'ISA 2007'에 해당되는 글 1건

  1. 2007.04.14 IAG 2007 - SSL VPN(#1 개요)

지난 번 강좌를 통해 ISA Server에서 새롭게 추가된 SSL VPN 기능에 간단히 언급한 적이 있다. IAG 2007이 바로 그 제품인데, 실제로는 Whale이라는 자회사에서 개발한 프로그램을 ISA Server와 연동한 것이라고 보면 되겠다. ISA Server 방화벽의 기능 중에 가장 빈약한 기능이 바로 SSL VPN 기능이었는데, 이를 지원함으로써 통합 보안 솔루션으로 한번 더 자리매김하게 되었다. 참고로, 필자는 IAG 2007을 실제로 시연하는 모습을 살펴 보았는데, 다음 번에는 현장에서 실제 사용되는 서버의 화면으로 IAG 2007을 설명할 예정이니 기대하기 바란다.

이 글은 IAG 2007에서 지원하는 SSL VPN의 실제 기능에 대해 설명하지 않고 먼저 기초가 되는 SSL VPN의 역사에 대한 다루고 있다. 또한, SSL VPN의 역할이 무엇인지에 대해서도 다룬다.

사용자 삽입 이미지

SSL VPN의 역사

필요는 발명의 어머니! SSL VPN은 문제점을 해결하기 위한 하나의 기술로 소개되었다. 여기서 문제점이란 회사의 직원들이 회사 애플리케이션에 원격 액세스를 제공하여야 할 때 요구되는 복잡성과 어려움을 말한다. 가장 처음에 제시된 솔루션은 바로 전화접속 RAS 서버였다. 전화접속 RAS 솔루션의 가장 큰 단점은 속도가 아주 느렸으며, 그 보다는 장거리 전화요금 때문에 골치꺼리 였다. 만약, 외국에서 국내 회사 서버로 전화접속을 한다면 얼마나 많은 국제전화 요금을 낼 것인가? 싸이도 싸대기를 맞을 수 있다!

원격 접속 환경은 인터넷이 소개되고, 속도가 빨라지면서 이러한 기술은 급격하게 변화하게 되었다. 전화접속 대신에 인터넷을 사용하고, 전화 접속 모뎀을 여러 개 장착한 뱅크~ 대신에 VPN 서버로 대체하게 되었다. VPN 서버는 인터넷에 연결된 클라이언트에서 연결을 허용하고, 회사 네트워크 자원에 접속할 수 있게 해준다. 물론 클라이언트들은 회사 애플리케이션이나 애플리케이션 프로토콜을 사용할 수 있게 된다.

간단히 보기에는 VPN 기술이 아주 이상적인 솔루션으로 보일 수 있다. Windows NT에서 제공하는 VPN 서버 기능은 RRAS 서비스로 제공된다. PPTP(나중에는 L2TP/IPSec으로 발전됨)를 사용하여 회사 네트워크에 직접 연결한 것처럼 충분한 액세스를 제공받을 수 있다. 이러한 경험은 예전의 전화 접속 방식보다 훨씬 훌륭하다. 인터넷 업체의 속도 경쟁 덕분에 속도도 월등히 빠르다.

하지만, 이러한 이상적인 솔루션을 사용하면서도 결점이 눈이 보이는 것은 당연한 것 아닐까? VPN 솔루션에서 단점으로 여겨지는 사항을 정리해 보았다.

  • VPN 연결을 사용하기 전에 이미 사용하던 일상적인 애플리케이션(예를 들면, 아웃룩 등)을 모두 종료해야 한다는 점이다. 사용자는 단지 일의 연장일 뿐인데, 왜 이렇게 해야 하는지 이해하지 못한다.
  • VPN 클라이언트 구성이 복잡하다. 손쉬운 마법사 기능이 제공되는 제품도 있지만, 대부분 VPN 클라이언트를 설치하는데 어려움을 느끼고, 고객 지원팀의 도움을 받는 경우가 허다하다.
  • 설치가 완료되더라도 일부 네트워크 환경에서는 사용하는데 어려움을 겪을 수 있다. 예를 들어, 방화벽에서 이러한 포트를 열어 주지 않는 다면, 사용자는 이래저래 고생할 것이다. 이러한 변수로 인해 고객 지원팀의 운영에 들어가는 비용이 증가할 수 있다.
  • VPN 클라이언트는 사용하려는 네트워크에 따라 서로 다른 네트워크 ID를 가져야 한다. 이러한 문제로 인해 다양한 문제점이 발생할 수 있다.
  • PPTP에서는 복잡한 암호를 사용하지 않은 경우 보안상 문제점을 가지고 있다. 이러한 단점이 L2TP/IPSec의 출현을 가져오게 했다.
  • VPN 연결을 성공적으로 하게 되면, 그 사용자는 네트워크에 대해 리소스에 대한 충분한 액세스를 제공받을 수 있다. 하지만, 이러한 결과 바이러스, 웜 기타 익스플로잇이 회사 네트워크로 감염되어 보다 큰 보안 사고를 유발할 수 있다. 이 문제는 보안상 아주 중요한 부분이기 때문에 아주 중요한 이슈로 받아 들여야 한다. 이러한 단점을 해결해 주는 솔루션이 바로 ISA 2004/2006이다.

지금까지 언급한 단점들을 토대로 SSL VPN 솔루션의 개념이 탄생하게 되었다. SSL VPN의 주된 목표는 다음과 같다.:

  • 방화벽을 통해 아무런 불편없는 액세스를 제공
  • NAT 장비의 존재 여부에 관계없이 원격 액세스 솔루션은 쭉~ 제공되어야 한다.
  • 복잡한 VPN 클라이언트 소프트웨어를 설치할 필요가 없어야 한다. 그런데 이거 설치해 보니, Active-X 컨트롤이다. 아이러니하다.

최근 국내 회사에서 제공하는 SSL VPN은 웹 인터페이스를 제공하고 있다. 그런데 이러한 인터페이스가 사용자의 편리성을 중요한 것인지? 아니면 개발의 한계 때문인지 이는 물어봐야 하는데, 힘들다~

하여튼, SSL VPN의 솔루션은 이제 조금씩 자리를 잡아 가고 있다. 다음은 SSL VPN의 4가지 형태를 보여 준다:

  • 웹 기반의 애플리케이션만을 지원하는 단순한 리버스 프록시 장비. 가장 대표적인 장비가 ISA 방화벽의 웹 게시 기능으로 VPN과는 아무런 관계가 없다. 이러한 리버스 프록시는 리버스 NAT 솔루션보다는 안전하고, 대리 인증(pre-authentication)과 URL 변경(rewriting)을 지원한다.
  • 프로토콜 터널링. SSL 세션에서는 클라이어트와 게이트웨이가 애플리케이션 프로토콜의 터널링을 지원한다. 이러한 SSL VPN의 대표적인 예로는 아웃룩 RPC/HTTP 클라이언트와 RPC/HTTP 프록시가 있다. 아웃룩 RPC/HTTP 클라이언트는 SSL로 암호화된 세션에서 RPC/MAPI 호출을 터널링하고 이러한 패킷을 RPC/HTTP 프록시로 전달한다. RCP/HTTP 프록시는 RPC/MAPI 통신이 터널링된 것을 해제하고 메일 서버로 전달한다.
  • 소켓 또는 포트 포워딩 장비. 소켓/포트 포워딩 장비는 특정한 포트/소켓으로 오는 호출을 청취하고, 이러한 호출을 가로채서 SSL VPN 게이트웨이로 전달하는 클라이언트 프로그램을 설치한다. 이러한 대표적인 예로는 로컬 SOCKS 프록시를 들 수 있다. 또한, 개인 PC에 설치되는 백신이 아웃룩으로 들어오고 나가는 메일을 감시하는 방식도 이와 유사하다고 볼 수 있다. 로컬 SOCKS 프록시를 설치하게 되면 TCP 25/100으로 오는 호출을 가로채서 SSL VPN 게이트웨이로 연결을 전달한다. SSL VPN 게이트웨이는 터널된 프로토콜을 해제하여 메일 서버로 전달한다.
  • 진정한 SSL VPN. SSL VPN이라고 말할 수 있는 장비라면 회사 네트워크에 매끄럽게 연결할 수 있어야 한다. 앞에서 언급한 단점을 모두는 아니지만 대부분을 해결할 수 있어야 한다. 클라이언트는 적절한 IP주소를 회사 네트워크에서 할당 받아야 하며, 모든 프로토콜을 지원해야 한다. 기존의 VPN 서버와 프로토콜을 경험한 사용자들을 위해 또 다른 사용법을 배우는 수고가 적어야 한다.

현재 SSL VPN은 급격한 변화를 가져오고 있으며, 다양한 제품이 출시되고 있다. 하지만, SSL VPN 제품의 홈페이지에 나와 있는 정보를 보면, "어디서나 회사 네트워크에 접근할 수 있습니다"라는 말만 요란할 뿐 어떤 기술이 제대로 적용되는지 설명된 경우가 그리 많지는 않다.

SSL VPN을 바라보는 IT 관계자나 실제 사용자의 입장에서 살펴 보자. VPN의 원래 목적인 어디서나 회사 네트워크를 액세스하여 매끄럽게 업무를 진행한다는 개념을 가지고 있다. 하지만, SMB/CIFS와 같은 보안상 문제의 소지가 있는 프로토콜을 인터넷을 통해 사용한다는 것은 그리 좋은 보안 정책은 아니지만, 실제 사용자의 입장에서는 당연한 요구일 뿐이다.

잠시 보안에 대해 운을 띄었지만, SSL VPN 용어 자체에서 풍기는 맛은 바로 보안이다. 기존 VPN 서버/장비에서는 그리 큰 보안 대책을 제공하지 못했다. 일부 장비에서는 나름대로의 암호화 터널을 제공했지만, 이는 다른 제품과의 호환성이라는 문제점에 봉착하게 된다. 즉, VPN으로 연결한 사용자는 회사의 업무를 무리 없이 사용할 수 있지만, 또 다른 관점에서 보면 바이러스/웜 그리고 해킹의 주요 발상지가 될 수 있다는 의미이다.

회사 네트워크에는 업무상 자료뿐만 아니라 기밀 데이터가 보관되어 있을 가능성이 매우 높다. 이러한 정보들이 외부로 누출된다면, 큰일이 아닐 수 없다. 그렇다고, 각 개인 PC마다 접속하기 전에 백신/개인용 방화벽이 있는지 그리고 안전한지 확인하는 절차가 있을 가능성은 거의 00%이다.

지금까지 언급한 기존의 VPN 솔루션의 단점을 해결하기 위해 나온 기술이 바로 SSL VPN이다.

SSL VPN의 역할

대부분의 SSL VPN 벤더는 원격 액세스 솔루션에서 발생할 수 있는 보안 취약점을 매우 빨리 개선하고 있으며, 이러한 결과 SSL 게이트웨이는 SSL VPN 기능을 가지게 되었다. 이러한 SSL VPN 기능은 클라이언트와 게이트웨이 단에 구현된다.

엔터프라이즈 급에서 사용가능한 SSL VPN 솔루션은 다음의 기능을 필수적으로 제공해야 할 것이다:

  • 터널링. SSL VPN 게이트웨이는 SSL 세션 내에서 웹 기반의 애플리케이션뿐만 아니라 모든 애플리케이션 그리고 프로토콜을 터널링할 수 있어야 한다.
  • 클라이언트 보안 강화. SSL VPN 장비는 SSL VPN 클라이언트 컴퓨터의 상태를 평가할 수 있는 수단을 제고하는 어떤 면으로 본다면 종단간 감지 기능을 제공해야 한다. 이러한 기능을 제공하는 이유는 네트워크 보안 정책을 지키지 못하는 클라이언트는 회사 네트워크에 연결할 수 없도록 하기 위함이다. 예를 들어, 가정에서 컴퓨터는 아이들이 사용할 수도 있다. 이러한 경우를 대비하여 원치 않는 접속을 차단할 수 있어야 한다.
  • 대리 인증. 외부 사용자들은 회사 서버로 인증 시도뿐만 아니라 직접적인 세션 연결을 가질 수 없다. SSL VPN 게이트웨이는 외부 사용자의 인증을 대리로 받아 인증하고 인증 후에는 사용자의 정보를 게시된 웹 서버로 전달해줘야 한다. 웹 프로토콜뿐만 아니라 다른 모든 프로토콜도 지원해야 한다
  • 인증. SSL VPN 게이트웨이는 SSL VPN 포털에서 운영하는 포탈/애프리케이션에 대한 액세스를 허용/거부하는 기능을 가져야 한다.
  • 사용자 포탈. 사용자 포탈은 SSL VPN 사용자가 포탈에 로그온한 이후에 사용할 수 있는 애플리케이션을 액세스하기 위해 방문하는 웹페이지를 말한다. 포탈에는 사용자가 접근할 수 있는 모든 애플리케이션을 미리 정의하여 둘 수 있는 페이지가 있다. 즉, 원격 접속을 하기 위해 별도로 URL이나 아이디/비밀번호를 넣는 수고를 덜 수 있다. 설명보다는 그림 한 장이 최고인데, 아직 보안 문제로 스크린샷을 못찍었다.
  • 애플리케이션 수준의 검사(inspection). 엔터프라이즈급 SSL VPN 게이트웨이를 좀더 선별하기 위해서는 일정 수준의 애플리케이션 검사 기능을 제공해야 한다. 애플리케이션 수준이라는 의미는 HTTP/HTTPS 연결에 제한될 수도 있다. 하지만, SMTP, POP3, RPC, IMAP4와 같이 많이 사용하는 프로토콜을 지원하는 솔루션도 출시되어 있다.

지금까지 SSL VPN이 초기의 웹 프록시 서버로부터 어떻게 발전해 왔는지 살펴 보았다. 최근 출시되는 SSL VPN 제품들은 SSL VPN, 리버스 프록시, 프로토콜 터널링, SSL 세션으로 네트워크에 연결하는 모든 기능을 제공하고 있다. 또한, SSL VPN은 회사 네트워크 연결이라는 본연의 목적뿐만 아니라 애플리케이션 수준의 보안 검사(inspection)까지 가능한 수준으로 발전되고 있다.

정리

이 강좌를 통해 SSL VPN에 대한 간략한 정보를 소개하고 있다. SSL VPN이 어떤 연유로 탄생했는지 그리고 어떻게 배치되었는지 간략히 설명했다. 다음 기사에서는 IAG 2007에서 제공하는 SSL VPN에 대해 좀더 자세한 정보를 제공하고자 한다. 참고로, 여기서 사용되는 IAG 2007는 모 업체의 협찬으로 가능했다. IAG 2007 써보신 분 손~~.

참고 문헌: ISASERVER.ORG

reTweet
Posted by 문스랩닷컴
blog comments powered by Disqus

    댓글을 달아 주세요



    Web Analytics Blogs Directory