 바와 같이 ISA 2006 스탠다드 에디션 방화벽에 탑재되어 판매되고 있다. 방금 박스를 풀은 상태에서 제공하는 기능에 대해 살펴 보고, 조직에서 안전한 원격 액세스를 제공하기 위해 어떤 조치를 취해야 하는지 알아 본다.

            이 강좌에서 주로 살펴 볼 부분은 다음과 같다.

            • 연결 방식
              • 고급 애플리케이션 수준의 검사(inspection) 리버스 프록시
              • 포트 및 소켓 포워더
              • 네트워크 커넥터

            연결 방식
            다 른 많은 SSL VPN 솔루션은 단일 연결 방식만을 사용하도록 제한하고 있지만, IAG 2007에서 클라이언트는 IAG 2007 VPN 게이트웨이에 다양한 연결 방식을 사용할 수 있다. IAG 2007은 액세스가 필요한 애플리케이션의 유형에 맞는 연결 방식을 제공하기 위해 다양한 옵션을 제공한다.

            IAG 2007에서는 주로 다음과 같이 3 가지 연결 방식을 제공하고 있다.

            1. 고급 애플리케이션 수준의 검사(inspection) 리버스 프록시
            2. 포트 및 소켓 포워더
            3. 네트워크 커넥터


            1. 고급 애플리케이션 수준의 검사 리버스 프록시
            IAG 2007에서 제공하는 고급 애플리케이션 수준의 검사 리버스 프록시는 ISA 방화벽에서 제공하는 웹 게시 규칙 기능과 아주 유사하다. 하지만, ISA 웹 게시 규칙과 IAG 2007 고급 애플리케이션 수준의 리버스 프록시와는 중요한 몇가지 차이점을 가지고 있다. 차이점은 다음과 같다.

            훌륭한 성능을 제공하는 애플리케이션 수준의 검사 기능
            ISA 방화벽에서는 제품 출하시 HTTP 보안 필터가 내장되어 있다. 하지만, HTTP 보안 필터는 특정한 메쏘드를 차단/허용하거나 차단 서명을 생성하도록 구성하지 않는 한 최소한의 보호 기능을 제공한다.

            ISA 방화벽에서 제공하는 HTTP 보안 필터의 중요한 2가지 제한 사항은 다음과 같다.

            • 서명을 거부하도록 설정할 수 있지만, 화이트 리스트 즉, 허용하는 서명은 설정할 수 없다.
            • 서명은 그냥 문자열을 기반으로 작성하게 되며, URL이나 데이터를 좀더 명확히 정의하는 정규 표현식을 사용할 수 없다.

            참고로, IAG 2007에서는 정규 표현식(RegEx)를 지원하며 차단/허용 규칙에서 사용할 수 있다. 아마도 리눅스에서 프로그래밍을 해보신 분이라면 정규 표현식에 대해 익히 알고 있을 것이라고 생각된다.

            ISA 방화벽에서 제공하는 HTTP 보안 필터는 게시한 웹 서버와 인터넷 사용자간의 적절한 통신이 이루어지는지 확인하기 위해 엄청난 양의 작업량을 필요로 한다. 게시된 웹 서버에서 적절한 통신이 무엇인지 확인한 후에도, 여러분은 인터넷에서 공격하는 다양한 알려진 익스플로잇으로부터 게시된 서버를 보호하기 위해 어떤 통신을 차단할 지 검토해야 한다.

            한편, IAGE 2007에서는 여러분이 게시하려는 업무상의 애플리케이션을 위해 충분한 애플리케이션 수준의 지식을 보유하고 있다. IAG 2007에서는 이를 위한 전문적인 팀이 운영되고 있으며, 업무에서 사용되는 애플리케이션에 필요한 적절한 통신이 무엇인지 그리고 어떤 통신을 차단해야 하는지 종합적인 정보를 제공하고 있다. 즉, 팀이 여러분이 해야 할 일을 대신해 주고 있으므로 업무에 대한 부담이 줄 수 있다.

            IAG 2007에서는 포지티브 로직(게시된 웹 서버로 적절한 통신만을 허용함)뿐만 아니라 네거티브 로직 필터도 제공한다. 네거티브 로직 필터는 인터넷에서 이미 알려져 통용되고 있는 익스플로잇으로 파생되는 통신을 차단한다. 즉, 네거티브 로직 필터는 주로 알려져 있으며 해를 미칠 수 있는 통신을 차단한다. 그리고 포지티브 로직 필터는 제로데이 공격과 같은 통신을 차단한다.

            IAG 2007에서는 마이크로소프트가 제공하는 다양한 애플리케이션(예를 들면, Exchange 웹 서비스(OWA, OMA, 액티브 싱크, RPC/HTTP), SharePoint 서비스, 마이크로소프트 CRM)뿐만 아니라 유명한 다른 애플리케이션(예를 들면, SAP 엔터프라이즈 포탈, Webtop Documentum, 도미노 웹액세스, SecureView 등등)을 게시할 수 있도록 제공한다. IAG 2007은 다양한 OS가 혼재되어 있는 이기종(heterogeneous) 환경에서도 충분한 원격 액세스 연결을 안전하게 지원하도록 설계되었다.

            아래 그림은 SharePoint 서버를 게시하는데 사용하는 애플리케이션 지식 및 필터링의 예이다.

            사용자 삽입 이미지

             

            포탈을 자동으로 만드는 기능
            마 이크로소프트가 개발하는 제품들에는 마법사라는 편리한 기능이 포함되어 있다. ISA 방화벽이외에 다른 회사의 SSL VPN 제품에는 여러분이 게시한 애플리케이션을 사용자가 연결할 수 있게 해주는 포탈 사이트를 자동으로 만들어 주지 않는다. ISA 방화벽의 웹 게시 규칙을 통해 사용자는 게시된 웹서버에 연결할 URL을 기억해야 할 필요가 있다. 하지만, 많은 수의 애플리케이션을 게시하는 경우라면 사용자는 각기 URL을 모두 기억해야 하는 큰 불편함을 겪을 수 밖에 없다. 사용자는 프로그래머이거나 웹코딩에 익숙하지 않다는 점을 기억해야 할 것이다.

            아래 그림은 IAG 2007이 자동으로 만들어 주는 포탈의 예를 보여 주고 있다. 포탈을 생성하고, 포탈에 애플리케이션을 할당하여 게시하면, 포탈 페이지에 이 정보를 볼 수 있다. 여기에서는 IAG 2007의 리버스 프록시 기능을 예로 들어 설명하기 때문에 포탈에는 웹 애플리케이션만 볼 수 있지만, 실제로는 다양한 게시 서버를 이용할 수 있다. 물론, 이 포탈은 사용자가 로그온한 이후에 나타난다.
             

            사용자 삽입 이미지



            인증과 권한 부여를 통한 포탈 커스터마이징
            포 탈을 생성하고 난 이후에는 포탈에 로그인하는 사용자 계정에 따라 포탈에 연결할 수 화면을 다르게 보여 주도록 커스터마이징할 수 있다. 사용자 계정과 보고된 보안 상태(IAG 2007의 종단 감시 기능의 결과)를 통해 사용자가 볼 수 있는 포탈을 결정할 수 있다. 여러 개의 포탈을 만들지 않고 하나의 포탈을 통해 사용자 계정 또는 로그온하는 컴퓨터에 따라 접속 환경이 바뀐다.
             

            사용자 삽입 이미지


            다양한 인증 프로토콜 지원
            ISA 방화벽에서는 마이크로소프트 AD 인증 방식 이외의 다양한 인증 방식을 지원한다. IAG 2007은 ISA 방화벽이 지원하는 인증 프로토콜을 동일하게 지원한다. 예를 들면, IAG 2007은 액티브 디렉터리, LDAP, 노츠, 넷스케이프, 노벨을 지원하며, 심지어 TACAC+도 지원한다. 또한 관리자가 필요로 하는 애플리케이션 프로토콜과 프로바이더를 지원하도록 커스터마징할 수 있다.

            2. 포트 및 소켓 포워더
            IAG 2007을 통해 웹 서버가 아닌 다른 애플리케이션 서버를 게시할 수 있다. ISA 방화벽에서 웹 서버 이외의 다른 서버를 게시할 경우에는 서버 게시 규칙을 사용해 왔다. IAG 2007은 이러한 애플리케이션과의 통신을 위해 SSL로 암호화된 원격 액세스를 지원한다. ISA 서버 게시 규칙과 비교할 때 IAG 2007이 가지는 장점은 다음과 같다.

            암호화되지 않는 애플리케이션 프로토콜을 암호화함
            ISA 방화벽을 사용하여 암호화되지 않은 프로토콜에 대한 서버 게시 규칙을 생성할 때, 클라이언트와 서버간의 통신은 암호화되지 않은 평문 상태로 전송되고, 네트워크 스니퍼 등으로 손쉽게 이러한 정보를 낚아 챌 수 있다. 가장 대표적인 경우가 POP3 통신으로, 사용자가 POP3에 접속하여 계정/비밀번호를 전송할 때에 평문으로 전송되므로 손쉽게 알아 낼 수 있다.

            한 편, POP3를 게시하기 위해 IAG 2007 VPN 게이트웨이를 사용하는 경우에는 클라이언트와 IAG 2007 장비 사이에는 SSL 터널로 연결된다. IAG 2007 장비 밖에서 서버와 클라이언트 간의 트래픽을 제 3자가 채집하더라도 계정/비밀번호를 알아 낼 수 없으며 메일도 읽을 수 없다. POP3 이외에 SMTP, IMAP4, RPC/MAPI, RDP, NNTP 등 대부분의 암호화 통신을 하지 않는 프로토콜도 마찬가지이다. IAG 2007 SSL VPN은 ISA 방화벽이 없는 네트워크 환경에서도 보안 및 기밀을 유지할 수 있게 해준다.

            웹 이외의 프로토콜에 대한 사전 인증 지원
            ISA 의 서버 게시 규칙은 웹 프로토콜 이외의 다른 프로토콜에 대해서는 사전 인증을 지원하지 않는다. 이는 ISA 방화벽뿐만 아니라, 웹 프로토콜 이외 다른 프로토콜에 대해 포트포워딩이나 리버스 NAT 기능을 지원하는 대부분의 방화벽에서도 마찬가지이다. 이는 방화벽 자체의 한계가 아니라 프로토콜이 한계 때문으로, 방화벽의 프록시 구성요소가 인증 요청을 가로채서 대신 처리해야 한다.

            IAG 2007은 이러한 문제를 웹 프록시(SSL VPN 게이트웨이가 위치한)를 통해 해결했다. 웹 프로토콜 이외의 프로토콜을 액세스하기 위해 사용자는 먼저 IAG 2007 SSL VPN 게이트웨이와 인증을 거쳐야 한다. 인증이 완료되면, 사용자는 포탈에 사용이 허용된 것들만 나타나게 된다. 이를 통해 사전 인증을 지원한다.

            Split DNS 문제 해결
            ISA 방화벽을 관리할 때 가장 애로사항이 바로 DNS의 분할(split)이다. Split DNS을 통해 사용자는 위치에 구애받지 않고 편리하게 네트워크 자원을 액세스할 때 동일한 객체(도메인) 이름을 사용할 수 있다. 즉, 사내 인트라넷에서 사용할 때 그대로 외부 즉 인터넷에서도 동일하게 사용할 수 있는 장점을 가지고 있다. 하지만, 네트워크 관리자는 DNS를 나눠 관리하기 때문에 관리 부담이 늘어나게 되고, 정확한 이해없이는 정확한 구성을 할 수 없게 된다.

            IAG 2007에서는 split DNS이 필요없다. 사용자는 포탈의 이름만 기억하면 되고, 물론 계정 정보도 기억해야겠지만. 사용자가 일단 포탈에 로그온하면 그 이후에는 IAG 2007이 모든 이름풀이 과정을 처리해 준다. 따라서, 사용자는 포탈의 이름을 모두 기억할 필요가 없으며, 관리자도 DNS를 편하게 관리할 수 있다.

            소켓 액세스를 통한 애플리케이션 제어
            소 켓 포워딩 기능을 통해 클라이언트에서 애플리케이션이 IAG 2007 SSL VPN 게이트웨이로 어느 포트로 허용할지 결정할 수 있을 뿐만 아니라 그 포트를 사용할 애플리케이션도 결정할 수 있다. 이 기능은 ISA 방화벽의 방화벽 클라이언트 프로그램이 제공하는 기능과 유사한데, 바로 이미지 이름(실행 파일 이름)을 통해 액세스를 제어할 수 잇다. ISA 방화벽 클라이언트 프로그램의 단점이라면 일반 사용자도 이미지 이름을 손쉽게 바꿔서 실행할 수 있다.

            2007은 ISA 방화벽 클라이언트 프로그램이 제공하는 애플리케이션 제어 방법보다 한층 발전된 방법으로 애플리케이션의 해시 값을 기준으로 제어한다. 예를 들어, SSL VPN 게이트웨이를 통해 아웃룩 클라이언트 프로그램을 위해 RPC를 허용하려고 한다고 가정하면, 이 게이트웨이로 다른 애플리케이션이 RPC를 사용하지 않게 할 것이다. IAG 2007에서는 SSL VPN 게이트웨이에서 RPC에 대한 트래픽을 허용하고, 또한 RPC종점 매퍼 포트로 호출하는 애플리케이션의 해시캆을 기준으로 아웃룩 2003만 허용하도록 제어한다. 이는 ISA 방화벽 클라이언트 프로그램보다 훨씬 보안성이 강화된 것으로 사용자가 악성코드가 파일이름을 outlook.exe로 바꿔서 실행됨으로 인해 발생할 수 있는 위험성을 줄일 수 있다.

            아래 그림은 포트와 포켓 포워더로 연결된 사용자 컴퓨터릐 연결을 보여준다.

            사용자 삽입 이미지



            IAG 2007 VPN 게이트웨이에서 웹 애플리케이션 이외의 애플리케이션을 지원하는 방법은 다음과 같다.

            포트 포워더
            포 트 포워더는 SSL VPN 구성요소 중 하나로, 게시한 애플리케이션마다 특정한 로컬 주소/포트로 청취하여 실제 애플리케이션 서버 주소가 아닌 이 주소로 트래픽이 보내지게 한다. SSL VPN 포트 포워더 클라이언트는 트래픽을 SSL로 암호화 터널을 수립하고, SSL VPN 게이트웨이로 전송한다. 포트 포워더는 암호화되지 않은 애플리케이션 프로토콜을 포함하는 터널을 수립하여 SSL VPN으로 암호화하므로 훨씬 안전하다. 포트 포워더는 FTP 프로토콜과 같이 2차 연결이 필요한 프로토콜을 제외한 일반적인 애플리케이션에서만 지원한다

            소켓 포워더
            소 켓 포워더 SSL VPN 클라이언트는 MS Winsock 서비스 프로바이더 인터페이스를 가로채 채서, 저수준 0-레벨 핸들링을 지원하기 위해 Windows LSP/NSP(Layered Service Provider/Name Space Provider)를 사용한다. NSP는 내부 서버 이름이 터널로 수립되고 인터넷으로 전송되지 않도록 보장하기 위해 내부 서버 이름을 풀이하는데 사용한다. 소켓 포워딩의 보안상 가장 중요한 장점은 사용자를 식별할 수 있고, 트래픽을 생성하여 그 통신에 특정한 보안 매개변수를 설정할 수 있다는 점이다.

            3. 네트워크 커넥터
            리 버스 프록시와 포트/소켓 포워더는 반대로, 네트워크 커넥터는 진정한 SSL VPN 연결성을 제공한다. 리버스 프록시와 포트/소켓 포워딩에서는 가상의 네트워크 연결이 없다. 네트워크 커넥터를 사용하여 여러분은 원격 액세스 VPN 클라이언트에 할당된 IP 주소 내에 실제로 터널링된 IP로 연결을 한다. 즉, 회사 네트워크로 PPTP나 L2TP/IPSec VPN 네트워크 연결을 지원한다.

            네 트워크 커넥터는 클라이언트 컴퓨터의 장치 관리자에서 네트워크 장치로 구현된다. 포탈에서 네트워크 커넥터를 사용할 수 있는 경우에는 클라이언트 컴퓨터에 네트워크 커넥터 애플리케이션이 자동으로 설치된다. 물론, 어떤 컴퓨터에서 네트워크 커넥터가 실행될지 제어할 수 있다. 또한, IAGE 2007 종점 감지 기능을 사용하여 네트워크 커넥터를 어떤 종점 컴퓨터에 허용할지 액세스 정책을 제어할 수 있다.

            네트워크 커넥터는 다음과 같은 특징이 있다.

            • WINS, DNS, DNS 접미사와 같은 회사 네트워크 매개변수의 자동 감지 및 변경
            • 고정 IP 주소 영역 또는 DHCP를 사용하여 IP 주소 반영
            • Split 터널링 제어
            • TCP, UDP, ICMP 프로토콜 마스크 필터
            • Windows 2000, XP, Windows 2003 서버 클라이언트 지원
            • IAG 2007 네트워크 커넥터 프로그램을 설치 후 재부팅할 필요가 없음
            • 통계 및 연결종료 옵션을 제공하는 세션 아이콘
            • IP 유니캐스트 기능

            네 트워크 커넥터는 네트워크 수준의 액세스를 완벽하게 제어할 수 있게 해주며, 다중 1차 연결과 2차 연결이 필요한 프로토콜까지도 지원한다. VoIP와 같은 복잡한 프로토콜일 경우에는 포트/소켓 포워더에서 지원하지 않을 수도 있는데 이럴 때에는 네트워크 커넥터를 사용한다. 하지만, ISA 방화벽의 강력한 사용자/그룹 액세스 제어 기능과는 달리 네트워크 커넥터에서는 자세한 제어가 힘들다. 네트워크 커넥터는 대표적인 ‘하드웨어’ VPN 게이트웨이로 동작하며 보통 링크를 통해 이루어진다. 원격 액세스 VPN 연결에 대해 좀더 강력한 상태 패킷 검사와 애플리케이션 수준의 검사가 필요한 경우에는 ISA 방화벽의 PPTP 또는 L2TP/IPSec VPN 원격 액세스 VPN 서버의 사용을 고려해야 한다.

            4.마무리
            이 번 강좌에서는 IAG 2007에서 지원하는 네트워크 연결 방식에 대해 살펴 보았다. IAG 2007 SSL VPN 게이트웨이에서는 애플리케이션의 요구사항에 따라 다음과 같이 3가지 연결 방식을 지원한다.

            • 리버스 웹 프록시
            • 포트/소켓 포워딩
            • 네트워크 커넥터

            다음 강좌에서는 파일 액세스 및 보안 기능에 대해 알아 볼 예정이니 기대하기 바란다.

            자료출처 : The Microsoft Intelligent Application Gateway 2007 (IAG 2007) Part 2: IAG Connectivity Options

            reTweet
            Posted by 문스랩닷컴
            blog comments powered by Disqus

              댓글을 달아 주세요

              앞 강좌에서는 VPN의 역사에서부터 왜 SSL VPN이 새롭게 선보이게 되었는지 간략하게 살펴 보았다. 이 번 강좌에서는 IAG에 대해서 설명을 시작하려고 한다. IAG 2007은 앞에서도 언급한 바와 같이 ISA 2006 스탠다드 에디션 방화벽에 탑재되어 판매되고 있다. 방금 박스를 풀은 상태에서 제공하는 기능에 대해 살펴 보고, 조직에서 안전한 원격 액세스를 제공하기 위해 어떤 조치를 취해야 하는지 알아 본다.

              이 강좌에서 주로 살펴 볼 부분은 다음과 같다.

              • 연결 방식
                • 고급 애플리케이션 수준의 검사(inspection) 리버스 프록시
                • 포트 및 소켓 포워더
                • 네트워크 커넥터

              다음 강좌에서 살펴 볼 부분은 다음과 같다.

              • 파일 액세스
              • 보안 기능
                • ISA 방화벽
                • 첨부파일 차단
                • 다양한 인증 프로토콜 지원
                • 포지티브/네거티브(positive/negative) 로직의 웹 애플리케이션 검사
                • 호스트 주소 변환
                • 안전한 로그오프 및 비업무 시간 제한
              • 고급 종단 장비 확인 및 정책 기반의 액세스

              1. 연결 방식

                다른 많은 SSL VPN 솔루션은 단일 연결 방식만을 사용하도록 제한하고 있지만, IAG 2007에서 클라이언트는 IAG 2007 VPN 게이트웨이에 다양한 연결 방식을 사용할 수 있다. IAG 2007은 액세스가 필요한 애플리케이션의 유형에 맞는 연결 방식을 제공하기 위해 다양한 옵션을 제공한다.

                                      IAG 2007에서는 주로 다음과 같이 3 가지 연결 방식을 제공하고 있다.

              • 고급 애플리케이션 수준의 검사(inspection) 리버스 프록시
              • 포트 및 소켓 포워더
              • 네트워크 커넥터

              1. 고급 애플리케이션 수준의 검사 리버스 프록시

                IAG 2007에서 제공하는 고급 애플리케이션 수준의 검사 리버스 프록시는 ISA 방화벽에서 제공하는 웹 게시 규칙 기능과 아주 유사하다. 하지만, ISA 웹 게시 규칙과 IAG 2007 고급 애플리케이션 수준의 리버스 프록시와는 중요한 몇가지 차이점을 가지고 있다. 차이점은 다음과 같다.

                         훌륭한 성능을 제공하는 애플리케이션 수준의 검사 기능

              ISA 방화벽에서는 제품 출하시 HTTP 보안 필터가 내장되어 있다. 하지만, HTTP 보안 필터는 특정한 메쏘드를 차단/허용하거나 차단 서명을 생성하도록 구성하지 않는 한 최소한의 보호 기능을 제공한다.

                          ISA 방화벽에서 제공하는 HTTP 보안 필터의 중요한 2가지 제한 사항은 다음과 같다.

              • 서명을 거부하도록 설정할 수 있지만, 화이트 리스트 즉, 허용하는 서명은 설정할 수 없다.
              • 서명은 그냥 문자열을 기반으로 작성하게 되며, URL이나 데이터를 좀더 명확히 정의하는 정규 표현식을 사용할 수 없다.

              참고로, IAG 2007에서는 정규 표현식(RegEx)를 지원하며 차단/허용 규칙에서 사용할 수 있다. 아마도 리눅스에서 프로그래밍을 해보신 분이라면 정규 표현식에 대해 익히 알고 있을 것이라고 생각된다.

              ISA 방화벽에서 제공하는 HTTP 보안 필터는 게시한 웹 서버와 인터넷 사용자간의 적절한 통신이 이루어지는지 확인하기 위해 엄청난 양의 작업량을 필요로 한다. 게시된 웹 서버에서 적절한 통신이 무엇인지 확인한 후에도, 여러분은 인터넷에서 공격하는 다양한 알려진 익스플로잇으로부터 게시된 서버를 보호하기 위해 어떤 통신을 차단할 지 검토해야 한다.

              한편, IAGE 2007에서는 여러분이 게시하려는 업무상의 애플리케이션을 위해 충분한 애플리케이션 수준의 지식을 보유하고 있다. IAG 2007에서는 이를 위한 전문적인 팀이 운영되고 있으며, 업무에서 사용되는 애플리케이션에 필요한 적절한 통신이 무엇인지 그리고 어떤 통신을 차단해야 하는지 종합적인 정보를 제공하고 있다. 즉, 팀이 여러분이 해야 할 일을 대신해 주고 있으므로 업무에 대한 부담이 줄 수 있다.

              IAG 2007에서는 포지티브 로직(게시된 웹 서버로 적절한 통신만을 허용함)뿐만 아니라 네거티브 로직 필터도 제공한다. 네거티브 로직 필터는 인터넷에서 이미 알려져 통용되고 있는 익스플로잇으로 파생되는 통신을 차단한다. 즉, 네거티브 로직 필터는 주로 알려져 있으며 해를 미칠 수 있는 통신을 차단한다. 그리고 포지티브 로직 필터는 제로데이 공격과 같은 통신을 차단한다.

              IAG 2007에서는 마이크로소프트가 제공하는 다양한 애플리케이션(예를 들면, Exchange 웹 서비스(OWA, OMA, 액티브 싱크, RPC/HTTP), SharePoint 서비스, 마이크로소프트 CRM)뿐만 아니라 유명한 다른 애플리케이션(예를 들면, SAP 엔터프라이즈 포탈, Webtop Documentum, 도미노 웹액세스, SecureView 등등)을 게시할 수 있도록 제공한다. IAG 2007은 다양한 OS가 혼재되어 있는 이기종(heterogeneous) 환경에서도 충분한 원격 액세스 연결을 안전하게 지원하도록 설계되었다.

              아래 그림은 SharePoint 서버를 게시하는데 사용하는 애플리케이션 지식 및 필터링의 예이다.

              1. 포탈을 자동으로 만드는 기능

                마이크로소프트가 개발하는 제품들에는 마법사라는 편리한 기능이 포함되어 있다. ISA 방화벽이외에 다른 회사의 SSL VPN 제품에는 여러분이 게시한 애플리케이션을 사용자가 연결할 수 있게 해주는 포탈 사이트를 자동으로 만들어 주지 않는다. ISA 방화벽의 웹 게시 규칙을 통해 사용자는 게시된 웹서버에 연결할 URL을 기억해야 할 필요가 있다. 하지만, 많은 수의 애플리케이션을 게시하는 경우라면 사용자는 각기 URL을 모두 기억해야 하는 큰 불편함을 겪을 수 밖에 없다. 사용자는 프로그래머이거나 웹코딩에 익숙하지 않다는 점을 기억해야 할 것이다.

              아래 그림은 IAG 2007이 자동으로 만들어 주는 포탈의 예를 보여 주고 있다. 포탈을 생성하고, 포탈에 애플리케이션을 할당하여 게시하면, 포탈 페이지에 이 정보를 볼 수 있다. 여기에서는 IAG 2007의 리버스 프록시 기능을 예로 들어 설명하기 때문에 포탈에는 웹 애플리케이션만 볼 수 있지만, 실제로는 다양한 게시 서버를 이용할 수 있다. 물론, 이 포탈은 사용자가 로그온한 이후에 나타난다.

              1. 인증과 권한 부여를 통한 포탈 커스터마이징

                포탈을 생성하고 난 이후에는 포탈에 로그인하는 사용자 계정에 따라 포탈에 연결할 수 화면을 다르게 보여 주도록 커스터마이징할 수 있다. 사용자 계정과 보고된 보안 상태(IAG 2007의 종단 감시 기능의 결과)를 통해 사용자가 볼 수 있는 포탈을 결정할 수 있다. 여러 개의 포탈을 만들지 않고 하나의 포탈을 통해 사용자 계정 또는 로그온하는 컴퓨터에 따라 접속 환경이 바뀐다.

              1. 다양한 인증 프로토콜 지원

              ISA 방화벽에서는 마이크로소프트 AD 인증 방식 이외의 다양한 인증 방식을 지원한다. IAG 2007은 ISA 방화벽이 지원하는 인증 프로토콜을 동일하게 지원한다. 예를 들면, IAG 2007은 액티브 디렉터리, LDAP, 노츠, 넷스케이프, 노벨을 지원하며, 심지어 TACAC+도 지원한다. 또한 관리자가 필요로 하는 애플리케이션 프로토콜과 프로바이더를 지원하도록 커스터마징할 수 있다.

              reTweet
              Posted by 문스랩닷컴
              blog comments powered by Disqus
                TAG IAG, IAG 2007, ISA

                댓글을 달아 주세요

                Microsoft IAG(Intelligent Applications Gateway) 2007(이하 IAG)은 ISA(Internet Security&Acceleration) Server에서 VPN 네트워킹을 위해 사용되는 소프트웨어입니다.

                사용자 삽입 이미지


                IAG는 SSL VPN을 지원하고 ISA Server에서 함께 동작하는 웹 애플리케이션 방화벽 제품입니다. IAG는 네트워크 방화벽, 원격 액세스, 종단간 보안 관리, 애플리케이션 수준의 보호를 위한 통합 어플라이언스입니다.

                이 제품은 Microsoft의 자회사인 Whale사가 개발하여 공급하고 있으며, 패키지가 아닌 오직 하드웨어 어플라이언스에만 번들로 공급됩니다. 물론, ISA는 번들이 아닌 패키지로 판매되고 있습니다.

                또 하나 바뀐 점은 바로 CAL(Client Access Licenses)의 변경입니다. CAL은 서버에 동시에 연결할 수 있는 클라이언트의 갯수를 의미합니다. 이제 IAG에서 CAL은 인증된 사용자(Authenticated Users)의 수 또는 ISA에 연결된 장비(Devices)에 기반하게 됩니다. 이러한 변경으로 얻는 잇점은 라이선스의 유연성과 확장성입니다. 전세계 어디에서든지 게이트웨이가 있더라도 하나의 CAL로 게이트웨이를 운영할 수 있습니다.

                하나의 노드(?)를 만들어서 다양한 정보를 제공할 예정입니다.

                감사합니다.


                reTweet
                Posted by 문스랩닷컴
                blog comments powered by Disqus

                  댓글을 달아 주세요



                  Web Analytics Blogs Directory