Juniper Secure Connect 구성 준비
이 주제에는 다음 섹션이 포함됩니다.
Juniper Secure Connect 구축의 전제 조건
Juniper Secure Connect 구축하기 전에 SRX 시리즈 방화벽이 기본 시스템 생성 인증서 대신 서명된 인증서 또는 자체 서명 인증서를 사용하는지 확인해야 합니다.
그림 1과 같이 J-Web 인터페이스의 디바이스 관리 > > 디바이스 인증서로 이동하여 인증서 요청 또는 자체 서명 인증서를 생성할 수 있습니다.
다음은 구성해야 하는 최소 값입니다. 이러한 값이 조직과 일치하는지 확인합니다. 인증서 서명 요청(CSR)을 시작하는 경우, 인증서는 SRX 시리즈 방화벽에 로드되기 전에 CA에서 서명해야 합니다.
자체 서명된 인증서를 생성하거나 서명한 인증서를 로드한 후 HTTPS > HTTPS 인증서를 > 디바이스 관리 > 기본 설정 > HTTPS 인증서 로 이동하여 SRX 시리즈 방화벽에 인증서를 바인딩하고 적절한 이름을 선택해야 합니다.
인증서가 SRX 시리즈 방화벽에 로드되면 브라우저 모음에서 인증서 정보를 보고 인증서를 검증할 수 있습니다. 인증서 정보를 보는 데 관련된 단계는 브라우저 및 브라우저 버전에 따라 다릅니다. 그림 2 는 SRX 시리즈 방화벽에 구성한 인증서 정보를 보여줍니다.
그림 3 은 SRX 시리즈 방화벽에 구성된 인증서의 모든 세부 정보를 보여줍니다.
브라우저의 인증서 정보에서 다음 사항을 확인해야 합니다.
-
제목 대체 이름이 생성한 인증서와 일치하는지 확인합니다.
-
SRX 시리즈 방화벽에서 모든 클라이언트로 CA 인증서를 내보내지 않는 경우에도 지문/지문이 중요합니다. 이 경우 경고 메시지에 표시됩니다.
.pem 형식의 SRX 시리즈 방화벽에서 자체 서명된 인증서 또는 CSR에 서명한 CA의 CA 루트 인증서를 각 클라이언트로 내보내는 것이 좋습니다. Windows 및 macOS용 클라이언트 롤아웃 패키지를 사용하여 수동으로 또는 배포할 수 있습니다. Windows에서 Juniper Secure Connect 롤아웃을 위한 설치 패키지 생성 및 macOS에서 Juniper Secure Connect 설치를 위한 롤아웃 패키지 생성을 참조하십시오.
표 1 에는 내보낸 인증서를 다른 플랫폼에 배치할 Juniper Secure Connect 애플리케이션 디렉터리 위치가 나열되어 있습니다.
플랫폼 |
디렉터리 위치 |
---|---|
Windows |
C:\Program데이타\Juniper\SecureConnect\cacerts\ |
Macos |
/라이브러리/애플리케이션 지원/Juniper/SecureConnect/cacerts/ |
안 드 로이드 |
/Juniper/내보내기 |
Ios |
/파일/보안 연결/ |
Juniper Secure Connect 작동 방식
SRX 시리즈 방화벽에서 Juniper Secure Connect 구성하기 전에 Juniper Secure Connect 솔루션이 어떻게 작동하는지 높은 수준에서 이해해 봅시다.
Juniper Secure Connect 애플리케이션과 SRX 시리즈 방화벽 간의 연결을 설정하는 단계가 다릅니다.
-
원격 사용자는 스마트폰이나 노트북 같은 디바이스에서 또는 조직 소프트웨어 배포 시스템에 의해 배포된 디바이스에서 Juniper Secure Connect 애플리케이션을 다운로드합니다.
-
사용자가 연결을 시작할 때 애플리케이션은 게이트웨이 인증서가 유효한지 검증합니다.
참고:SRX 시리즈 방화벽에 시스템 생성 인증서가 활성화되어 있는 경우 사용자는 애플리케이션과의 연결을 설정할 수 없습니다.
게이트웨이가 루트 인증서가 애플리케이션에 배포되지 않은 인증서를 사용하는 경우(Windows에서 Juniper Secure Connect 롤아웃을 위한 설치 패키지 생성 및 macOS에서 Juniper Secure Connect 설치를 위한 롤아웃 패키지 생성), 사용자는 그림 5, 그림 6, 그림 7 및 그림 8 에 Juniper Secure Connect 응용 프로그램이 설치된 플랫폼에 따라 경고 메시지가 표시됩니다.
그림 5 는 애플리케이션에 루트 인증서가 없는 경우 Windows 플랫폼에서 경고 메시지 샘플입니다.
그림 5: Windows 플랫폼에서 샘플 인증서 경고 메시지그림 6 은 애플리케이션에 루트 인증서가 없는 경우 macOS 플랫폼에서 경고 메시지 샘플입니다.
그림 6: macOS 플랫폼에서 샘플 인증서 경고 메시지그림 7 은 애플리케이션에 루트 인증서가 없는 경우 Android 플랫폼에서 샘플 경고 메시지입니다.
그림 7: Android 플랫폼에서 샘플 인증서 경고 메시지그림 8 은 애플리케이션에 루트 인증서가 없는 경우 iOS 플랫폼에서 샘플 경고 메시지입니다.
그림 8: iOS 플랫폼에서 샘플 인증서 경고 메시지경고 메시지 페이지의 외관은 Juniper Secure Connect 응용 프로그램이 설치된 플랫폼에 따라 다릅니다.
경고 메시지의 세부 정보는 Juniper Secure Connect 구성된 인증서를 기반으로 합니다. 표 2 에는 샘플 경고 메시지의 세부 정보가 표시됩니다.
표 2: 인증서 정보 인증서 정보
설명
발급자
인증서 발급자의 이름입니다.
Cn
공통 이름(CN)은 인증서의 제목 이름을 나타냅니다.
산
SAN(Subject Alternative Name)은 인증서의 제목 대체 이름을 나타냅니다.
지문
인증서의 손가락 및 지문 섹션을 나타냅니다.
시스템 관리자는 경고 메시지가 표시될 때 취해야 할 조치를 사용자에게 알려야 합니다. 관리자로서 인증서를 검증하는 가장 쉬운 방법은 브라우저 도구 모음에서 경고 메시지를 클릭하여 그림 2 와 그림 3 과 같이 인증서 세부 정보를 표시하거나 클라이언트에 올바른 루트 인증서를 로드하는 것입니다.
응용 프로그램이 SRX 시리즈 방화벽에 로드된 서명된 인증서의 CRL(인증서 해지 목록)에 도달할 수 없는 경우 아래 경고 메시지가 표시됩니다.
경고:서명된 인증서를 사용하고 Juniper Secure Connect 응용 프로그램이 게이트웨이 인증서를 확인하기 위해 CRL(인증서 해지 목록)에 도달할 수 없는 경우, 애플리케이션은 CRL에 액세스할 수 있을 때까지 연결할 때마다 경고 메시지(그림 9, 그림 10, 그림 11 및 그림 12)를 사용자에게 표시합니다. 주니퍼 네트웍스'은 CRL 다운로드 실패를 해결하기 위해 이 오류 메시지를 IT 조직에 보고할 것을 강력히 권장합니다.
그림 9: 애플리케이션이 게이트웨이 인증서를 검증할 수 없을 때 경고 메시지(Windows)그림 10: 애플리케이션이 게이트웨이 인증서(macOS)를 검증할 수 없을 때 경고 메시지그림 11: 애플리케이션이 게이트웨이 인증서를 검증할 수 없을 때 경고 메시지(Android)그림 12: 애플리케이션이 iOS(Gateway Certificate)를 검증할 수 없는 경우 경고 메시지 -
SRX 시리즈 방화벽은 관리자가 구성한 일치 기준을 기반으로 인증 전에 연결 클라이언트 디바이스의 상태를 검증합니다.
-
SRX 시리즈 방화벽은 자격 증명(사용자 이름, 암호 및 도메인) 또는 인증서를 기반으로 사용자를 인증합니다.
-
성공적으로 인증된 후 클라이언트는 SRX 시리즈 방화벽에 정의된 최신 구성 정책을 다운로드하여 설치합니다. 이 단계는 클라이언트가 항상 관리자가 정의한 최신 구성 정책을 사용할 수 있도록 합니다.
-
클라이언트는 다운로드한 구성 프로필을 기반으로 보안 VPN 연결을 설정합니다.
이제 Juniper Secure Connect 어떻게 작동하는지 이제 사용 가능한 다양한 인증 방법에 대해 자세히 알아보겠습니다.
여러 인증서 및 도메인 구성
사용자가 Juniper Secure Connect 사용하여 SRX 시리즈 방화벽에 대한 연결을 시작할 때 애플리케이션은 게이트웨이 인증서를 검증합니다. Juniper Secure Connect FQDN/RealmName 형식으로 서로 다른 URL을 가진 여러 연결 프로파일을 지원합니다. 관리자로서 이러한 연결 요청에 인증서 경고가 표시되지 않도록 하려면 여러 도메인 또는 단일 인증서를 SRX 시리즈 방화벽의 여러 도메인에 바인딩할 수 있습니다. 이러한 URL에는 Juniper Secure Connect 애플리케이션의 연결 프로필에 사용되는 도메인 이름이 포함되어 있습니다.
여러 인증서 및 도메인에서 작동하려면 여러 인증서 및 도메인 구성(CLI 절차)을 참조하십시오.
사전 로그온 컴플라이언스 점검
Juniper Secure Connect 애플리케이션은 SRX 시리즈 방화벽과 세부 정보를 교환하여 사전 로곤 컴플라이언스 검사를 수행합니다. 관리자는 연결 클라이언트 디바이스의 상태를 확인하기 위해 SRX 시리즈 방화벽의 규정 준수 규칙의 사전 로그를 구성합니다. 이러한 사전 규정 준수 점검은 인증 이전에 수행된 검증을 의미합니다. 다른 일치 기준에 따라 연결된 클라이언트 디바이스를 인정하거나 거부하기 위한 조치가 수행됩니다.
혜택
이 기능을 사용하면 Juniper Secure Connect 애플리케이션이 SRX 시리즈 방화벽 연결 기준을 충족하여 관리자가 설정한 향상된 보안 조치를 제공합니다.
규정 준수 규칙의 사전 로그를 구성하려면 컴플라이언스(Juniper Secure Connect)를 참조하십시오.
인증 방법
주니퍼 보안 연결(로컬 또는 외부 인증)을 통해 사용자가 보안 연결을 설정할 수 있도록 인증하는 두 가지 방법이 있으며, 이러한 두 가지 방법 각각은 아래에 설명된 특정 제한을 가지고 있습니다.
-
로컬 인증 —로컬 인증에서 SRX 시리즈 방화벽은 로컬 데이터베이스에서 이를 확인하여 사용자 자격 증명을 검증합니다. 이 방법에서 관리자는 암호 변경 또는 잊어버린 암호 재설정을 처리합니다. 여기에서는 사용자가 새 암호를 기억해야 합니다. 이 옵션은 보안 관점에서 그다지 선호되지 않습니다.
-
외부 인증 —외부 인증에서 사용자가 네트워크의 다른 리소스에 액세스할 때 사용하는 것과 동일한 사용자 자격 증명을 사용하도록 허용할 수 있습니다. 대부분의 경우 사용자 자격 증명은 Active Directory 또는 기타 LDAP 권한 부여 시스템에 사용되는 도메인 로그온입니다. 이 방법은 사용자 경험을 단순화하고 조직의 보안 태세를 향상합니다. 조직에서 사용하는 정기적인 보안 정책으로 인증 시스템을 유지할 수 있기 때문입니다.
다중 요소 인증 -보호의 추가 레이어를 추가하려면 MFA(Multi Factor Authentication)도 활성화할 수 있습니다. 이 방법은 RADIUS 프록시를 사용하여 사용자의 스마트폰과 같은 디바이스에 알림 메시지를 보냅니다. 사용자는 연결을 완료하려면 notification 메시지를 수락해야 합니다.
Juniper Secure Connect 사용한 LDAP 인증 - Junos OS 릴리스 23.1R1부터 그룹 기반 제어 LDAP 인증을 도입했습니다. LDAP(Lightweight Directory Access Protocol)를 사용하여 하나 이상의 LDAP 그룹을 정의할 수 있습니다.
allowed-groups
계층 수준에서 문을[edit access ldap-options]
사용하여 LDAP가 인증하는 그룹 목록을 지정합니다. 사용자는 여러 LDAP 그룹에 속할 수 있습니다. 그룹을 주소 풀에 매핑할 수 있습니다. LDAP 그룹 구성원을 기반으로 시스템은 사용자에게 IP 주소를 할당합니다.
인증 방법은 Juniper Secure Connect 서로 다른 인증 방법을 비교합니다.
인증 방법 | 자격 증명(사용자 이름 및 암호) | 최종 사용자 인증서 | 로컬 인증 | 외부 인증 Radius | 외부 인증 LDAP |
---|---|---|---|---|---|
IKEv1 - 사전 공유 키 | 예 | 아니요 | 예 | 예 | 예 |
IKEv2-EAP-MSCHAPv2 | 예 | 아니요 | 아니요 | 예 | 아니요 |
IKEv2-EAP-TLS | 아니요 | 예 | 아니요 | 예 | 아니요 |
이제 Juniper Secure Connect 지원하는 인증 방법에 대한 아이디어를 얻었습니다. 이제 J-Web에 들어와서 GUI에서 사용할 수 있는 구성 옵션과 다양한 필드에 익숙해야 할 때입니다.
애플리케이션 바이패스
애플리케이션 바이패스 기능을 사용하면 Juniper Secure Connect 애플리케이션 사용자가 도메인 이름 및 프로토콜을 기반으로 특정 애플리케이션을 우회할 수 있어 트래픽이 VPN 터널을 통과할 필요가 없습니다. 이는 VPN을 활용하여 기밀 데이터를 암호화하는 동시에 인터넷에 직접 액세스할 수 있는 터널 분할과는 다릅니다. 애플리케이션 바이패스를 사용하면 여전히 VPN을 사용하여 기밀 데이터를 암호화할 수 있지만 도메인 이름 및 프로토콜을 기반으로 관리자가 정의한 특정 애플리케이션에 대해 VPN을 우회할 수 있습니다.
애플리케이션 바이패스는 전체 터널 구성에서 지원됩니다. 관리자는 원격 액세스 클라이언트 구성 매개 변수에서 SRX 시리즈 방화벽에서 이 기능을 구성합니다. 이러한 매개 변수는 Juniper Secure Connect 클라이언트가 보안 디바이스와 VPN 터널을 설정하는 방법을 정의합니다.
J-Web에서 Juniper Secure Connect 마법사에 익숙해지세요.
Secure Connect VPN 솔루션을 사용하면 J-Web에서 직관적이고 사용하기 쉬운 VPN 마법사를 사용하여 원격 사용자와 내부 네트워크 사이에 원격 액세스 VPN 터널을 몇 걸음 만에 생성할 수 있습니다.
VPN > IPsec VPN으로 이동하여 Juniper Secure Connect 원격 액세스 > > 만들기를 선택하면 그림 13과 같이 원격 액세스 생성(Juniper Secure Connect) 페이지가 표시됩니다.
VPN 구성 마법사를 사용하면 표 4와 같이 몇 단계로 Juniper Secure Connect 구성할 수 있습니다.
옵션 |
여기에서 구성한 내용 |
---|---|
이름 |
원격 액세스 연결의 이름입니다. 기본 프로필을 선택하지 않을 때 이 이름은 원격 클라이언트 디바이스의 Juniper Secure Connect 애플리케이션에 표시됩니다. 예제: 기본 프로필이 사용되지 않는 경우: https://<srx-series-device-ip-address>/<remote access connection name>) 기본 프로필이 사용되는 경우: https://<srx-series-device-ip-address>/). |
설명 |
원격 액세스 연결에 대한 설명입니다. |
라우팅 모드 |
라우팅 모드는 기본적으로 트래픽 선택기(자동 경로 삽입) 로 설정됩니다. 이 옵션을 변경할 수 없습니다. |
인증 방법 |
사전 공유: 이 인증 방법은 간단하고 사용하기 쉽지만 인증서보다 덜 안전합니다. 사전 공유 옵션을 선택하면 다음을 사용할 수 있습니다.
|
인증서 기반: EAP(Extensible Authentication Protocol)를 사용하는 이 인증 방법. 인증서 기반 옵션을 선택하면 다음을 사용할 수 있습니다.
|
|
방화벽 정책 자동 생성 |
방화벽 정책을 자동 생성하는 옵션. |
원격 사용자 |
|
로컬 게이트웨이 |
|
IKE 및 IPSec |
|
이제 구성 옵션에 대한 이해가 있습니다. 구성을 시작해보죠.
선택한 인증 방법에 따라 다음 주제 중 하나를 참조하십시오.