SSL 프록시

SSL 프록시는 어떻게 작동합니까?

SSL 프록시는 다음의 조합을 통해 클라이언트와 서버 간에 데이터를 안전하게 전송합니다.

• 인증 서버 인증은 웹 브라우저가 웹 서버의 ID를 검증할 수 있도록 하여 사기성 전송을 방지합니다.

• 기밀성 - SSL은 데이터를 암호화하여 기밀성을 적용하여 무단 사용자가 전자 통신을 도청하는 것을 방지합니다. 통신의 프라이버시를 보장합니다.

• 무결성- 메시지 무결성은 통신 내용이 변조되지 않도록 보장합니다.

SSL 프록시 역할을 하는 SRX 시리즈 디바이스는 한쪽 끝에서 클라이언트와 다른 쪽 끝의 서버 간의 SSL 연결을 관리하고 다음 작업을 수행합니다.

• 클라이언트와 SRX 시리즈 사이의 SSL 세션은 클라이언트에서 서버로 SSL 세션이 시작될 때 클라이언트에서 SSL 연결을 종료합니다. SRX 시리즈 디바이스는 트래픽을 복호화하고 공격(양방향)을 검사하며 클라이언트를 대신하여 서버로 연결을 시작합니다.

• 서버와 SRX 시리즈 간의 SSL 세션 - SSL 세션이 외부 서버에서 로컬 서버로 시작될 때 서버에서 SSL 연결을 종료합니다. SRX 시리즈 디바이스는 클라이언트로부터 일반 텍스트를 수신하고 데이터를 암호화하여 SSL 서버로 암호 텍스트로 전송합니다. 다른 한편으로는 SRX 시리즈 SSL 서버의 트래픽을 복호화하고 공격을 조사한 후 클라이언트에 명확한 텍스트로 데이터를 보냅니다.

• 암호화된 트래픽에 대한 검사를 허용합니다.

SSL 프록시 서버는 암호화 기술을 통해 안전한 데이터 전송을 보장합니다. SSL은 보안 통신을 제공하기 위해 인증서 및 프라이빗-퍼블릭 키 교환 쌍에 의존합니다. 자세한 내용은 SSL 인증서를 참조하십시오.

SRX 시리즈 디바이스는 SRX 시리즈 디바이스와 클라이언트/서버 간의 SSL 세션을 설정 및 유지하기 위해 수신하는 트래픽에 보안 정책을 적용합니다. 트래픽이 보안 정책 기준과 일치하면 SSL 프록시가 보안 정책 내에서 애플리케이션 서비스로 활성화됩니다.

애플리케이션 보안 서비스를 통한 SSL 프록시

그림 1 은 SSL 프록시가 암호화된 페이로드에서 작동하는 방법을 보여줍니다.

그림 1: 암호화된 페이로드 의 SSL 프록시

애플리케이션 방화벽(AppFW), 침입 탐지 및 방지(IDP), 애플리케이션 추적(AppTrack), UTM, SkyATP와 같은 고급 보안 서비스가 구성된 경우, SSL 프록시는 클라이언트에서 SSL 세션을 종료하고 서버에 새 SSL 세션을 설정하여 SSL 서버 역할을 합니다. SRX 시리즈 디바이스는 복호화한 다음 모든 SSL 프록시 트래픽을 다시 암호화합니다.

IDP, AppFW, AppTracking, 고급 정책 기반 라우팅(APBR), UTM, SkyATP 및 ICAP 서비스 리디렉션은 SSL 프록시의 복호화된 콘텐츠를 사용할 수 있습니다. 이러한 서비스가 구성되지 않은 경우 SSL 프록시 프로필이 방화벽 정책에 연결되어 있더라도 SSL 프록시 서비스가 우회됩니다.

SSL 프록시 유형

SSL 프록시는 클라이언트와 서버 간의 SSL 암호화 및 복호화 작업을 수행하는 투명 프록시입니다. SRX는 클라이언트의 관점에서 서버 역할을 하며 서버 관점에서 클라이언트 역할을 합니다. SRX 시리즈 디바이스에서 클라이언트 보호(포워드 프록시) 및 서버 보호(역방향 프록시)는 동일한 에코 시스템 SSL-T-SSL[클라이언트 측의 종결자]와 SSL-I-SSL[서버 측 개시자]를 사용하여 지원됩니다.

SRX 시리즈 디바이스는 다음 유형의 SSL 프록시를 지원합니다.

• 클라이언트 보호 SSL 프록시를 포워드 프록시라고도 합니다. SRX 시리즈 디바이스는 내부 클라이언트와 외부 서버 사이에 있습니다. 아웃바운드 세션 프록시, 즉 인터넷으로 로컬에서 시작된 SSL 세션입니다. 내부 사용자에서 웹으로의 트래픽을 복호화하고 검사합니다.

• 역방향 프록시라고도 하는 서버 보호 SSL 프록시 - SRX 시리즈 디바이스는 내부 서버와 외부 클라이언트 사이에 있습니다. 인바운드 세션 프록시, 즉 인터넷에서 로컬 서버로 외부적으로 시작된 SSL 세션입니다.

SSL 포워드 프록시 및 역방향 프록시에 대한 자세한 내용은 SSL 프록시 구성을 참조하십시오.

지원되는 SSL 프로토콜

다음 SSL 프로토콜은 SSL 시작 및 종료 서비스를 위한 SRX 시리즈 디바이스에서 지원됩니다.

• TLS 버전 1.0 - 통신 애플리케이션 간에 인증 및 보안 통신을 제공합니다.

• TLS 버전 1.1 - 이 향상된 버전의 TLS는 암호 블록 체인(CBC) 공격에 대한 보호를 제공합니다.

• TLS 버전 1.2 - 이 향상된 TLS 버전은 암호화 알고리즘 협상을 위한 향상된 유연성을 제공합니다.

• TLS 버전 1.3 - 이 향상된 TLS 버전은 향상된 보안과 더 나은 성능을 제공합니다.

Junos OS 릴리스 15.1X49-D30 및 Junos OS 릴리스 17.3R1부터 TLS 버전 1.1 및 TLS 버전 1.2 프로토콜은 TLS 버전 1.0과 함께 SRX 시리즈 디바이스에서 지원됩니다.

Junos OS 릴리스 15.1X49-D20 및 Junos OS 릴리스 17.3R1부터는 SSL 프로토콜 3.0(SSLv3) 지원이 더 이상 사용되지 않습니다.

Junos OS 릴리스 21.2R1부터 SSL 프록시는 SRX 시리즈 디바이스에서 TLS 버전 1.3을 지원합니다.

TLS 1.3을 사용할 때, SRX 시리즈 디바이스는 서버와의 연결을 설정하기 위한 키 교환을 위해 secp256r1 그룹을 지원합니다. 서버가 secp384r1만 지원하면 연결이 종료됩니다.

SSL 프록시의 이점

• SSL 트래픽을 복호화하여 세분화된 애플리케이션 정보를 얻고 고급 보안 서비스 보호를 적용하고 위협을 탐지할 수 있습니다.

• 클라이언트와 서버에서 강력한 프로토콜과 암호 사용을 시행합니다.

• SSL 암호화된 트래픽에 내장된 위협에 대한 가시성과 보호를 제공합니다.

• 선택적 SSL 프록시를 사용하여 복호화해야 하는 사항을 제어합니다.

논리적 시스템 지원

논리적 시스템을 사용하여 구성된 방화벽 정책에서 SSL 프록시를 활성화할 수 있습니다. 그러나 다음과 같은 제한 사항을 유의하십시오.

• "서비스" 범주는 현재 논리적 시스템 구성에서 지원되지 않습니다. SSL 프록시는 "서비스"에 있으므로 논리적 시스템별로 SSL 프록시 프로필을 구성할 수 없습니다.

• 전역 수준("서비스 ssl 프록시"내)에 구성된 프록시 프로필은 논리적 시스템 구성에서 볼 수 있으므로, 전역 수준에서 프록시 프로필을 구성한 다음 하나 이상의 논리적 시스템의 방화벽 정책에 연결할 수 있습니다.

제한

모든 SRX 시리즈 디바이스에서 현재 SSL 프록시 구현에는 다음과 같은 연결 제한이 있습니다.

• SSLv3.0 프로토콜 지원은 더 이상 사용되지 않습니다.

• SSLv2 프로토콜은 지원되지 않습니다. SSLv2를 사용하는 SSL 세션이 누락되었습니다.

• X.509v3 인증서만 지원됩니다.

• SSL 핸드셰이크 클라이언트 인증은 지원되지 않습니다.

• 클라이언트 인증서 인증이 필수인 SSL 세션은 삭제됩니다.

• 재협상이 요청되는 SSL 세션이 삭제됩니다.

SRX 시리즈 디바이스에서 특정 세션의 경우 SSL 트래픽과 관련된 기능도 활성화된 경우에만 SSL 프록시가 활성화됩니다. SSL 트래픽과 관련된 기능은 IDP, 애플리케이션 식별, 애플리케이션 방화벽, 애플리케이션 추적, 고급 정책 기반 라우팅, UTM, SkyATP 및 ICAP 리디렉션 서비스입니다. 이러한 기능 중 어느 것도 세션에서 활성화되지 않으면 SSL 프록시가 세션을 우회하고 이 시나리오에서 로그가 생성되지 않습니다.