SSL VPN 서비스 제품은 IAG 2007 자료입니다. 그중에 SSL VPN 도입 시 DMZ 구간에서 야기되는 보안 위험들을 좀 정리해서 올린 자료입니다. (마이크로소프트백서 자료입니다.)
1. 안전한 SSL 제품이 반드시 응용 프로그램 방화벽을 포함해야 하는 이유
SSL 기반 액세스 솔루션을 설치하기로 결정했다면, 설치와 관련된 몇 가지 중요한 문제들을 이해하는 과정이 필요합니다.
SSL VPN을 설치할 때 간과하게 되는 중요한 점 중 하나가 그것이 기존 보안 기술과 인프라에 미치게 될 영향입니다. 제품만을 놓고 봤을 때에는 많은 SSL VPN들이 안전한 것으로 나타납니다. 그러나 실제 인프라 안에서 테스트한다면 다른 보안 구성 요소들을 손상시키고 심각한 보안 취약점을 야기할 수도 있습니다.
2. DMZ에 표준 SSL VPN을 위치시킴으로써 야기되는 보안 위험들
DMZ에 SSL VPN을 위치시키는 것은 많은 위험 요소들을 발생시킵니다. SSL VPN은 외부 방화벽을 통해 다양한 프로토콜들을 터널링하고, DMZ 내에서 이들을 재구성합니다. 이는:
- 내부 방화벽에서 여러 개의 포트들이 열려야 하기 때문에, 심각한 보안 취약점들을 야기하고 기업 보안 지침에 위배됩니다.
- SSL 암호 해독 키가 안전하지 못한 환경(DMZ)에서 관리됩니다.
- 암호 해독이 DMZ에서 이루어지기 때문에, 중요한 정보의 교환이 안전하지 못한 DMZ 네트워크 상에서 (암호화되지 않은) 일반 텍스트 형태로 이루어집니다.
- 외부 방화벽이 SSL VPN에 의해 손상됩니다. 외부 방화벽에 의해 차단되어야 하는 프로토콜들이 DMZ로 터널링됨에 따라 방화벽을 통과하게 됩니다.
표준 DMZ 기반 SSL VPN들이 네트워크 프로토콜을 내부 네트워크로 터널링함으로써, 경계 방화벽이 손상되고 기업 보안 정책을 위반할 수 있습니다.
3. 백 오피스에 표준 SSL VPN을 위치시킴으로써 야기되는 보안 위험들
백 오피스에 SSL VPN을 위치시키는 것을 새로운 종류의 위험 요소들을 발생시킵니다(동시에 기업 정책들에 위배되기도 합니다):
- 방화벽이 차단해야 할 프로토콜들이 내부 네트워크로 가는 도중에 SSL에서 터널링되기 때문에 전체 방화벽 인프라가 손상됩니다.
- 인증되지 않은 사용자들로부터의 네트워크 패킷이 경계에서 멈추지 않고 내부 네트워크로 직접 전송됩니다.
백 오피스에 SSL VPN을 위치시키는 것은 심각한 보안 위협들을 야기합니다.
4. 안전한 SSL VPN 설치를 가능하게 해 주는 응용 프로그램 방화벽 기술
SSL VPN을 안전하게 기업 인프라에 통합시키기 위해서는 반드시 기본 응용 프로그램 방화벽 기술을 포함해야 합니다. 이는 대개 네트워크 방화벽에 설치되는 IPsec VPN과 유사한 개념입니다. 비 SSL 트래픽은 표준 내부 방화벽으로 이동되는 반면, SSL 트래픽은 응용 프로그램 방화벽에서 안전하게 관리되고 필터링됩니다.
응용 프로그램 방화벽 기술이 안전한 SSL VPN 설치를 가능케 합니다.
'ForeFront Server > IAG 2007' 카테고리의 다른 글
| SSL VPN 장비 - IAG 2007 어플라이언스 제품 (0) | 2007/12/06 |
|---|---|
| SSL VPN 플랫폼이 인프라에 미치는 영향 (0) | 2007/11/26 |
| SSL VPN 플랫폼은 어느 업체가 필요한가? (0) | 2007/11/26 |
| SSL VPN, IAG 2007 데모동영상 시나리오 (0) | 2007/11/23 |
| [IAG 2007] 클라이언트/서버 커넥터 (0) | 2007/06/30 |
| IAG 2007 SP1 출시 안내 (0) | 2007/06/24 |
댓글을 달아 주세요