Fortinet 자격증 FCA - SSL VPN Part 1

A. SSL VPN 개요

1. SSL VPN이란?

SSL VPN(Secure Sockets Layer 가상 사설망)은 SSL 암호화를 사용하여 클라이언트 장치와 VPN 서버 역할을 하는 장치 간에 안전하고 암호화된 연결을 생성하는 VPN 유형입니다. SSL VPN은 원격 작업자에게 기업 네트워크에 대한 액세스 권한을 부여하는데 가장 일반적으로 사용되지만 두 FortiGate 방화벽 간에 이를 구성하는 것도 가능합니다. 많은 조직에서는 IPsec VPN을 통한 원격 액세스를 위해 SSL VPN을 사용하기로 선택합니다. 그러나 각 기술에는 장단점이 있으므로 주의 깊게 검토하여 최선의 선택을 해야 합니다.

 

2. Fortigate SSL VPN 이점

FortiGate와 함께 SSL VPN을 사용하면 다음과 같은 이점이 있습니다. 이러한 이점 중 일부는 특정 구성에만 적용된다는 점에 유의하는 것이 중요합니다.

 

• 공통 프로토콜 사용: SSL은 HTTP 트래픽을 암호화하는데 사용되며 기본적으로 포트 443을 사용합니다. 일반적으로 이 트래픽은 중간 방화벽에 의해 차단되지 않습니다.
• 유연성: 고객의 필요에 따라 웹 브라우저만 있으면 맞춤형 웹 포털에 액세스 할 수 있습니다. 이는 모바일 장치를 다룰 때 특히 유용합니다. 클라이언트 VPN 소프트웨어를 설치하는 옵션도 사용할 수 있습니다.
• 세분화된 액세스: 관리자는 클라이언트가 액세스 할 수 있는 리소스를 쉽게 제한할 수 있습니다.
• Windows 클라이언트에 대한 무결성 검사: 이 보안 기능은 VPN에 연결하는 원격 장치가 조직의 보안 정책을 준수하는지 확인합니다. 예를 들어 클라이언트에 바이러스 백신 소프트웨어가 설치되어 있는지 확인하고 그렇지 않은 경우 액세스를 거부할 수 있습니다.
• 비용 효율성: 다른 공급업체와 달리 SSL VPN을 사용하는 데 추가 라이센스가 필요하지 않습니다. FortiClient VPN은 SSL 포털에서 무료로 다운로드할 수도 있습니다. 또한 지원되는 원격 사용자 수는 FortiGate 모델에 의해서만 결정됩니다.

 

B. Fortigate 작동방식

SSL VPN은 웹 모드와 터널 모드의 두 가지 모드로 제공됩니다. 요구 사항에 따라 한 가지 모드 또는 두 가지 모드를 모두 사용하여 SSL VPN을 배포할 수 있습니다. 

 

1. 웹 모드

웹 모드는 웹 브라우저를 통해 웹 기반 애플리케이션에 대한 액세스를 제공합니다. 사용자는 제공된 URL 또는 IP 주소를 열고 웹 포털에 로그인하기만 하면 됩니다. FortiGate는 기본적으로 웹을 통해 액세스 하도록 설계되지 않은 애플리케이션에 대한 액세스를 허용하는 역방향 웹 프록시 역할을 한다는 점이 중요합니다.

 

이 모드는 웹 기반 애플리케이션, 인트라넷 사이트, 이메일 등 제한된 리소스 세트에 액세스해야 하는 사용자에게 가장 적합합니다. 이 모드의 주요 장점은 클라이언트 소프트웨어를 설치할 필요가 없으며 관리자가 사용자에게 매우 세분화된 액세스를 제공할 수 있다는 것입니다.

 

단점은 모든 액세스가 웹 페이지를 통해 이루어지기 때문에 지원되는 애플리케이션과 프로토콜 수가 제한되어 있다는 것입니다. 일반적인 액세스에는 북마크 된 URL, FTP 서버, Windows 공유, Telnet, SSH, VNC 또는 RDP를 사용하는 다른 시스템에 대한 원격 세션이 포함됩니다.

 

2. 터널 모드

터널 모드는 마치 원격 사용자가 회사에 물리적으로 존재하는 것처럼 전체 네트워크 액세스를 제공합니다. 이 모드는 클라이언트‑서버 애플리케이션, 파일 공유 및 기타 일반적인 네트워크 리소스를 포함하여 광범위한 서비스에 액세스해야 하는 원격 작업자에게 가장 적합합니다.

 

모든 종류의 리소스에 액세스 할 수 있는 능력이 이 모드의 가장 큰 장점입니다. 그러나 이를 활성화하려면 원격 장치에 FortiClient VPN을 설치하고 구성해야 합니다. 이로 인해 기술에 능숙하지 않고 자신의 장치를 사용하려는 사용자를 상대할 때 지원 팀에 추가 오버헤드가 발생할 수 있습니다.

 

 

C. SSL VPN 구성

SSL VPN을 구성하려면 특정 요구 사항에 따라 달라지는 여러 단계가 필요합니다. 프로세스는 매우 간단하며 다음과 같은 일반적인 단계로 구성됩니다.

 

1단계는 연결 권한을 부여할 사용자 또는 그룹을 만드는 것입니다. 이를 위해 로컬 사용자나 지원되는 원격 인증 서버를 사용할 수 있습니다.

 

2단계는 SSL VPN 포털을 검토하고 필요한 경우 편집하는 것입니다. FortiGate에는 웹 액세스, 터널 액세스 또는 둘 다를 위해 구성된 3개의 기본 SSL VPN 포털이 포함되어 있습니다. 특정 사용자의 특정 요구 사항을 충족하기 위해 사용자 지정 포털을 만들 수도 있습니다.

 

3단계는 SSL VPN 설정을 구성하는 것입니다. 이 설정은 연결 요청을 수신하는 데 사용할 포트 번호, 사용할 SSL 인증서 및 각 SSL VPN 모드별 옵션을 결정합니다. 이 단계에서는 어떤 사용자가 어떤 포털에 액세스 할지 결정합니다.

 

마지막 단계는 VPN 트래픽을 허용하는 방화벽 정책을 생성하는 것입니다. 이 단계에서는 다른 정책과 동일한 방식으로 방화벽을 통과하는 트래픽을 허용하는 방화벽 정책을 생성합니다. 여기서 한 가지 차이점은 VPN 트래픽을 구체적으로 참조하기 위해 보낸 사람 필드에 가상 터널 인터페이스를 사용한다는 것입니다.

 

 

D. SSL VPN 구성시 염두사항

다음은 SSL VPN을 사용할 때 염두에 두어야 할 몇 가지 일반적인 모범 사례입니다.

 

• 적절한 SSL VPN 모드 선택해야 합니다. 사용자에게 SSL VPN 모드 중 하나만 필요할 수도 있습니다. 사용되지 않는 SSL 모드가 비활성화된 SSL VPN 포털을 사용하세요.
• 원격 인증 서버를 사용하여 관리 노력을 줄입니다. 가능하면 로컬 사용자를 사용하지 마십시오. 중앙 집중식 인증 솔루션을 사용하면 시간이 절약되고 인적 오류가 방지됩니다. 이는 대규모 환경에서 특히 그렇습니다.
• 유효한 SSL 인증서 사용해야 합니다. 기본 자체 서명 인증서를 사용자 장치에서 신뢰하는 다른 인증서로 교체합니다. 신뢰할 수 있는 공급업체로부터 인증서를 구입하거나 이를 달성하기 위해 자체 PKI 인프라를 구현할 수 있습니다.
• VPN 트래픽에 대한 방화벽 정책을 구성할 때 최소 권한의 원칙을 사용하십시오. 이는 모든 방화벽 정책에 해당됩니다. 이는 원격 장치가 네트워크에 연결되도록 허용할 때 특히 중요합니다.
• 클라이언트 무결성 검사를 사용하여야 합니다. Windows 클라이언트의 경우 항상 바이러스 백신 소프트웨어, 방화벽 소프트웨어, 또는 둘 다 설치를 해야 합니다. 
• 가능하다면 모든 위치로부터의 연결을 허용하지 마십시오. 항상 가능한 것은 아니지만 액세스를 제한하는 것이 이상적입니다. 조직에서 신뢰하는 특정 공용 IP 주소의 연결 요청입니다.