SSL Proxy를 위한 통합 정책
SSL Proxy를 통한 애플리케이션 보안 서비스
AppID는 SSL 프록시의 구현을 통해 SSL에서 암호화된 애플리케이션을 식별할 수 있습니다. SSL 프록시는 일반 방화벽 정책 규칙에서 애플리케이션 서비스로 사용할 수 있습니다. IDP(Intrusion Detection and Prevention), AppFW(Application Firewall), 애플리케이션 추적(AppTrack), 고급 정책 기반 라우팅(APBR) 서비스, UTM, SKY ATP 및 보안 인텔리전스(SecIntel)는 SSL 프록시의 복호화된 컨텐트를 사용할 수 있습니다.
특정 플랫폼이나 Junos OS 릴리스에서 기능을 지원하는지 확인하려면 Feature Explorer를 참조하십시오.
SSL 페이로드에서 IDP는 공격 및 이상 징후를 검사할 수 있습니다. 예를 들어 HTTPS의 HTTP 청크 길이 오버플로우를 예로 들어 보겠습니다. Facebook과 같은 암호화된 애플리케이션에서 AppFW는 정책을 적용할 수 있으며 AppTrack(영역 간에 구성된 경우)은 동적 애플리케이션을 기반으로 로깅 문제를 보고할 수 있습니다.
서비스(AppFW, IDP 또는 AppTrack)가 구성되지 않으면 SSL 프록시가 방화벽 정책에 연결되어 있는 경우에도 SSL 프록시 서비스가 우회됩니다.
해당 세션에 대해 SSL 프록시가 활성화된 경우 IDP 모듈은 세션에서 SSL 검사를 수행하지 않습니다. 즉, SSL 검사와 SSL 프록시가 세션에서 모두 활성화되면 SSL 프록시가 항상 우선 순위가 됩니다.
동적 애플리케이션 식별 활용
SSL 프록시는 애플리케이션 식별 서비스를 사용하여 특정 세션이 SSL 암호화되는지 동적으로 감지합니다. SSL 프록시는 세션이 SSL 암호화된 경우에만 허용됩니다. 세션에는 다음 규칙이 적용됩니다.
세션은 애플리케이션 시스템 캐시에 표시됩니다 Encrypted=Yes . 세션이 표시된 Encrypted=Yes경우 해당 세션에 대한 애플리케이션 식별과의 최종 일치가 SSL 암호화되고 SSL 프록시가 프록시 기능을 시작할 수 있는 상태로 전환됨을 나타냅니다.
세션은 애플리케이션 시스템 캐시에 표시됩니다 Encrypted=No . 비 SSL 엔트리가 애플리케이션 시스템 캐시에 있는 경우, 해당 세션에 대한 애플리케이션 식별의 최종 일치가 비 SSL이며 SSL 프록시가 세션을 무시함을 나타냅니다.
애플리케이션 시스템 캐시에는 엔트리가 없습니다. 이는 첫 번째 세션이나 애플리케이션 시스템 캐시가 정리되었거나 만료되었을 때 발생할 수 있습니다. 이러한 시나리오에서 SSL 프록시는 최종 일치를 기다릴 수 없습니다(양방향 트래픽 필요). SSL 프록시에서 역방향 트래픽은 SSL 프록시가 SSL 핸드셰이크를 시작한 경우에만 발생합니다. 처음에는 이러한 시나리오의 경우 SSL 프록시가 애플리케이션 식별을 통해 프리매치 또는 공격적인 일치 결과를 활용하려고 시도하고, 결과가 SSL을 의미하는 경우 SSL 프록시가 핸드셰이크로 진행됩니다.
리소스 제약 및 기타 오류로 인해 애플리케이션 식별에 실패합니다. 애플리케이션 식별의 결과가 제공되지 않을 때마다 SSL 프록시는 정적 포트 바인딩을 가정하고 세션에서 SSL 핸드셰이크를 시작합니다. 이는 실제 SSL 세션에서는 성공하지만, 비SL 세션의 경우 세션이 끊어지게 됩니다.
자세한 내용은
통합 정책에 대한 SSL 프록시 지원
Junos OS 릴리스 18.2R1부터 SRX 시리즈 디바이스에서 통합 정책이 지원되기 때문에 기존 보안 정책 내에서 동적 레이어 7 애플리케이션을 세부적으로 제어하고 적용할 수 있습니다.
통합 정책은 기존 5-tuple 또는 6-tuple(사용자 방화벽의 경우 5-tuple) 일치 조건의 일부로 동적 애플리케이션을 일치 조건으로 사용하여 시간에 따른 애플리케이션 변경을 감지할 수 있도록 하는 보안 정책입니다.
SSL 프록시 기능은 장치가 통합 정책으로 구성될 때 지원됩니다. 이 개선 사항의 일환으로 기본 SSL 프록시 프로필을 구성할 수 있습니다.
동적 애플리케이션이 식별되기 전에 발생하는 초기 정책 조회 단계에서 다른 SSL 프록시 프로파일을 포함하는 잠재적 정책 목록에 여러 정책이 있는 경우 SRX 시리즈 장치는 보다 명시적인 일치가 발생할 때까지 기본 SSL 프록시 프로필을 적용합니다.
기본 SSL 프록시 프로필을 만드는 것이 좋습니다. 사용할 수 있는 기본 SSL 프록시 프로파일이 없는 경우 정책 충돌이 발생하면 세션이 삭제됩니다.
계층 수준에서 SSL 프록시 프로필을 [edit services ssl proxy] 구성한 다음 계층 수준에서 기본 SSL 프록시 프로파일 [edit security ngfw] 로 적용할 수 있습니다. 이 구성은 기존 SSL 서비스 구성에 영향을 미치지 않습니다.
기본 SSL 프록시 프로파일 구성은 SSL 포워드 및 리버스 프록시 모두에 대해 지원됩니다.
SSL 프록시 기본 프로파일의 작동 방식 이해
표 1 에는 통합 정책의 기본 SSL 프록시 프로파일 동작이 요약되어 있습니다.
애플리케이션 식별 상태 |
SSL 프록시 프로필 사용량 |
작업 |
|---|---|---|
보안 정책 충돌 없음 |
트래픽이 보안 정책과 일치할 때 SSL 프록시 프로파일이 적용됩니다. |
SSL 프록시 프로파일이 적용됩니다. |
보안 정책 충돌(충돌하는 경찰에는 별도의 SSL 프록시 프로파일이 있습니다). |
기본 SSL 프록시 프로파일은 구성되지 않았거나 찾을 수 없습니다. |
기본 SSL 프록시 프로파일이 구성되지 않아 세션이 종료됩니다. |
기본 SSL 프록시 프로파일이 구성됩니다. |
기본 SSL 프록시 프로파일이 적용됩니다. |
|
최종 애플리케이션 식별 |
일치하는 보안 정책에는 기본 SSL 프록시 프로파일과 동일한 SSL 프록시 프로파일이 있습니다. |
기본 SSL 프록시 프로파일이 적용됩니다. |
일치하는 보안 정책에는 SSL 프록시 프로필이 없습니다. |
기본 SSL 프록시 프로파일이 적용됩니다. |
|
일치하는 보안 정책에는 이미 적용된 기본 SSL 프록시 프로파일과 다른 SSL 프록시 프로파일이 있습니다. |
이미 적용된 기본 SSL 프록시 프로필은 계속 적용된 상태로 유지됩니다. |
보안 정책은 SSL 리버스 프록시 프로파일 또는 SSL 포워드 프록시 프로파일을 한 번에 구성할 수 있습니다.
보안 정책에 SSL 포워드 프록시 프로파일이 있고 다른 보안 정책에 SSL 리버스 프록시 프로파일이 있는 경우, SSL 역방향 프록시 프로파일 또는 SSL 포워드 프록시 프로필의 기본 프로파일이 고려됩니다.
정책 충돌 시 사용할 수 있는 기본 SSL 프록시 프로필이 없는 경우 세션이 삭제되므로 기본 SSL 프록시 프로파일을 생성하는 것이 좋습니다. 이벤트를 기록하기 위해 시스템 로그 메시지가 생성됩니다.
시스템 로그 메시지의 예:
"<14>1 2018-03-07T03:18:33.374-08:00 4.0.0.254 kurinji junos-ssl-proxy - SSL_PROXY_SSL_SESSION_DROP [junos@2636.1.1.1.2.105 logical-system-name="root-logical-system" session-id="15" source-address="4.0.0.1" source-port="37010" destination-address="5.0.0.1" destination-port="443" nat-source-address="4.0.0.1" nat-source-port="37010" nat-destination-address="5.0.0.1" nat-destination-port="443" profile-name="(null)" source-zone-name="untrust" source-interface-name="xe-2/2/1.0" destination-zone-name="trust" destination-interface-name="xe-2/2/2.0" message="default ssl-proxy profile is not configured"]
다양한 시나리오의 기본 SSL 프록시 프로파일
- 정책 충돌 없음—모든 정책에 동일한 SSL 프록시 프로파일이 있습니다.
- 정책 충돌 없음—모든 정책에는 동일한 SSL 프록시 프로파일이 있고 최종 정책에는 SSL 프로파일이 없습니다.
- 정책 충돌—최종 정책에 대해 구성된 SSL 프로파일 없음
- 정책 충돌–최종 정책을 위한 기본 SSL 프록시 프로파일 및 다양한 SSL 프록시 프로파일
- 통합 정책을 통한 SSL 프록시의 제한
정책 충돌 없음—모든 정책에 동일한 SSL 프록시 프로파일이 있습니다.
표 2와 동일한 SSL 프록시 프로파일이 모든 매칭 정책에 적용됩니다.
보안 정책 |
소스 존 |
소스 IP 주소 |
대상 존 |
대상 IP 주소 |
포트 번호 |
프로토콜 |
동적 애플리케이션 |
서비스 |
기본 SSL 프록시 프로필 |
|---|---|---|---|---|---|---|---|---|---|
Policy-P1 |
S1 |
모든 |
D1 |
모든 |
모든 |
모든 |
페이스 북 |
SSL 프록시 |
SSL-1 |
Policy-P2 |
S1 |
모든 |
D1 |
모든 |
모든 |
모든 |
SSL 프록시 |
SSL-1 |
이 경우 Policy-P1과 Policy-P2 모두 동일한 SSL 프록시 프로필(SSL-1)을 갖습니다. 충돌이 없기 때문에 프로필 SSL-1이 적용됩니다.
기본 SSL 프록시 프로파일(SSL-2)을 구성한 경우에는 적용되지 않습니다. 정책에 충돌이 없기 때문입니다(Policy-P1 및 Policy-P2).
정책 충돌 없음—모든 정책에는 동일한 SSL 프록시 프로파일이 있고 최종 정책에는 SSL 프로파일이 없습니다.
Policy-P1 및 Policy-P2는 동일한 SSL 프록시 프로필을 가지며, Policy-3에는 표 3과 같이 SSL 프로필이 없습니다.
보안 정책 |
소스 존 |
소스 IP 주소 |
대상 존 |
대상 IP 주소 |
포트 번호 |
프로토콜 |
동적 애플리케이션 |
서비스 |
기본 SSL 프록시 프로필 |
|---|---|---|---|---|---|---|---|---|---|
Policy-P1 |
S1 |
모든 |
D1 |
모든 |
모든 |
모든 |
페이스 북 |
SSL 프록시 |
SSL-1 |
Policy-P3 |
S1 |
50.1.1.1 |
D1 |
모든 |
모든 |
모든 |
Youtube |
SSL 프록시 |
SSL-1 |
Policy-P2 |
S1 |
모든 |
D1 |
모든 |
모든 |
모든 |
다른 |
없음 |
이 시나리오에서는 Policy-P1과 Policy-P2 모두 동일한 SSL 프록시 프로필(SSL-1)을 갖습니다. 충돌이 없기 때문에 프로필 SSL-1은 최종 정책과 일치하기 전에 적용됩니다.
최종 애플리케이션이 확인되면 최종 애플리케이션과 일치하는 보안 정책, 즉 Policy-P3가 적용됩니다. Policy-P3에는 SSL 프록시 프로파일이 없기 때문에 이미 적용된 프로파일 SSL-1은 계속 적용됩니다. 이는 SSL 프록시 프로파일이 이미 트래픽에 적용되어 있기 때문입니다.
정책 충돌—최종 정책에 대해 구성된 SSL 프로파일 없음
표 4와 같이 잠재적 일치 시 기본 SSL 프록시 프로파일이 적용됩니다. 최종 정책인 Policy-P3에는 SSL 프록시 프로파일이 없습니다.
보안 정책 |
소스 존 |
소스 IP 주소 |
대상 존 |
대상 IP 주소 |
포트 번호 |
프로토콜 |
동적 애플리케이션 |
서비스 |
기본 SSL 프록시 프로필 |
|---|---|---|---|---|---|---|---|---|---|
Policy-P1 |
S1 |
50.1.1.1 |
D1 |
모든 |
모든 |
모든 |
페이스 북 |
SSL 프록시 |
SSL-1 |
Policy-P2 |
S1 |
50.1.1.1 |
D1 |
모든 |
모든 |
모든 |
SSL 프록시 |
SSL-2 |
|
Policy-P3 |
S1 |
50.1.1.1 |
D1 |
모든 |
모든 |
모든 |
Youtube |
다른 |
Na |
이 예에서 SSL 프록시 프로파일 SSL-1은 기본 SSL 프록시 프로파일로 구성됩니다. Policy-P1 및 Policy-P2에 대한 정책 충돌이 발생하는 동안 기본 프로파일 SSL-1이 적용됩니다.
최종 애플리케이션이 확인되면 최종 애플리케이션과 일치하는 보안 정책, 즉 Policy-P3가 적용됩니다. Policy-P3에는 SSL 프록시 프로파일이 없기 때문에 이미 적용된 프로파일 SSL-1은 계속 적용됩니다. 이는 SSL 프록시 프로파일이 트래픽에 적용되므로
정책 충돌–최종 정책을 위한 기본 SSL 프록시 프로파일 및 다양한 SSL 프록시 프로파일
SSL 프록시 프로파일 SSL-1은 기본 SSL 프록시 프로파일로 구성되며 최종 정책이 일치하기 전에 이미 적용되었습니다. 표 5를 참조하십시오.
보안 정책 |
소스 존 |
소스 IP 주소 |
대상 존 |
대상 IP 주소 |
포트 번호 |
프로토콜 |
동적 애플리케이션 |
서비스 |
기본 SSL 프록시 프로필 |
|---|---|---|---|---|---|---|---|---|---|
Policy-P1 |
S1 |
50.1.1.1 |
D1 |
모든 |
모든 |
모든 |
페이스 북 |
SSL 프록시 |
SSL-1 |
Policy-P2 |
S1 |
50.1.1.1 |
D1 |
모든 |
모든 |
모든 |
SSL 프록시 |
SSL-2 |
|
Policy-P3 |
S1 |
50.1.1.1 |
D1 |
모든 |
모든 |
모든 |
Youtube |
SSL 프록시 |
SSL-3 |
최종 애플리케이션이 확인되면 최종 애플리케이션과 일치하는 보안 정책, 즉 Policy-P3가 적용됩니다. Policy-P3, 즉 SSL-3에 대한 SSL 프로필은 적용되지 않습니다. 대신 SSL 프록시 프로파일 SSL-2는 기본 프로파일로 구성 및 적용되며 계속 적용됩니다.
트래픽에 이미 적용된 기본 SSL 프록시 프로파일에서 다른 SSL 프록시 프로파일로 전환하는 것은 지원되지 않습니다.
통합 정책을 통한 SSL 프록시의 제한
기본 SSL 프록시 프로파일을 사용할 경우 최종 보안 정책에 SSL 프록시가 구성되지 않은 경우에도 비활성화할 수 없습니다.
기본 SSL 프록시 프로파일이 실행되어 트래픽에 적용되고 최종 보안 정책이 기본 프로파일 이외에 구성된 다른 SSL 프록시 프로파일을 가지면 기본 SSL 프록시 프로파일에서 보안 정책의 SSL 프록시 프로파일로 스위칭하는 것이 지원되지 않습니다.
기본 SSL 프록시 프로파일 구성
SSL 프록시는 보안 정책 내에서 애플리케이션 서비스로 활성화됩니다. 보안 정책에서 SSL 프록시를 활성화해야 하는 트래픽에 대한 일치 기준을 지정합니다. 다음으로 트래픽에 적용될 SSL 프록시 프로파일을 지정합니다. 통합된 정책을 구성할 때 단계에는 SSL 프로파일을 정의한 다음 계층 수준 아래에 [edit security ngfw] SSL 프로필을 기본 프로파일로 추가한 다음 원하는 보안 정책에 포함시키는 단계가 포함됩니다.
SSL 포워드 프록시를 위한 기본 프로파일 구성
이 절차에서 SSL 포워드 프록시 프로필을 구성하고 프로파일을 기본 프로파일로 지정합니다.
SSL 리버스 프록시를 위한 기본 프로파일 구성
이 절차에서 SSL 리버스 프록시 프로필을 구성하고 프로파일을 기본 프로파일로 지정합니다.
논리적 시스템을 위한 기본 SSL 프로파일 구성
이 절차에서 SSL 포워드 프록시 프로파일 또는 SSL 리버스 프록시 프로파일을 논리적 시스템 구성의 기본 프로파일로 할당합니다. 이 경우 하나의 프로파일은 SSL 포워드 프록시 또는 SSL 리버스 프록시의 기본 프로파일일 수 있습니다.
예: 통합 정책을 위한 기본 SSL 프록시 프로파일 구성
이 예에서는 기본 SSL 프록시 프로파일을 구성하고 통합 정책에 적용하는 방법을 보여줍니다.
구성
단계별 절차
기본 SSL 프록시 프로파일을 구성하고 통합 정책에 적용하려면 다음을 수행합니다.
SSL 프로필을 생성하고 CA 프로필 그룹을 SSL 프록시 프로파일에 연결합니다.
user@host#set services ssl proxy profile SSL-FP-PROFILE-1 trusted-ca all서명 증명서를 SSL 프록시 프로파일에 루트 ca로 적용합니다.
user@host#set services ssl proxy profile SSL-FP-PROFILE-1 root-ca ssl-inspect-caSSL 프록시 프로파일을 기본 프로파일로 정의합니다.
user@host#set security ngfw default-profile ssl-proxy profile-name SSL-FP-PROFILE-1통합 정책을 생성하고 동적 애플리케이션을 일치 기준으로 지정합니다.
user@host#set security policies from-zone untrust to-zone trust policy from_internet match source-address anyuser@host#set security policies from-zone untrust to-zone trust policy from_internet match destination-address anyuser@host#set security policies from-zone untrust to-zone trust policy from_internet match application anyuser@host#set security policies from-zone untrust to-zone trust policy from_internet match dynamic-application junos:web보안 정책에서 허용된 트래픽에 SSL 프록시 프로필을 적용합니다.
user@host#set security policies from-zone untrust to-zone trust policy from_internet then permit application-services ssl-proxy profile-name SSL-FP-PROFILE-1
요구 사항
이 예에서는 다음과 같은 하드웨어 및 소프트웨어 구성 요소를 사용합니다.
Junos OS 릴리스 18.2R1 이상이 포함된 SRX 시리즈 디바이스. 이 구성 예는 Junos OS 릴리스 18.2R1에서 테스트되었습니다.
이 기능을 구성하기 전에 디바이스 초기화 이외에는 특별한 구성이 필요하지 않습니다.
개요
이 예에서는 루트 CA 증명서를 지정하여 SSL 포워드 프록시 프로파일을 구성합니다. 다음으로, 프로필을 기본 SSL 프록시 프로파일로 구성합니다. 이제 통합 정책을 생성하고 허용된 트래픽에서 애플리케이션 서비스로 SSL 프록시를 호출합니다.
확인
SSL 프록시 구성 확인
목적
SSL 프록시 통계를 표시하여 구성이 올바르게 작동하는지 확인합니다.
작업
운영 모드에서 명령을 입력합니다 show services ssl proxy statistics .
user@host> show services ssl proxy statistics
PIC:fwdd0 fpc[0] pic[0]
sessions matched 0
sessions bypassed:non-ssl 0
sessions bypassed:mem overflow 0
sessions bypassed:low memory 0
sessions created 0
sessions ignored 0
sessions active 0
sessions dropped 0
sessions whitelisted 0
whitelisted url category match 0
default profile hit 0
session dropped no default profile 0
policy hit no profile configured 0 의미
명령 출력은 다음 정보를 표시합니다.
SSL 프록시와 일치하는 세션에 대한 세부 정보
기본 프로파일이 적용되는 세션 및 기본 프로파일이 없기 때문에 드롭된 세션과 같은 기본 SSL 프록시 프로파일에 대한 세부 정보입니다.
SSL 프록시 프로파일을 위한 SNI 기반 동적 애플리케이션 정보
Junos OS Release 20.4R1부터 주니퍼는 동적 애플리케이션을 식별하기 위해 Server Name Indication(SNI) TLS 확장을 활용하여 SSL 프록시 프로파일 선택 메커니즘을 향상시켰습니다.
SSL 프록시 모듈은 SNI에 기반한 클라이언트 hello 메시지에서 동적 애플리케이션이 탐지될 때까지 SSL 프로필 선택을 연기합니다. 동적 애플리케이션을 탐지한 후 SSL 프록시 모듈은 식별된 애플리케이션을 기반으로 방화벽 규칙 조회를 수행하고 적절한 SSL 프록시 프로필을 선택합니다.
SSL 프록시 프로파일을 위한 SNI 기반 동적 애플리케이션 정보를 활용하면 세션에 대한 보다 정확한 SSL 프록시 프로파일을 선택할 수 있습니다. 기본적으로 SSL 프록시 프로파일을 위한 SNI 기반 동적 애플리케이션 정보는 SRX 시리즈 디바이스에서 활성화됩니다. sSL 프록시에 대한 카운터를 확인하려면 서비스 ssl 프록시 카운터 표시 를 참조하십시오.