최근, 많은 방화벽 장비들이 UTM, 즉 통합 보안 장비로 넘어가는 추세를 보이고 있습니다. Juniper도 이런 흐름에 발 맞춰 Juniper의 차세대 보안장비인 SRX Series에 Application Firewall 기능을 추가했습니다.  

 

Application Firewall 이란 IDP의 확장 된 기능입니다. IDP 는 트래픽을 확인하여 해킹이나 공격 패턴을 찾아내 처리 하는 기능이고, Application Firewall 은 트래픽을 확인 한 후 특정 Application 의 패턴을 찾아 처리하는 기능입니다. 예를 들면, Application Firewall 을 사용하여 기업에서 근무시간에 특정 사이트나 메신저를 사용하지 못하게 막을 수 있습니다. 또는, 좀 더 세세하게 트위터에 로그인은 가능하지만 글은 못 올리게 한다거나 페이스북에서 등록된 친구들과 채팅만 못하게 한다거나 하는 설정이 가능합니다.

 

오늘은 Juniper SRX Series 방화벽의 Application Firewall 기능인 AppSecure 의 설정 방법에 대해서 알아볼까 합니다.

 

AppSecure를 설정하기 위해서는 우선 IDP Signature가 Update 되어야 합니다. AppSecure의 Signature를 따로 다운로드 받는 것이 아니라 IDP Signature에 포함되어있기 때문입니다. ( AppSecure 기능을 사용하기 위해서는 Signature 다운로드를 위해 AppSecure 라이선스 뿐만 아니라 IDP 라이선스도 필요합니다. )

 

Signature Download 방법은 저희 블로그에 제가 올려뒀던 글인 “SRX의 IDP 설정”에서 확인 하실 수 있습니다.( http://www.rovermoot.co.kr/?p=1015 )

 

Signature Update 완료 후 AppSecure 설정을 위해 Config -> Security -> Policy -> Define AppFW Policy 메뉴를 차례로 클릭합니다.

 

 

메뉴에 들어가면 아래와 같은 화면이 보입니다. Policy 설정을 위해 우측 상단의 ADD 버튼을 클릭합니다. ( 아래 스크린샷에는 제가 테스트를 하기 위해 만들어 둔 Policy가 있습니다. )

 

 

ADD 버튼을 클릭하면 아래와 같은 창이 나타납니다. Rule Set Name을 설정 한 후, 실제로 적용 될 Rule을 생성하기 위해 우측 가운데 부분의 Add 버튼을 클릭합니다.

 

 

실제로 적용 될 Rule을 선택하는 부분입니다. Rule Name을 설정하고, Action을 설정 한 뒤 아래 Match 박스에서 원하는 Signature를 선택하면 됩니다. 위쪽은 각각의 Signature를 선택 할 수 있으며, 아래쪽은 주니퍼에 각 Signature를 어플리케이션 별로 묶어놓은 Signature Group 입니다. 원하는 Signature를 선택 하실 때 Search 옆에 보이는 박스에서 검색을 하시면 편리하게 찾으실 수 있습니다.

 

 

AppFW Policy 를 다 만들었다면, 기본적인 방화벽 정책인 Apply Policy에 적용을 시켜줘야 합니다. AppFW Policy의 적용을 위해 Configure -> Security -> Policy -> Apply Policy 를 클릭한 후, AppFW Policy의 정책을 적용 할 정책을 선택 하고 우측상단의 EDIT 버튼을 클릭합니다.

 

 

EDIT 버튼을 누른 후, 가장 우측 탭인 Application Service 탭에서 가장 하단에 있는 Application Firewall 메뉴를 확인 할 수 있습니다. 여기서 미리 생성해 놓은 AppFW Policy를 적용하고 OK버튼을 클릭하면 됩니다.

 

 

OK 버튼을 클릭하고 AppFW Policy 적용이 완료 되면 Apply Policy의 정책이 아래와 같이 변하는것을 확인 할 수 있습니다.

 

 

지금까지 소개해 드린 순서로 정책을 적용하면 SRX의 AppSecure의 기능을 사용 할 수 있습니다. 하지만 아직 SRX의 AppSecure의 기능은 일부 조정이 필요해 보입니다. 일부 Signature를 제외한 기능들은 적용을 시켜도 정상작동을 하지 않는 것을 확인하였습니다.

( 제가 테스트 한 SRX의 OS Version은 12.1R1.9 이며, AppSecure 기능을 적용했을 때 정상 동작 하는 Signature는 다음과 같았습니다.
Torrent 관련 기능
-       Torrent411, TorrentHound, TorrentINO-RU, TorrentLeech. ( 해당하는 각 사이트에 접근 불가 )
Twitter 관련 기능
-       Twitter. ( Twitter 페이지에 접근 불가 )
FaceBook 관련 기능
-       Facebook-Access ( Facebook 페이지에 접근 불가 )
주로 URL 자체를 막는 것으로 보이는 Signature가 정상 동작을 하였으며, Torrent, Twitter, FaceBook의 관련 기능 중 위에 명시 된 것 외에 정상 동작을 하는 Signature 는 없었습니다. 추가적으로 Apple-FaceTime 도 테스트를 해보았지만 마찬가지로 정상 동작을 하지 않았습니다. )

 

하지만 Juniper 측에서도 AppSecure 기능의 부족한 부분을 인지하고 있으며, 지속적으로 업데이트 중입니다. 또한, 업데이트가 완료 된 후 정상적으로 동작하는 SRX의 AppSecure 기능은 앞으로의 IT 보안 시장에서 분명히 매우 중요한 부분을 차지 할 것으로 예상되므로, SRX AppSecure 기능의 Update를 주목 할 필요성이 있어 보입니다.

감사합니다.

 

                                                                                            

Posted by 로버무트