이 페이지 내용
침입 탐지 및 방지(IDP) SSL 검사
침입 탐지 및 방지(IDP) SSL 검사를 통해 SRX 시리즈 방화벽은 모든 포트에서 SSL 암호화 HTTP 트래픽을 검사할 수 있습니다.
TLS의 전신인 SSL은 인증, 기밀성 및 메시지 무결성을 제공하는 웹 보안을 위한 프로토콜 제품군입니다. 인증은 브라우저가 웹 서버의 ID를 검증할 수 있도록 하여 사기성 전송을 방지합니다. 기밀 유지 메커니즘은 통신이 비공개로 유지되도록 합니다. SSL은 권한이 없는 사용자가 전자 통신을 도청하는 것을 방지하기 위해 데이터를 암호화하여 기밀성을 강화합니다. 마지막으로, 메시지 무결성은 통신 내용이 변조되지 않았는지 확인합니다.
자세한 내용은 다음 항목을 참조하세요.
침입 탐지 및 방지(IDP) SSL 개요
각 SSL 세션은 클라이언트와 서버가 해당 세션에 사용할 특정 보안 키 및 암호화 알고리즘에 동의하는 핸드셰이크로 시작됩니다. 이때 클라이언트도 서버를 인증합니다. 선택적으로 서버가 클라이언트를 인증할 수 있습니다. 핸드셰이크가 완료되면 암호화된 데이터 전송을 시작할 수 있습니다.
주니퍼 네트웍스는 다양한 SSL 버전, 암호 및 키 교환 방법으로 구성된 SSL 프로토콜 제품군을 사용하는 침입 탐지 및 방지(IDP) SSL 검사를 제공합니다. 애플리케이션 식별 기능과 결합된 SSL 검사 기능을 사용하면 SRX 시리즈 방화벽이 모든 포트에서 SSL로 암호화된 HTTP 트래픽을 검사할 수 있습니다. 지원되는 SSL 프로토콜은 다음과 같습니다.
SSLv2 (영문)
SSLv3 (영문)
TLS (영어)
참조
지원되는 침입 탐지 및 방지(IDP) SSL 암호
SSL 암호는 암호화, 암호, 인증 방법 및 압축으로 구성됩니다. Junos OS는 임시 프라이빗 키를 사용하지 않는 모든 OPENSSL 지원 암호를 지원합니다. 인증의 경우 NULL, MD5 및 SHA-1 인증 방법이 지원됩니다.
압축 및 SSLv2 암호는 지원되지 않습니다. 현재 대부분의 SSL 서버는 SSLv2 암호가 클라이언트 "hello" 메시지로 수신되면 TLS 암호로 자동 업그레이드됩니다. 브라우저를 확인하여 암호가 얼마나 강력할 수 있는지, 브라우저에서 지원하는 암호가 무엇인지 확인하십시오. (암호가 지원되는 암호 목록에 없는 경우 심층 패킷 검사를 위해 세션이 무시됩니다.)
표 1 에는 SRX 시리즈 방화벽이 지원하는 암호화 알고리즘이 나와 있습니다.
| 암호 | 내보낼 수 | 있는 유형 | 키 자료 | 확장 키 자료 | 유효 키 비트 | IV 크기 |
|---|---|---|---|---|---|---|
영 |
아니요 |
시내 |
0 |
0 |
0 |
해당 사항 없음 |
DES-CBC-SHA |
아니요 |
차단 |
8 |
8 |
56 |
8 |
DES-CBC3-SHA입니다 |
아니요 |
차단 |
24 |
24 |
168 |
8 |
AES128-SHA |
아니요 |
차단 |
16 |
16 |
128 |
16 |
AES256-SHA |
아니요 |
차단 |
32 |
32 |
256 |
16 |
암호화 알고리즘에 대한 보다 자세한 내용은 IPSec VPN 개요 /documentation/us/en/software/junos/vpn-ipsec/topics/topic-map/security-ipsec-vpn-overview.html 를 참조하십시오. 표 2 에는 지원되는 SSL 암호가 표시되어 있습니다.
| Cipher Suites | 값 |
|---|---|
TLS_RSA_WITH_NULL_MD5 TLS_RSA_WITH_NULL_SHA TLS_RSA_WITH_DES_CBC_SHA TLS_RSA_WITH_3DES_EDE_CBC_SHA TLS_RSA_WITH_AES_128_CBC_SHA TLS_RSA_WITH_AES_256_CBC_SHA |
0x0001 0x0002 0x0009 0x000A 0x002F 0x0035 |
RC4 및 IDEA 암호는 라이센스 및 OPENSSL 라이브러리 가용성으로 인해 지원되지 않습니다.
침입 탐지 및 방지(IDP) Internet Key Exchange 이해하기
IKE(Internet Key Exchange)는 대량 데이터 암호화 및 인증을 위한 대칭 키를 생성하는 데 사용되는 예비 마스터 암호를 설정합니다. RFC 2246의 섹션 F.1.1은 TLS(전송 레이어 보안) 인증 및 키 교환 방법을 정의합니다. 세 가지 주요 교환 방법은 다음과 같습니다.
RSA—RSA(Rivest-Shamir-Adleman)는 참가자가 SSL 세션 중에 사용되는 대칭 키 또는 암호를 만드는 방법을 제어하는 키 교환 알고리즘입니다. RSA 키 교환 알고리즘은 가장 일반적으로 사용되는 방법입니다.
DSA - 디지털 서명 알고리즘(DSA)은 IKE 1단계 제안에 추가 인증 옵션을 추가합니다. DSA는 RSA와 유사하게 구성되고 동작할 수 있으므로 사용자가 DSA 인증서를 가져오거나 생성하고 DSA를 사용하도록 IKE 제안을 구성해야 합니다. 디지털 인증서는 RSA 서명, DSA 서명 및 IKE 프로토콜의 RSA 공개 키 암호화 기반 인증 방법에 사용됩니다.
Diffie-Hellman— DH(Diffie-Hellman)는 참가자가 공유 비밀 값을 생성할 수 있는 키 교환 방법입니다. 이 기술의 강점은 참가자가 와이어를 통해 비밀 값을 전달하지 않고 안전하지 않은 매체를 통해 비밀 값을 생성할 수 있다는 것입니다.
키 교환 방법은 고정 또는 임시 서버 키를 사용할 수 있습니다. IDP는 고정 서버 키를 사용하는 경우에만 사전 마스터 암호를 성공적으로 검색할 수 있습니다. Internet Key Exchange에 대한 자세한 내용은 Junos OS에서 PKI의 기본 요소를 참조하십시오.
주니퍼 침입 탐지 및 방지(IDP)는 Diffie-Hellman 키 교환을 사용하는 SSL 세션의 암호를 해독하지 않습니다.
침입 탐지 및 방지(IDP) 암호화 키 처리 개요
침입 탐지 및 방지(IDP) SSL(Secure Sockets Layer) 복호화 기능을 통해 SRX 시리즈 방화벽은 구성된 RSA 개인 키를 메모리에 로드하고 이를 사용하여 SSL 세션 키를 설정하여 데이터를 복호화합니다. 침입 탐지 및 방지(IDP)는 RSA 키를 복호화하고 키를 사용하여 일반적인 암호화 또는 복호화 작업을 수행하기 전에 무결성을 확인해야 합니다.
이 기능의 주요 목적은 IDP에서 사용하는 RSA 개인 키가 일반 텍스트나 쉽게 이해하거나 사용할 수 있는 형식으로 저장되지 않도록 하는 것입니다. 키는 일반적인 암호화 또는 암호 해독 작업을 수행하기 위해 암호 해독됩니다. 이 기능에는 한 메모리 위치에서 다른 메모리 위치로 키를 복사하는 동안 오류 감지 검사와 키가 더 이상 필요하지 않은 경우 중간 스토리지를 0이 아닌 패턴으로 덮어쓰는 작업도 포함됩니다.
set security idp sensor-configuration ssl-inspection key-protection CLI 구성 명령은 이 기능을 활성화하는 데 사용됩니다.
침입 탐지 및 방지(IDP) SSL 서버 키 관리 및 정책 구성 이해
이 장치는 최대 1000개의 서버 개인 키를 지원할 수 있습니다. 각 키를 사용하는 서버는 최대 100개까지 가질 수 있습니다. 기본적으로 각 SPU가 모든 키에 액세스할 수 있어야 하므로 이 용량은 디바이스에서 사용할 수 있는 SPU 수와 관계없이 동일합니다.
여러 서버가 동일한 개인 키를 공유할 수 있습니다. 그러나 하나의 서버에는 하나의 개인 키만 있을 수 있습니다. SSL 암호 해독은 기본적으로 비활성화되어 있습니다. 일반 키와 암호화된 키가 모두 지원됩니다.
Junos OS는 SSL 키 파일을 암호화하지 않습니다.
명령을 사용하여 SSL 세션 ID 캐시 제한시간 매개변수의 set security idp sensor-configuration ssl-inspection session-id-cache-timeout 값을 설정할 수 있습니다. 캐시 시간 제한 매개 변수의 기본값은 600초입니다.
침입 탐지 및 방지(IDP) SSL 검사 구성(CLI 절차)
SSL 디코더는 기본적으로 활성화되어 있습니다. CLI를 통해 수동으로 활성화해야 하는 경우 다음 CLI 명령을 사용합니다.
set security idp sensor-configuration detector protocol-name SSL tunable-name sc_ssl_flags tuneable-value 1
침입 탐지 및 방지(IDP) SSL 검사를 구성하려면 다음 CLI 절차를 사용하십시오.
[edit security]
idp {
sensor-configuration {
ssl-inspection {
sessions <number>;
}
}
이제 센서는 키/서버 쌍이 있는 트래픽을 검사합니다.
SPU당 최대 지원 세션: 기본값은 10,000이고 범위는 1에서 100,000까지입니다. 세션 제한은 SPU 당이며, 디바이스의 SPU 수와 관계없이 동일합니다.
IDP SSL 키 및 관련 서버 추가
키를 설치할 때 키를 암호로 보호하고 서버에 연결할 수도 있습니다.
PEM(Privacy-Enhanced Mail) 키를 설치하려면 다음 CLI 명령을 사용합니다.
request security idp ssl-inspection key add key-name file file-path server server-ip password password-string
2노드 SRX 시리즈 클러스터에서 request 명령이 성공하려면 키를 동일한 위치에 있는 노드 0과 노드 1 모두에 수동으로 복사해야 합니다.
또한 나중에 add server CLI 명령을 사용하여 키를 서버와 연결할 수도 있습니다. 서버는 하나의 키에만 연결할 수 있습니다. 서버를 설치된 키에 연결하려면 다음 CLI 명령을 사용합니다.
request security idp ssl-inspection key add key-name server server-ip
최대 키 이름 길이는 끝 "\0"을 포함하여 32바이트입니다.
IDP SSL 키 및 관련 서버 삭제
모든 키와 서버를 삭제하려면 다음 CLI 명령을 사용합니다.
user@host> request security idp ssl-inspection key delete설치된 모든 키가 연결된 서버와 함께 삭제됩니다.
특정 키 및 해당 키와 연결된 모든 서버를 삭제하려면 다음 CLI 명령을 사용합니다.
user@host> request security idp ssl-inspection key delete <key-name>지정된 키 및 해당 키와 연결된 모든 서버를 삭제합니다.
단일 서버를 삭제하려면 다음 CLI 명령을 사용합니다.
user@host> request security idp ssl-inspection key delete <key-name> server <server-ip>
지정된 키에 바인딩된 지정된 서버를 삭제합니다.
IDP SSL 키 및 관련 서버 표시
-
설치된 모든 서버 키 및 연결된 서버를 표시하려면 다음 CLI 명령을 사용합니다.
user@host> show security idp ssl-inspection key
모든 서버 키와 해당 키에 바인딩된 IP 주소를 표시합니다. 다음 예는 명령 사용 시
show security idp ssl-inspection keyCLI 출력을 보여줍니다.Total SSL keys : 2 SSL server key and ip address : Key : key1, server : 10.1.1.1 Key : key2, server : 10.2.2.2 Key : key2, server : 10.2.2.3 -
특정 키에 바인딩된 IP 주소를 표시하려면 다음 CLI 명령을 사용합니다.
user@host> show security idp ssl-inspection key <key-name>
다음은 명령 사용 시 수신되는 CLI 출력의
show security idp ssl-inspection key <key-name>예입니다.Key : key1, server : 10.1.1.1
예: SSL 프록시가 활성화된 경우 침입 탐지 및 방지(IDP) 구성
이 예에서는 SSL 프록시가 활성화된 경우 IDP가 애플리케이션 식별(AppID) 기능을 지원하는 방법을 설명합니다.
요구 사항
시작하기 전에:
영역을 생성합니다. 예: 보안 영역 생성을 참조하십시오.
정책에 대한 주소로 주소록을 구성합니다. 예: 주소록 및 주소 집합 구성을 참조하십시오.
정책이 해당 유형의 트래픽에 적용됨을 나타내는 애플리케이션(또는 애플리케이션 세트)을 생성합니다. 예제: 보안 정책 응용 프로그램 및 응용 프로그램 집합 구성을 참조하십시오.
정책을 통해 SSL 프록시를 사용하도록 설정하는 SSL 프록시 프로파일을 생성합니다. SSL 포워드 프록시 구성의 내용을 참조하십시오.
침입 탐지 및 방지(IDP) 정책을 활성 정책으로 구성합니다.
개요
이 예에서는 SSL 프록시가 활성화된 경우 정책 규칙에서 IDP를 구성하는 방법을 보여 줍니다.
구성
CLI 빠른 구성
이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브레이크를 제거하고, 네트워크 구성을 일치하는 데 필요한 세부 사항을 바꾸고 계층 수준에서 명령을 CLI [edit] 로 복사해 붙여 넣은 다음, 구성 모드에서 을(를) 입력합니다 commit .
set security policies from-zone Z_1 to-zone Z_2 policy policy1 match source-address any set security policies from-zone Z_1 to-zone Z_2 policy policy1 match destination-address any set security policies from-zone Z_1 to-zone Z_2 policy policy1 match application junos-https set security policies from-zone Z_1 to-zone Z_2 policy policy1 then permit application-services ssl-proxy profile-name ssl-profile-1 set security policies from-zone Z_1 to-zone Z_2 policy policy1 then permit application-services idp
절차
단계별 절차
다음 예제에서는 구성 계층에서 다양한 수준의 탐색이 필요합니다. 이를 수행하는 방법에 대한 지침은 CLI 사용자 가이드의 구성 모드에서 CLI 편집기 사용을 참조하십시오.
이 예에서는 침입 탐지 및 방지(IDP)를 애플리케이션 서비스로 사용하는 보안 정책을 구성합니다.
SSL 프록시 프로파일 ssl-profile-1을 사용하여 트래픽을 처리하도록 정책을 구성합니다.
[edit security policies from-zone Z_1 to-zone Z_2 policy policy1 user@host# set match source-address any user@host# set match destination-address any user@host# set match application junos-https user@host# set then permit application-services ssl-proxy profile-name ssl-profile-1
IDP를 애플리케이션 서비스로 정의합니다.
[edit security policies from-zone Z_1 to-zone Z_2 policy policy1 user@host# set then permit application-services idp
결과
구성 모드에서 명령을 입력하여 show security policies 구성을 확인합니다. 출력이 의도된 구성을 표시하지 않으면, 이 예의 구성 지침을 반복하여 수정합니다.
확인
구성이 올바르게 작동하고 있는지 확인합니다. IDP의 확인은 Application Firewall의 확인과 유사합니다. Application Firewall을 참조하십시오.
변경 내역 표
기능 지원은 사용 중인 플랫폼과 릴리스에 따라 결정됩니다. 기능 탐색기 를 사용하여 플랫폼에서 기능이 지원되는지 확인하세요.