SSL 프록시 구성
SRX 시리즈 디바이스는 SSL 포워드 프록시 및 SSL 역방향 프록시를 지원합니다.
SSL 포워드 프록시 구성
- SSL 프록시 구성 개요
- 루트 CA 인증서 구성
- CLI를 사용하여 루트 CA 인증서 생성
- CA 프로필 그룹 구성
- 루트 CA 인증서를 브라우저로 가져오기
- 보안 정책에 SSL 프록시 프로필 적용
- SSL 프록시 로깅 구성
- 인증 기관 프로필 구성
- 지정된 위치로 인증서 내보내기
- 서버 인증 무시
SSL 프록시 구성 개요
SSL 포워드 프록시 구성 은 SSL 프록시가 어떻게 구성되었는지에 대한 개요를 표시합니다. SSL 프록시 구성에는 다음이 포함됩니다.
-
루트 CA 인증서 구성
-
CA 프로필 그룹 로드하기
-
SSL 프록시 프로필 구성 및 루트 CA 인증서 및 CA 프로필 그룹 연결
-
입력 트래픽 일치 기준을 정의하여 보안 정책 생성
-
보안 정책에 SSL 프록시 프로필 적용
-
허용 목록 생성 및 SSL 프록시 로깅과 같은 선택적 단계
루트 CA 인증서 구성
CA는 트리 구조의 형태로 여러 인증서를 실행할 수 있습니다. 루트 인증서는 트리의 최상단 인증서이며, 프라이빗 키는 다른 인증서에 sign 사용됩니다. 루트 인증서 바로 아래의 모든 인증서는 루트 인증서의 서명 또는 신뢰성을 상속합니다. 이는 ID와 notarizing 다소 비슷합니다.
루트 CA 인증서를 먼저 획득한 다음(자체 서명된 인증서를 생성하거나 가져오는) 루트 CA 인증서를 구성한 다음 SSL 프록시 프로필에 적용할 수 있습니다. Junos OS CLI를 사용하여 루트 CA 인증서를 획득할 수 있습니다.
CLI를 사용하여 루트 CA 인증서 생성
CLI에서 자체 서명된 인증서를 정의하려면 다음 세부 정보를 제공해야 합니다.
인증서 식별자(이전 단계에서 생성됨)
인증서에 대한 정규화된 도메인 이름(FQDN)
인증서를 소유한 엔터티의 이메일 주소
공통 이름 및 관련 조직
Junos OS CLI를 사용하여 루트 CA 인증서를 생성합니다.
CA 프로필 그룹 구성
CA 프로필은 인증을 위한 인증서 정보를 정의합니다. 여기에는 SSL 프록시가 새 인증서를 생성할 때 사용하는 공개 키가 포함됩니다. Junos OS 통해 CA 프로필 그룹을 만들고 하나의 작업에서 여러 인증서를 로드하고, 그룹의 모든 인증서에 대한 정보를 보고, 원치 않는 CA 그룹을 삭제할 수 있습니다.
신뢰할 수 있는 CA 인증서 목록을 얻고, CA 그룹을 정의하고, CA 그룹을 SSL 프록시 프로필에 연결하여 CA 프로필 그룹을 로드할 수 있습니다.
CA 프로필 그룹의 모든 인증서에 대한 정보를 쉽게 표시할 수 있습니다.
user@host> show security pki ca-certificates ca-profile-group group-name
CA 프로필 그룹을 삭제할 수 있습니다. CA 프로필 그룹을 삭제할 경우 해당 그룹에 속한 모든 인증서가 삭제된다는 점을 기억하십시오.
user@host> clear security pki ca-certificates ca-profile-group group-name
루트 CA 인증서를 브라우저로 가져오기
브라우저 또는 시스템이 SSL 프록시 프로필에서 구성된 루트 CA가 서명한 모든 인증서를 자동으로 신뢰하려면 플랫폼 또는 브라우저에 CA 루트 인증서를 신뢰하도록 지시해야 합니다.
루트 CA 인증서를 가져오려면 다음을 수행합니다.
보안 정책에 SSL 프록시 프로필 적용
SSL 프록시는 보안 정책 내에서 애플리케이션 서비스로 활성화됩니다. 보안 정책에서 일치 기준으로 SSL 프록시를 활성화할 트래픽을 지정한 다음 트래픽에 적용할 SSL 프록시 CA 프로필을 지정합니다. 그림 1 은 SSL 프록시 프로필 및 보안 정책 구성에 대한 그래픽 보기를 표시합니다.
보안 정책에서 SSL 프록시를 활성화하려면:
이 예는 이미 신뢰할 수 있는 보안 영역과 신뢰할 수 없는 영역을 생성하고 트러스트 영역에서 신뢰할 수 없는 영역으로 트래픽에 대한 보안 정책을 생성한 것으로 가정합니다.
SSL 프록시 로깅 구성
SSL 프록시를 구성할 때 로그의 일부 또는 전부를 수신하도록 옵션을 설정할 수 있습니다. SSL 프록시 로그에는 논리적 시스템 이름, SSL 프록시 허용 목록, 정책 정보, SSL 프록시 정보 및 오류가 있을 때 문제를 해결하는 데 도움이 되는 기타 정보가 포함되어 있습니다.
오류, 경고 및 정보 이벤트와 같은 특정 이벤트의 로깅 all 을 구성할 수 있습니다. 또한 오류가 발생한 후 허용 목록, 삭제, 무시 또는 허용된 세션의 로깅을 구성할 수도 있습니다.
[edit] user@host# set services ssl proxy profile profile-name actions log all user@host# set services ssl proxy profile profile-name actions log sessions-whitelisted user@host# set services ssl proxy profile profile-name actions log sessions-allowed user@host# set services ssl proxy profile profile-name actions log errors
옵션을 사용하여 enable-flow-tracing 디버그 추적을 활성화할 수 있습니다.
인증 기관 프로필 구성
인증 기관(CA) 프로필 구성에는 CA에 특정한 정보가 포함되어 있습니다. SRX 시리즈 디바이스에 여러 CA 프로필을 가질 수 있습니다. 예를 들어, orgA에 대한 프로필 하나와 orgB용 프로필이 하나 있을 수 있습니다. 각 프로필은 CA 인증서와 연결됩니다. 이전 인증서를 제거하지 않고 새 CA 인증서를 로드하려면 새로운 CA 프로필(예: Microsoft-2008)을 생성합니다. 특정 토폴로지에서 하나의 신뢰할 수 있는 CA 그룹에서 여러 CA 프로필을 그룹화할 수 있습니다.
이 예에서는 CA ID microsoft-2008을 사용하여 ca-profile-security라는 CA 프로필을 생성합니다. 그런 다음 CA 프로필에 대한 프록시 프로필을 생성합니다.
지정된 위치로 인증서 내보내기
PKI 명령을 사용하여 자체 서명된 인증서가 생성되면 새로 생성된 인증서는 사전 정의된 위치(var/db/certs/common/local)에 저장됩니다.
다음 명령을 사용하여 인증서를 디바이스 내의 특정 위치로 내보냅니다. 인증서 ID, 파일 이름 및 파일 형식 유형(DER/PEM)을 지정할 수 있습니다.
user@host> request security pki local-certificate export certificate-id certificate-id filename filename type der
서버 인증 무시
Junos OS 서버 인증을 완전히 무시하도록 옵션을 구성할 수 있습니다. 인증을 무시하도록 시스템을 구성하는 경우 SSL 핸드셰이크 시 서버 인증서 검증 중에 발생한 오류는 무시됩니다. 일반적으로 무시되는 오류에는 CA 서명 확인이 불가, 잘못된 인증서 만료 날짜 등이 포함됩니다. 이 옵션이 설정되지 않으면 오류가 발생할 때 서버가 자체 서명 인증서를 전송하는 모든 세션이 삭제됩니다.
이 옵션을 구성하면 웹 사이트가 전혀 인증되지 않으므로 인증에 이 옵션을 사용하지 않는 것이 좋습니다. 그러나 이 옵션을 사용하여 손실된 SSL 세션의 근본 원인을 효과적으로 식별할 수 있습니다.
구성 모드에서 서버 인증을 무시하도록 지정합니다.
[edit] user@host# set services ssl proxy profile profile-name actions ignore-server-auth-failure
SSL 역방향 프록시
개요
서버 보호를 위한 프록시 모델 구현(종종 역방향 프록시라고도 함)은 향상된 핸드셰이킹과 더 많은 프로토콜 버전에 대한 지원을 제공하기 위해 SRX 시리즈 디바이스에서 지원됩니다. SSL 역방향 프록시에 의해 복호화된 트래픽에서 레이어 7 서비스(애플리케이션 보안, IPS, UTM, SKY ATP)를 활성화할 수 있습니다.
릴리스 15.1X49-D80 및 17.3R1 Junos OS SSL 역방향 프록시는 SRX5000 시리즈, SRX4100, SRX4200, SRX1500 디바이스에서 지원됩니다.
Junos OS 릴리스 15.1X49-D80 및 17.3R1부터는 IDP SSL 검사 기능을 사용하는 대신 SSL 역방향 프록시 및 침입 탐지 및 방지(IDP)를 사용하는 것이 좋습니다.
Junos OS 15.1X49-D80 및 17.3R1부터 IDP SSL Inspection는 즉시 제거되지 않고 더 이상 사용되지 않습니다. 이를 통해 하위 호환성을 제공하고 구성이 새로운 구성을 준수하도록 할 수 있습니다.
#id-overview__rp-compare1 은 15.1X48-D80 및 17.3R1 릴리스 이후 SRX 시리즈 디바이스에 적용되는 변경 사항을 제공합니다.
기능 |
15.1X49-D80 이전 |
15.1X49-D80 및 17.3R1 이후 |
|---|---|---|
프록시 모델 |
SSL 핸드셰이크에 참여하는 대신 탭 모드에서만 실행되며 SSL 핸드셰이크를 수신하고 세션 키를 계산한 다음 SSL 트래픽을 복호화합니다. |
SRX 시리즈 디바이스에서 클라이언트 SSL을 종료하고 서버와의 새로운 SSL 연결을 시작합니다. 서버/클라이언트로 전송하기 전에 클라이언트/서버에서 SSL 트래픽을 복호화하고(검사 후) 다시 암호화합니다. |
프로토콜 버전 |
TLS 버전 1.1 및 1.2를 지원하지 않습니다. |
모든 현재 프로토콜 버전을 지원합니다. |
주요 교환 방법 |
|
|
에코 시스템 |
IDP 엔진 및 탐지기와 긴밀하게 결합. |
아래 TCP 프록시와 기존 SSL 포워드 프록시를 사용합니다. |
보안 서비스 |
복호화된 SSL 트래픽은 IDP에서만 검사할 수 있습니다. |
포워드 프록시와 마찬가지로 복호화된 SSL 트래픽은 모든 보안 서비스에서 사용할 수 있습니다. |
지원되는 암호 |
제한된 암호 세트가 지원됩니다. |
일반적으로 사용되는 모든 암호가 지원됩니다. |
SSL 프록시 프로필 중 하나 root-ca 또는 server-certificate 을(를) 구성해야 합니다. 그렇지 않으면 커밋 검사가 실패합니다. #id-overview__profile-type1을 참조하십시오.
구성된 server-certificate |
root-ca 구성 |
프로필 유형 |
|---|---|---|
아니요 |
아니요 |
커밋 검사가 실패합니다. 또는 |
예 |
예 |
커밋 검사가 실패합니다. 동일한 프로필에서 및 |
아니요 |
예 |
포워드 프록시 |
예 |
아니요 |
역방향 프록시 |
포워드 및 역방향 프록시 프로필의 여러 인스턴스 구성이 지원됩니다. 그러나 주어진 방화벽 정책의 경우 단 하나의 프로필(포워드 또는 역방향 프록시 프로필)만 구성할 수 있습니다. 동일한 디바이스에서 포워드 및 역방향 프록시를 모두 구성하는 것도 지원됩니다.
해당 방화벽 정책에 대한 새로운 역방향 프록시 구현으로 이전 역방향 프록시 구현을 구성할 수 없습니다. 둘 다 구성된 경우 커밋 확인 실패 메시지가 표시됩니다.
다음은 역방향 프록시를 구성하는 최소 단계입니다.
SSL 포워드 프록시 및 역방향 프록시는 방화벽 규칙 수준에서 프로필을 구성해야 합니다. 또한 역방향 프록시를 위한 프라이빗 키를 사용하여 서버 인증서를 구성해야 합니다. SSL 핸드셰이크 동안 SSL 프록시는 서버 프라이빗 키 해시 테이블 데이터베이스에서 일치하는 서버 프라이빗 키를 조회합니다. 조회가 성공하면 핸드셰이크가 계속됩니다. 그렇지 않으면 SSL 프록시가 핸드 쉐이크를 종료합니다. 역방향 프록시는 서버 인증서를 금지하지 않습니다. 이를 수정하지 않고 실제 서버 인증서/체인을 클라이언트로 전달합니다. 서버 인증서 인터셉팅은 포워드 프록시에서만 발생합니다.
다음은 포워드 및 역방향 프록시 프로필 구성 예시입니다.
# show services ssl
...
proxy {
  profile ssl-inspect-profile-dut { # For forward proxy. No server cert/key is needed.
trusted-ca all;
    root-ca ssl-inspect-ca;
    actions {
      ignore-server-auth-failure;
      log {
        all;
      }
    }
  }
  profile ssl-1 {
trusted-ca all;
    root-ca ssl-inspect-ca;
    actions {
      ignore-server-auth-failure;
      log {
        all;
      }
    }
  }
profile ssl-2 {
trusted-ca all;
    root-ca ssl-inspect-ca;
    actions {
      ignore-server-auth-failure;
      log {
        all;
      }
    }
  }
  profile ssl-server-protection { # For reverse proxy. No root-ca is needed.
    server-certificate ssl-server-protection;
    actions {
      log {
        all;
      }
    }
  }
}
...
SSL 역방향 프록시 구성
이 예는 서버 보호를 활성화하기 위해 역방향 프록시를 구성하는 방법을 보여줍니다. 또한 서버 보호를 위해 프라이빗 키가 있는 서버 인증서를 구성해야 합니다.
역방향 프록시는 추가 보안 레이어를 추가하여 서버의 세부 사항을 클라이언트에서 숨겨 서버를 보호합니다.
SSL 역방향 프록시를 구성하려면 다음을 수행해야 합니다.
서버 인증서와 해당 키를 SRX 시리즈 디바이스의 인증서 리포지토리에 로드합니다.
서버 인증서 식별자를 SSL 프록시 프로필에 연결합니다.
보안 정책에서 SSL 프록시 프로필을 애플리케이션 서비스로 적용합니다.
SSL 역방향 프록시를 구성하려면 다음을 수행합니다.
디바이스에서 SSL 역방향 프록시 구성 확인
목적
SRX 시리즈 디바이스에서 SSL 역방향 프록시 통계 보기.
작업
명령을 사용하여 show services ssl proxy statistics SSL 프록시 통계를 볼 수 있습니다.
root@host> show services ssl proxy statistics PIC:spu-1 fpc[0] pic[1] ------ sessions matched 0 sessions whitelisted 0 sessions bypassed:non-ssl 0 sessions bypassed:mem overflow 0 sessions bypassed:low memory 0 sessions created 0 sessions ignored 0 sessions active 0 sessions dropped 0
UTM을 통한 SSL 프록시 구성
SRX 시리즈 디바이스는 클라이언트 보호(포워드 프록시) 및 서버 보호(역방향 프록시)를 지원합니다. 포워드 프록시를 위한 SSL 프록시 프로필을 구성하고 UTM(Unified Threat Management)을 활성화한 역방향 프록시를 구성할 수 있습니다.
UTM을 통한 SSL 포워드 프록시 구성
이 절차에서 UTM을 사용하여 SSL 포워드 프록시 프로필을 구성합니다. UTM을 구성할 때, SSL 프록시는 클라이언트에서 SSL 세션을 종료하고 서버에 새 SSL 세션을 설정하여 SSL 서버 역할을 합니다. SRX 시리즈 디바이스는 복호화한 다음 모든 SSL 프록시 트래픽을 다시 암호화합니다. UTM은 SSL 프록시에서 복호화된 콘텐츠를 사용할 수 있습니다.
로컬 인증서를 root-ca로 생성합니다.
UTM으로 SSL 역방향 프록시 구성
이 절차에서 UTM으로 SSL 역방향 프록시 프로필을 구성합니다.
SSL 프록시에 대한 면제 대상 허용 목록 생성
SSL 암호화 및 복호화는 SRX 시리즈 디바이스에서 메모리 리소스를 소비할 수 있습니다. 이를 제한하기 위해 익숙한 신뢰할 수 있는 서버 또는 도메인과 거래하는 세션과 같은 일부 세션에 대해 SSL 프록시 프로세싱을 선택적으로 우회할 수 있습니다. 또한 법적 요구 사항으로 인해 금융 및 은행 사이트의 세션을 면제할 수 있습니다.
SSL 프록시에서 세션을 면제하려면 서버의 IP 주소 또는 도메인 이름을 추가하여 허용 목록을 생성할 수 있습니다. 허용 목록에는 SSL 프록시 처리 시 면제하려는 주소가 포함됩니다.
다음 단계를 사용하여 allowlist를 생성합니다.
글로벌 주소록에 IP 주소와 도메인 이름을 지정합니다.
SSL 프록시 프로필의 글로벌 주소록을 참조하십시오.
전역 주소록에서 다음 유형의 IP 주소를 구성할 수 있습니다.
IPv4 주소(일반 텍스트). 예를 들어:
set security address-book global address address-4 192.0.2.117
IPv4 주소 범위. 예를 들어:
set security address-book global address address-2 range-address 192.0.2.117 to 192.0.2.199
IPv4 와일드카드. 예를 들어:
set security address-book global address address-3 wildcard-address 203.0.113.0/24
DNS 이름입니다. 예를 들어:
set security address-book global address address-1 dns-name www.abc.com
IPv6 주소. 예를 들어:
set security address-book global address address-5 FE80::/10
허용 목록은 다음 유형의 IP 주소를 지원하지 않습니다.
번역된 IP 주소입니다. 세션은 번역된 IP 주소가 아닌 실제 IP 주소를 기반으로 허용됩니다. 이 때문에 SSL 프록시 프로파일의 허용 목록 구성에서 실제 IP 주소는 번역된 IP 주소가 아닌 제공되어야 합니다.
연속되지 않은 넷마스크입니다. 예를 들어:
IP 주소 -203.0.113.0 및 마스크 255.255.255.0(203.0.113.0/24)이 지원됩니다.
IP 주소 - 203.0.113.9 및 마스크 255.0.255.0은 지원되지 않습니다.
다음 예는 SSL 프록시 프로필에서 허용 목록을 사용하는 방법을 보여줍니다.
이 예에서는 에 대한 모든 세션을 면제합니다 www.mycompany.com. 이를 위해 먼저 주소록에 도메인을 지정한 다음 SSL 프록시 프로필에서 주소를 구성합니다.
SSL 프록시에 대해 면제된 URL 범주의 허용 목록 생성
UTM 모듈에서 지원되는 URL 범주를 구성하여 SRX 시리즈 디바이스의 SSL 검사에서 제외할 수 있습니다. UTM의 URL 범주를 사용하려면 SRX 시리즈 디바이스는 SSL 프록시 프로필을 EWF 기능과 통합합니다. 이제 SSL 프록시 프로필 아래에서 주소록과 함께 허용 목록으로 URL 범주 목록을 구성할 수 있습니다. UTM에서 지원하는 URL 범주 또는 사용자 지정 URL 범주의 사전 정의된 집합에서 목록을 구성할 수 있습니다.
보안 디바이스는 UTM 모듈에서 추출한 SNI(Server Name Indication) 필드를 사용하여 URL 범주를 결정합니다. SSL 프록시는 이 정보를 사용하여 세션을 수락할지, 프록시할지 또는 무시할지 결정합니다.
이 기능은 SRX340, SRX345, SRX5400, SRX5600, SRX5800 및 vSRX 인스턴스에서 지원됩니다.
Junos OS 릴리스 15.1X49-D80 및 Junos OS 릴리스 17.3R1부터 SSL 프록시 허용 목록 기능에는 UTM에서 지원하는 URL 범주가 포함됩니다.
Junos OS 릴리스 17.4R1부터 SSL 프록시 허용 목록 기능은 UTM에서 지원하는 사용자 지정 URL 범주까지 지원을 확장합니다.
다음 예는 SSL 프록시 프로필에서 URL 범주를 구성하는 방법을 보여줍니다.
면제 URL 범주 허용 목록 생성
SSL 프록시 프로필에서 사전 정의된 URL 범주를 구성하려면 다음 단계를 따르십시오.
면제된 사용자 지정 URL 범주 허용 목록 생성
SSL 프록시 프로필에서 사용자 지정 URL 범주를 구성하려면 다음 단계를 따르십시오.