사용자 인증 방법 구성
통과(pass-through) 인증과 웹 인증은 사용자를 인증하는 두 가지 인증 방법입니다.
패스스루(Pass-Through) 인증 이해
통과 사용자 인증은 액티브 인증의 한 형태입니다. 통과(pass-through) 인증이 호출될 때 사용자 이름과 암호를 입력하라는 메시지가 사용자에게 표시됩니다. 사용자 ID가 검증된 경우 사용자는 방화벽을 통과하고 요청된 리소스에 액세스할 수 있습니다.
사용자가 인증을 요구하는 정책을 사용하는 HTTP, HTTPS, FTP 또는 Telnet 연결 요청을 시작하려고 시도하면 디바이스가 요청을 가로채 사용자 이름과 암호를 입력하도록 사용자에게 프롬프트합니다. 이 장치는 구성에 따라 로컬 데이터베이스나 외부 인증 서버에 저장된 사용자 이름과 암호를 검사하여 사용자 이름과 암호를 검증합니다.
외부 인증 서버가 사용되는 경우 사용자의 자격 증명이 수집된 후 방화벽 사용자 인증을 통해 처리됩니다. 다음과 같은 외부 인증 서버가 지원됩니다.
RADIUS 인증 및 권한 부여(Juniper Steel-Belted Radius 서버와 호환 가능)
인증과 RADIUS 사용자 액세스에 대한 인증 정보(사용자가 네트워크에서 할 수 있는 일)를 획득하기를 원하는 경우 외부 서버(RADIUS 서버)를 사용할 수 있습니다.
LDAP 인증 전용(LDAP 버전 3 지원, Windows AD와 호환 가능)
SecurID 인증 전용(RSA SecurID 외부 인증 서버 사용)
방화벽 사용자는 방화벽을 통해 연결을 시작할 때 인증을 위해 사용자 이름과 암호를 제공해야 하는 네트워크 사용자입니다. 여러 사용자 계정을 함께 연결하여 로컬 데이터베이스 또는 RADIUS, LDAP 또는 SecurID 서버에 저장할 수 있는 사용자 그룹을 형성할 수 있습니다. 정책에서 인증 사용자 그룹과 외부 인증 서버를 참조하면 정책과 일치하는 트래픽이 인증 검사를 트리거합니다.
패밀리 inet을 사용하여 IPv4 주소를 할당합니다. family inet6을 사용하여 IPv6 주소를 할당합니다. 인터페이스는 IPv4 및 IPv6 주소로 구성할 수 있습니다. 이 예에서는 가장 대표적인 예로 IPv4 주소만 사용합니다.
그림 1 의 단계는 다음과 같습니다.
클라이언트 사용자는 FTP, HTTP, HTTPS 또는 Telnet 패킷을 198.51.100.9로 전송합니다.
장치는 패킷을 가로채고 정책에 로컬 데이터베이스나 외부 인증 서버에서 인증을 요구하며 패킷을 버퍼링합니다.
이 장치는 사용자에게 FTP, HTTP, HTTPS 또는 Telnet을 통해 로그인 정보를 사용자에게 프롬프트합니다.
사용자 이름과 암호를 사용하여 응답합니다.
이 장치는 로컬 데이터베이스에서 인증 사용자 계정을 검사하거나 정책에 지정된 경우 외부 인증 서버로 로그인 정보를 전송합니다.
유효한 일치 검색(또는 이와 같은 일치의 통지를 외부 인증 서버에서 수신)은 사용자에게 로그인에 성공했다는 것을 사용자에게 알립니다.
HTTP, HTTPS 또는 Telnet 트래픽의 경우 디바이스는 버퍼에서 대상 IP 주소인 198.51.100.9/24로 패킷을 전달합니다. 그러나 FTP 트래픽의 경우 인증에 성공하면 디바이스가 세션을 닫고 사용자는 IP 주소 198.51.100.9/24에서 FTP 서버에 다시 연결해야 합니다.
보안 목적으로 HTTP 패스스루(pass-through) 인증을 위해 구성하는 보안 정책상의 직접 통과(pass-through) 인증보다는 웹 리다이렉트(pass-through) 인증을 사용하는 것이 좋습니다. 웹 브라우저는 대상 웹 서버에 대한 후속 요청에 대한 자격 증명을 자동으로 포함하여 보안을 제공할 수 있습니다.
디바이스가 특정 소스 IP 주소에서 사용자를 인증한 후, 해당 주소에 있는 다른 사용자로부터 인증 통과를 통과해야 하는 정책에 지정된 트래픽을 허용합니다. 이는 사용자가 모든 원래 소스 주소를 변환된 단일 주소로 변경하는 네트워크 주소 변환(NAT) 디바이스 뒤에서 트래픽을 발신하는 경우일 수 있습니다.
통과 사용자 인증 방법은 보안이 편의성보다 우선 순위가 높은 경우 권장됩니다. 이 인증 방법은 트리거된 정책과 일치하는 세션 및 하위 세션에만 적용됩니다. 주의를 기울이는 경우 인터넷 연결에 이 방법을 적용할 수 있습니다.
예: 통과 인증 구성
이 예에서는 통과 인증을 구성하여 방화벽 사용자를 인증하는 방법을 보여줍니다. 방화벽 사용자는 방화벽을 통해 연결을 시작할 때 사용자 이름과 암호를 제공해야 하는 네트워크 사용자입니다.
통과(pass-through) 인증을 통해 SRX 시리즈 관리자는 FTP, Telnet, HTTP 또는 HTTPS를 사용하여 다른 존의 리소스에 액세스를 시도하는 사용자를 제한할 수 있습니다. 해당 조치가 통과(pass-through) 인증인 보안 정책과 일치하는 경우, 사용자는 로그인 정보를 제공해야 합니다.
HTTPS의 경우 보안을 보장하기 위해 HTTPS 기본 인증서 키 크기는 2048비트입니다. 인증서 크기를 지정하지 않으면 기본 크기로 가정됩니다.
요구 사항
시작하기 전에 방화벽 사용자를 정의합니다. 방화벽 사용자 인증 개요를 참조하십시오.
이 예에서는 다음과 같은 하드웨어 및 소프트웨어 구성 요소를 활용합니다.
SRX 시리즈 디바이스
방화벽 사용자 시스템
패킷 대상 시스템
개요
클라이언트(방화벽 사용자)라고 하는 클라이언트가 FTP, Telnet 또는 HTTP 세션의 시작을 시도해 다른 존의 자원에 액세스하려고 시도하면 통과(pass-through) 인증 프로세스가 트리거됩니다. SRX 시리즈 방화벽은 FTP, Telnet, HTTP 또는 HTTPS 서버를 위한 프록시 역할을 하기 때문에 사용자가 방화벽 뒤에 있는 실제 FTP, Telnet 또는 HTTP 서버에 액세스하기 전에 방화벽 사용자를 인증할 수 있습니다.
then 방화벽 사용자가 전송하는 연결 요청에서 생성된 트래픽이 보안 정책 규칙 양방향과 일치하고 해당 규칙이 해당 조항의 조치로 패스스루 방화벽 인증을 지정하는 경우, SRX 시리즈 디바이스는 방화벽 사용자가 Junos OS 프록시 서버에 인증하도록 요구합니다.
인증에 성공하면 트래픽이 보안 정책 조정에 일치하는 경우 동일한 소스 IP 주소의 후속 트래픽이 SRX 시리즈 장치를 통과하도록 허용됩니다.
그림 2 는 이 예에서 사용된 토폴로지입니다.
토폴로지가 외부 서버의 사용을 보여도 구성에서는 다루지 않습니다. 이 예제의 범위를 벗어날 수 있습니다.
구성
절차
CLI 빠른 구성
이 예제를 신속하게 구성하려면 다음 명령을 텍스트 파일에 복사하고, 라인 끊기를 제거하고, 네트워크 구성과 일치하는 데 필요한 세부 정보를 변경하고, [edit] 계층 수준에서 명령어를 CLI 입력한 다음 구성 commit 모드에서 입력합니다.
set interfaces ge-0/0/1 unit 0 family inet address 203.0.113.35/24 set interfaces ge-5/0/0 unit 0 family inet address 192.0.2.1/24 set access profile FWAUTH client FWClient1 firewall-user password password set access firewall-authentication pass-through default-profile FWAUTH set access firewall-authentication pass-through telnet banner success "WELCOME TO JUNIPER TELNET SESSION" set security zones security-zone UT-ZONE host-inbound-traffic system-services all set security zones security-zone UT-ZONE interfaces ge-0/0/1.0 host-inbound-traffic protocols all set security zones security-zone T-ZONE host-inbound-traffic system-services all set security zones security-zone T-ZONE interfaces ge-5/0/0.0 host-inbound-traffic protocols all set security policies from-zone UT-ZONE to-zone T-ZONE policy P1 match source-address any set security policies from-zone UT-ZONE to-zone T-ZONE policy P1 match destination-address any set security policies from-zone UT-ZONE to-zone T-ZONE policy P1 match application junos-telnet set security policies from-zone UT-ZONE to-zone T-ZONE policy P1 then permit firewall-authentication pass-through client-match FWClient1
단계별 절차
다음 예제에서는 구성 계층의 다양한 수준을 탐색해야 합니다. 이러한 작업을 하는 방법에 대한 지침은 Configuration 모드에서 CLI 편집기 사용 을 참조하십시오.
패스스루(pass-through) 인증을 구성하는 경우:
두 인터페이스를 구성하고 IP 주소를 할당합니다.
참고:이 예에서는 인터페이스에 2개의 주소를 할당하는 옵션으로 제공됩니다.
[edit] user@host# set interfaces ge-0/0/1 unit 0 family inet address 203.0.113.35/24 user@host# set interfaces ge-5/0/0 unit 0 family inet address 192.0.2.1/24
FWClient1 사용자를 위한 FWAUTH 액세스 프로파일을 생성하고, 사용자 암호를 지정하며, Telnet 세션에 대한 성공 배너를 정의합니다.
[edit access] user@host# set access profile FWAUTH client FWClient1 firewall-user password pwd user@host# set firewall-authentication pass-through default-profile FWAUTH user@host# set firewall-authentication pass-through telnet banner success "WELCOME TO JUNIPER TELNET SESSION"
보안 존을 구성합니다.
참고:이 예에서는 보안 존을 위한 두 번째 인터페이스를 구성하는 것이 선택 사항입니다.
[edit security zones] user@host# set security-zone UT-ZONE host-inbound-traffic system-services all user@host# set security-zone UT-ZONE interfaces ge-0/0/1.0 host-inbound-traffic protocols all user@host# set security-zone T-ZONE host-inbound-traffic system-services all user@host# set security-zone T-ZONE interfaces ge-5/0/0.0 host-inbound-traffic protocols all
보안 존에 보안 정책 P1을 할당합니다.
[edit security policies] user@host# set from-zone UT-ZONE to-zone T-ZONE policy P1 match source-address any user@host# set from-zone UT-ZONE to-zone T-ZONE policy P1 match destination-address any user@host# set from-zone UT-ZONE to-zone T-ZONE policy P1 match application junos-telnet user@host# set from-zone UT-ZONE to-zone T-ZONE policy P1 then permit firewall-authentication pass-through client-match FWClient1
Telnet을 사용하여 FWClient1 방화벽 사용자를 인증하고 2를 호스팅합니다.
user@FWClient1# run telnet 192.0.2.1/24 Trying 192.0.2.1/24... Connected to 192.0.2.1/24 Escape character is '^]'. Firewall User Authentication Username: FWClient1 Password:$ABC123 WELCOME TO JUNIPER TELNET SESSION Host1 (ttyp0) login: user Password: $ABC123 --- JUNOS 10.1R1.1 built 2009-10-12 13:30:18 UTC %
결과
구성 모드에서 이러한 명령을 입력하여 구성을 확인
show interfacesshow accessshow security zonesshow security policies
출력이 의도한 구성을 표시하지 않는 경우 이 예제에서 구성 지침을 반복하여 수정합니다.
따라서 출력에는 이 예제와 관련이 있는 구성만 포함됩니다. 시스템의 다른 구성은 타원(...)로 대체되었습니다.
user@host# show interfaces
ge-0/0/1 {
unit 0 {
family inet {
address 203.0.113.35;
}
}
}
ge-5/0/0 {
unit 0 {
family inet {
address 192.0.2.1/24;
}
}
}
...
user@host# show access
profile FWAUTH {
authentication-order password;
client FWClient1 {
firewall-user {
password "$ABC123"; ## SECRET-DATA
}
}
}
firewall-authentication {
pass-through {
default-profile FWAUTH;
telnet {
banner {
success "WELCOME TO JUNIPER TELNET SESSION";
}
}
}
}
user@host# show security zones
security-zone UT-ZONE {
host-inbound-traffic {
system-services {
all;
}
}
interfaces {
ge-0/0/1.0 {
host-inbound-traffic {
protocols {
all;
}
}
}
}
security-zone T-ZONE {
host-inbound-traffic {
system-services {
all;
}
}
interfaces {
ge-5/0/0.0 {
host-inbound-traffic {
protocols {
all;
}
}
}
}
}
user@host# show security policies
...
from-zone UT-ZONE to-zone T-ZONE {
policy P1 {
match {
source-address any;
destination-address any;
application junos-telnet;
}
then {
permit {
firewall-authentication {
pass-through {
client-match FWClient1;
}
}
}
}
}
}
디바이스 구성이 완료되면 구성 모드에서 커밋을 입력합니다.
확인
구성이 제대로 작동하고 있는지 확인하려면 다음 작업을 수행하십시오.
인증 테이블에서 방화벽 사용자 인증 및 모니터링 사용자 및 IP 주소 검증
목적
방화벽 인증 사용자 내역을 표시하고 인증에 성공한 방화벽 사용자 수와 로그인하지 못한 방화벽 사용자의 수를 검증합니다.
작업
작동 모드에서 다음 명령을 show 입력합니다.
user@host> show security firewall-authentication history History of firewall authentication data: Authentications: 2 Id Source Ip Date Time Duration Status User 1 203.0.113.12 2010-10-12 21:24:02 0:00:24 Failed FWClient1 2 203.0.113.12 2010-10-12 21:24:48 0:00:22 Success FWClient1
user@host> show security firewall-authentication history identifier 1 Username: FWClient1 Source IP: 203.0.113.12 Authentication state: Success Authentication method: Pass-through using Telnet Access start date: 2010-10-12 Access start time: 21:24:02 Duration of user access: 0:00:24 Source zone: UT-ZONE Destination zone: T-ZONE Access profile: FWAUTH Bytes sent by this user: 0 Bytes received by this user: 2660
user@host> show security firewall-authentication users Firewall authentication data: Total users in table: 1 Id Source Ip Src zone Dst zone Profile Age Status User 4 203.0.113.12 UT-ZONE T-ZONE FWAUTH 1 Success FWClient1
user@host> show security firewall-authentication users identifier 3 Username: FWClient1 Source IP: 203.0.113.12 Authentication state: Success Authentication method: Pass-through using Telnet Age: 3 Access time remaining: 9 Source zone: UT-ZONE Destination zone: T-ZONE Access profile: FWAUTH Interface Name: ge-0/0/1.0 Bytes sent by this user: 0 Bytes received by this user: 1521
예: 통과(pass-through) 인증을 트리거하는 HTTPS 트래픽 구성
이 예에서는 통과(pass-through) 인증을 트리거하도록 HTTPS 트래픽을 구성하는 방법을 보여줍니다. HTTPS는 HTTP보다 안전하기 때문에 더욱 인기가 높고 널리 사용되고 있습니다.
요구 사항
이 예에서는 다음과 같은 하드웨어 및 소프트웨어 구성 요소를 활용합니다.
SRX 시리즈 디바이스
Linux 및 Open SSL을 실행하는 2대의 PC. 한 PC는 클라이언트 역할을, 다른 PC는 HTTPS 서버의 역할을 합니다. 두 개의 PC는 주요 파일을 생성하고 트래픽을 전송하는 데 사용됩니다.
Junos OS 릴리스 12.1X44-D10, SRX5400, SRX5600 및 SRX5800 장치 및 Junos OS 릴리스 15.1X49-D40, vSRX SRX300, SRX320, SRX340, SRX345, SRX380, SRX550M 및 SRX1500 서비스 게이트웨이에서 이상에서 사용 가능합니다.
HTTPS 기반 인증은 Junos OS 릴리스 12.1X44-D10 Junos OS 17.3R1 릴리스에서부터 Junos OS 디바이스, SRX5400, SRX5600 및 SRX5800 소개합니다.
HTTPS 기반 인증은 Junos OS 릴리스 15.1X49-D40 Junos OS 릴리스 17.3R1, vSRX, SRX300, SRX320, SRX340, SRX380, SRX550M 및 SRX1500 서비스 게이트웨이에서 소개됩니다.
시작하기 전에 다음을 할 수 있습니다.
SRX 시리즈 디바이스는 패스스루(pass-through) 인증을 트리거하기 위해 HTTPS 트래픽을 디코딩해야 합니다. 그런 다음, SSL 종료 프록시가 전용 키 파일과 인증 파일을 생성하여 설치합니다. 다음 목록은 전용 키 파일과 인증 키 파일을 생성 및 설치하는 단계를 설명하고 있습니다.
공식 .crt 파일과 .key 파일이 있는 경우 파일을 SRX 시리즈 디바이스에 직접 업로드하고 설치할 수 있습니다. .crt 파일과 .key 파일이 없는 경우 절차를 따라 파일을 생성하고 설치하십시오. 1단계와 2단계에 지정된 지침은 Linux 및 OpenSSL이 설치된 PC에서 실행되어야 합니다. 3단계와 4단계에 지정된 명령은 작동 모드에서 실행되어야 합니다.
전용 키 파일과 인증 파일을 생성 및 설치하려면 다음을 제공합니다.
PC에서 .key 파일을 생성 합니다.
openssl genrsa -out /tmp/server.key 1024
PC에서 .crt 파일을 생성합니다.
openssl req -new -x509 -days 365 -key /tmp/server.key -out /tmp/device.crt -subj "/C=CN/ST=BJ/L=BJ/O=JNPR/OU=CNRD/CN=203.0.113.11/emailAddress=device@mycompany.com"
.key 및 .crt 파일을 SRX 시리즈 디바이스에 업로드하고 작동 모드에서 다음 명령을 사용하여 디바이스에 파일을 설치합니다.
user@host> request security pki local-certificate load filename /var/tmp/device.crt key /var/tmp/device.key certificate-id device
개요
방화벽 인증은 두 디바이스에 걸쳐 설정되는 보안 연결을 시작합니다. 네트워크 사용자는 방화벽을 통해 연결을 시작할 때 인증을 위한 사용자 이름과 암호를 제공해야 합니다. 방화벽 인증은 통과(pass-through) 인증을 위한 HTTPS 트래픽을 제공합니다. HTTPS는 사용자와 SRX 시리즈 디바이스 간의 HTTP 방화벽 인증 트래픽을 보호할 수 있습니다.
HTTPS는 HTTP의 보안 버전으로, 사용자가 연결한 장치와 사용자 간에 데이터가 전송되는 프로토콜입니다. 사용자와 연결된 디바이스 간의 모든 통신은 암호화됩니다. HTTPS는 주로 온라인 뱅킹 및 온라인 구매 주문 양식과 같이 기밀이 뛰어난 온라인 거래를 보호하는 데 사용됩니다.
이 예에서는 HTTPS가 HTTP보다 안전하기 때문에 HTTPS 트래픽은 통과(pass-through) 인증을 트리거하는 데 사용됩니다. HTTPS 트래픽이 통과(pass-through) 인증을 트리거하려면 먼저 SSL 종료 프로파일을 구성해야 합니다.
그림 3 은 HTTPS 트래픽을 사용한 통과(pass-through) 인증의 예를 보여줍니다. 이 예에서 언트러스트 존의 호스트 또는 사용자가 트러스트 존의 자원에 액세스합니다. SRX 시리즈 디바이스는 HTTPS를 사용하여 사용자 이름과 암호 정보를 수집합니다. 호스트 또는 사용자의 후속 트래픽은 이 인증 결과에 따라 허용 또는 거부됩니다.
구성
CLI 빠른 구성
이 예제를 신속하게 구성하려면 다음 명령을 텍스트 파일에 복사하고, 라인 끊기를 제거하고, 네트워크 구성과 일치하는 데 필요한 세부 정보를 변경하고, [edit] 계층 수준에서 명령어를 CLI 입력한 다음 구성 commit 모드에서 입력합니다.
set interfaces ge-0/0/0 unit 0 family inet address 192.0.2.12/24 set interfaces ge-1/0/0 unit 0 family inet address 203.0.113.1/24 set security policies from-zone trust to-zone untrust policy p1 match source-address any set security policies from-zone trust to-zone untrust policy p1 match destination-address any set security policies from-zone trust to-zone untrust policy p1 match application any set security policies from-zone trust to-zone untrust policy p1 then permit firewall-authentication pass-through access-profile local_pf set security policies from-zone trust to-zone untrust policy p1 then permit firewall-authentication pass-through ssl-termination-profile ssl_pf set security policies from-zone trust to-zone untrust policy p1 then log session-init set security policies from-zone trust to-zone untrust policy p1 then log session-close set security zones security-zone trust interfaces ge-0/0/0.0 host-inbound-traffic system-services all set security zones security-zone trust interfaces ge-0/0/0.0 host-inbound-traffic protocols all set security zones security-zone untrust interfaces ge-1/0/0.0 host-inbound-traffic system-services all set security zones security-zone untrust interfaces ge-1/0/0.0 host-inbound-traffic protocols all set access profile local_pf client user1 firewall-user password <password> set access firewall-authentication pass-through default-profile local_pf set services ssl termination profile ssl_pf server-certificate device
절차
단계별 절차
통과(pass-through) 인증을 트리거하도록 HTTPS 트래픽을 구성하는 경우:
인터페이스를 구성하고 IP 주소를 할당합니다.
[edit interfaces] user@host# set ge-0/0/0 unit 0 family inet address 192.0.2.12/24 user@host# set ge-1/0/0 unit 0 family inet address 203.0.113.1/24
영역 트러스트에서 존 언트러스트에 대한 방화벽 인증 트래픽을 허용하도록 보안 정책을 구성합니다.
[edit security policies] user@host# set from-zone trust to-zone untrust policy p1 then permit firewall-authentication pass-through access-profile local_pf user@host# set from-zone trust to-zone untrust policy p1 then permit firewall-authentication pass-through ssl-termination-profile ssl_pf
패킷이 기준과 일치할 때 취할 정책 조치를 지정합니다.
[edit security policies] user@host# set from-zone trust to-zone untrust policy p1 match source-address any user@host# set from-zone trust to-zone untrust policy p1 match destination-address any user@host# set from-zone trust to-zone untrust policy p1 match application any user@host# set from-zone trust to-zone untrust policy p1 then log session-init user@host# set from-zone trust to-zone untrust policy p1 then log session-close
보안 존을 구성하고 인터페이스를 할당합니다.
[edit security zones] user@host# set security-zone trust interfaces ge-0/0/0.0 host-inbound-traffic protocols all user@host# set security-zone trust interfaces ge-0/0/0.0 host-inbound-traffic system-services all
존에 대한 애플리케이션 서비스를 구성합니다.
[edit security zones] user@host# set security-zone trust host-inbound-traffic system-services all protocols all user@host# set security-zone untrust host-inbound-traffic system-services all protocols all
액세스 프로파일을 생성하고 클라이언트를 방화벽 사용자로 구성하고 암호를 설정할 수 있습니다.
[edit access] user@host# set profile local_pf client user1 firewall-user password <password>
인증 설정이 정의된 방화벽의 유형과 기본 프로필 이름을 구성합니다.
[edit access] user@host# set firewall-authentication pass-through default-profile local_pf
SSL 종료 프로파일을 구성하고 로컬 인증서 식별자 이름을 입력합니다.
[edit services] user@host# set ssl termination profile ssl_pf server-certificate device
결과
구성 모드에서 show interfaces, , show security policies및 show security zonesshow accessshow services ssl termination 명령어를 입력하여 구성을 확인 출력이 의도한 구성을 표시하지 않는 경우 이 예제에서 구성 지침을 반복하여 수정합니다.
user@host# show interfaces
...
interfaces
ge-0/0/0 {
unit 0 {
family inet {
address 192.0.2.12;
}
}
}
ge-1/0/0 {
unit 0 {
family inet {
address 203.0.113.1/24;
}
}
}
user@host# show security policies
...
policies
from-zone trust to-zone untrust {
policy p1 {
match {
source-address any;
destination-address any;
application any;
}
then {
permit {
firewall-authentication {
pass-through {
access-profile local_pf;
ssl-termination-profile ssl_pf;
}
}
}
log {
session-init;
session-close;
}
}
}
}
}
user@host# show security zones
...
zones {
security-zone trust {
interfaces {
ge-0/0/0.0 {
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
}
}
}
security-zone untrust {
interfaces {
ge-1/0/0.0 {
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
}
}
}
user@host# show access
...
access {
profile local_pf {
client user1 {
firewall-user {
password password;
}
}
}
firewall-authentication {
pass-through {
default-profile local_pf;
}
}
user@host# show services ssl termination
...
services {
ssl {
termination {
profile ssl_pf {
server-certificate device;
}
}
}
}
디바이스 구성이 완료되면 구성 commit 모드에서 입력합니다.
확인
구성 검증
목적
구성이 올바른지 확인합니다.
작업
작동 모드에서 식별 show security firewall-authentication users 자 1에 대한 명령을 입력합니다.
user@host> show security firewall-authentication users identifier 1
Username: user1
Source IP: 203.0.113.1/24
Authentication state: Success
Authentication method: Pass-through using HTTPS
Age: 0
Access time remaining: 10
Lsys: root-logical-system
Source zone: trust
Destination zone: untrust
Access profile: local_pf
Interface Name: ge-0/0/0.0
Bytes sent by this user: 946
Bytes received by this user: 0
의미
명령 show security firewall-authentication users 어는 지정된 식별자에 대한 방화벽 인증 사용자 정보를 표시합니다. 출력이 인증 방법 필드의 HTTPS를 사용한 패스스루(Pass-through) 및 인증 상태 필드의 성공으로 표시하면 구성이 올바르게 지정됩니다.
웹 인증 이해
웹 인증은 사용자 인증 통과의 대안입니다. 클라이언트 브라우저에서 연결하려는 리소스를 표시하는 대신 웹 인증을 위해 활성화된 장비의 IP 주소로 브라우저를 지각합니다. 그러면 디바이스에서 웹 인증 기능을 호스팅하는 IP 주소로 HTTP 세션이 시작됩니다. 그런 다음, 디바이스에 사용자 이름과 암호를 묻는 메시지가 표시하고 디바이스의 결과를 캐시합니다. 이후, 트래픽이 웹 인증 정책에 발생하면 그림 4와 같이 이전 웹 인증 결과에 따라 액세스가 허용되거나 거부 됩니다.
패밀리 inet을 사용하여 IPv4 주소를 할당합니다. family inet6을 사용하여 IPv6 주소를 할당합니다. 인터페이스는 IPv4 및 IPv6 주소로 구성할 수 있습니다. 이 예에서는 가장 대표적인 예로 IPv4 주소만 사용합니다.
웹 인증 가이드라인을 따르십시오.
기본 웹 인증 서버를 로컬 데이터베이스로 남겨두거나 해당 역할에 대한 외부 인증 서버를 선택할 수 있습니다. 기본 웹 인증 프로필은 사용자가 로컬 데이터베이스 또는 외부 인증 서버를 사용하여 인증하는지 여부를 지정합니다. 액세스 프로파일은 사용자 이름과 암호를 저장하거나 해당 정보가 저장되는 외부 인증 서버를 연결합니다.
웹 인증 주소는 호스팅하기 위해 사용하려는 인터페이스와 동일한 서브넷에 있어야 합니다. 예를 들어, IP 주소 203.0.113.1/24를 사용하는 Ethernet3을 통해 인증 사용자가 웹 인증을 사용하여 연결하기를 원하는 경우 203.0.0.113.0/24 서브넷에 웹 인증 IP 주소를 할당할 수 있습니다.
물리적 인터페이스 또는 VSI(Virtual Security Interface)의 IP 주소와 동일한 서브넷에 웹 인증 주소를 입력할 수 있습니다. (다양한 유형의 인터페이스에 대한 정보는 보안 존 개요를 참조하십시오.)
웹 인증 주소를 여러 인터페이스에 통합할 수 있습니다.
디바이스가 특정 소스 IP 주소에서 사용자를 인증한 후, 웹 인증을 통해 동일한 주소의 다른 사용자로부터 인증을 요구하는 정책에 지정된 트래픽을 허용합니다. 이는 사용자가 모든 원래 소스 주소를 변환된 단일 주소로 변경하는 네트워크 주소 변환(NAT) 디바이스 뒤에서 트래픽을 발신하는 경우일 수 있습니다.
웹 인증을 활성화하면 IP 주소로의 모든 HTTP 트래픽은 관리자 로그인 페이지 대신 웹 인증 로그인 페이지를 얻을 수 있습니다. 이 옵션을 활성화하지하면 관리자 로그인 페이지가 표시됩니다(활성화된 경우의 경우).
[system services web-management HTTP]웹 인증에 주소를 사용하는 경우 별도의 기본 IP 주소 또는 선호하는 IP 주소가 있는 것이 좋습니다.
웹 인증 방법은 클라이언트 장치가 보안 게이트웨이에 즉시 인접하고 클라이언트 장치가 다중 사용자 호스트가 아니라는 보장이 높은 경우 권장됩니다. 이 인증 방법은 무선 링크 및 비무장지대(DMZ) 회의실 링크에 가장 잘 적용됩니다.
예: 웹 인증 구성
이 예에서는 웹 인증을 활성화하고 트래픽이 웹 인증을 활성화한 정책에 발생하면 사용자에게 액세스를 허용하는 정책을 설정하는 방법을 보여줍니다.
요구 사항
시작하기 전에 다음을 할 수 있습니다.
방화벽 사용자를 정의합니다. 방화벽 사용자 인증 개요를 참조하십시오.
웹 인증을 지원하기 위해 인터페이스의 주소 계층 아래에 웹 인증 HTTP 플래그를 추가합니다.
개요
웹 인증을 활성화하려면 HTTP 세션을 호스팅하는 장치의 IP 주소를 지정해야 합니다. 보호된 리소스에 액세스하는 방화벽 사용자가 웹서버에 직접 액세스하거나 웹 인증을 통해 인증을 원하는 경우 이러한 설정이 사용됩니다. 다음 지침은 트래픽에 웹 인증을 활성화한 정책이 있는 경우(Policy-W) FWClient1 사용자에게 액세스를 허용하는 정책을 설정하는 방법을 보여주고 있습니다. (그림 5 참조) 이 예에서 FWClient1은 웹 인증 로그인 페이지를 통해 이미 인증을 통과했습니다.
FWClient1 방화벽 사용자는 인증을 위해 다음을 합니다.
브라우저를 웹 인증 IP(198.51.100.63/24)로 연결하여 먼저 인증을 받을 수 있습니다.
policy-W 정책에 의해 지정된 리소스에 액세스하기 위한 트래픽 시작
이러한 지침에 설명된 바와 같이 디바이스를 구성하면 사용자가 성공적으로 인증하면 그림 6 에 설명된 화면이 나타납니다.
구성
절차
CLI 빠른 구성
이 예제를 신속하게 구성하려면 다음 명령을 텍스트 파일에 복사하고, 라인 끊기를 제거하고, 네트워크 구성과 일치하는 데 필요한 세부 정보를 변경하고, [edit] 계층 수준에서 명령어를 CLI 입력한 다음 구성 commit 모드에서 입력합니다.
set interfaces ge-0/0/1 unit 0 family inet address 198.51.100.23/24set interfaces ge-0/0/1 unit 0 family inet address 198.51.100.63/24 web-authentication httpset interfaces fe-5/0/0 unit 0 family inet address 203.0.113.15/24set access profile WEBAUTH client FWClient1 firewall-user password pwdset access firewall-authentication web-authentication default-profile WEBAUTHset access firewall-authentication web-authentication banner success "WEB AUTH LOGIN SUCCESS"set security zones security-zone UT-ZONE host-inbound-traffic system-services allset security zones security-zone UT-ZONE interfaces ge-0/0/1.0 host-inbound-traffic protocols allset security zones security-zone T-ZONE host-inbound-traffic system-services allset security zones security-zone T-ZONE interfaces ge-5/0/0.0 host-inbound-traffic protocols allset security policies from-zone UT-ZONE to-zone T-ZONE policy P1 match source-address anyset security policies from-zone UT-ZONE to-zone T-ZONE policy P1 match destination-address anyset security policies from-zone UT-ZONE to-zone T-ZONE policy P1 match application anyset security policies from-zone UT-ZONE to-zone T-ZONE policy P1 then permit firewall-authentication web-authentication client-match FWClient1set system services web-management http interface ge-0/0/1.0
단계별 절차
다음 예제에서는 구성 계층의 다양한 수준을 탐색해야 합니다. 이러한 작업을 하는 방법에 대한 지침은 Configuration 모드에서 CLI 편집기 사용 을 참조하십시오.
웹 인증 구성:
두 인터페이스를 구성하고 IP 주소를 할당합니다.
참고:이 예에서는 인터페이스에 2개의 주소를 할당하는 옵션으로 제공됩니다.
[edit] user@host# set interfaces ge-0/0/1 unit 0 family inet address 198.51.100.23/24 user@host# set interfaces ge-0/0/1 unit 0 family inet address 198.51.100.63/24 web-authentication http user@host# set interfaces fe-5/0/0 unit 0 family inet address 203.0.113.15/24
FWClient1 사용자를 위한 WEBAUTH 액세스 프로필을 생성하고, 사용자 암호를 지정하고, 성공 배너를 정의합니다.
[edit access] user@host# set profile WEBAUTH client FWClient1 firewall-user password pwd user@host# set firewall-authentication web-authentication default-profile WEBAUTH user@host# set firewall-authentication web-authentication banner success "WEB AUTH LOGIN SUCCESS"
보안 존을 구성합니다.
참고:이 예에서는 보안 존을 위한 두 번째 인터페이스를 구성하는 것이 선택 사항입니다.
[edit security zones] user@host# set security-zone UT-ZONE host-inbound-traffic system-services all user@host# set security-zone UT-ZONE interfaces ge-0/0/1.0 host-inbound-traffic protocols all user@host# set security-zone T-ZONE host-inbound-traffic system-services all user@host# set security-zone T-ZONE interfaces ge-5/0/0.0 host-inbound-traffic protocols all
보안 존에 보안 정책 P1을 할당합니다.
[edit security policies] user@host# set from-zone UT-ZONE to-zone T-ZONE policy P1 match source-address any user@host# set from-zone UT-ZONE to-zone T-ZONE policy P1 match destination-address any user@host# set from-zone UT-ZONE to-zone T-ZONE policy P1 match application any user@host# set from-zone UT-ZONE to-zone T-ZONE policy P1 then permit firewall-authentication web-authentication client-match FWClient1
디바이스에서 HTTP 프로세스(데몬)를 활성화합니다.
[edit] user@host# set system services web-management http interface ge-0/0/1.0
결과
구성 모드에서는 다음 명령을 입력하여 구성을 확인
show interfacesshow accessshow security zonesshow security policiesshow system services
출력이 의도한 구성을 표시하지 않는 경우 이 예제에서 구성 지침을 반복하여 수정합니다.
이 출력에는 show 이 예제와 관련이 있는 구성만 포함됩니다. 시스템의 다른 구성은 타원(...)로 대체되었습니다.
user@host# show interfaces
...
}
ge-0/0/1{
unit 0 {
family inet {
address 198.51.100.23/24 {
address 198.51.100.63/24 {
web-authentication http;
}
}
}
}
fe-5/0/0 {
unit 0 {
family inet {
address 198.51.100.14/24;
}
}
}
...
user@host# show access
profile WEBAUTH {
client FWClient1 {
firewall-user {
password "$ABC123"; ## SECRET-DATA
}
}
}
firewall-authentication {
web-authentication {
default-profile WEBAUTH;
banner {
success "WEB AUTH LOGIN SUCCESS";
}
}
}
user@host# show security zones
...
}
security-zone UT-ZONE {
host-inbound-traffic {
system-services {
all;
}
}
interfaces {
ge-0/0/1.0 {
host-inbound-traffic {
protocols {
all;
}
}
}
}
}
security-zone T-ZONE {
host-inbound-traffic {
system-services {
all;
}
}
interfaces {
ge-5/0/0.0 {
host-inbound-traffic {
protocols {
all;
}
}
}
}
}
user@host# show security policies
...
from-zone UT-ZONE to-zone T-ZONE {
policy P1 {
match {
source-address any;
destination-address any;
application any;
}
then {
permit {
firewall-authentication {
web-authentication {
client-match FWClient1;
}
}
}
}
}
}
user@host# show system services
...
ftp;
ssh;
telnet;
web-management {
http {
interface g-0/0/1.0;
}
}
디바이스 구성이 완료되면 구성 commit 모드에서 입력합니다.
확인
구성이 제대로 작동하고 있는지 확인하려면 다음 작업을 수행하십시오.
인증 테이블에서 방화벽 사용자 인증 및 모니터링 사용자 및 IP 주소 검증
목적
방화벽 인증 사용자 내역을 표시하고 인증에 성공한 방화벽 사용자와 로그인하지 못한 방화벽 사용자의 수를 검증합니다.
작업
작동 모드에서 다음 명령을 show 입력합니다.
user@host> show security firewall-authentication history user@host> show security firewall-authentication history identifier 1 user@host> show security firewall-authentication users user@host> show security firewall-authentication users identifier 3
user@host> show security firewall-authentication history
History of firewall authentication data:
Authentications: 1
Id Source Ip Date Time Duration Status User
5 198.51.100.75 2010-04-24 01:08:57 0:10:30 Success FWClient1
user@host> show security firewall-authentication history identifier 1
Username: FWClient1
Source IP: 198.51.100.752
Authentication state: Success
Authentication method: Web-authentication
Access start date: 2010-10-12
Access start time: 21:24:02
Duration of user access: 0:00:24
Source zone: N/A
Destination zone: N/A
Access profile: WEBAUTH
Bytes sent by this user: 0
Bytes received by this user: 2660
user@host> show security firewall-authentication users
Firewall authentication data:
Total users in table: 1
Id Source Ip Src zone Dst zone Profile Age Status User
4 198.51.100.75 N/A N/A WEBAUTH 1 Success FWClient1
user@host> show security firewall-authentication users identifier 3
Username: FWClient1
Source IP: 198.51.100.75
Authentication state: Success
Authentication method: Web-authentication
Age: 3
Access time remaining: 9
Source zone: N/A
Destination zone: N/A
Access profile: WEBAUTH
Interface Name: ge-0/0/1.0
Bytes sent by this user: 0
Bytes received by this user: 1521
예: 웹 인증을 트리거하기 위한 HTTPS 트래픽 구성
다음 예제에서는 웹 인증을 트리거하기 위해 HTTPS 트래픽을 구성하는 방법을 보여줍니다. HTTPS는 HTTP보다 안전하기 때문에 웹 인증에 널리 사용됩니다.
요구 사항
시작하기 전에 다음을 할 수 있습니다.
이 예에서는 다음과 같은 하드웨어 및 소프트웨어 구성 요소를 활용합니다.
SRX 시리즈 디바이스
Linux 및 Open SSL을 장착한 2대의 PC가 설치되었습니다. 한 PC는 클라이언트 역할을, 다른 PC는 HTTPS 서버의 역할을 합니다. 두 개의 PC는 주요 파일을 생성하고 트래픽을 전송하는 데 사용됩니다.
Junos OS 릴리스 12.1X44-D10, SRX5400, SRX5600 및 SRX5800 장치 및 Junos OS 릴리스 15.1X49-D40, vSRX SRX300, SRX320, SRX340, SRX345, SRX380, SRX550M 및 SRX1500 서비스 게이트웨이에서 이상에서 사용 가능합니다.
SRX 시리즈 디바이스는 HTTPS 트래픽을 디코딩하여 웹 인증을 트리거해야 합니다. 다음 목록은 전용 키 파일과 인증 키 파일을 생성 및 설치하는 단계를 설명하고 있습니다.
공식 파일과 .crt .key 파일이 있는 경우 SRX 시리즈 디바이스에 파일을 직접 업로드하고 설치할 수 있습니다. 파일과 파일이 .crt .key 없는 경우 절차를 따라 파일을 생성하고 설치합니다. 1단계와 2단계에 지정된 지침은 Linux 및 OpenSSL이 설치된 PC에서 실행되어야 합니다. 3단계와 4단계에 지정된 명령은 작동 모드에서 실행되어야 합니다.
PC에서 파일을 생성
.key합니다.openssl genrsa -out /tmp/server.key 1024
PC에서 파일을 생성
.crt합니다.openssl req -new -x509 -days 365 -key /tmp/server.key -out /tmp/device.crt -subj "/C=CN/ST=BJ/L=BJ/O=JNPR/OU=CNRD/CN=203.0.113.22/emailAddress=device@mycomany.com"
SRX 시리즈 디바이스에서,
.key.crt파일과 파일을 업로드하고 다음과 같은 명령을 사용하여 장비에 파일을 설치합니다.user@host> request security pki local-certificate load filename /var/tmp/device.crt key /var/tmp/device.key certificate-id device
개요
방화벽 인증은 두 디바이스에 걸쳐 설정되는 보안 연결을 시작합니다. 네트워크 사용자는 방화벽을 통해 연결을 시작할 때 인증을 위한 사용자 이름과 암호를 제공해야 합니다. 방화벽 인증은 통과(pass-through) 인증을 위한 HTTPS 트래픽을 제공합니다. HTTPS는 사용자와 SRX 시리즈 디바이스 간의 HTTP 방화벽 인증 트래픽을 보호할 수 있습니다.
HTTPS는 HTTP의 보안 버전으로, 사용자가 연결한 장치와 사용자 간에 데이터가 전송되는 프로토콜입니다. 사용자와 연결된 디바이스 간의 모든 통신은 암호화됩니다. HTTPS는 주로 온라인 뱅킹 및 온라인 구매 주문 양식과 같이 기밀이 뛰어난 온라인 거래를 보호하는 데 사용됩니다.
이 예에서 HTTPS 트래픽은 HTTPS보다 안전하기 때문에 웹 인증을 트리거하는 데 사용됩니다.
사용자는 HTTPS를 사용하여 웹 인증을 위해 활성화된 장비의 IP 주소에 액세스합니다. 이 시나리오에서는 사용자가 HTTPS를 사용하여 보호된 리소스의 IP 주소에 액세스하지 않습니다. 사용자 이름과 암호에 대한 메시지가 표시됩니다. 사용자 이름과 암호는 장치에 의해 검증됩니다. 이 웹 인증 결과에 따라 사용자 또는 호스트에서 보호된 리소스로의 후속 트래픽이 허용 또는 거부됩니다.
그림 7 은 HTTPS 트래픽을 사용하는 웹 인증의 예를 보여줍니다.
구성
CLI 빠른 구성
이 예제를 신속하게 구성하려면 다음 명령을 텍스트 파일에 복사하고, 라인 끊기를 제거하고, 네트워크 구성과 일치하는 데 필요한 세부 정보를 변경하고, [edit] 계층 수준에서 명령어를 CLI 입력한 다음 구성 commit 모드에서 입력합니다.
set system services web-management https pki-local-certificate device set interfaces ge-0/0/0 unit 0 family inet address 203.0.113.18/24 set interfaces ge-0/0/0 unit 0 family inet address 203.0.113.115/24 web-authentication https set interfaces ge-0/0/1 unit 0 family inet address 192.0.2.5/24 set security policies from-zone trust to-zone untrust policy p1 match source-address any set security policies from-zone trust to-zone untrust policy p1 match destination-address any set security policies from-zone trust to-zone untrust policy p1 match application any set security policies from-zone trust to-zone untrust policy p1 then permit set access profile local_pf client user1 firewall-user password user1 set access firewall-authentication web-authentication default-profile local_pf set security policies from-zone trust to-zone untrust policy p1 then permit firewall-authentication web-authentication
절차
단계별 절차
웹 인증을 트리거하기 위해 HTTPS 트래픽을 구성하는 경우:
HTTPS 트래픽에 대한 웹 관리 지원을 활성화합니다.
[edit system services] user@host# set web-management https pki-local-certificate device
인터페이스를 구성하고 IP 주소를 할당합니다. ge-0/0/0 인터페이스에서 웹 인증을 활성화합니다.
[edit interfaces] user@host# set ge-0/0/0 unit 0 family inet address 203.0.113.18/24 set ge-0/0/0 unit 0 family inet address 203.0.113.115/24 web-authentication https user@host# set ge-0/0/1 unit 0 family inet address 192.0.2.5/24
영역 트러스트에서 존 언트러스트에 대한 방화벽 인증 트래픽을 허용하도록 보안 정책을 구성합니다.
[edit security policies] user@host# set from-zone trust to-zone untrust policy p1 match source-address any destination-address any application any user@host# set security policies from-zone trust to-zone untrust policy p1 then permit
액세스 프로파일을 생성하고 클라이언트를 방화벽 사용자로 구성한 다음 암호를 설정할 수 있습니다.
[edit access] user@host# set profile local_pf client user1 firewall-user password user1
방화벽 인증 설정 유형을 구성합니다.
[edit access] user@host# set firewall-authentication web-authentication default-profile local_pf
패킷이 기준과 일치할 때 취할 정책 조치를 지정합니다.
[edit security policies] user@host# set from-zone trust to-zone untrust policy p1 then permit firewall-authentication web-authentication
결과
구성 모드에서 , 및 show interfacesshow security policiesshow access 명령어show system services를 입력하여 구성을 확인 출력이 의도한 구성을 표시하지 않는 경우 이 예제에서 구성 지침을 반복하여 수정합니다.
user@host# show system services
web-management {
https {
pki-local-certificate device;
}
}
user@host# show interfaces
ge-0/0/0 {
unit 0 {
family inet {
address 203.0.113.115/24 {
web-authentication https;
}
}
}
ge-0/0/1 {
unit 0 {
family inet {
address 192.0.2.5/24;
}
}
}
user@host# show security policies
from-zone trust to-zone untrust {
policy p1 {
match {
source-address any;
destination-address any;
application any;
}
then {
permit {
firewall-authentication {
web-authentication;
}
}
}
}
}
user@host# show access
profile local_pf {
client user1 {
firewall-user {
password "user1";
}
}
}
firewall-authentication {
web-authentication {
default-profile local_pf;
}
디바이스 구성이 완료되면 구성 commit 모드에서 입력합니다.
확인
구성 검증
목적
구성이 올바른지 확인합니다.
작업
작동 모드에서 명령어를 입력 show security firewall-authentication users identifier identifier 합니다.
샘플 출력
user@host> show security firewall-authentication users identifier 1
Username: user1
Source IP: 203.1.113.102
Authentication state: Success
Authentication method: Web-authentication
Age: 0
Access time remaining: 10
Lsys: root-logical-system
Source zone: N/A
Destination zone: N/A
Access profile: local_pf
Bytes sent by this user: 0
Bytes received by this user: 0
의미
명령 show security firewall-authentication users identifier identifier 어는 사용자의 ID를 사용하여 방화벽 인증 사용자 정보를 표시합니다. 인증 방법 매개 변수가 웹 인증을 표시하고 인증 상태 매개 변수가 출력에서 성공을 표시하는 경우 구성이 올바르게 됩니다.