이 페이지의 내용

Junos OS의 통합 액세스 제어
Junos OS Enforcer 및 IC 시리즈 UAC 어플라이언스
IPsec이 포함된 Junos OS Enforcer
Junos OS Enforcer를 통한 정책 실행 및 엔드포인트 보안
Junos OS Enforcer를 사용하는 캡티브 포털

UAC(Unified 액세스 제어)

UAC(Unified 액세스 제어) 네트워크에서 방화벽을 Infranet Enforcer로 사용하는 방법에 대해 알아보십시오.

UAC(통합 액세스 제어)는 다음과 같은 구성 요소를 사용하여 네트워크를 보호하고 자격을 갖춘 최종 사용자만 보호된 리소스에 액세스할 수 있도록 합니다.

IC 시리즈 UAC 어플라이언스 - IC 시리즈 어플라이언스는 네트워크의 정책 결정 지점입니다. 인증 정보 및 정책 규칙을 사용하여 네트워크의 개별 리소스에 대한 액세스를 제공할지 여부를 결정합니다. 네트워크에 하나 이상의 IC 시리즈 어플라이언스를 구축할 수 있습니다.
Infranet Enforcer—Infranet Enforcer는 네트워크의 정책 집행 지점입니다. IC 시리즈 어플라이언스에서 정책을 수신하고 해당 정책에 정의된 규칙을 사용하여 리소스에 대한 엔드포인트 액세스를 허용할지 여부를 결정합니다. 보호하려는 서버 및 리소스 앞에 Infranet Enforcer를 배포합니다.
Infranet 에이전트 - Infranet 에이전트는 네트워크 엔드포인트(예: 사용자 컴퓨터)에서 직접 실행되는 클라이언트 측 구성 요소입니다. 에이전트는 엔드포인트가 Host Checker 정책에 지정된 보안 기준을 준수하는지 확인하고 해당 규정 준수 정보를 Infranet Enforcer에 전달합니다. 그런 다음 Infranet Enforcer는 규정 준수 결과에 따라 엔드포인트 액세스를 허용하거나 거부합니다.

Junos OS의 통합 액세스 제어

방화벽은 UAC 네트워크에서 Infranet Enforcer 역할을 할 수 있습니다. 특히, 레이어 3 적용 지점 역할을 하며 IC 시리즈 어플라이언스에서 푸시된 IP 기반 정책을 사용하여 액세스를 제어합니다. UAC 네트워크에 구축된 방화벽을 Junos OS Enforcer라고 합니다.

이점
UAC는 Junos OS 환경에서 어떻게 작동합니까?

이점

사용자 ID, 디바이스 보안 상태 및 위치 정보를 기반으로 최종 사용자 액세스를 세분화되고 동적으로 제어합니다.
개방형 표준 기반 아키텍처를 통해 사용자 인증부터 액세스 포인트 및 스위치, 주니퍼 방화벽, IDP 시리즈 어플라이언스에 이르기까지 기존 네트워크 인프라를 활용합니다.

UAC는 Junos OS 환경에서 어떻게 작동합니까?

그림 1: Junos OS 환경에서 Network security architecture with Juniper components: Infranet Agent initiates sign-in via Internet, managed by Infranet Controller, secures with JUEP over SSL to SRX Series, protecting resources.

Network security architecture with Juniper components: Infranet Agent initiates sign-in via Internet, managed by Infranet Controller, secures with JUEP over SSL to SRX Series, protecting resources.

UAC 작동

UAC 트래픽이 방화벽으로 들어오는 인터페이스를 설정합니다.
동일한 보안 요구 사항을 가진 인터페이스를 영역으로 그룹화합니다. 예: 보안 영역 생성을 참조하십시오.
보안 영역을 통과하는 트래픽을 제어하는 보안 정책을 만듭니다. 예: 모든 트래픽을 허용하거나 거부하도록 보안 정책 구성을 참조하십시오.

Junos OS 보안 정책은 전송 트래픽에 대한 규칙을 적용하여 주니퍼 네트웍스 디바이스를 통과할 수 있는 트래픽을 정의합니다. 정책은 한 영역(from-zone)에서 들어오고 다른 영역(to-zone)을 나가는 트래픽을 제어합니다. UAC 구축에서 방화벽을 Junos OS Enforcer로 활성화하려면 다음을 수행해야 합니다.

UAC 트래픽이 이동할 원본 및 대상 영역을 식별합니다. 또한 인터페이스가 속한 영역을 포함하여 인터페이스 목록도 필요합니다. IC 시리즈 UAC 어플라이언스는 대상 영역을 사용하여 IC 시리즈 어플라이언스에 구성된 자체 IPsec 라우팅 정책과 일치시킵니다.
이러한 영역을 포괄하는 Junos OS 보안 정책을 식별하고 해당 정책에 대해 UAC를 활성화합니다.

Junos OS 보안 정책을 사용하는 UAC는 기존 보안 정책만 지원하지만 동적 애플리케이션 구성은 지원하지 않습니다. Junos OS 보안 정책을 통해 UAC를 구성하려면 다음 구성 문을 입력합니다.

Junos OS Enforcer 및 IC 시리즈 UAC 어플라이언스

IC 시리즈 UAC 어플라이언스가 포함된 Junos OS Enforcer란 무엇입니까?
IC 시리즈 UAC 어플라이언스와 함께 Junos OS Enforcer는 어떻게 작동합니까?
IC 시리즈 UAC 어플라이언스 클러스터가 포함된 Junos OS Enforcer란 무엇입니까?

IC 시리즈 UAC 어플라이언스가 포함된 Junos OS Enforcer란 무엇입니까?

UAC(Unified 액세스 Control) 네트워크에서 방화벽은 UAC 환경에 구축될 때 Junos OS Enforcer라고 합니다. 방화벽은 IC 시리즈 UAC 어플라이언스가 제출하는 인증서를 확인합니다. 방화벽과 IC 시리즈 UAC 어플라이언스는 상호 인증을 수행합니다. 인증 후 IC 시리즈 UAC 어플라이언스는 사용자 및 리소스 액세스 정책 정보를 방화벽으로 전송하여 Junos OS Enforcer 역할을 합니다.

IC 시리즈 UAC 어플라이언스와 함께 Junos OS Enforcer는 어떻게 작동합니까?

IC 시리즈 UAC 어플라이언스에 연결하도록 방화벽을 구성할 때 방화벽과 IC 시리즈 UAC 어플라이언스는 다음과 같이 보안 통신을 설정합니다.

둘 이상의 IC 시리즈 디바이스가 방화벽에서 인프라 컨트롤러로 구성된 경우, 라운드 로빈 알고리즘은 구성된 IC 시리즈 디바이스 중 어떤 것이 활성 인프라 컨트롤러인지 결정합니다. 나머지는 페일오버 디바이스입니다. 활성 인프라 컨트롤러가 작동하지 않으면 새 활성 인프라 컨트롤러를 설정하도록 구성된 나머지 IC 시리즈 디바이스에 알고리즘이 다시 적용됩니다.
활성 IC 시리즈 어플라이언스는 방화벽에 서버 인증서를 제시합니다. 이렇게 구성되면 방화벽이 인증서를 확인합니다. (서버 인증서 확인은 필수는 아니지만 추가 보안 조치로 인증서를 확인하여 추가 신뢰 계층을 구현할 수 있습니다.)
방화벽과 IC 시리즈 어플라이언스는 독점적인 챌린지-응답 인증으로 상호 인증을 수행합니다. 보안상의 이유로, 암호는 IC 시리즈 어플라이언스로 전송되는 메시지에 포함되지 않습니다.
방화벽으로 성공적으로 인증한 후 IC 시리즈 어플라이언스는 사용자 인증 및 리소스 액세스 정책 정보를 보냅니다. 방화벽은 이 정보를 사용하여 UAC 네트워크에서 Junos OS Enforcer 역할을 합니다.
그 이후, IC 시리즈 어플라이언스와 Junos OS Enforcer는 SSL 연결을 통해 서로 자유롭게 통신할 수 있습니다. 통신은 JUEP(Junos UAC Enforcer Protocol)라는 독점 프로토콜에 의해 제어됩니다.

IC 시리즈 UAC 어플라이언스 클러스터가 포함된 Junos OS Enforcer란 무엇입니까?

IC 시리즈 어플라이언스 클러스터로 알려진 고가용성 구성에서 둘 이상의 IC 시리즈 UAC 어플라이언스와 함께 작동하도록 Junos OS Enforcer를 구성할 수 있습니다. Junos OS Enforcer는 한 번에 하나의 IC 시리즈 어플라이언스와만 통신합니다. 다른 IC 시리즈 어플라이언스는 페일오버에 사용됩니다. Junos OS Enforcer가 클러스터에 추가한 첫 번째 IC 시리즈 어플라이언스에 연결할 수 없는 경우, 장애가 발생한 IC 시리즈 어플라이언스에 다시 연결을 시도합니다. 그런 다음 클러스터의 다른 IC 시리즈 장치로 장애 조치됩니다. 연결이 발생할 때까지 클러스터의 IC 시리즈 장치에 계속 연결을 시도합니다.

Junos OS Enforcer가 Infranet Enforcer에 대한 연결을 설정할 수 없는 경우 기존의 모든 인증 테이블 항목 및 UAC(Unified 액세스 제어) 정책을 유지하고 지정한 시간 초과 작업을 수행합니다. 시간 초과 작업에는 다음이 포함됩니다.

close- 기존 세션을 닫고 더 이상 트래픽을 차단합니다. 기본 옵션입니다.
no-change- 기존 세션을 보존하고 새 세션에 대한 인증이 필요합니다.
open- 기존 세션을 보존하고 새 세션 액세스를 허용합니다.

Junos OS Enforcer가 IC 시리즈 어플라이언스에 대한 연결을 다시 설정할 수 있게 되면, IC 시리즈 어플라이언스는 Junos OS Enforcer에 저장된 인증 테이블 항목 및 UAC 정책을 IC 시리즈 어플라이언스에 저장된 인증 테이블 항목 및 정책과 비교하고 필요에 따라 둘을 조정합니다.

Junos OS Enforcer에 구성된 IC 시리즈 어플라이언스는 모두 동일한 IC 시리즈 어플라이언스 클러스터의 구성원이어야 합니다.

IPsec이 포함된 Junos OS Enforcer

IPsec을 사용하여 Junos OS Enforcer로 작동하도록 방화벽을 구성하려면 다음을 수행해야 합니다.

보안 IKE(Internet Key Exchange) 게이트웨이 아래에 구성된 ID를 포함합니다. ID는 "gateway1.mycompany.com"와 같은 문자열이며, 여기에서 gateway1.mycompany.com IKE 게이트웨이를 구분합니다. (ID는 의도된 터널 트래픽을 지정합니다.)
사전 공유 시드를 포함합니다. 이렇게 하면 1단계 자격 증명에 대한 원격 사용자의 전체 ID에서 사전 공유 키가 생성됩니다.
RADIUS 공유 암호를 포함합니다. 이를 통해 IC 시리즈 UAC 어플라이언스는 Junos OS Infranet Enforcer로부터 확장된 인증(XAuth)을 위한 RADIUS 패킷을 수락할 수 있습니다.

IC 시리즈 어플라이언스, Odyssey Access Client 및 방화벽 간에 IPsec을 구성할 때 다음은 IC 시리즈 어플라이언스에서 Odyssey Access Client까지 지원되는 IKE(또는 1단계) 제안 방법 또는 프로토콜 구성입니다.

IKE(Internet Key Exchange) 제안: authentication-method pre-shared-keys (지정 pre-shared-keys해야 합니다)
IKE(Internet Key Exchange) 정책:
- mode aggressive (적극적인 모드를 사용해야 합니다)
- pre-shared-key ascii-text key (ASCII 텍스트 사전 공유 키만 지원됨)
IKE(Internet Key Exchange) 게이트웨이: 동적
- hostname identity (게이트웨이 간에 고유한 ID를 지정해야 합니다)
- ike-user-type group-ike-id (명시group-ike-id해야 합니다)
- xauth access-profile profile (명시xauth해야 합니다)

다음은 IC 시리즈 어플라이언스에서 Odyssey Access Client까지 지원되는 IPsec(또는 2단계) 제안 방법 또는 프로토콜 구성입니다.

IPsec 제안: protocol esp (지정 esp해야 함)
IPsec VPN: establish-tunnels immediately (지정 establish-tunnels immediately해야 함)

Junos OS Enforcer를 통한 정책 실행 및 엔드포인트 보안

UAC(Unified 액세스 제어) 환경에서 방화벽이 Junos OS Enforcer가 된 후 방화벽은 Junos OS 보안 정책에 따라 트래픽을 허용하거나 거부합니다. Infranet 에이전트는 UAC Host Checker 정책을 확인하여 트래픽을 보호하기 위해 엔드포인트에서 실행됩니다. Host Checker 규정 준수 결과에 따라 Junos OS Enforcer는 엔드포인트 액세스를 허용하거나 거부합니다.

Junos OS Enforcer를 통한 정책 시행
Junos OS Enforcer와 함께 Infranet Agent를 사용하는 엔드포인트 보안

Junos OS Enforcer를 통한 정책 시행

방화벽이 Junos OS Enforcer로 성공적으로 자리 잡으면 다음과 같이 트래픽을 보호합니다.

먼저 Junos OS Enforcer는 적절한 Junos OS 보안 정책을 사용하여 트래픽을 처리합니다. 보안 정책 은 트래픽의 소스 IP 주소 또는 트래픽이 수신된 시간과 같은 기준을 사용하여 트래픽의 통과를 허용할지 여부를 결정합니다.
Junos OS 보안 정책에 따라 트래픽이 통과할 수 있다고 판단하면 Junos OS Enforcer는 트래픽 플로우를 인증 테이블 항목에 매핑합니다. Junos OS Enforcer는 플로우에 있는 첫 번째 패킷의 소스 IP 주소를 사용하여 매핑을 생성합니다.
1. 인증 테이블 항목에는 UAC 세션을 이미 성공적으로 설정한 사용자의 소스 IP 주소와 사용자 역할이 포함됩니다. 사용자 역할은 유형(예: "엔지니어링" 또는 "마케팅") 또는 상태(예: "바이러스 백신 실행 중")와 같은 기준에 따라 사용자 그룹을 식별합니다. Junos OS Enforcer는 적절한 인증 테이블 항목에 저장된 인증 결과를 기반으로 트래픽 통과를 허용할지 또는 거부할지 여부를 결정합니다.
2. IC 시리즈 UAC 어플라이언스는 디바이스가 서로 처음 연결될 때, 그리고 필요에 따라 세션 전체에 걸쳐 인증 테이블 항목을 Junos OS Enforcer에 푸시합니다. 예를 들어, 사용자의 컴퓨터가 엔드포인트 보안 정책을 준수하지 않을 때, 사용자 역할의 구성을 변경할 때, 또는 네트워크의 바이러스와 같은 보안 문제에 대응하여 IC 시리즈 어플라이언스의 모든 사용자 계정을 비활성화할 때 IC 시리즈 어플라이언스는 업데이트된 인증 테이블 항목을 Junos OS Enforcer로 푸시할 수 있습니다.
3. Junos OS Enforcer가 누락된 인증 테이블 항목으로 인해 패킷을 삭제하면 디바이스는 IC 시리즈 어플라이언스에 메시지를 보내고, IC 시리즈 어플라이언스는 새로운 인증 테이블 항목을 프로비저닝하여 Junos OS Enforcer로 전송할 수 있습니다. 이 프로세스를 동적 인증 테이블 프로비저닝이라고 합니다.
인증 테이블 항목을 기반으로 트래픽이 통과할 수 있다고 판단하면 Junos OS Enforcer는 플로우를 리소스에 매핑합니다. Junos OS Enforcer는 플로우에 지정된 대상 IP 주소를 사용하여 매핑을 생성합니다. 그런 다음 디바이스는 해당 리소스와 인증 테이블 항목에 지정된 사용자 역할을 사용하여 플로우를 리소스 액세스 정책에 매핑합니다.
1. 리소스 액세스 정책은 사용자 역할에 따라 액세스를 제어하려는 특정 리소스를 지정합니다. 예를 들어, 엔지니어링 및 바이러스 백신 실행 사용자 역할의 구성원인 사용자만 엔지니어링 전용 서버에 액세스할 수 있도록 허용하는 리소스 액세스 정책을 만들 수 있습니다. 또는 바이러스 백신 실행 없음 사용자 역할의 구성원이 바이러스 백신 소프트웨어를 다운로드할 수 있는 교정 서버에 액세스할 수 있도록 허용하는 리소스 액세스 정책을 만들 수 있습니다.
2. IC 시리즈 어플라이언스는 디바이스가 처음 서로 연결될 때와 사용자가 IC 시리즈 어플라이언스에서 리소스 액세스 정책 구성을 수정할 때 리소스 액세스 정책을 Junos OS Enforcer로 푸시합니다.
3. Junos OS Enforcer가 "거부" 정책 때문에 패킷을 삭제하면 Junos OS Enforcer는 IC 시리즈 어플라이언스에 메시지를 보내고, IC 시리즈 어플라이언스는 다시 엔드포인트의 Odyssey Access Client(사용 가능한 경우)에 메시지를 보냅니다. (IC 시리즈 어플라이언스는 에이전트리스 클라이언트에 "거부" 메시지를 보내지 않습니다.)
리소스 액세스 정책에 따라 트래픽이 통과할 수 있다고 판단하면 Junos OS Enforcer는 Junos OS 정책에 정의된 나머지 애플리케이션 서비스를 사용하여 트래픽을 처리합니다. Junos OS Enforcer는 침입 탐지 및 방지(IDP), URL 필터링 및 애플리케이션 레이어 게이트웨이(ALG)의 순서로 나머지 서비스를 실행합니다.

Junos OS Enforcer와 함께 Infranet Agent를 사용하는 엔드포인트 보안

Infranet 에이전트는 다음과 같이 통신을 시작하는 엔드포인트부터 시작하여 네트워크에서 트래픽을 보호하는 데 도움이 됩니다.

엔드포인트에서 직접 실행되는 Infranet 에이전트는 엔드포인트가 UAC(Unified 액세스 제어) Host Checker 정책을 준수하는지 확인합니다.
UAC Host Checker 정책 내에서 다양한 기준을 사용하여 규정 준수를 확인할 수 있습니다. 예를 들어 엔드포인트에서 바이러스 백신 소프트웨어 또는 방화벽을 실행 중인지 또는 엔드포인트에서 특정 유형의 맬웨어 또는 프로세스를 실행하고 있지 않은지 확인하기 위해 Host Checker 정책을 구성할 수 있습니다.
Infranet 에이전트는 규정 준수 정보를 Junos OS Enforcer로 전송합니다.
Junos OS Enforcer는 Host Checker 규정 준수 결과를 기반으로 네트워크의 리소스에 대한 엔드포인트 액세스를 허용하거나 거부합니다.

Infranet 에이전트는 엔드포인트에서 직접 실행되므로 Infranet 에이전트를 사용하여 언제든지 엔드포인트의 보안 규정 준수를 확인할 수 있습니다. 예를 들어, 사용자가 IC 시리즈 UAC 어플라이언스에 로그인하려고 할 때 Infranet 에이전트가 즉시 컴플라이언스 결과를 보내도록 요구할 수 있습니다. Infranet 에이전트가 IC 시리즈 어플라이언스에 긍정적인 컴플라이언스 결과를 반환할 때까지 사용자는 로그인 페이지조차 볼 수 없습니다. 또한 사용자가 로그인한 후 또는 사용자 세션 중에 주기적으로 규정 준수 여부를 확인하도록 Infranet 에이전트를 구성할 수도 있습니다.

Infranet 에이전트를 실행하는 엔드포인트에 적절한 액세스 권한이 있는 경우 자동으로 규정 준수 결과를 IC 시리즈 어플라이언스로 전송하고 IC 시리즈 어플라이언스는 그에 따라 인증 테이블 항목을 업데이트하여 Junos OS Enforcer에 푸시합니다. Junos OS Enforcer는 Odyssey Access Client 및 "에이전트 없는" Infranet 에이전트와의 연결을 지원합니다.

Junos OS Enforcer를 사용하는 캡티브 포털

UAC(Unified 액세스 제어) 구축에서 사용자는 Junos OS Enforcer 뒤에 있는 보호된 리소스에 액세스하기 전에 인증 및 엔드포인트 보안 검사를 위해 먼저 IC 시리즈 UAC 어플라이언스에 로그인해야 한다는 사실을 인지하지 못할 수 있습니다.

사용자가 IC 시리즈 어플라이언스에 로그인할 수 있도록 캡티브 포털 기능을 구성할 수 있습니다. 자세한 내용은 예: Junos OS Enforcer에서 캡티브 포털 정책 생성을 참조하십시오. 캡티브 포털 기능을 사용하면 보호된 리소스로 향하는 HTTP 트래픽을 IC 시리즈 어플라이언스 또는 Junos OS Enforcer에 구성된 URL로 자동 리디렉션하는 정책을 Junos OS Enforcer에서 구성할 수 있습니다.

소스 IP 적용 또는 IPsec 적용 또는 두 적용 방법의 조합을 사용하는 구축에 대해 캡티브 포털을 구성할 수 있습니다.

그림 2: Junos OS Enforcer Network diagram showing data flow: Client computer sends requests via top switch to application servers and bottom switch to storage servers.

Network diagram showing data flow: Client computer sends requests via top switch to application servers and bottom switch to storage servers.

가 포함된 캡티브 포털

사용자는 브라우저를 사용하여 보호된 리소스를 가리킵니다.
Junos OS Enforcer는 사용자가 인증되지 않았는지 확인하고 요청을 IC 시리즈 어플라이언스 또는 다른 서버로 리디렉션합니다.
사용자는 Infranet 사용자 이름과 비밀번호를 입력하여 로그인합니다.
IC 시리즈 어플라이언스는 사용자 자격 증명을 인증 서버로 전달합니다.
인증 후 IC 시리즈 어플라이언스는 사용자가 액세스하려는 보호된 리소스로 사용자를 리디렉션합니다.

기본적으로 Junos OS Enforcer는 사용자가 입력한 보호된 리소스 URL을 인코딩하여 IC 시리즈 어플라이언스로 전달합니다. IC 시리즈 어플라이언스는 보호된 리소스 URL을 사용하여 사용자가 보호된 리소스로 탐색할 수 있도록 지원합니다. IC 시리즈 어플라이언스가 보호된 리소스 URL을 사용하는 방식은 사용자의 엔드포인트가 Odyssey Access Client 또는 Pulse Secure를 실행 중인지 여부에 따라 달라집니다.

사용자의 엔드포인트가 Odyssey Access Client 또는 Pulse Secure를 실행 중이 아닌 경우(즉, 에이전트리스 또는 Java 에이전트 구성에 있는 경우) 사용자가 로그인한 후 IC 시리즈 어플라이언스가 자동으로 새 브라우저 창을 열고 HTTP를 사용하여 보호된 리소스에 액세스합니다.

엔드포인트에서 Odyssey Access Client를 사용하는 경우 IC 시리즈 어플라이언스는 사용자가 로그인한 후 자동으로 열리는 웹페이지에 하이퍼텍스트 링크를 삽입합니다. 그런 다음 사용자는 해당 하이퍼텍스트 링크를 클릭하여 동일한 브라우저 창에서 HTTP를 통해 보호된 리소스에 액세스해야 합니다.

Junos OS Enforcer는 HTTP 트래픽에 대해서만 캡티브 캡티브 포털 기능을 지원합니다. HTTPS 또는 브라우저가 아닌 애플리케이션(예: 이메일 애플리케이션)을 사용하여 보호된 리소스에 액세스하려고 시도하는 경우 Junos OS Enforcer는 트래픽을 리디렉션하지 않습니다. HTTPS 또는 브라우저가 아닌 애플리케이션을 사용하는 경우, 보호된 리소스에 액세스하기 전에 먼저 IC 시리즈 어플라이언스에 수동으로 로그인해야 합니다.