이 페이지 내용

Junos OS의 통합 액세스 제어
Junos OS Enforcer(IC 시리즈 UAC 어플라이언스 포함)
Junos OS Enforcer(IPsec 포함)
Junos OS Enforcer를 통한 정책 실행 및 엔드포인트 보안
Junos OS Enforcer를 사용하는 캡티브 포털

UAC(Unified Access Control)

UAC(Unified Access Control) 네트워크에서 방화벽을 Infranet Enforcer로 사용하는 방법에 대해 알아봅니다.

UAC(Unified Access Control)는 다음 구성 요소를 사용하여 네트워크를 보호하고 자격을 갖춘 최종 사용자만 보호된 리소스에 액세스할 수 있도록 합니다.

IC Series UAC 어플라이언스 - IC Series 어플라이언스는 네트워크의 정책 결정 지점입니다. 인증 정보 및 정책 규칙을 사용하여 네트워크의 개별 리소스에 대한 액세스를 제공할지 여부를 결정합니다. 네트워크에 하나 이상의 IC 시리즈 어플라이언스를 구축할 수 있습니다.
Infranet Enforcers—Infranet Enforcer는 네트워크의 정책 적용 지점입니다. IC 시리즈 어플라이언스에서 정책을 수신하고 해당 정책에 정의된 규칙을 사용하여 리소스에 대한 엔드포인트 액세스를 허용할지 여부를 결정합니다. 보호하려는 서버 및 리소스 앞에 Infranet Enforcer를 배포합니다.
Infranet 에이전트 - Infranet 에이전트는 네트워크 엔드포인트(예: 사용자 컴퓨터)에서 직접 실행되는 클라이언트 측 구성 요소입니다. 에이전트는 엔드포인트가 Host Checker 정책에 지정된 보안 기준을 준수하는지 확인하고 해당 규정 준수 정보를 Infranet Enforcer에 전달합니다. 그런 다음 Infranet Enforcer는 규정 준수 결과에 따라 엔드포인트 액세스를 허용하거나 거부합니다.

Junos OS의 통합 액세스 제어

방화벽은 UAC 네트워크에서 Infranet Enforcer 역할을 할 수 있습니다. 특히, IC 시리즈 어플라이언스에서 푸시다운된 IP 기반 정책을 사용하여 액세스를 제어하는 레이어 3 적용 지점 역할을 합니다. UAC 네트워크에 구축된 방화벽을 Junos OS Enforcer라고 합니다.

혜택
UAC는 Junos OS 환경에서 어떻게 작동합니까?

혜택

사용자 ID, 디바이스 보안 상태, 위치 정보를 기반으로 최종 사용자 액세스를 세부적이고 동적으로 제어합니다.
개방형 표준 기반 아키텍처를 통해 사용자 인증부터 액세스 포인트 및 스위치, 주니퍼 방화벽 및 IDP 시리즈 어플라이언스에 이르는 기존 네트워크 인프라를 활용합니다.

UAC는 Junos OS 환경에서 어떻게 작동합니까?

그림 1: Junos OS 환경에서 Network security architecture with Juniper components: Infranet Agent initiates sign-in via Internet, managed by Infranet Controller, secures with JUEP over SSL to SRX Series, protecting resources.

Network security architecture with Juniper components: Infranet Agent initiates sign-in via Internet, managed by Infranet Controller, secures with JUEP over SSL to SRX Series, protecting resources.

UAC 작업

UAC 트래픽이 방화벽에 들어가야 하는 인터페이스를 설정합니다.
보안 요구 사항이 동일한 인터페이스를 영역으로 그룹화합니다. 예: 보안 영역 생성을 참조하십시오.
보안 영역을 통과하는 트래픽을 제어하기 위한 보안 정책을 생성합니다. 예: 모든 트래픽을 허용 또는 거부하도록 보안 정책 구성을 참조하십시오.

Junos OS 보안 정책은 전송 트래픽에 대한 규칙을 적용하여 주니퍼 네트웍스 디바이스를 통과할 수 있는 트래픽을 정의합니다. 정책은 한 영역(from-zone)에서 들어오고 다른 영역(to-zone)에서 나가는 트래픽을 제어합니다. UAC 구축에서 방화벽을 Junos OS Enforcer로 활성화하려면 다음을 수행해야 합니다.

UAC 트래픽이 이동할 원본 및 대상 영역을 식별합니다. 또한 인터페이스가 있는 영역을 포함하여 인터페이스 목록이 필요합니다. IC Series UAC 어플라이언스는 대상 영역을 사용하여 IC Series 어플라이언스에 구성된 자체 IPsec 라우팅 정책과 일치시킵니다.
해당 영역을 포괄하는 Junos OS 보안 정책을 식별하고 해당 정책에 대해 UAC를 사용하도록 설정합니다.

Junos OS 보안 정책을 사용하는 UAC는 기존 보안 정책만 지원하고 동적 애플리케이션 구성은 지원하지 않습니다. Junos OS 보안 정책을 통해 UAC를 구성하려면 다음 구성 문을 입력합니다.

Junos OS Enforcer(IC 시리즈 UAC 어플라이언스 포함)

IC 시리즈 UAC 어플라이언스가 포함된 Junos OS Enforcer란 무엇입니까?
IC 시리즈 UAC 어플라이언스를 사용하는 Junos OS Enforcer의 작동 방식
IC 시리즈 UAC 어플라이언스 클러스터가 포함된 Junos OS Enforcer란 무엇입니까?

IC 시리즈 UAC 어플라이언스가 포함된 Junos OS Enforcer란 무엇입니까?

UAC(Unified Access Control) 네트워크에서 방화벽은 UAC 환경에 구축될 때 Junos OS Enforcer라고 합니다. 방화벽은 IC 시리즈 UAC 어플라이언스가 제출하는 인증서를 확인합니다. 방화벽과 IC 시리즈 UAC 어플라이언스는 상호 인증을 수행합니다. 인증 후 IC 시리즈 UAC 어플라이언스는 사용자 및 리소스 액세스 정책 정보를 방화벽으로 전송하여 Junos OS Enforcer 역할을 합니다.

IC 시리즈 UAC 어플라이언스를 사용하는 Junos OS Enforcer의 작동 방식

IC 시리즈 UAC 어플라이언스에 연결하도록 방화벽을 구성할 때 방화벽과 IC 시리즈 UAC 어플라이언스는 다음과 같이 보안 통신을 설정합니다.

방화벽에서 두 개 이상의 IC 시리즈 디바이스가 Infranet Controller로 구성된 경우 라운드 로빈 알고리즘은 구성된 IC Series 디바이스 중 어느 것이 활성 Infranet Controller인지 결정합니다. 나머지는 페일오버 디바이스입니다. 활성 Infranet Controller가 작동하지 않으면 새 활성 Infranet Controller를 설정하도록 구성된 나머지 IC 시리즈 디바이스에 알고리즘이 다시 적용됩니다.
활성 IC 시리즈 어플라이언스는 서버 인증서를 방화벽에 제시합니다. 이렇게 구성되면 방화벽이 인증서를 확인합니다. (서버 인증서 확인은 필수는 아니지만 추가 보안 조치로 인증서를 확인하여 추가 신뢰 계층을 구현할 수 있습니다.)
방화벽과 IC 시리즈 어플라이언스는 독자적인 시도-응답 인증을 사용하여 상호 인증을 수행합니다. 보안상의 이유로 IC Series 기기로 전송되는 메시지에는 암호가 포함되어 있지 않습니다.
방화벽으로 성공적으로 인증한 후 IC 시리즈 어플라이언스는 사용자 인증 및 리소스 액세스 정책 정보를 보냅니다. 방화벽은 이 정보를 사용하여 UAC 네트워크에서 Junos OS Enforcer 역할을 합니다.
이후에는 IC 시리즈 어플라이언스와 Junos OS Enforcer가 SSL 연결을 통해 서로 자유롭게 통신할 수 있습니다. 통신은 JUEP(Junos UAC Enforcer Protocol)라는 독점 프로토콜에 의해 제어됩니다.

IC 시리즈 UAC 어플라이언스 클러스터가 포함된 Junos OS Enforcer란 무엇입니까?

IC 시리즈 어플라이언스 클러스터라고 하는 고가용성 구성에서 두 개 이상의 IC 시리즈 UAC 어플라이언스와 함께 작동하도록 Junos OS Enforcer를 구성할 수 있습니다. Junos OS Enforcer는 한 번에 하나의 IC 시리즈 어플라이언스와만 통신합니다. 다른 IC 시리즈 기기는 페일오버에 사용됩니다. Junos OS Enforcer가 클러스터에 추가한 첫 번째 IC 시리즈 어플라이언스에 연결할 수 없는 경우, 장애가 발생한 IC 시리즈 어플라이언스에 다시 연결을 시도합니다. 그런 다음 클러스터의 다른 IC 시리즈 어플라이언스로 장애 조치됩니다. 연결이 발생할 때까지 클러스터의 IC 시리즈 기기에 연결을 계속 시도합니다.

Junos OS Enforcer가 Infranet Enforcer에 대한 연결을 설정할 수 없는 경우, 기존의 모든 인증 테이블 항목과 UAC(Unified Access Control) 정책을 보존하고 사용자가 지정한 타임아웃 작업을 수행합니다. 시간 제한 작업에는 다음이 포함됩니다.

close- 기존 세션을 닫고 더 이상의 트래픽을 차단합니다. 이것이 기본 옵션입니다.
no-change- 기존 세션을 보존하고 새 세션에 대한 인증을 요구합니다.
open- 기존 세션을 보존하고 새 세션 액세스를 허용합니다.

Junos OS Enforcer가 IC 시리즈 어플라이언스에 대한 연결을 재설정할 수 있게 되면, IC 시리즈 어플라이언스는 Junos OS Enforcer에 저장된 인증 테이블 항목 및 UAC 정책을 IC 시리즈 어플라이언스에 저장된 인증 테이블 항목 및 정책과 비교하고 필요에 따라 두 가지를 조정합니다.

Junos OS Enforcer에 구성된 IC 시리즈 어플라이언스는 모두 동일한 IC 시리즈 어플라이언스 클러스터의 구성원이어야 합니다.

Junos OS Enforcer(IPsec 포함)

IPsec을 사용하여 방화벽을 Junos OS Enforcer로 구성하려면 다음을 수행해야 합니다.

보안 IKE(Internet Key Exchange) 게이트웨이에서 구성된 ID를 포함합니다. ID는 "gateway1.mycompany.com"와 같은 문자열이며, 여기서 gateway1.mycompany.com 는 IKE 게이트웨이를 구별합니다. (ID는 의도된 터널 트래픽을 지정합니다.)
사전 공유된 시드를 포함합니다. 이렇게 하면 1단계 자격 증명에 대한 원격 사용자의 전체 ID에서 사전 공유 키가 생성됩니다.
RADIUS 공유 암호를 포함합니다. 이를 통해 IC 시리즈 UAC 어플라이언스는 Junos OS Infranet Enforcer에서 XAuth(Extended Authentication)를 위한 RADIUS 패킷을 수락할 수 있습니다.

IC Series 어플라이언스, Odyssey Access Client 및 방화벽 간에 IPsec을 구성할 때 IC Series 어플라이언스에서 Odyssey Access Client로 지원되는 IKE(또는 1단계) 제안 방법 또는 프로토콜 구성은 다음과 같습니다.

IKE(Internet Key Exchange) 제안: authentication-method pre-shared-keys (반드시 지정 pre-shared-keys해야 함)
IKE(Internet Key Exchange) 정책:
- mode aggressive (적극적인 모드를 사용해야 합니다)
- pre-shared-key ascii-text key (ASCII 텍스트 사전 공유 키만 지원됨)
IKE(Internet Key Exchange) 게이트웨이: 동적
- hostname identity (게이트웨이 간에 고유한 ID를 지정해야 함)
- ike-user-type group-ike-id (지정group-ike-id해야 함)
- xauth access-profile profile (지정xauth해야 함)

다음은 IC 시리즈 어플라이언스에서 Odyssey Access Client로 지원되는 IPsec(또는 2단계) 제안 방법 또는 프로토콜 구성입니다.

IPsec 제안: protocol esp (을 지정 esp해야 함)
IPsec VPN: establish-tunnels immediately (반드시 지정 establish-tunnels immediately해야 함)

Junos OS Enforcer를 통한 정책 실행 및 엔드포인트 보안

UAC(Unified Access Control) 환경에서 방화벽이 Junos OS Enforcer가 되면 방화벽은 Junos OS 보안 정책에 따라 트래픽을 허용하거나 거부합니다. Infranet 에이전트는 UAC Host Checker 정책을 확인하여 트래픽을 보호하기 위해 엔드포인트에서 실행됩니다. Host Checker 규정 준수 결과에 따라 Junos OS Enforcer는 엔드포인트 액세스를 허용하거나 거부합니다.

Junos OS Enforcer로 정책 적용
Junos OS Enforcer와 함께 Infranet Agent를 사용하는 엔드포인트 보안

Junos OS Enforcer로 정책 적용

방화벽이 Junos OS Enforcer로 성공적으로 자리 잡으면 다음과 같이 트래픽을 보호합니다.

먼저, Junos OS Enforcer는 적절한 Junos OS 보안 정책을 사용하여 트래픽을 처리합니다. 보안 정책은 트래픽의 소스 IP 주소 또는 트래픽이 수신된 시간과 같은 기준을 사용하여 트래픽 통과를 허용할지 여부를 결정합니다.
Junos OS 보안 정책에 따라 트래픽이 통과할 수 있다고 판단하면 Junos OS Enforcer는 트래픽 플로우를 인증 테이블 항목에 매핑합니다. Junos OS Enforcer는 플로우에서 첫 번째 패킷의 소스 IP 주소를 사용하여 매핑을 생성합니다.
1. 인증 테이블 항목에는 UAC 세션을 이미 성공적으로 설정한 사용자의 원본 IP 주소 및 사용자 역할이 포함됩니다. 사용자 역할은 유형(예: "엔지니어링" 또는 "마케팅") 또는 상태(예: "바이러스 백신 실행 중")와 같은 기준에 따라 사용자 그룹을 식별합니다. Junos OS Enforcer는 적절한 인증 테이블 항목에 저장된 인증 결과를 기반으로 트래픽 통과를 허용할지 또는 거부할지 결정합니다.
2. IC Series UAC 어플라이언스는 디바이스가 서로 처음 연결될 때, 그리고 필요에 따라 세션 전반에 걸쳐 인증 테이블 항목을 Junos OS Enforcer로 푸시합니다. 예를 들어, 사용자의 컴퓨터가 엔드포인트 보안 정책을 준수하지 않게 되거나, 사용자 역할의 구성을 변경하거나, 네트워크의 바이러스와 같은 보안 문제에 대한 대응으로 IC 시리즈 어플라이언스의 모든 사용자 계정을 비활성화할 때 IC 시리즈 어플라이언스는 업데이트된 인증 테이블 항목을 Junos OS Enforcer에 푸시할 수 있습니다.
3. 인증 테이블 항목이 누락되어 Junos OS Enforcer가 패킷을 드롭할 경우, 디바이스는 IC 시리즈 어플라이언스로 메시지를 전송하고, IC 시리즈 어플라이언스는 다시 새 인증 테이블 항목을 프로비저닝하여 Junos OS Enforcer로 전송할 수 있습니다. 이 프로세스를 동적 인증 테이블 프로비저닝이라고 합니다.
인증 테이블 항목을 기반으로 트래픽이 통과할 수 있다고 판단하면 Junos OS Enforcer는 플로우를 리소스에 매핑합니다. Junos OS Enforcer는 플로우에 지정된 대상 IP 주소를 사용하여 매핑을 생성합니다. 그런 다음 디바이스는 해당 리소스와 인증 테이블 항목에 지정된 사용자 역할을 사용하여 플로우를 리소스 액세스 정책에 매핑합니다.
1. 리소스 액세스 정책은 사용자 역할에 따라 액세스를 제어하려는 특정 리소스를 지정합니다. 예를 들어 Engineering 및 Antivirus Running 사용자 역할의 구성원인 사용자만 Engineering-Only 서버에 액세스할 수 있도록 허용하는 리소스 액세스 정책을 만들 수 있습니다. 또는 바이러스 백신을 실행하지 않는 사용자 역할의 구성원이 바이러스 백신 소프트웨어를 다운로드할 수 있는 업데이트 관리 서버에 액세스할 수 있도록 허용하는 리소스 액세스 정책을 만들 수 있습니다.
2. IC 시리즈 어플라이언스는 디바이스가 서로 처음 연결될 때와 IC 시리즈 어플라이언스에서 리소스 액세스 정책 구성을 수정할 때 Junos OS Enforcer에 리소스 액세스 정책을 푸시합니다.
3. Junos OS Enforcer가 "거부" 정책 때문에 패킷을 삭제한 경우 Junos OS Enforcer는 IC 시리즈 어플라이언스로 메시지를 전송하고, IC 시리즈 어플라이언스는 다시 엔드포인트의 Odyssey Access Client(사용 가능한 경우)로 메시지를 보냅니다. (IC Series 어플라이언스는 에이전트 없는 클라이언트에 "거부" 메시지를 보내지 않습니다.)
리소스 액세스 정책에 따라 트래픽이 통과할 수 있다고 판단되면 Junos OS Enforcer는 Junos OS 정책에 정의된 나머지 애플리케이션 서비스를 사용하여 트래픽을 처리합니다. Junos OS Enforcer는 침입 탐지 및 방지(IDP), URL 필터링 및 애플리케이션 레이어 게이트웨이(ALG)의 순서로 나머지 서비스를 실행합니다.

Junos OS Enforcer와 함께 Infranet Agent를 사용하는 엔드포인트 보안

Infranet 에이전트는 다음과 같이 통신을 시작하는 엔드포인트부터 시작하여 네트워크의 트래픽을 보호하는 데 도움이 됩니다.

엔드포인트에서 직접 실행되는 Infranet 에이전트는 엔드포인트가 UAC(Unified Access Control) Host Checker 정책을 준수하는지 확인합니다.
UAC Host Checker 정책 내에서 다양한 조건을 사용하여 규정 준수를 확인할 수 있습니다. 예를 들어 Host Checker 정책을 구성하여 엔드포인트에서 바이러스 백신 소프트웨어 또는 방화벽을 실행하고 있는지 또는 엔드포인트에서 특정 유형의 멀웨어 또는 프로세스를 실행하고 있지 않은지 확인할 수 있습니다.
Infranet 에이전트는 규정 준수 정보를 Junos OS Enforcer로 전송합니다.
Junos OS Enforcer는 Host Checker 규정 준수 결과에 따라 네트워크의 리소스에 대한 엔드포인트 액세스를 허용하거나 거부합니다.

Infranet 에이전트는 엔드포인트에서 직접 실행되므로 Infranet 에이전트를 사용하여 언제든지 엔드포인트의 보안 규정 준수 여부를 확인할 수 있습니다. 예를 들어, 사용자가 IC Series UAC 어플라이언스에 로그인하려고 할 때 Infranet 에이전트가 규정 준수 결과를 즉시 보내도록 요구할 수 있으며, Infranet 에이전트가 IC 시리즈 어플라이언스에 긍정적인 규정 준수 결과를 반환할 때까지 사용자는 로그인 페이지를 볼 수 없습니다. 사용자가 로그인한 후 또는 사용자 세션 중에 주기적으로 규정 준수를 확인하도록 Infranet 에이전트를 구성할 수도 있습니다.

Infranet 에이전트를 실행하는 엔드포인트에 적절한 액세스 권한이 있는 경우, 규정 준수 결과를 IC 시리즈 어플라이언스에 자동으로 전송하고, IC 시리즈 어플라이언스는 그에 따라 인증 테이블 항목을 업데이트하여 Junos OS Enforcer에 푸시합니다. Junos OS Enforcer는 Odyssey Access Client 및 "에이전트 없는" Infranet 에이전트와의 연결을 지원합니다.

Junos OS Enforcer를 사용하는 캡티브 포털

UAC(Unified Access Control) 구축에서 사용자는 Junos OS Enforcers 뒤에 있는 보호된 리소스에 액세스하기 전에 인증 및 엔드포인트 보안 검사를 위해 IC 시리즈 UAC 어플라이언스에 먼저 로그인해야 한다는 사실을 모를 수 있습니다.

사용자가 IC 시리즈 어플라이언스에 로그인할 수 있도록 캡티브 포털 기능을 구성할 수 있습니다. 자세한 내용은 예: Junos OS Enforcer에서 캡티브 포털 정책 생성을 참조하십시오. 캡티브 포털 기능을 사용하면 보호 리소스로 향하는 HTTP 트래픽을 IC 시리즈 어플라이언스 또는 Junos OS Enforcer에서 구성된 URL로 자동으로 리디렉션하는 Junos OS Enforcer에서 정책을 구성할 수 있습니다.

소스 IP 시행 또는 IPsec 시행 또는 두 시행 방법의 조합을 사용하는 구축을 위해 캡티브 포털을 구성할 수 있습니다.

그림 2: Junos OS Enforcer Network diagram showing data flow: Client computer sends requests via top switch to application servers and bottom switch to storage servers.

Network diagram showing data flow: Client computer sends requests via top switch to application servers and bottom switch to storage servers.

를 사용하는 캡티브 포털

사용자는 브라우저를 사용하여 보호된 리소스를 가리킵니다.
Junos OS Enforcer는 사용자가 인증되지 않았다고 판단하고 IC 시리즈 어플라이언스 또는 다른 서버로 요청을 리디렉션합니다.
사용자는 Infranet 사용자 이름과 비밀번호를 입력하여 로그인합니다.
IC 시리즈 기기는 사용자 자격 증명을 인증 서버에 전달합니다.
인증 후 IC 시리즈 어플라이언스는 사용자가 액세스하려는 보호된 리소스로 리디렉션합니다.

기본적으로 Junos OS Enforcer는 사용자가 입력한 보호된 리소스 URL을 인코딩하여 IC 시리즈 어플라이언스로 전달합니다. IC 시리즈 어플라이언스는 보호된 리소스 URL을 사용하여 사용자가 보호된 리소스로 이동할 수 있도록 도와줍니다. IC 시리즈 어플라이언스가 보호된 리소스 URL을 사용하는 방식은 사용자의 엔드포인트가 Odyssey Access Client 또는 Junos Pulse를 실행하는지 여부에 따라 달라집니다.

사용자의 엔드포인트가 Odyssey Access Client 또는 Junos Pulse를 실행하지 않는 경우(즉, 에이전트가 없거나 Java 에이전트 구성인 경우) IC 시리즈 어플라이언스는 사용자가 로그인한 후 자동으로 새 브라우저 창을 열고 HTTP를 사용하여 보호된 리소스에 액세스합니다.

엔드포인트가 Odyssey Access Client를 사용하는 경우 IC 시리즈 어플라이언스는 사용자가 로그인한 후 자동으로 열리는 웹 페이지에 하이퍼텍스트 링크를 삽입합니다. 그런 다음 사용자는 해당 하이퍼텍스트 링크를 클릭하여 동일한 브라우저 창에서 HTTP를 통해 보호된 리소스에 액세스해야 합니다.

Junos OS Enforcer는 HTTP 트래픽에 대해서만 캡티브 포털 기능을 지원합니다. HTTPS 또는 브라우저 이외의 애플리케이션(예: 이메일 애플리케이션)을 사용하여 보호된 리소스에 액세스하려는 경우 Junos OS Enforcer는 트래픽을 리디렉션하지 않습니다. HTTPS 또는 브라우저가 아닌 애플리케이션을 사용하는 경우 보호된 리소스에 액세스하기 전에 먼저 IC 시리즈 어플라이언스에 수동으로 로그인해야 합니다.