먼먼 옛날, Windows NT 운영체제에서는 MS Proxy Server 2.0라는 제품이 있었으며 Windows 2000 Server 제품군에 들어서면서 ISA Server 2000이 함께 했습니다.

ISA 2000에는 방화벽(Firewall) 기능과 웹 캐싱(Web Caching) 기능을 각기 사용하거나 동시에 사용할 수 있었습니다. 하지만, ISA 2004로 넘어오면서 대부분 웹 캐싱 기능에 대해 무관심해져 갔으며 이러한 분위기는 ISA 2006에서도 그대로 반영되는 듯합니다.

아래 자료는 ISASERVER.ORG에서 꾸준히 게재되는 글 중에서 ISA의 웹 캐싱 기능에 대해 자세한 언급이 되어 있어 번역 정리하여 올립니다.

---

ISA를 도입하는 입장에서는(특히 우리나라를 제외한 외국에서) 방화벽 기능을 주로 검토하게 된다. 하지만, ISA에는 웹 캐싱이라는 훌륭한 기능이 조용히 숨겨져 있다. 웹 캐싱이란 내부 클라이언트들이 웹 브라우저를 통해 인터넷을 사용할 때 자주 방문하는 사이트의 개체들을 미리 또는 한 번 읽은 다음 캐시에 저장하여 다음에 다시 읽어 들일 때에는 사이트에서 요청하는 것이 아니라 캐시에 있는 객체를 반환하기 때문에 속도 향상이 이루어지게 된다. 사용자에 비해 인터넷 전용선의속도가 느린 경우에는 사용자의 불만을 잠재울 수 있는 기능 중의 하나이다. 또한, 자주 그런 경우는 아니지만 해당 웹 사이트가 잠시 사용할 수 없는 상태이더라도 사용자들이 이를 일시적으로 이용할 수 있는 장점도 있다.

• 웹 캐시 설정

  가장 먼저 해야 할 일은 웹 캐싱 기능을 켜는 것이다. ISA 방화벽 콘솔을 열고 Configuration 노드를 확장한다. 오른쪽에서 Tasks 탭을 클릭하고 Cache 노드를 클릭한다. 마지막으로 Define Cache Drives(Enable Caching)을 클릭한다.

  

  아래와 같이 Define Cache Drives 대화상자가 나타난다. 캐시로 저장되는 부분은 대부분 하드 디스크 즉 드라이브가 된다. 따라서 적절한 드라이브를 선택하고 용량도 결정한다. 중요한 사실은 하나의 드라이브에서 캐시의 최대 크기는 64GB이고 NTFS 형식이어야 한다는 점이다. 설정한 이후에는 확인 버튼을 눌러 대화상자를 닫는다.

  

  Cache 노드를 마우스 오른쪽 버튼을 클릭하고 등록정보(Properties)를 클릭한다.

  

  General 탭에서는 앞서 지정한 캐시의 크기를 보여 준다.

  

  Advanced 탭에서는 다음과 같은 다양한 옵션이 제공된다.

  Cache objects that have an unspecified last modification time 옵션은 ISA 방화벽에서 캐시한 객체에 대한 시간 도장(time stamp)를 찍지 않게 한다. 즉, 객체가 캐시되어 저장될 때에는 어느 정도 기한까지 이를 보관할지 캐시 규칙을 통해 결정하는데 이를 무시한다.

  Cache objects even if they do not have an HTTP status code of 200 옵션은 대상 웹서 버에 연결할 때에 정상 연결(HTTP 200코드 값)되지 않더라도 페이지를 캐시하여 저장한다. 이는 오프라인 캐시를 위해 사용되기도 한다.

  Maximum size of URL cached in memory (bytes) 옵션은 메모리 캐시(캐시에는 메모리 캐시와 디스크 캐시 두 가지가 있음. 메모리 캐시는 디스크 캐시에 비해 당연히 속도는 빠르지만 저장 공간의 한계라는 단점이 있음)에 저장한 객채의 최대 크기를 지정한다. 기본 값은 12.8kb이며 이를 변경할 수 있다. 예를 들어 조직의 환경에서 주로 그림 파일이나 데이터 파일을 주로 사용한다면 이 값을 증가시켜 캐시될 수 있게 한다.

  If Web site of expired object cannot be reached 에서는 다음과 같이 두 가지 옵션을 설정한다.

  • Do not return the expired object (return an error page) - 개체를 사용할 수 없는 경우에는 캐시에 개체가 저장되어 있다 하라도 오류 페이지를 보여 줍니다.
  • Return the expired object only if expiration was. T웹 사이트에 접속할 수 없더라도 만약 캐시에 개체가 저장되어 있는 경우라면 저장된 개체를 반환합니다. 개체가 얼마나 오래 저장될 지는 At less than this percentage of original Time-to-Live, But no more than (minutes) 부분에서 설정한다.

  Percentage of free memory to use for caching 옵션은 캐시 파일에 할당한 여유 메모리의 비율(백분율)을 설정한다. 캐시 메모리는 시간이 지난다고 해서 변경되거나 다른 프로세스가 사용할 수 없도록 고정된다. 기본적으로 10%를 사용하도록 설정되어 있지만 만약 RAM이 충분하다면 이 비율을 늘리는 것도 좋은 방편이다.

• 캐시 규칙 작성

  웹 캐시 규칙은 다른 방화벽 규칙과는 달리 캐시에 저장되는 개체는 어떤 것인지, 그리고 그 특성을 어떻게 다룰 것인지 지정합니다. 새로운 캐시 규칙을 작성하려면 왼쪽에서 Cache 노드를 클릭하고 오른쪽에서 Tasks 탭을 클릭합니다. 아래쪽에서 Create a Cache Rule을 클릭합니다.

  

  마이크로소프트 제품의 장점이라면 바로 '마법사' 기능이다. ISA 서버에서도 대부분의 설정에서 마법사 기능이 제공되며 캐시 규칙을 만들 때에도 마찬가지이다. Welcome to the New Cache Rule Wizard 페이지를 통해 캐시 규칙을 작성하는 마법사가 시작된다. Next버튼을 클릭한다.

  

  Cache Rule Destination 페이지에서는 규칙을 적용할 대상(즉, 네트워크)을 선택한다. 여기 예에서는 Networks 폴더 내에 있는 External 항목을 선택했다. 참고로, Add Network Entities 대화상자를 통해 좀더 네트워크를 세분화하여 구성할 수 있으며 이러한 부분을 통해 캐시 규칙 또한 세분화할 수 있다.

  

  Content Retrieval 페이지에서는 사용자가 요청할 때에 캐시에 있는 개체를 어떤 방식으로 가져올지 설정한다. 다음과 같이 3 가지 옵션이 있다.

  • Only if a valid version of the object exists in cache. If no valid version exists, route the request to the server. - 캐시에 만료된 개체가 있는 경우에는 ISA 방화벽이 개체의 원본이 저장된 웹 서버에 접속하여 객체의 새로운 버전을 가져 옵니다.
  • If any version of the object exists in cache. If none exists, route the request to the server. - 캐시에 개체가 있는 경우에는 만료여부에 관계없이 사용자에게 반환합니다. 캐시에 저장된 개체가 없는 경우에는 당연히 웹 서버에 접속하여 개체를 가져옵니다.
  • If any version of the object exists in cache. If none exists, drop the request (never route the request to the server. - 캐시에 개체가 있는 경우에는 만료 여부에 관계없이 사용자에게 반환합니다. 하지만 캐시에 개체가 없는 경우에는 웹 서버에서 가져오지 않고 사용자에게 없다는 내용을 보여 줍니다.

  기본 옵션은 Only if a valid version of the object exists in the cache. If no valid version exists, route the request to the server.이며 대부분 이 옵션 이외에는 사용할 필요가 없을 것이다. 선택하고 Next 버튼을 클릭한다.

  

  Cache Content 페이지에서는 ISA 방화벽에 인터넷 상의 웹 서버에서 가져온 컨텐트를 캐시에 저장할 지 여부를 지정합니다. 기본적으로 원본 및 요청 헤더에 개체가 캐시될 수 있다고 명시된 경우에만 캐시에 개체를 저장합니다. 하지만 캐시로 저장하지 않으려면 Never, no content will ever be cached.를 선택한다. 이런 경우는 아마도 웹 서버에 가장 최신의 데이터가 꾸준히 그리고 활발하게 업데이트되는 경우라 할 수 있다.

  원본 및 요청 헤더에서 캐시될 수 있다고 표시된 경우에는 다음과 같은 옵션을 선택한다.

  • Dynamic content: - 웹 서버에서 컨텐트가 캐시되어서는 안된다고 명시되어 있다라도 ISA 방화벽에서 강제로 캐시로 저장한다.
  • Content for offline browsing: - 웹 서버를 사용할 수 없을 때 또는 개체의 위치가 변경된 경우에도 컨텐트를 캐시로 저장합니다.
  • Content requiring user authentication for retrieval: - 사용자의 인증이 필요한 컨텐트를 캐시에 저장합니다. 이런 경우에는 인증한 사용자의 컨텐트를 다른 사용자들이 무단으로 볼 수 있으므로 보안상 위험할 수 있다. 주의해서 사용하도록 한다.

  Next를 클릭한다.

  

  Cache Advanced Configuration 페이지에서는 캐시되는 개체의 크기를 제한할 수 있다. 기본적으로 캐시되는 개체의 크기에는 제한이 없다. 하지만 Do not cache objects larger than 옵션을 선택한 경우에는 최대 크기를 제한할 수 있다. 조직의 환경에서 대용량의 파일이나 컨텐트를 자주 사용하는 경우라면 아마도 디스크 캐시의 공간이 기하급수적으로 증가할 수도 있다. 이런 경우를 대비하여 적절하게 제한하는 것을 추천한다.

  일반적으로 SSL 통신을 하는 경우에는 암호화 통신이므로 ISA 방화벽이 내부의 컨텐트를 확인할 방도가 없다. 하지만 Collective Software사의 ClearTunnel 제품을 설치하면 SSL 연결에서 발생하는 응답을 캐시로 저장할 수 있다. Cache SSL responses 옵션에서 설정한다. ClearTunnel 제품에 대한 자세한 사항은 http://www.collectivesoftware.com 을 참고한다.

  Next를 클릭한다.

  

  HTTP Caching 페이지에서는 만료일자에 따라 캐시를 어떻게 관리할지를 설정한다. TTL(Time-To-Live)는 컨텐트의 유효 기간 즉 만료 시한을 나타낸다. 컨텐트 나이(age)는 개체가 생성되거나 변경된 이후의 시간을 나타낸 것으로 개체의 헤더에 이 정보가 포함되어 있다.

  Set TTL of objects (% of content age)은 기본적으로 20%로 설정되어 있다. HTTP 개체들은 TTL 설정에 따라 캐시에 올바른 상태로 유지된다. TTL 설정은 응답 헤더에 지정된 값을 기준으로 하며 이를 바탄으로 캐시 규칙에서 적용된다. 컨텐트 나이의 백분율은 컨텐트가 존재할 수 있는 시간의 백분율을 나타내다. 백분율이 높을 수록 캐시가 덜 업데이트된다.

  또한, No less than과 No more than 옵션을 통해 TTL 시간을 정할 수 있다.

  마지막으로 Also apply these TTL boundaries to sources that specify expiration 옵션을 선택하여 캐시된 개체의 헤더에 포함된 만료 시한을 무시할 수 있다.

  Next를 클릭한다.

  

  ISA 방화벽에서는 HTTP 트래픽뿐만 아니라 FTP 트래픽도 캐시할 수 있다. 다만, 웹 프록시 클라이언트를 사용하는 경우로 한정한다. 기본적으로 FTP 트래픽을 캐시하도록 설정되어 있으며 TTL은 1일로 제한되어 있다. 필요한 경우 변경하고 Next 버튼을 클릭한다.

  

  마지막으로 지금까지 설정한 사양을 간단히 요약하여 보여주는 페이지인 Completing the New Cache Rule Wizard가 나타난다. Finish 버튼을 눌러 마법사를 종료한다.

  

  
  

  이제 규칙의 순서를 바꾸는 작업을 진행한다. 이러한 이유는 기본적으로 윈도우 업데이트에 관련된 웹 캐시 규칙이 설정되어 있기 때문이다. 관리자가 추가한 웹 캐시 규칙은 Microsoft Update Cache Rule 바로 아래쪽에 위치하도록 변경하는 것이 좋다.

  Cache Rules 탭에서 좀 전에 작성했던 All Sites 규칙을 선택하고 위치를 이동시킨다.

  

• 마무리

  지금까지 ISA 방화벽에서 웹 캐시를 사용하도록 설정하는 방법과 이에 따른 웹 캐시 규칙을 작성하는 방법 그리고 실제 규칙을 어떻게 놓아야 하는지 구체적으로 살펴 보았다.

  원본 위치 <http://isaserver.org/tutorials/ISA-2006-Web-Caching.html?printversion>

클라이언트/서버 커넥터는 다양한 업무용 애플리케이션(ex. 익스체인지, 로터스 노츠, 시트릭스, 터미널 서비스,  FTP, Telnet 통신)을 즉시 사용할 수 있도록 박스 장비에서 기본적으로 제공한다.

지원하는 터널링 모드는 다음과 같다.

• 포트 포워딩: 클라이언트는 ISA 방화벽 내의 실제 애플리케이션 서버의 IP 주소를 사용하지 않고 ISA 방화벽의 특정한 주소/포트로 접속한다. SSL VPN 클라이언트는 게이트웨이로 전송하는 트래픽을 SSL로 캡슐화하여 전송한다. 포트 포워딩은 일정한 TCP 포트를 사용하는 애플리케이션에 대해 가장 효과적인 사용방법이며 HTTP나 SOCKS 프록시를 지원하는 경우에도 사용할 수 있다.
• 소켓 포워딩: MS WSP(Winsock Service Provider) 인터페이스를 후킹하는 방식으로 하위 수준의 소켓을 처리하기 위해 LSP/NSP(Windows Layered Service Provider/Name Space Provider) 인터페이스를 사용한다. NSP는 터널링되는 내부 서버 이름을 풀이하는데 사용한다. 이 방식은 TCP, UDP 그리고 어떤 포트라도 사용가능한 모든 Winsock 애플리케이션을 지원한다.

두 터널링 모드의 장단점을 파악하여 사용하는 것이 중요합니다.

출처: MS IAG 사이트

미국 네바다 주, 라스 베가스에서 열리고 있는 Interop 2007 Trade Show에서 마이크로소프트는 IAG(Intelligent Application Gateway) 2007 SP1의 공개 베타가 임박했다고 발표했습니다.

IAG 2007 SP1의 가장 큰 특징은 바로 윈도우 비스타 운영체제의 지원입니다. 좀더 자세히 알아 보면,

IAG 2007 SP1에는 윈도우 비스타 운영체제 지원, Exchange Server를 사용하는 윈도우 모바일 5.0 장비로 이메일 PUSH 지원, ADFS(Active Directory Federation Services) 향상 그리고 IAG 2007의 성능 향상 등을 포함하고 있습니다.

또한, 마이크로소프트가 최근 발표한 통합 보안 솔루션인 FCS(Forefront Client Security)를 완벽하게 지원하며 윈도우 XP와 윈도우 비스타 클라이언트 모두 사용가능합니다.

또한, Pyramid Computer Gmbh, nAppliance Networks, SufControl, Mendax Microsystems, Baosight 등의 새로운 OEM 파트너가 추가되었습니다. 물론 기존의 파트너인 Celestix와 Network Engines는 그대로 협력하고 있습니다.

풍부한 인증 프로토콜 지원

ISA 방화벽은 AD 인증(RADIUS 인증을 사용하는 경우 제외)만을 지원하지만, IAG는 AD 이외에 다양한 인증 프로토콜과 인증 프로바이더를 지원합니다. LDAP은 정확히 말하면 AD를 위해만 제공되는 것이 아니라 지원하는 모든 인증 프로바이더 중 하나입니다. 아래 그림에서는 지원하는 인증 프로바이더의 목록을 보여 주고 있습니다.

앞서 IAG 2007 장비에는 ISA 방화벽이 설치되어 제공된다는 점을 설명한 적이 있습니다. ISA 방화벽은 IAG 2007의 핵심 구성요소와 윈도우 운영체제를 보호하기 위해 사용됩니다. 즉, ISA 방화벽이 설치되면 더 이상 어떤 공격자들도 윈도우 운영체제의 부분을 털 끝 하나라도 건드리지 못하게 됩니다.

ISA 방화벽과 IAG 2007은 효율적으로 동작하기 위해 통합되어 있으며 구성도 통합된 구조입니다. IAG 2007에서 포탈을 생성하고 애플리케이션 프로바이더를 구성할 때 ISA 방화벽에서는 해당하는 장비와 서비스를 사용할 수 있게끔 정책을 자동으로 구성하여 줍니다. 즉, IAG 2007을 본연의 목적으로 사용하지 않는 한(ex.원격 액세스 VPN 서버로 구성, PPTP, L2TP/IPSec VPN 솔루션 게이트웨이로 사용) ISA 방화벽에 대해 별도의 정책을 작성할 필요가 거의 없다는 의미입니다.

지원하는 인증 프로토콜과 프로바이더는 다음과 같습니다.

• ACE
• NT Domain
• Active Directory
• Netscape LDAP Server
• Notes Directory
• Novell Directory
• RADIUS
• TACACS+
• WINHTTP
• Other

Other를 선택한 경우에는 IAG 2007 콘솔에서 인증 프로토콜과 프로바이더에 대해 직접 구성할 수 있습니다. 이 또한 IAG 2007의 유연함을 보여주는 것으로 현재 또는 앞으로 발표되는 인증 프로토콜 및 프로바이더를 실제적으로 지원할 수 있게 해 줍니다.

포지티브 및 네거티브 로직의 웹 애플리케이션 검사(inspection)

IAG 2007 SSL VPN 게이트웨이가 다른 SSL VPN 솔루션에 비교할 때 강점으로 내세울 수 있는 기능이 2 가지가 있으며 이 중 하나가 바로 포지티브 및 네거티브 로직 기반의 필터링 기능입니다. 현재 이 기능을 지원하는 SSL VPN 솔루션은 없는 것으로 알려져 있습니다.

대부분의 SSL VPN에서는 지극히 제한된 애플리케이션 수준의 검사 기능을 지원합니다. 즉, ISA 방화벽의 HTTP 보안 필터와 같이 네거티브 로직을 사용하여 여러분이 직접 작성한 서명에 대해서만 검사를 수행할 수 있습니다. 네거티브 로직 필터의 문제점은 바로 알려져 있는 익스플로잇으로부터 보호할 수 있다는 점입니다.

IAG 2007에서는 네거티브 로직뿐만 아니라 포지티브 로직도 지원합니다. 포지티브 로직이란 게시한 서비스에 대해 "안전하다고 알려져 있는" 통신에게만 허용한다는 의미입니다. 시스템이 해당 애플리케이션에 대한 심도있는 이해가 있는 경우에만 포지티브 로직 필터링 기능을 사용할 수 있다는 점을 주의해야 합니다.

예를 들면, IAG 2007을 통해 OWA나 SharePoint를 게시할 때에 자동으로 포지티브 로직 필터가 적용됩니다. 이러한 필터는 수백 수천 번의 실험과 테스트를 거쳐 완성된 것입니다.

만약 네거티브 로직 필터에 일치하는 연결이 있는 경우 곧바로 차단합니다. 또한 포지티브 로직 필터에 일치하지 않는 경우에도 연결이 차단됩니다. 네거티브 필터와 포지티브 필터를 적절히 조합하여 사용함으로써 알려져 있는 익스플로잇 뿐만 아니라 제로데이 공격으로부터 보호할 수 있습니다.

아래 그림은 복잡한 정규 표현식 기반으로 필터를 어떻게 구성하는지 보여 줍니다. Whale 포탈, Whale 내부 사이트, Whale 이벤트 모니터와 같은 IAG 2007 기본 구성 요소를 볼 수 있습니다.

아래 그림은 게시한 OWA 사이트에 적용된 복잡한 포지티브 및 네거티브 로직 필터를 보여주고있습니다. ISA 방화벽의 HTTP 보안 필터는 특정한 문자열(서명)을 기준으로 차단할 수 있는데 반해, IAG 2007은 특정한 문자열을 손쉽게 표현할 수 있는 정규표현식으로 허용 또는 거부하는 서명을 사용할 수 있습니다. OWA와 기타 서비스들은 IAG 장비에 이미 제공되고 있으며 포지티브 및 네거티브 로직 필터도 미리 구성되어 있습니다. 따라서, 여러분은 어떤 애플리케이션을 "사용"해야 하는지 알기만 하면 됩니다.

이번 문서는 IAG 2007의 세 번째 강좌입니다.

주요 목차는 다음과 같습니다.

공유 파일 액세스

보안 옵션

• ISA 방화벽
• 첨부 제거
• 풍부한 인증 프로토콜 지원
• 포지티브 및 네거티브 로직의 웹 애플리케이션 검사
• 호스트 주소 변환
• 안전한 로그오프 및 비사용시 초과시간 설정

공유 파일 액세스

맨 처음 강좌를 시작했을 때를 다시 한번 살펴 보면, SSL VPN이 사용자에게 지원하는 가장 중요한 기능 중에 하나가 원격지에서 네트워크 파일에 대한 액세스를 제공하는 것입니다. 인터넷을 통해 SMB/CIFS 파일 공유한다는 것은 보안상 아주 취약하다는 것을 대부분 다 알고 있을 것입니다. SSL VPN이 왜 필요한지 이해하는데 있어 먼저 SSL VPN이 어떤 부분에 필요한지를 파악하면 쉽게 알 수 있습니다.

IAG 2007에서는 파일을 공유하기 위한 원격 액세스 지원을 위해 다양한 기능을 제공합니다. 파일 공유 액세스 구성요소는 사용자 인터페이스를 통해 손쉽게 사용하고 구성할 수 있습니다. Exchange 2007과는 달리 이러한 작업을 진행하기 위해 명령 프롬프트에서 입력할 필요가 없습니다.

아래 그림은 사용자가 원격지에 있는 공유 파일을 액세스하는 것을 보여 줍니다. 파일 공유 옵션에서는 사용자의 포탈 페이지를 보여주고, 포탈 링크를 클릭하면 해당 파일 공유를 여러분이 자주 보아왔던 탐색기와 비슷한 형태로 보여줍니다. 사용자들은 탐색기를 사용하듯이 서버의 공유 폴더는 살펴 볼 수 있습니다. 사용자가 필요한 파일을 찾았다면 마우스 오른쪽 버튼으로 이 파일을 클릭하고 download 메뉴를 이용하여 다운로드받을 수 있습니다. 물론 SSL VPN 통신으로 안전하게 클라이언트에게 전송됩니다.

하지만, SSL VPN에서는 파일을 다루는 방식이 약간 다릅니다. 즉, 일반적인 네트워크 공유 상태에서는 사용자가 실시간으로 파일을 변경하거나 편집할 수 있습니다. 하지만, SSL VPN에서는 이러한 기능을 제공하지 않습니다. 따라서, 사용자는 파일을 로컬로 다운로드하여 작업을 하고 그 다음에 서버로 업로드하는 방식을 취해야 합니다.

또한, Open 메뉴를 사용하여 파일의 내용을 열어 볼 수는 있습니다.

아래 그림은 관리자가 서버에서 공유할 폴더를 구성하는 것을 보여 주고 있습니다. IAG 2007에서는 먼저 파일 서버를 도메인의 멤버 서버로 등록해야 해야 합니다. 단독 서버인 경우에는 멤버 서버의 공유 폴더와 연동하면 사용할 수 있습니다. 공유할 파일 서버를 선택하고 나서 어느 사용자가 액세스할 수 있는지 선택할 수 있습니다. 공유에는 공유 권한과 NTFS 권한 모두 적용되므로 권한에 대해서 한번 더 검토해야 합니다

아래 그림은 윈도우 서버 기반의 공유뿐만 아니라 Novell 파일 서버로의 원격 액세스도 지원하는 것을 보여 줍니다. 이러한 작업을 위해서는 IAG 2007에 Novell 클라이언트 소프트웨어를 설치해야 합니다.

우리가 파일 공유라고 한다면 보통 네트워크 드라이브 매핑, 그리고 액티브 디렉터리에서 사용되는 홈 디렉터리를 들 수 있습니다. IAG 2007에서는 이러한 공유 기능 또한 지원합니다. 아래 그림은 Don't Define User's Home Directories, Use Domain Controller Settings for Home Directories와 use the Following Template for Home directories를 사용할 수 있는 옵션을 제공합니다. 또한 User's Home Directory Will be Displayed Every Time File Access is Loaded도 제공합니다. 홈 디렉터리 기능에 대해 자동화된 지원을 하기 때문에 사용자들은 편리하게 자신의 컴퓨터를 다루듯이 사용할 수 있습니다.

네트워크 드라이브를 사용자들이 사용할 수 있게 해주는 스크립트를 통해 매핑하는 경우에는 단지 Show Mapped Drives옵션을 켜고, 스크립트 엔진을 정하면 됩니다. 네트워크 드라이브도 사용자의 포탈에 나타나며 손쉽게 액세스할 수 있습니다.

To be Continued...

 앞 강좌에서는 VPN의 역사에서부터 왜 SSL VPN이 새롭게 선보이게 되었는지 간략하게 살펴 보았다. 이 번 강좌에서는 IAG에 대해서 설명을 시작하려고 한다. IAG 2007은 앞에서도 언급한 바와 같이 ISA 2006 스탠다드 에디션 방화벽에 탑재되어 판매되고 있다. 방금 박스를 풀은 상태에서 제공하는 기능에 대해 살펴 보고, 조직에서 안전한 원격 액세스를 제공하기 위해 어떤 조치를 취해야 하는지 알아 본다.

 앞 강좌에서는 VPN의 역사에서부터 왜 SSL VPN이 새롭게 선보이게 되었는지 간략하게 살펴 보았다. 이 번 강좌에서는 IAG에 대해서 설명을 시작하려고 한다. IAG 2007은 앞에서도 언급한 바와 같이 ISA 2006 스탠다드 에디션 방화벽에 탑재되어 판매되고 있다. 방금 박스를 풀은 상태에서 제공하는 기능에 대해 살펴 보고, 조직에서 안전한 원격 액세스를 제공하기 위해 어떤 조치를 취해야 하는지 알아 본다.

이 강좌에서 주로 살펴 볼 부분은 다음과 같다.

• 연결 방식
• 고급 애플리케이션 수준의 검사(inspection) 리버스 프록시
  
• 포트 및 소켓 포워더
  
• 네트워크 커넥터

연결 방식
다 른 많은 SSL VPN 솔루션은 단일 연결 방식만을 사용하도록 제한하고 있지만, IAG 2007에서 클라이언트는 IAG 2007 VPN 게이트웨이에 다양한 연결 방식을 사용할 수 있다. IAG 2007은 액세스가 필요한 애플리케이션의 유형에 맞는 연결 방식을 제공하기 위해 다양한 옵션을 제공한다.

IAG 2007에서는 주로 다음과 같이 3 가지 연결 방식을 제공하고 있다.

1. 고급 애플리케이션 수준의 검사(inspection) 리버스 프록시
   
2. 포트 및 소켓 포워더
   
3. 네트워크 커넥터

1. 고급 애플리케이션 수준의 검사 리버스 프록시
IAG 2007에서 제공하는 고급 애플리케이션 수준의 검사 리버스 프록시는 ISA 방화벽에서 제공하는 웹 게시 규칙 기능과 아주 유사하다. 하지만, ISA 웹 게시 규칙과 IAG 2007 고급 애플리케이션 수준의 리버스 프록시와는 중요한 몇가지 차이점을 가지고 있다. 차이점은 다음과 같다.

훌륭한 성능을 제공하는 애플리케이션 수준의 검사 기능
ISA 방화벽에서는 제품 출하시 HTTP 보안 필터가 내장되어 있다. 하지만, HTTP 보안 필터는 특정한 메쏘드를 차단/허용하거나 차단 서명을 생성하도록 구성하지 않는 한 최소한의 보호 기능을 제공한다.

ISA 방화벽에서 제공하는 HTTP 보안 필터의 중요한 2가지 제한 사항은 다음과 같다.

• 서명을 거부하도록 설정할 수 있지만, 화이트 리스트 즉, 허용하는 서명은 설정할 수 없다.
  
• 서명은 그냥 문자열을 기반으로 작성하게 되며, URL이나 데이터를 좀더 명확히 정의하는 정규 표현식을 사용할 수 없다.

참고로, IAG 2007에서는 정규 표현식(RegEx)를 지원하며 차단/허용 규칙에서 사용할 수 있다. 아마도 리눅스에서 프로그래밍을 해보신 분이라면 정규 표현식에 대해 익히 알고 있을 것이라고 생각된다.

ISA 방화벽에서 제공하는 HTTP 보안 필터는 게시한 웹 서버와 인터넷 사용자간의 적절한 통신이 이루어지는지 확인하기 위해 엄청난 양의 작업량을 필요로 한다. 게시된 웹 서버에서 적절한 통신이 무엇인지 확인한 후에도, 여러분은 인터넷에서 공격하는 다양한 알려진 익스플로잇으로부터 게시된 서버를 보호하기 위해 어떤 통신을 차단할 지 검토해야 한다.

한편, IAGE 2007에서는 여러분이 게시하려는 업무상의 애플리케이션을 위해 충분한 애플리케이션 수준의 지식을 보유하고 있다. IAG 2007에서는 이를 위한 전문적인 팀이 운영되고 있으며, 업무에서 사용되는 애플리케이션에 필요한 적절한 통신이 무엇인지 그리고 어떤 통신을 차단해야 하는지 종합적인 정보를 제공하고 있다. 즉, 팀이 여러분이 해야 할 일을 대신해 주고 있으므로 업무에 대한 부담이 줄 수 있다.

IAG 2007에서는 포지티브 로직(게시된 웹 서버로 적절한 통신만을 허용함)뿐만 아니라 네거티브 로직 필터도 제공한다. 네거티브 로직 필터는 인터넷에서 이미 알려져 통용되고 있는 익스플로잇으로 파생되는 통신을 차단한다. 즉, 네거티브 로직 필터는 주로 알려져 있으며 해를 미칠 수 있는 통신을 차단한다. 그리고 포지티브 로직 필터는 제로데이 공격과 같은 통신을 차단한다.

IAG 2007에서는 마이크로소프트가 제공하는 다양한 애플리케이션(예를 들면, Exchange 웹 서비스(OWA, OMA, 액티브 싱크, RPC/HTTP), SharePoint 서비스, 마이크로소프트 CRM)뿐만 아니라 유명한 다른 애플리케이션(예를 들면, SAP 엔터프라이즈 포탈, Webtop Documentum, 도미노 웹액세스, SecureView 등등)을 게시할 수 있도록 제공한다. IAG 2007은 다양한 OS가 혼재되어 있는 이기종(heterogeneous) 환경에서도 충분한 원격 액세스 연결을 안전하게 지원하도록 설계되었다.

아래 그림은 SharePoint 서버를 게시하는데 사용하는 애플리케이션 지식 및 필터링의 예이다.

 

포탈을 자동으로 만드는 기능
마 이크로소프트가 개발하는 제품들에는 마법사라는 편리한 기능이 포함되어 있다. ISA 방화벽이외에 다른 회사의 SSL VPN 제품에는 여러분이 게시한 애플리케이션을 사용자가 연결할 수 있게 해주는 포탈 사이트를 자동으로 만들어 주지 않는다. ISA 방화벽의 웹 게시 규칙을 통해 사용자는 게시된 웹서버에 연결할 URL을 기억해야 할 필요가 있다. 하지만, 많은 수의 애플리케이션을 게시하는 경우라면 사용자는 각기 URL을 모두 기억해야 하는 큰 불편함을 겪을 수 밖에 없다. 사용자는 프로그래머이거나 웹코딩에 익숙하지 않다는 점을 기억해야 할 것이다.

아래 그림은 IAG 2007이 자동으로 만들어 주는 포탈의 예를 보여 주고 있다. 포탈을 생성하고, 포탈에 애플리케이션을 할당하여 게시하면, 포탈 페이지에 이 정보를 볼 수 있다. 여기에서는 IAG 2007의 리버스 프록시 기능을 예로 들어 설명하기 때문에 포탈에는 웹 애플리케이션만 볼 수 있지만, 실제로는 다양한 게시 서버를 이용할 수 있다. 물론, 이 포탈은 사용자가 로그온한 이후에 나타난다.
 

인증과 권한 부여를 통한 포탈 커스터마이징
포 탈을 생성하고 난 이후에는 포탈에 로그인하는 사용자 계정에 따라 포탈에 연결할 수 화면을 다르게 보여 주도록 커스터마이징할 수 있다. 사용자 계정과 보고된 보안 상태(IAG 2007의 종단 감시 기능의 결과)를 통해 사용자가 볼 수 있는 포탈을 결정할 수 있다. 여러 개의 포탈을 만들지 않고 하나의 포탈을 통해 사용자 계정 또는 로그온하는 컴퓨터에 따라 접속 환경이 바뀐다.
 

다양한 인증 프로토콜 지원
ISA 방화벽에서는 마이크로소프트 AD 인증 방식 이외의 다양한 인증 방식을 지원한다. IAG 2007은 ISA 방화벽이 지원하는 인증 프로토콜을 동일하게 지원한다. 예를 들면, IAG 2007은 액티브 디렉터리, LDAP, 노츠, 넷스케이프, 노벨을 지원하며, 심지어 TACAC+도 지원한다. 또한 관리자가 필요로 하는 애플리케이션 프로토콜과 프로바이더를 지원하도록 커스터마징할 수 있다.

2. 포트 및 소켓 포워더
IAG 2007을 통해 웹 서버가 아닌 다른 애플리케이션 서버를 게시할 수 있다. ISA 방화벽에서 웹 서버 이외의 다른 서버를 게시할 경우에는 서버 게시 규칙을 사용해 왔다. IAG 2007은 이러한 애플리케이션과의 통신을 위해 SSL로 암호화된 원격 액세스를 지원한다. ISA 서버 게시 규칙과 비교할 때 IAG 2007이 가지는 장점은 다음과 같다.

암호화되지 않는 애플리케이션 프로토콜을 암호화함
ISA 방화벽을 사용하여 암호화되지 않은 프로토콜에 대한 서버 게시 규칙을 생성할 때, 클라이언트와 서버간의 통신은 암호화되지 않은 평문 상태로 전송되고, 네트워크 스니퍼 등으로 손쉽게 이러한 정보를 낚아 챌 수 있다. 가장 대표적인 경우가 POP3 통신으로, 사용자가 POP3에 접속하여 계정/비밀번호를 전송할 때에 평문으로 전송되므로 손쉽게 알아 낼 수 있다.

한 편, POP3를 게시하기 위해 IAG 2007 VPN 게이트웨이를 사용하는 경우에는 클라이언트와 IAG 2007 장비 사이에는 SSL 터널로 연결된다. IAG 2007 장비 밖에서 서버와 클라이언트 간의 트래픽을 제 3자가 채집하더라도 계정/비밀번호를 알아 낼 수 없으며 메일도 읽을 수 없다. POP3 이외에 SMTP, IMAP4, RPC/MAPI, RDP, NNTP 등 대부분의 암호화 통신을 하지 않는 프로토콜도 마찬가지이다. IAG 2007 SSL VPN은 ISA 방화벽이 없는 네트워크 환경에서도 보안 및 기밀을 유지할 수 있게 해준다.

웹 이외의 프로토콜에 대한 사전 인증 지원
ISA 의 서버 게시 규칙은 웹 프로토콜 이외의 다른 프로토콜에 대해서는 사전 인증을 지원하지 않는다. 이는 ISA 방화벽뿐만 아니라, 웹 프로토콜 이외 다른 프로토콜에 대해 포트포워딩이나 리버스 NAT 기능을 지원하는 대부분의 방화벽에서도 마찬가지이다. 이는 방화벽 자체의 한계가 아니라 프로토콜이 한계 때문으로, 방화벽의 프록시 구성요소가 인증 요청을 가로채서 대신 처리해야 한다.

IAG 2007은 이러한 문제를 웹 프록시(SSL VPN 게이트웨이가 위치한)를 통해 해결했다. 웹 프로토콜 이외의 프로토콜을 액세스하기 위해 사용자는 먼저 IAG 2007 SSL VPN 게이트웨이와 인증을 거쳐야 한다. 인증이 완료되면, 사용자는 포탈에 사용이 허용된 것들만 나타나게 된다. 이를 통해 사전 인증을 지원한다.

Split DNS 문제 해결
ISA 방화벽을 관리할 때 가장 애로사항이 바로 DNS의 분할(split)이다. Split DNS을 통해 사용자는 위치에 구애받지 않고 편리하게 네트워크 자원을 액세스할 때 동일한 객체(도메인) 이름을 사용할 수 있다. 즉, 사내 인트라넷에서 사용할 때 그대로 외부 즉 인터넷에서도 동일하게 사용할 수 있는 장점을 가지고 있다. 하지만, 네트워크 관리자는 DNS를 나눠 관리하기 때문에 관리 부담이 늘어나게 되고, 정확한 이해없이는 정확한 구성을 할 수 없게 된다.

IAG 2007에서는 split DNS이 필요없다. 사용자는 포탈의 이름만 기억하면 되고, 물론 계정 정보도 기억해야겠지만. 사용자가 일단 포탈에 로그온하면 그 이후에는 IAG 2007이 모든 이름풀이 과정을 처리해 준다. 따라서, 사용자는 포탈의 이름을 모두 기억할 필요가 없으며, 관리자도 DNS를 편하게 관리할 수 있다.

소켓 액세스를 통한 애플리케이션 제어
소 켓 포워딩 기능을 통해 클라이언트에서 애플리케이션이 IAG 2007 SSL VPN 게이트웨이로 어느 포트로 허용할지 결정할 수 있을 뿐만 아니라 그 포트를 사용할 애플리케이션도 결정할 수 있다. 이 기능은 ISA 방화벽의 방화벽 클라이언트 프로그램이 제공하는 기능과 유사한데, 바로 이미지 이름(실행 파일 이름)을 통해 액세스를 제어할 수 잇다. ISA 방화벽 클라이언트 프로그램의 단점이라면 일반 사용자도 이미지 이름을 손쉽게 바꿔서 실행할 수 있다.

2007은 ISA 방화벽 클라이언트 프로그램이 제공하는 애플리케이션 제어 방법보다 한층 발전된 방법으로 애플리케이션의 해시 값을 기준으로 제어한다. 예를 들어, SSL VPN 게이트웨이를 통해 아웃룩 클라이언트 프로그램을 위해 RPC를 허용하려고 한다고 가정하면, 이 게이트웨이로 다른 애플리케이션이 RPC를 사용하지 않게 할 것이다. IAG 2007에서는 SSL VPN 게이트웨이에서 RPC에 대한 트래픽을 허용하고, 또한 RPC종점 매퍼 포트로 호출하는 애플리케이션의 해시캆을 기준으로 아웃룩 2003만 허용하도록 제어한다. 이는 ISA 방화벽 클라이언트 프로그램보다 훨씬 보안성이 강화된 것으로 사용자가 악성코드가 파일이름을 outlook.exe로 바꿔서 실행됨으로 인해 발생할 수 있는 위험성을 줄일 수 있다.

아래 그림은 포트와 포켓 포워더로 연결된 사용자 컴퓨터릐 연결을 보여준다.

IAG 2007 VPN 게이트웨이에서 웹 애플리케이션 이외의 애플리케이션을 지원하는 방법은 다음과 같다.

포트 포워더
포 트 포워더는 SSL VPN 구성요소 중 하나로, 게시한 애플리케이션마다 특정한 로컬 주소/포트로 청취하여 실제 애플리케이션 서버 주소가 아닌 이 주소로 트래픽이 보내지게 한다. SSL VPN 포트 포워더 클라이언트는 트래픽을 SSL로 암호화 터널을 수립하고, SSL VPN 게이트웨이로 전송한다. 포트 포워더는 암호화되지 않은 애플리케이션 프로토콜을 포함하는 터널을 수립하여 SSL VPN으로 암호화하므로 훨씬 안전하다. 포트 포워더는 FTP 프로토콜과 같이 2차 연결이 필요한 프로토콜을 제외한 일반적인 애플리케이션에서만 지원한다

소켓 포워더
소 켓 포워더 SSL VPN 클라이언트는 MS Winsock 서비스 프로바이더 인터페이스를 가로채 채서, 저수준 0-레벨 핸들링을 지원하기 위해 Windows LSP/NSP(Layered Service Provider/Name Space Provider)를 사용한다. NSP는 내부 서버 이름이 터널로 수립되고 인터넷으로 전송되지 않도록 보장하기 위해 내부 서버 이름을 풀이하는데 사용한다. 소켓 포워딩의 보안상 가장 중요한 장점은 사용자를 식별할 수 있고, 트래픽을 생성하여 그 통신에 특정한 보안 매개변수를 설정할 수 있다는 점이다.

3. 네트워크 커넥터
리 버스 프록시와 포트/소켓 포워더는 반대로, 네트워크 커넥터는 진정한 SSL VPN 연결성을 제공한다. 리버스 프록시와 포트/소켓 포워딩에서는 가상의 네트워크 연결이 없다. 네트워크 커넥터를 사용하여 여러분은 원격 액세스 VPN 클라이언트에 할당된 IP 주소 내에 실제로 터널링된 IP로 연결을 한다. 즉, 회사 네트워크로 PPTP나 L2TP/IPSec VPN 네트워크 연결을 지원한다.

네 트워크 커넥터는 클라이언트 컴퓨터의 장치 관리자에서 네트워크 장치로 구현된다. 포탈에서 네트워크 커넥터를 사용할 수 있는 경우에는 클라이언트 컴퓨터에 네트워크 커넥터 애플리케이션이 자동으로 설치된다. 물론, 어떤 컴퓨터에서 네트워크 커넥터가 실행될지 제어할 수 있다. 또한, IAGE 2007 종점 감지 기능을 사용하여 네트워크 커넥터를 어떤 종점 컴퓨터에 허용할지 액세스 정책을 제어할 수 있다.

네트워크 커넥터는 다음과 같은 특징이 있다.

• WINS, DNS, DNS 접미사와 같은 회사 네트워크 매개변수의 자동 감지 및 변경
  
• 고정 IP 주소 영역 또는 DHCP를 사용하여 IP 주소 반영
  
• Split 터널링 제어
  
• TCP, UDP, ICMP 프로토콜 마스크 필터
  
• Windows 2000, XP, Windows 2003 서버 클라이언트 지원
  
• IAG 2007 네트워크 커넥터 프로그램을 설치 후 재부팅할 필요가 없음
  
• 통계 및 연결종료 옵션을 제공하는 세션 아이콘
  
• IP 유니캐스트 기능

네 트워크 커넥터는 네트워크 수준의 액세스를 완벽하게 제어할 수 있게 해주며, 다중 1차 연결과 2차 연결이 필요한 프로토콜까지도 지원한다. VoIP와 같은 복잡한 프로토콜일 경우에는 포트/소켓 포워더에서 지원하지 않을 수도 있는데 이럴 때에는 네트워크 커넥터를 사용한다. 하지만, ISA 방화벽의 강력한 사용자/그룹 액세스 제어 기능과는 달리 네트워크 커넥터에서는 자세한 제어가 힘들다. 네트워크 커넥터는 대표적인 ‘하드웨어’ VPN 게이트웨이로 동작하며 보통 링크를 통해 이루어진다. 원격 액세스 VPN 연결에 대해 좀더 강력한 상태 패킷 검사와 애플리케이션 수준의 검사가 필요한 경우에는 ISA 방화벽의 PPTP 또는 L2TP/IPSec VPN 원격 액세스 VPN 서버의 사용을 고려해야 한다.

4.마무리
이 번 강좌에서는 IAG 2007에서 지원하는 네트워크 연결 방식에 대해 살펴 보았다. IAG 2007 SSL VPN 게이트웨이에서는 애플리케이션의 요구사항에 따라 다음과 같이 3가지 연결 방식을 지원한다.

• 리버스 웹 프록시
  
• 포트/소켓 포워딩
  
• 네트워크 커넥터

다음 강좌에서는 파일 액세스 및 보안 기능에 대해 알아 볼 예정이니 기대하기 바란다.

자료출처 : The Microsoft Intelligent Application Gateway 2007 (IAG 2007) Part 2: IAG Connectivity Options

앞 강좌에서는 VPN의 역사에서부터 왜 SSL VPN이 새롭게 선보이게 되었는지 간략하게 살펴 보았다. 이 번 강좌에서는 IAG에 대해서 설명을 시작하려고 한다. IAG 2007은 앞에서도 언급한 바와 같이 ISA 2006 스탠다드 에디션 방화벽에 탑재되어 판매되고 있다. 방금 박스를 풀은 상태에서 제공하는 기능에 대해 살펴 보고, 조직에서 안전한 원격 액세스를 제공하기 위해 어떤 조치를 취해야 하는지 알아 본다.

이 강좌에서 주로 살펴 볼 부분은 다음과 같다.

• 연결 방식
  • 고급 애플리케이션 수준의 검사(inspection) 리버스 프록시
  • 포트 및 소켓 포워더
  • 네트워크 커넥터

다음 강좌에서 살펴 볼 부분은 다음과 같다.

• 파일 액세스
• 보안 기능
  • ISA 방화벽
  • 첨부파일 차단
  • 다양한 인증 프로토콜 지원
  • 포지티브/네거티브(positive/negative) 로직의 웹 애플리케이션 검사
  • 호스트 주소 변환
  • 안전한 로그오프 및 비업무 시간 제한
• 고급 종단 장비 확인 및 정책 기반의 액세스

1. 연결 방식

   다른 많은 SSL VPN 솔루션은 단일 연결 방식만을 사용하도록 제한하고 있지만, IAG 2007에서 클라이언트는 IAG 2007 VPN 게이트웨이에 다양한 연결 방식을 사용할 수 있다. IAG 2007은 액세스가 필요한 애플리케이션의 유형에 맞는 연결 방식을 제공하기 위해 다양한 옵션을 제공한다.

                        IAG 2007에서는 주로 다음과 같이 3 가지 연결 방식을 제공하고 있다.

• 고급 애플리케이션 수준의 검사(inspection) 리버스 프록시
• 포트 및 소켓 포워더
• 네트워크 커넥터

1. 고급 애플리케이션 수준의 검사 리버스 프록시

   IAG 2007에서 제공하는 고급 애플리케이션 수준의 검사 리버스 프록시는 ISA 방화벽에서 제공하는 웹 게시 규칙 기능과 아주 유사하다. 하지만, ISA 웹 게시 규칙과 IAG 2007 고급 애플리케이션 수준의 리버스 프록시와는 중요한 몇가지 차이점을 가지고 있다. 차이점은 다음과 같다.

           훌륭한 성능을 제공하는 애플리케이션 수준의 검사 기능

ISA 방화벽에서는 제품 출하시 HTTP 보안 필터가 내장되어 있다. 하지만, HTTP 보안 필터는 특정한 메쏘드를 차단/허용하거나 차단 서명을 생성하도록 구성하지 않는 한 최소한의 보호 기능을 제공한다.

            ISA 방화벽에서 제공하는 HTTP 보안 필터의 중요한 2가지 제한 사항은 다음과 같다.

• 서명을 거부하도록 설정할 수 있지만, 화이트 리스트 즉, 허용하는 서명은 설정할 수 없다.
• 서명은 그냥 문자열을 기반으로 작성하게 되며, URL이나 데이터를 좀더 명확히 정의하는 정규 표현식을 사용할 수 없다.

참고로, IAG 2007에서는 정규 표현식(RegEx)를 지원하며 차단/허용 규칙에서 사용할 수 있다. 아마도 리눅스에서 프로그래밍을 해보신 분이라면 정규 표현식에 대해 익히 알고 있을 것이라고 생각된다.

ISA 방화벽에서 제공하는 HTTP 보안 필터는 게시한 웹 서버와 인터넷 사용자간의 적절한 통신이 이루어지는지 확인하기 위해 엄청난 양의 작업량을 필요로 한다. 게시된 웹 서버에서 적절한 통신이 무엇인지 확인한 후에도, 여러분은 인터넷에서 공격하는 다양한 알려진 익스플로잇으로부터 게시된 서버를 보호하기 위해 어떤 통신을 차단할 지 검토해야 한다.

한편, IAGE 2007에서는 여러분이 게시하려는 업무상의 애플리케이션을 위해 충분한 애플리케이션 수준의 지식을 보유하고 있다. IAG 2007에서는 이를 위한 전문적인 팀이 운영되고 있으며, 업무에서 사용되는 애플리케이션에 필요한 적절한 통신이 무엇인지 그리고 어떤 통신을 차단해야 하는지 종합적인 정보를 제공하고 있다. 즉, 팀이 여러분이 해야 할 일을 대신해 주고 있으므로 업무에 대한 부담이 줄 수 있다.

IAG 2007에서는 포지티브 로직(게시된 웹 서버로 적절한 통신만을 허용함)뿐만 아니라 네거티브 로직 필터도 제공한다. 네거티브 로직 필터는 인터넷에서 이미 알려져 통용되고 있는 익스플로잇으로 파생되는 통신을 차단한다. 즉, 네거티브 로직 필터는 주로 알려져 있으며 해를 미칠 수 있는 통신을 차단한다. 그리고 포지티브 로직 필터는 제로데이 공격과 같은 통신을 차단한다.

IAG 2007에서는 마이크로소프트가 제공하는 다양한 애플리케이션(예를 들면, Exchange 웹 서비스(OWA, OMA, 액티브 싱크, RPC/HTTP), SharePoint 서비스, 마이크로소프트 CRM)뿐만 아니라 유명한 다른 애플리케이션(예를 들면, SAP 엔터프라이즈 포탈, Webtop Documentum, 도미노 웹액세스, SecureView 등등)을 게시할 수 있도록 제공한다. IAG 2007은 다양한 OS가 혼재되어 있는 이기종(heterogeneous) 환경에서도 충분한 원격 액세스 연결을 안전하게 지원하도록 설계되었다.

아래 그림은 SharePoint 서버를 게시하는데 사용하는 애플리케이션 지식 및 필터링의 예이다.

1. 포탈을 자동으로 만드는 기능

   마이크로소프트가 개발하는 제품들에는 마법사라는 편리한 기능이 포함되어 있다. ISA 방화벽이외에 다른 회사의 SSL VPN 제품에는 여러분이 게시한 애플리케이션을 사용자가 연결할 수 있게 해주는 포탈 사이트를 자동으로 만들어 주지 않는다. ISA 방화벽의 웹 게시 규칙을 통해 사용자는 게시된 웹서버에 연결할 URL을 기억해야 할 필요가 있다. 하지만, 많은 수의 애플리케이션을 게시하는 경우라면 사용자는 각기 URL을 모두 기억해야 하는 큰 불편함을 겪을 수 밖에 없다. 사용자는 프로그래머이거나 웹코딩에 익숙하지 않다는 점을 기억해야 할 것이다.

아래 그림은 IAG 2007이 자동으로 만들어 주는 포탈의 예를 보여 주고 있다. 포탈을 생성하고, 포탈에 애플리케이션을 할당하여 게시하면, 포탈 페이지에 이 정보를 볼 수 있다. 여기에서는 IAG 2007의 리버스 프록시 기능을 예로 들어 설명하기 때문에 포탈에는 웹 애플리케이션만 볼 수 있지만, 실제로는 다양한 게시 서버를 이용할 수 있다. 물론, 이 포탈은 사용자가 로그온한 이후에 나타난다.

1. 인증과 권한 부여를 통한 포탈 커스터마이징

   포탈을 생성하고 난 이후에는 포탈에 로그인하는 사용자 계정에 따라 포탈에 연결할 수 화면을 다르게 보여 주도록 커스터마이징할 수 있다. 사용자 계정과 보고된 보안 상태(IAG 2007의 종단 감시 기능의 결과)를 통해 사용자가 볼 수 있는 포탈을 결정할 수 있다. 여러 개의 포탈을 만들지 않고 하나의 포탈을 통해 사용자 계정 또는 로그온하는 컴퓨터에 따라 접속 환경이 바뀐다.

1. 다양한 인증 프로토콜 지원

ISA 방화벽에서는 마이크로소프트 AD 인증 방식 이외의 다양한 인증 방식을 지원한다. IAG 2007은 ISA 방화벽이 지원하는 인증 프로토콜을 동일하게 지원한다. 예를 들면, IAG 2007은 액티브 디렉터리, LDAP, 노츠, 넷스케이프, 노벨을 지원하며, 심지어 TACAC+도 지원한다. 또한 관리자가 필요로 하는 애플리케이션 프로토콜과 프로바이더를 지원하도록 커스터마징할 수 있다.

지난 번 강좌를 통해 ISA Server에서 새롭게 추가된 SSL VPN 기능에 간단히 언급한 적이 있다. IAG 2007이 바로 그 제품인데, 실제로는 Whale이라는 자회사에서 개발한 프로그램을 ISA Server와 연동한 것이라고 보면 되겠다. ISA Server 방화벽의 기능 중에 가장 빈약한 기능이 바로 SSL VPN 기능이었는데, 이를 지원함으로써 통합 보안 솔루션으로 한번 더 자리매김하게 되었다. 참고로, 필자는 IAG 2007을 실제로 시연하는 모습을 살펴 보았는데, 다음 번에는 현장에서 실제 사용되는 서버의 화면으로 IAG 2007을 설명할 예정이니 기대하기 바란다.

이 글은 IAG 2007에서 지원하는 SSL VPN의 실제 기능에 대해 설명하지 않고 먼저 기초가 되는 SSL VPN의 역사에 대한 다루고 있다. 또한, SSL VPN의 역할이 무엇인지에 대해서도 다룬다.

SSL VPN의 역사

필요는 발명의 어머니! SSL VPN은 문제점을 해결하기 위한 하나의 기술로 소개되었다. 여기서 문제점이란 회사의 직원들이 회사 애플리케이션에 원격 액세스를 제공하여야 할 때 요구되는 복잡성과 어려움을 말한다. 가장 처음에 제시된 솔루션은 바로 전화접속 RAS 서버였다. 전화접속 RAS 솔루션의 가장 큰 단점은 속도가 아주 느렸으며, 그 보다는 장거리 전화요금 때문에 골치꺼리 였다. 만약, 외국에서 국내 회사 서버로 전화접속을 한다면 얼마나 많은 국제전화 요금을 낼 것인가? 싸이도 싸대기를 맞을 수 있다!

원격 접속 환경은 인터넷이 소개되고, 속도가 빨라지면서 이러한 기술은 급격하게 변화하게 되었다. 전화접속 대신에 인터넷을 사용하고, 전화 접속 모뎀을 여러 개 장착한 뱅크~ 대신에 VPN 서버로 대체하게 되었다. VPN 서버는 인터넷에 연결된 클라이언트에서 연결을 허용하고, 회사 네트워크 자원에 접속할 수 있게 해준다. 물론 클라이언트들은 회사 애플리케이션이나 애플리케이션 프로토콜을 사용할 수 있게 된다.

간단히 보기에는 VPN 기술이 아주 이상적인 솔루션으로 보일 수 있다. Windows NT에서 제공하는 VPN 서버 기능은 RRAS 서비스로 제공된다. PPTP(나중에는 L2TP/IPSec으로 발전됨)를 사용하여 회사 네트워크에 직접 연결한 것처럼 충분한 액세스를 제공받을 수 있다. 이러한 경험은 예전의 전화 접속 방식보다 훨씬 훌륭하다. 인터넷 업체의 속도 경쟁 덕분에 속도도 월등히 빠르다.

하지만, 이러한 이상적인 솔루션을 사용하면서도 결점이 눈이 보이는 것은 당연한 것 아닐까? VPN 솔루션에서 단점으로 여겨지는 사항을 정리해 보았다.

• VPN 연결을 사용하기 전에 이미 사용하던 일상적인 애플리케이션(예를 들면, 아웃룩 등)을 모두 종료해야 한다는 점이다. 사용자는 단지 일의 연장일 뿐인데, 왜 이렇게 해야 하는지 이해하지 못한다.
• VPN 클라이언트 구성이 복잡하다. 손쉬운 마법사 기능이 제공되는 제품도 있지만, 대부분 VPN 클라이언트를 설치하는데 어려움을 느끼고, 고객 지원팀의 도움을 받는 경우가 허다하다.
• 설치가 완료되더라도 일부 네트워크 환경에서는 사용하는데 어려움을 겪을 수 있다. 예를 들어, 방화벽에서 이러한 포트를 열어 주지 않는 다면, 사용자는 이래저래 고생할 것이다. 이러한 변수로 인해 고객 지원팀의 운영에 들어가는 비용이 증가할 수 있다.
• VPN 클라이언트는 사용하려는 네트워크에 따라 서로 다른 네트워크 ID를 가져야 한다. 이러한 문제로 인해 다양한 문제점이 발생할 수 있다.
• PPTP에서는 복잡한 암호를 사용하지 않은 경우 보안상 문제점을 가지고 있다. 이러한 단점이 L2TP/IPSec의 출현을 가져오게 했다.
• VPN 연결을 성공적으로 하게 되면, 그 사용자는 네트워크에 대해 리소스에 대한 충분한 액세스를 제공받을 수 있다. 하지만, 이러한 결과 바이러스, 웜 기타 익스플로잇이 회사 네트워크로 감염되어 보다 큰 보안 사고를 유발할 수 있다. 이 문제는 보안상 아주 중요한 부분이기 때문에 아주 중요한 이슈로 받아 들여야 한다. 이러한 단점을 해결해 주는 솔루션이 바로 ISA 2004/2006이다.

지금까지 언급한 단점들을 토대로 SSL VPN 솔루션의 개념이 탄생하게 되었다. SSL VPN의 주된 목표는 다음과 같다.:

• 방화벽을 통해 아무런 불편없는 액세스를 제공
• NAT 장비의 존재 여부에 관계없이 원격 액세스 솔루션은 쭉~ 제공되어야 한다.
• 복잡한 VPN 클라이언트 소프트웨어를 설치할 필요가 없어야 한다. 그런데 이거 설치해 보니, Active-X 컨트롤이다. 아이러니하다.

최근 국내 회사에서 제공하는 SSL VPN은 웹 인터페이스를 제공하고 있다. 그런데 이러한 인터페이스가 사용자의 편리성을 중요한 것인지? 아니면 개발의 한계 때문인지 이는 물어봐야 하는데, 힘들다~

하여튼, SSL VPN의 솔루션은 이제 조금씩 자리를 잡아 가고 있다. 다음은 SSL VPN의 4가지 형태를 보여 준다:

• 웹 기반의 애플리케이션만을 지원하는 단순한 리버스 프록시 장비. 가장 대표적인 장비가 ISA 방화벽의 웹 게시 기능으로 VPN과는 아무런 관계가 없다. 이러한 리버스 프록시는 리버스 NAT 솔루션보다는 안전하고, 대리 인증(pre-authentication)과 URL 변경(rewriting)을 지원한다.
• 프로토콜 터널링. SSL 세션에서는 클라이어트와 게이트웨이가 애플리케이션 프로토콜의 터널링을 지원한다. 이러한 SSL VPN의 대표적인 예로는 아웃룩 RPC/HTTP 클라이언트와 RPC/HTTP 프록시가 있다. 아웃룩 RPC/HTTP 클라이언트는 SSL로 암호화된 세션에서 RPC/MAPI 호출을 터널링하고 이러한 패킷을 RPC/HTTP 프록시로 전달한다. RCP/HTTP 프록시는 RPC/MAPI 통신이 터널링된 것을 해제하고 메일 서버로 전달한다.
• 소켓 또는 포트 포워딩 장비. 소켓/포트 포워딩 장비는 특정한 포트/소켓으로 오는 호출을 청취하고, 이러한 호출을 가로채서 SSL VPN 게이트웨이로 전달하는 클라이언트 프로그램을 설치한다. 이러한 대표적인 예로는 로컬 SOCKS 프록시를 들 수 있다. 또한, 개인 PC에 설치되는 백신이 아웃룩으로 들어오고 나가는 메일을 감시하는 방식도 이와 유사하다고 볼 수 있다. 로컬 SOCKS 프록시를 설치하게 되면 TCP 25/100으로 오는 호출을 가로채서 SSL VPN 게이트웨이로 연결을 전달한다. SSL VPN 게이트웨이는 터널된 프로토콜을 해제하여 메일 서버로 전달한다.
• 진정한 SSL VPN. SSL VPN이라고 말할 수 있는 장비라면 회사 네트워크에 매끄럽게 연결할 수 있어야 한다. 앞에서 언급한 단점을 모두는 아니지만 대부분을 해결할 수 있어야 한다. 클라이언트는 적절한 IP주소를 회사 네트워크에서 할당 받아야 하며, 모든 프로토콜을 지원해야 한다. 기존의 VPN 서버와 프로토콜을 경험한 사용자들을 위해 또 다른 사용법을 배우는 수고가 적어야 한다.

현재 SSL VPN은 급격한 변화를 가져오고 있으며, 다양한 제품이 출시되고 있다. 하지만, SSL VPN 제품의 홈페이지에 나와 있는 정보를 보면, "어디서나 회사 네트워크에 접근할 수 있습니다"라는 말만 요란할 뿐 어떤 기술이 제대로 적용되는지 설명된 경우가 그리 많지는 않다.

SSL VPN을 바라보는 IT 관계자나 실제 사용자의 입장에서 살펴 보자. VPN의 원래 목적인 어디서나 회사 네트워크를 액세스하여 매끄럽게 업무를 진행한다는 개념을 가지고 있다. 하지만, SMB/CIFS와 같은 보안상 문제의 소지가 있는 프로토콜을 인터넷을 통해 사용한다는 것은 그리 좋은 보안 정책은 아니지만, 실제 사용자의 입장에서는 당연한 요구일 뿐이다.

잠시 보안에 대해 운을 띄었지만, SSL VPN 용어 자체에서 풍기는 맛은 바로 보안이다. 기존 VPN 서버/장비에서는 그리 큰 보안 대책을 제공하지 못했다. 일부 장비에서는 나름대로의 암호화 터널을 제공했지만, 이는 다른 제품과의 호환성이라는 문제점에 봉착하게 된다. 즉, VPN으로 연결한 사용자는 회사의 업무를 무리 없이 사용할 수 있지만, 또 다른 관점에서 보면 바이러스/웜 그리고 해킹의 주요 발상지가 될 수 있다는 의미이다.

회사 네트워크에는 업무상 자료뿐만 아니라 기밀 데이터가 보관되어 있을 가능성이 매우 높다. 이러한 정보들이 외부로 누출된다면, 큰일이 아닐 수 없다. 그렇다고, 각 개인 PC마다 접속하기 전에 백신/개인용 방화벽이 있는지 그리고 안전한지 확인하는 절차가 있을 가능성은 거의 00%이다.

지금까지 언급한 기존의 VPN 솔루션의 단점을 해결하기 위해 나온 기술이 바로 SSL VPN이다.

SSL VPN의 역할

대부분의 SSL VPN 벤더는 원격 액세스 솔루션에서 발생할 수 있는 보안 취약점을 매우 빨리 개선하고 있으며, 이러한 결과 SSL 게이트웨이는 SSL VPN 기능을 가지게 되었다. 이러한 SSL VPN 기능은 클라이언트와 게이트웨이 단에 구현된다.

엔터프라이즈 급에서 사용가능한 SSL VPN 솔루션은 다음의 기능을 필수적으로 제공해야 할 것이다:

• 터널링. SSL VPN 게이트웨이는 SSL 세션 내에서 웹 기반의 애플리케이션뿐만 아니라 모든 애플리케이션 그리고 프로토콜을 터널링할 수 있어야 한다.
• 클라이언트 보안 강화. SSL VPN 장비는 SSL VPN 클라이언트 컴퓨터의 상태를 평가할 수 있는 수단을 제고하는 어떤 면으로 본다면 종단간 감지 기능을 제공해야 한다. 이러한 기능을 제공하는 이유는 네트워크 보안 정책을 지키지 못하는 클라이언트는 회사 네트워크에 연결할 수 없도록 하기 위함이다. 예를 들어, 가정에서 컴퓨터는 아이들이 사용할 수도 있다. 이러한 경우를 대비하여 원치 않는 접속을 차단할 수 있어야 한다.
• 대리 인증. 외부 사용자들은 회사 서버로 인증 시도뿐만 아니라 직접적인 세션 연결을 가질 수 없다. SSL VPN 게이트웨이는 외부 사용자의 인증을 대리로 받아 인증하고 인증 후에는 사용자의 정보를 게시된 웹 서버로 전달해줘야 한다. 웹 프로토콜뿐만 아니라 다른 모든 프로토콜도 지원해야 한다
• 인증. SSL VPN 게이트웨이는 SSL VPN 포털에서 운영하는 포탈/애프리케이션에 대한 액세스를 허용/거부하는 기능을 가져야 한다.
• 사용자 포탈. 사용자 포탈은 SSL VPN 사용자가 포탈에 로그온한 이후에 사용할 수 있는 애플리케이션을 액세스하기 위해 방문하는 웹페이지를 말한다. 포탈에는 사용자가 접근할 수 있는 모든 애플리케이션을 미리 정의하여 둘 수 있는 페이지가 있다. 즉, 원격 접속을 하기 위해 별도로 URL이나 아이디/비밀번호를 넣는 수고를 덜 수 있다. 설명보다는 그림 한 장이 최고인데, 아직 보안 문제로 스크린샷을 못찍었다.
• 애플리케이션 수준의 검사(inspection). 엔터프라이즈급 SSL VPN 게이트웨이를 좀더 선별하기 위해서는 일정 수준의 애플리케이션 검사 기능을 제공해야 한다. 애플리케이션 수준이라는 의미는 HTTP/HTTPS 연결에 제한될 수도 있다. 하지만, SMTP, POP3, RPC, IMAP4와 같이 많이 사용하는 프로토콜을 지원하는 솔루션도 출시되어 있다.

지금까지 SSL VPN이 초기의 웹 프록시 서버로부터 어떻게 발전해 왔는지 살펴 보았다. 최근 출시되는 SSL VPN 제품들은 SSL VPN, 리버스 프록시, 프로토콜 터널링, SSL 세션으로 네트워크에 연결하는 모든 기능을 제공하고 있다. 또한, SSL VPN은 회사 네트워크 연결이라는 본연의 목적뿐만 아니라 애플리케이션 수준의 보안 검사(inspection)까지 가능한 수준으로 발전되고 있다.

정리

이 강좌를 통해 SSL VPN에 대한 간략한 정보를 소개하고 있다. SSL VPN이 어떤 연유로 탄생했는지 그리고 어떻게 배치되었는지 간략히 설명했다. 다음 기사에서는 IAG 2007에서 제공하는 SSL VPN에 대해 좀더 자세한 정보를 제공하고자 한다. 참고로, 여기서 사용되는 IAG 2007는 모 업체의 협찬으로 가능했다. IAG 2007 써보신 분 손~~.

참고 문헌: ISASERVER.ORG

통합보안·SSL VPN 솔루션 잇단 출시 준비 중, 다양한 런칭 이벤트 개최 예정

 “윈도 비스타 다음엔 보안 솔루션이다.”

마이크로소프트(MS)가 오는 4월부터 기업용 보안 신제품을 잇달아 출시하면서 국내 보안시장에 대공세를 펼친다.

출시 예정됐던 PC나 서버용 안티바이러스 통합보안 솔루션만이 아니라 원격접속 솔루션인 SSL VPN(가상사설망)을 이용한 하드웨어 보안 장비 사업에도 나설 예정이어서, 앞으로 기업 보안 시장에 어떤 영향을 미칠지 주목된다.

21일 한국MS에 따르면, 오는 4월부터 기업용 안티바이러스 통합보안 솔루션인 ‘포어프론트 클라이언트 시큐리티’와 SSL VPN인 ‘인텔리전트 애플리케이션 게이트웨이 2007’, 보안 제품 통합관리 솔루션으로 사용할 수 있는 시스템관리솔루션(SMS)인 ‘센터 오페레이션즈 매니저 2007’를 잇달아 출시할 예정이다.

이와 함께 MS는 상반기 동안 이들 솔루션 런칭 이벤트, 고객 초청 세미나 등 보안 제품 마케팅에 들어갈 예정이어서, 윈도 비스타에 이어 대대적인 시장 공세를 펼칠 것으로 보인다.

특히, 국내 시장에 안정적으로 진입하기 위해 기술력을 보유한 국산 보안 솔루션 개발업체와의 협력하는 전략을 추진하고 있는 MS는 현재 안티바이러스 기술 지원 파트너뿐만 아니라 보안소프트웨어 솔루션을 탑재할 하드웨어 파트너까지 확보해 국내 보안시장 공략을 위한 막바지 전열을 가다듬는 상황이다.

◆기업용 AV 통합보안 솔루션 사업 강화=MS는 기업용 안티멀웨어 통합 솔루션인 ‘포어프론트 클라이언트 시큐리티’를 오는 4월 출시할 예정이다.

이미 지난해 하반기부터 익스체인지 서버와 셰어포인트 서버를 지원하는 안티바이러스·안티스파이웨어, 스팸 차단 통합 제품인 ‘안티젠’ 솔루션을 공급하고 있는 MS는 최근 익스체인지 서버와 셰어포인트 서버 2007 전용 안티바이러스 통합보안 신제품인 ‘포어프론트 서버 시큐리티’도 선보였다.

또 오는 7월에는 익스체인지 서버 2003 이하 버전을 지원하는 안티젠 솔루션의 업그레이드 제품 한글버전도 새롭게 내놓는다.

지난해부터 이 솔루션의 기술지원을 담당할 국내 파트너를 물색해온 MS는 우선협상대상자로 선정한 비전파워와 정식 계약을 눈앞에 두고 있는 상황이며, 현재 두 업체는 구체적인 계약 내용을 조율하고 있어 이르면 이달 말이나 내달 초까지는 완료될 것으로 보인다.

정식 계약이 이뤄지면 MS의 익스체인지 서버와 셰어포인트 서버를 도입하거나 운영 중인 고객을 대상으로 한 보안 제품 설치, 업데이트 등 기술지원이 크게 강화될 전망이다.

이 업체는 우선 포어프론트 시큐리티 서버용 제품을 기술지원할 것으로 알려졌지만 앞으로 MS의 기업용 안티바이러스 제품군은 모두 담당할 것으로 점쳐지고 있다.

◆SSL VPN 국내 협력 파트너 확보=MS는 국내서 SSL VPN 솔루션 시장에 진출하기 위해 현재 국산 네트워크 보안 솔루션 업체와 협력을 추진하고 있다.

이미 SSL VPN 솔루션인 ‘인텔리전트 애플리케이션 게이트웨이 2007(IAG 2007)’을 이 업체의 하드웨어 장비에 얹어 일체형으로 개발해 출시하기 위한 테스트 작업을 진행 중이며, 내달 중 완료해 4월 시장에 선보일 계획을 세웠다.

MS의 ‘IAG 2007’ 제품은 웹브라우저에서 제공되는 SSL(Secure Socket Layer) 기술을 이용해 안전한 원격 접속과 엔드포인트 보안, 애플리케이션 보호 기능을 제공하는 솔루션으로, 방화벽과 IPSec VPN 기능을 제공하는 ‘인터넷 시큐리티 액셀러레이션 서버(ISA 서버)’와 함께 제공된다.

또 전세계 하드웨어 파트너인 셀레스틱스네트웍스 장비에 탑재된 SSL VPN 일체형 솔루션 국내 공급도 추진하고 있다.

한국MS관계자는 “오는 3월 말 테스트 완료해 4~5월 ‘포어프론트 클라이언트 시큐리티’ 등 기업용 보안 솔루션 런칭 이벤트 행사에서 함께 선보이는 것이 목표”라고 말했다.

한편, MS는 개인사용자용 안티멀웨어·PC최적화 통합보안 서비스인 ‘윈도 라이브 원케어’를 오는 3분기 출시할 예정이다.

출처: 디데일리

Forefront Edge Security and Access Demonstration Toolkit

이 데모 툴킷은 IAG 2007과 ISA 2006을 가상 머신으로 구현한 예제입니다.

개요

 툴킷에는 다음의 4가지 시나리오를 보여 주기 위해 모두 9개의 가상 머신을 제공한다.

시스템 요구 사항

운영체제 요구사항

• Windows Server 2003; Windows Vista; Windows XP