[Firewall] ASA SSL VPN Clientless 구성

SSL(Secure Socket Layer) 개념

-   SSL은 넷스케이프에서 개발하였고 TCP 기반의 Application을 보호할 수 있다. (TCP 포트 443번 사용)

-   TETF에서 SSL을 기반으로 표준화 작업을 진행하였고, TLS(Transport Layer Security)라고 부른다.

-   SSL과 TLS는 개념적으로 구조가 비슷하지만 서로 완벽히 호환되지 않는다. (SSL 3.3 = TLS 1.2, 1.3)

-   SSL은 비대칭키를 사용한다.

 

비대칭키 개념

-   비대칭키 방식은  Public Key(공개키)와 Secret Key(비밀키) 한쌍의 키를 사용한다.

-   대칭키와 다르게 암호화 뿐만 아니라 무결성체크, 인증(책임추적성)을 수행한다.

-   RSA와 같은 Public Key 방식을 사용한 암호화 및 전자서명에서 중요한 것은 상대방의 Public Key를 안전하게 확보해야 한다는 것이다.

-   만약 공격자가 B의 Public Key를 MITM 공격으로 중간에서 가로채고 A에게 공격자 자신의 Public Key를 속여서 전송하는 경우 보안상 큰 문제가 될 수 있다.

-   위와 같은 위협에서 안전하게 Public Key를 교환할 수 있는 방법 중 하나는 CA(인증기관)를 통해 인증서를 발급받아서 사용하는 것이다.

 

Cisco ASA SSL VPN 개념

-   Remote Access VPN을 구성하는 방식 중 하나이다. IPSec이 아닌 SSL을 사용하여 VPN을 구성하는 것이다.

-   Cisco 장비에서는 Web VPN이라고 표현하기도 한다.

-   IPSec을 사용한 Remote Access VPNB의 경우 반드시 VPN Client S/W가 설치되어 있어야 한다. 하지만 SSL VPN의 경우 별도의 VPN Client S/W 없이 Web Broser만 설치 되어 있다면 VPN 접속이 가능하다.

 

Cisco ASA SSL VPN 종류

1) Clientless 모드

 

-   별도의 VPN Client S/W가 필요없이 Web Browser를 사용하는 전통적인 SSL VPN 방식이다.

-   SSL 특성에 따라 TCP 기반의 Application 트래픽만 보호가 가능하다

-   TCP Header(L4) 이후부터 암호화한다.

-   Client가 VPN 포털에 입력한 내용을 기반으로 ASA가 패킷을 내부 서버에게 중계하는 방식을 사용한다.

 

2) Client 모드

 

-   별도의 VPN Client S/W를 사용하는 방식이다. 

-   IPSec의 Tunnel 모드와 유사하게 L3(IP)헤더부터 보호가 가능하다. (모든 IP 패킷에 대해 VPN 처리가 가능)

-   TCP기반의 서비스 뿐만 아니라 모든 서비스를 암호화하여 전송하는것이 가능하다.

-   IPSec을 이용한 Remote Access VPN과 다르게 Client S/W가 사전에 설치되어 있지 않더라도 Web Browser만 설치되어 있다면 VPN 장비에 접속하여 VPN Client S/W를 자동으로 다운받고 설치하는것이 가능하다.

-   ASA의 Flash 메모리에 VPN Client S/W (Cisco AnyConnect)가 저장되어 있다면 원격지의 사용자가 다운로드 받는것이 가능하다.

Clientless 모드 구성

<ASA-1> http server enable webvpn   enable Outside exit group-policy GP internal  group-policy GP attributes  vpn-tunnel-protocol ssl-clientless  webvpn   exit exit tunnel-group ASA_SSL type remote-access tunnel-group ASA_SSL general-attributes  authentication-server-group LOCAL  default-group-policy GP  exit username user1 password cisco123

 

ASA VPN SSL로접속

-   2.2.2.1(Win_ClientB)에서 ASAv-1으로 접속한다.

 

 

-   CA기관이없이 송신자에서 수신자로 바로 키를 전송하므로 인증서 문제 페이지가 뜨게된다.

-   MITM Attack 공격의 위험이 있다. (중간에 공격자가 자신의 공개키로 바꿔서 전송할 수 있다.)

 

 

-   권장하지 않음 옵션을 입력하면 접속은 가능하다.

 

 

-   2.2.2.1과 1.1.100.1 간 SSL 통신을 하는것을 확인할 수 있다.

 

 

ASA NameServer 조회 설정

<ASA-1> dns domain-lookup Inside dns name-server 10.10.1.250

 

Web서버 접속 테스트

 

1. Web Server Domain Name으로 접속

 

-    DNS 조회를 정상적으로 하는것을 확인할 수 있다.

 

 

 

2. Wireshark 패킷 확인

 

-   Win_ClientB가 직접 내부망의 DNS서버에 물어보는것이 아니라 ASA방화벽에서 물어본 후 Win_ClientB에게 알려주는 것이다.