앞 강좌에서는 VPN의 역사에서부터 왜 SSL VPN이 새롭게 선보이게 되었는지 간략하게 살펴 보았다. 이 번 강좌에서는 IAG에 대해서 설명을 시작하려고 한다. IAG 2007은 앞에서도 언급한 바와 같이 ISA 2006 스탠다드 에디션 방화벽에 탑재되어 판매되고 있다. 방금 박스를 풀은 상태에서 제공하는 기능에 대해 살펴 보고, 조직에서 안전한 원격 액세스를 제공하기 위해 어떤 조치를 취해야 하는지 알아 본다.
이 강좌에서 주로 살펴 볼 부분은 다음과 같다.
다음 강좌에서 살펴 볼 부분은 다음과 같다.
연결 방식
다
른 많은 SSL VPN 솔루션은 단일 연결 방식만을 사용하도록 제한하고 있지만, IAG 2007에서 클라이언트는 IAG 2007
VPN 게이트웨이에 다양한 연결 방식을 사용할 수 있다. IAG 2007은 액세스가 필요한 애플리케이션의 유형에 맞는 연결
방식을 제공하기 위해 다양한 옵션을 제공한다.
IAG 2007에서는 주로 다음과 같이 3 가지 연결 방식을 제공하고 있다.
2. 포트 및 소켓 포워더
IAG 2007을 통해 웹 서버가 아닌 다른 애플리케이션 서버를 게시할 수 있다. ISA 방화벽에서 웹 서버 이외의 다른 서버를 게시할 경우에는 서버 게시 규칙을 사용해 왔다. IAG 2007은 이러한 애플리케이션과의 통신을 위해 SSL로 암호화된 원격 액세스를 지원한다. ISA 서버 게시 규칙과 비교할 때 IAG 2007이 가지는 장점은 다음과 같다.
암호화되지 않는 애플리케이션 프로토콜을 암호화함
ISA 방화벽을 사용하여 암호화되지 않은 프로토콜에 대한 서버 게시 규칙을 생성할 때, 클라이언트와 서버간의 통신은 암호화되지 않은 평문 상태로 전송되고, 네트워크 스니퍼 등으로 손쉽게 이러한 정보를 낚아 챌 수 있다. 가장 대표적인 경우가 POP3 통신으로, 사용자가 POP3에 접속하여 계정/비밀번호를 전송할 때에 평문으로 전송되므로 손쉽게 알아 낼 수 있다.
한 편, POP3를 게시하기 위해 IAG 2007 VPN 게이트웨이를 사용하는 경우에는 클라이언트와 IAG 2007 장비 사이에는 SSL 터널로 연결된다. IAG 2007 장비 밖에서 서버와 클라이언트 간의 트래픽을 제 3자가 채집하더라도 계정/비밀번호를 알아 낼 수 없으며 메일도 읽을 수 없다. POP3 이외에 SMTP, IMAP4, RPC/MAPI, RDP, NNTP 등 대부분의 암호화 통신을 하지 않는 프로토콜도 마찬가지이다. IAG 2007 SSL VPN은 ISA 방화벽이 없는 네트워크 환경에서도 보안 및 기밀을 유지할 수 있게 해준다.
웹 이외의 프로토콜에 대한 사전 인증 지원
ISA의 서버 게시 규칙은 웹 프로토콜 이외의 다른 프로토콜에 대해서는 사전 인증을 지원하지 않는다. 이는 ISA 방화벽뿐만 아니라, 웹 프로토콜 이외 다른 프로토콜에 대해 포트포워딩이나 리버스 NAT 기능을 지원하는 대부분의 방화벽에서도 마찬가지이다. 이는 방화벽 자체의 한계가 아니라 프로토콜이 한계 때문으로, 방화벽의 프록시 구성요소가 인증 요청을 가로채서 대신 처리해야 한다.
IAG 2007은 이러한 문제를 웹 프록시(SSL VPN 게이트웨이가 위치한)를 통해 해결했다. 웹 프로토콜 이외의 프로토콜을 액세스하기 위해 사용자는 먼저 IAG 2007 SSL VPN 게이트웨이와 인증을 거쳐야 한다. 인증이 완료되면, 사용자는 포탈에 사용이 허용된 것들만 나타나게 된다. 이를 통해 사전 인증을 지원한다.
Split DNS 문제 해결
ISA 방화벽을 관리할 때 가장 애로사항이 바로 DNS의 분할(split)이다. Split DNS을 통해 사용자는 위치에 구애받지 않고 편리하게 네트워크 자원을 액세스할 때 동일한 객체(도메인) 이름을 사용할 수 있다. 즉, 사내 인트라넷에서 사용할 때 그대로 외부 즉 인터넷에서도 동일하게 사용할 수 있는 장점을 가지고 있다. 하지만, 네트워크 관리자는 DNS를 나눠 관리하기 때문에 관리 부담이 늘어나게 되고, 정확한 이해없이는 정확한 구성을 할 수 없게 된다.
IAG 2007에서는 split DNS이 필요없다. 사용자는 포탈의 이름만 기억하면 되고, 물론 계정 정보도 기억해야겠지만. 사용자가 일단 포탈에 로그온하면 그 이후에는 IAG 2007이 모든 이름풀이 과정을 처리해 준다. 따라서, 사용자는 포탈의 이름을 모두 기억할 필요가 없으며, 관리자도 DNS를 편하게 관리할 수 있다.
소켓 액세스를 통한 애플리케이션 제어
소켓 포워딩 기능을 통해 클라이언트에서 애플리케이션이 IAG 2007 SSL VPN 게이트웨이로 어느 포트로 허용할지 결정할 수 있을 뿐만 아니라 그 포트를 사용할 애플리케이션도 결정할 수 있다. 이 기능은 ISA 방화벽의 방화벽 클라이언트 프로그램이 제공하는 기능과 유사한데, 바로 이미지 이름(실행 파일 이름)을 통해 액세스를 제어할 수 잇다. ISA 방화벽 클라이언트 프로그램의 단점이라면 일반 사용자도 이미지 이름을 손쉽게 바꿔서 실행할 수 있다.
2007은 ISA 방화벽 클라이언트 프로그램이 제공하는 애플리케이션 제어 방법보다 한층 발전된 방법으로 애플리케이션의 해시 값을 기준으로 제어한다. 예를 들어, SSL VPN 게이트웨이를 통해 아웃룩 클라이언트 프로그램을 위해 RPC를 허용하려고 한다고 가정하면, 이 게이트웨이로 다른 애플리케이션이 RPC를 사용하지 않게 할 것이다. IAG 2007에서는 SSL VPN 게이트웨이에서 RPC에 대한 트래픽을 허용하고, 또한 RPC종점 매퍼 포트로 호출하는 애플리케이션의 해시캆을 기준으로 아웃룩 2003만 허용하도록 제어한다. 이는 ISA 방화벽 클라이언트 프로그램보다 훨씬 보안성이 강화된 것으로 사용자가 악성코드가 파일이름을 outlook.exe로 바꿔서 실행됨으로 인해 발생할 수 있는 위험성을 줄일 수 있다.
아래 그림은 포트와 포켓 포워더로 연결된 사용자 컴퓨터릐 연결을 보여준다.
IAG 2007 VPN 게이트웨이에서 웹 애플리케이션 이외의 애플리케이션을 지원하는 방법은 다음과 같다.
포트 포워더
포트 포워더는 SSL VPN 구성요소 중 하나로, 게시한 애플리케이션마다 특정한 로컬 주소/포트로 청취하여 실제 애플리케이션 서버 주소가 아닌 이 주소로 트래픽이 보내지게 한다. SSL VPN 포트 포워더 클라이언트는 트래픽을 SSL로 암호화 터널을 수립하고, SSL VPN 게이트웨이로 전송한다. 포트 포워더는 암호화되지 않은 애플리케이션 프로토콜을 포함하는 터널을 수립하여 SSL VPN으로 암호화하므로 훨씬 안전하다. 포트 포워더는 FTP 프로토콜과 같이 2차 연결이 필요한 프로토콜을 제외한 일반적인 애플리케이션에서만 지원한다
소켓 포워더
소켓 포워더 SSL VPN 클라이언트는 MS Winsock 서비스 프로바이더 인터페이스를 가로채 채서, 저수준 0-레벨 핸들링을 지원하기 위해 Windows LSP/NSP(Layered Service Provider/Name Space Provider)를 사용한다. NSP는 내부 서버 이름이 터널로 수립되고 인터넷으로 전송되지 않도록 보장하기 위해 내부 서버 이름을 풀이하는데 사용한다. 소켓 포워딩의 보안상 가장 중요한 장점은 사용자를 식별할 수 있고, 트래픽을 생성하여 그 통신에 특정한 보안 매개변수를 설정할 수 있다는 점이다.
자료출처 : The Microsoft Intelligent Application Gateway 2007 (IAG 2007) Part 2: IAG Connectivity Options
'ForeFront Server > IAG 2007' 카테고리의 다른 글
| ISA Server 2006 와 IAG 2007 구분 분석 자료 (0) | 2007/05/17 |
|---|---|
| IAG 2007 Part 2 – 연결 옵션 (3) (0) | 2007/04/25 |
| IAG 2007 Part 2 – 연결 옵션 (2) (0) | 2007/04/25 |
| IAG 2007 Part 2 – 연결 옵션 (1) (0) | 2007/04/25 |
| IAG 2007 - SSL VPN(#1 개요) (0) | 2007/04/14 |
| Microsoft IAG 2007 소개 (0) | 2007/02/25 |
댓글을 달아 주세요