TLS 종료 프록시
"오늘의AI위키"의 AI를 통해 더욱 풍부하고 폭넓은 지식 경험을 누리세요.
1. 개요
TLS 종료 프록시는 전송 계층 보안(TLS) 또는 이전 버전인 보안 소켓 계층(SSL) 암호화를 종료하고, 암호화된 트래픽을 검사하거나 다른 기능을 수행하는 데 사용되는 서버이다. 신뢰할 수 없는 네트워크를 통한 보안 강화, 트래픽 관리, 호환성 및 성능 향상 등을 위해 사용된다. TLS 오프로딩, TLS 암호화, TLS 브리징의 세 가지 연결 패턴을 제공하며, 포워드 프록시 또는 리버스 프록시 형태로 구현될 수 있다. 투명 TLS 브리징 프록시는 중간자 공격에 취약할 수 있다.
더 읽어볼만한 페이지
- 전송 계층 보안 - 공개 키 기반 구조
공개 키 기반 구조(PKI)는 공개 키 암호화를 기반으로 안전한 통신과 개체 식별을 가능하게 하는 기술로서, 디지털 인증서를 통해 공개 키를 특정 개체에 연결하고 인증서를 관리하며, 인증 기관(CA), 등록 기관(RA) 등 다양한 구성 요소로 이루어져 인증서 발급, 관리, 배포, 사용 및 폐기와 관련된 역할, 정책, 하드웨어, 소프트웨어 및 절차의 집합을 포함한다. - 전송 계층 보안 - HTTPS
HTTPS는 HTTP에 보안 기능이 더해진 통신 규약으로, 웹 브라우저와 서버 간 통신을 암호화하여 보안을 강화하지만, 인증서 비용, 서버 부하, 혼합 콘텐츠 문제 등의 단점도 존재한다. - 컴퓨터 네트워크 - NORSAR
NORSAR는 노르웨이 셸러에 위치한 지진 연구 및 데이터 센터이며, 기초 지진학 연구, 소프트웨어 개발, 석유 산업 컨설팅 등의 활동을 수행하며, 포괄적 핵실험 금지 조약을 위한 노르웨이 국가 데이터 센터 역할을 수행한다. - 컴퓨터 네트워크 - 라우터
라우터는 네트워크 간 데이터 패킷을 전달하는 네트워크 장비로, ARPANET의 IMP에서 시작하여 다양한 종류로 발전해 왔으며, 최신 네트워크 기술과 함께 네트워크의 확장성, 안정성 및 효율성을 향상시키는 데 중요한 역할을 한다.
| TLS 종료 프록시 | |
|---|---|
| 개요 | |
| 유형 | 프록시 서버 |
| 목적 | 클라이언트와 서버 간의 중개 역할, SSL 종료 |
| 다른 이름 | SSL 오프로드 |
| 설명 | SSL/TLS 암호화 및 복호화 작업을 서버 대신 수행하여 서버의 부하를 줄이는 기술 클라이언트와 서버 사이에서 보안 연결을 설정하고 관리하는 역할을 함 |
| 기능 | |
| SSL 종료 | SSL/TLS 연결을 프록시 서버에서 종료하고, 백엔드 서버와의 연결은 암호화되지 않거나 다른 암호화 방식을 사용할 수 있음 SSL 핸드셰이크 및 암호화/복호화 작업을 프록시 서버가 처리 |
| 로드 밸런싱 | 트래픽을 여러 백엔드 서버에 분산시켜 서버의 부하를 줄임 |
| 캐싱 | 자주 사용되는 콘텐츠를 캐싱하여 응답 시간을 단축 |
| 보안 | DDoS 공격과 같은 보안 위협으로부터 서버를 보호 웹 애플리케이션 방화벽 기능을 통해 웹 공격을 차단 |
| 장점 | |
| 서버 성능 향상 | SSL/TLS 처리 부담 감소 서버 자원 효율성 증대 |
| 보안 강화 | 중앙 집중식 보안 정책 적용 용이 |
| 유연성 | 트래픽 관리 및 최적화 용이 |
| 사용 사례 | |
| 웹 서버 | 대규모 웹 서비스의 성능 개선 및 보안 강화 |
| 콘텐츠 전송 네트워크 (CDN) | 전 세계 사용자에게 빠르고 안전하게 콘텐츠 제공 |
| 클라우드 환경 | 클라우드 기반 애플리케이션의 보안 및 성능 최적화 |
| 관련 기술 | |
| SSL/TLS | 웹 통신 암호화 프로토콜 |
| 프록시 서버 | 클라이언트와 서버 간의 중개 서버 |
| 로드 밸런서 | 트래픽 분산 장치 |
| 웹 애플리케이션 방화벽 (WAF) | 웹 공격 차단 보안 솔루션 |
2. 용도
TLS 종료 프록시는 다음과 같은 다양한 목적으로 활용될 수 있다.[1]
- 보안 강화: 신뢰할 수 없는 네트워크를 통해 전송되는 평문 통신을 (D)TLS로 터널링하여 보안을 강화하고, 침입 탐지 시스템에서 암호화된 트래픽을 검사하여 악의적인 활동을 탐지하고 차단한다.
- 트래픽 관리: 컴퓨터 및 네트워크 감시를 수행하고 암호화된 트래픽을 분석하며, 콘텐츠 제어 소프트웨어 또는 하드웨어 보안 모듈과 같은 추가 기능을 제공하는 다른 애플리케이션과의 통합을 지원한다.
- 호환성 및 성능 향상: 클라이언트 또는 서버 애플리케이션에서 지원하지 않는 (D)TLS 프로토콜 버전, 확장 또는 기능(예: OCSP 스태플링, ALPN, DANE, CT 유효성 검사 등)을 활성화하거나, 소프트웨어 버그/보안 취약한 (D)TLS 구현 문제를 해결하여 호환성 및 보안을 개선한다. 또한 인증서 기반 인증을 추가 제공하고, (D)TLS 구성 및 관련 보안 정책의 중앙 집중식 제어 및 일관된 관리를 위한 심층 방어 계층을 제공하며, 암호화 처리를 다른 머신으로 오프로드하여 주 서버의 부하를 줄인다.
2. 1. 보안 강화
TLS 종료 프록시는 신뢰할 수 없는 네트워크를 통해 전송되는 평문 통신을 (D)TLS로 터널링하여 보안을 강화한다.[1] 이를 통해 침입 탐지 시스템에서 암호화된 트래픽을 검사하여 해킹 시도, 악성코드 유포 등 악의적인 활동을 탐지하고 차단할 수 있다.[1]2. 2. 트래픽 관리
TLS 종료 프록시는 다음과 같은 용도로 사용될 수 있다.- 컴퓨터 및 네트워크 감시를 수행하고 암호화된 트래픽을 분석한다.[1]
- 콘텐츠 제어 소프트웨어 또는 하드웨어 보안 모듈과 같은 추가 기능을 제공하는 다른 애플리케이션과의 통합을 지원한다.[1]
2. 3. 호환성 및 성능 향상
TLS 종료 프록시는 다음과 같은 기능을 통해 호환성과 성능을 향상시킨다.- 클라이언트 또는 서버 애플리케이션에서 지원하지 않는 OCSP 스태플링, ALPN, DANE, CT 유효성 검사 등과 같은 (D)TLS 프로토콜 버전, 확장 또는 기능을 활성화하여 호환성 및 보안을 강화한다.[1]
- 클라이언트 또는 서버 애플리케이션의 소프트웨어 버그 또는 보안 취약한 (D)TLS 구현 문제를 해결하여 호환성 및 보안을 개선한다.[1]
- 서버 및/또는 클라이언트 애플리케이션 또는 프로토콜에서 지원하지 않는 추가적인 인증서 기반 인증을 제공한다.[1]
- (D)TLS 구성 및 관련 보안 정책의 중앙 집중식 제어 및 일관된 관리를 위한 추가적인 심층 방어 계층을 제공한다.[1]
- 암호화 처리를 다른 머신으로 오프로드하여 주 서버의 부하를 줄인다.[1]
3. 유형
TLS 종료 프록시는 연결 패턴에 따라 다음 세 가지 유형으로 구분된다.[3]
- '''TLS 오프로딩''': 클라이언트로부터 암호화된 연결을 받아 서버로 일반 텍스트 연결을 전달한다.
- '''TLS 암호화''': 클라이언트로부터 일반 텍스트 연결을 받아 서버로 암호화된 연결을 전달한다.
- '''TLS 브리징''': 클라이언트와 서버 양쪽 모두와 암호화된 연결을 사용하며, 중간에서 트래픽을 검사 및 필터링한다.
이러한 연결 패턴을 조합하여, (D)TLS 암호화 및 인증을 지원하지 않는 프로토콜 및 애플리케이션에서도 안전한 통신을 가능하게 할 수 있다.
3. 1. TLS 오프로딩
TLS 오프로딩은 클라이언트로부터 암호화된 (D)TLS 연결을 받아 서버로 일반 텍스트 연결을 통해 통신을 전달하는 방식이다.[3] 이는 주로 서버의 암호화 처리 부담을 줄이는 데 사용된다.3. 2. TLS 암호화
TLS 암호화는 클라이언트로부터 일반 텍스트 연결을 받아 서버로 암호화된 연결을 전달한다.[3] 이는 주로 클라이언트 측 보안을 강화하는 데 사용된다. 클라이언트 앞에 TLS 암호화 프록시를, 서버 앞에 TLS 오프로딩 프록시를 결합하면, (D)TLS 암호화 및 인증을 지원하지 않는 프로토콜 및 애플리케이션에서도 이를 허용할 수 있다. 두 프록시는 클라이언트와 서버 간의 신뢰할 수 없는 네트워크 구간에서 안전한 (D)TLS 터널을 유지한다.3. 3. TLS 브리징
TLS 브리징은 클라이언트와 서버 양쪽 모두 암호화된 연결을 사용하며, 중간에서 트래픽을 검사 및 필터링하는 방식이다.[3] 이 방식은 보안 감사, 침입 탐지 시스템 등에서 활용된다.TLS 브리징 프록시는 클라이언트로부터의 인바운드 (D)TLS 연결을 해독하고, 이를 서버로의 다른 (D)TLS 연결로 다시 암호화하여 암호화된 트래픽의 검사 및 필터링을 가능하게 한다.
모든 아웃바운드 연결에 대한 중간 게이트웨이로 클라이언트가 사용하는 프록시는 일반적으로 포워드 프록시라고 하며, 모든 인바운드 연결에 대한 중간 게이트웨이로 서버가 사용하는 프록시는 일반적으로 리버스 프록시라고 한다. 모든 클라이언트 트래픽을 분석할 수 있도록 하는 침입 탐지 시스템을 허용하는 포워드 TLS 브리징 프록시는 일반적으로 "SSL 포워드 프록시"로 판매된다.[4][5][6]
TLS 브리징 프록시는 일반적으로 PKIX 또는 DANE 인증을 사용하여 디지털 인증서로 클라이언트에게 자신을 인증해야 한다. 포워드 프록시 운영자는 자체 개인 CA를 생성하고 모든 클라이언트의 신뢰 저장소에 설치해야 하며, 클라이언트가 연결하려는 각 서버에 대해 프록시가 개인 CA에 의해 서명된 새 인증서를 실시간으로 생성하도록 해야 한다.
클라이언트와 서버 간의 네트워크 트래픽이 프록시를 통해 라우팅될 때, 투명 TLS 브리징 프록시에 유효한 서버 인증서가 있는 경우 클라이언트나 서버는 프록시의 존재를 감지할 수 없다. 하지만 서버의 디지털 인증서의 개인 키가 손상되었거나, 손상된/강압된 PKIX CA를 사용하여 서버에 대한 새 유효 인증서를 발급할 수 있는 공격자는, 중간자 공격을 수행하여 해독된 통신을 복사하거나 수정할 수 있다.
4. 투명성
투명 TLS 브리징 프록시는 클라이언트와 서버가 프록시의 존재를 인식하지 못하게 할 수 있다. 서버 인증서의 개인 키가 유출되거나, CA이 손상된 경우 중간자 공격에 취약해질 수 있다.[3] 클라이언트와 서버 간의 네트워크 트래픽이 프록시를 통해 라우팅될 때, 서버에 연결할 때 자체 IP 주소 대신 클라이언트의 IP 주소를 사용하고 클라이언트에 응답할 때 서버의 IP 주소를 사용하여 투명 모드로 작동할 수 있다. 투명 TLS 브리징 프록시에 유효한 서버 인증서가 있는 경우 클라이언트나 서버는 프록시의 존재를 감지할 수 없다. 서버의 디지털 인증서의 개인 키가 손상되었거나, 손상된/강압된 PKIX CA를 사용하여 서버에 대한 새 유효 인증서를 발급할 수 있는 공격자는, 클라이언트와 서버 간의 TLS 트래픽을 투명 TLS 브리징 프록시를 통해 라우팅하여 중간자 공격을 수행할 수 있으며, 로그인 자격 증명을 포함한 해독된 통신을 복사하고 감지되지 않고 즉석에서 통신 내용을 수정할 수 있다.
참조
[1]
웹사이트
What is SSL Termination?
https://www.f5.com/g[...]
F5 Networks
2024-06-08
[2]
웹사이트
Setup IIS with URL Rewrite as a reverse proxy
https://docs.microso[...]
Microsoft
2016-08-25
[3]
웹사이트
Infrastructure Layouts Involving TLS
https://www.haproxy.[...]
HAProxy Technologies
[4]
웹사이트
SSL Forward Proxy Overview
https://www.juniper.[...]
Juniper Networks
2023-10-16
[5]
웹사이트
SSL Forward Proxy
https://www.paloalto[...]
Palo Alto Networks
2017-11-24
[6]
웹사이트
Overview: SSL forward proxy client and server authentication
https://support.f5.c[...]
F5 Networks
2017-11-24
[7]
웹인용
What is SSL Termination?
https://www.f5.com/g[...]
2024-01-23
[8]
웹인용
Setup IIS with URL Rewrite as a reverse proxy for real world apps.
https://learn.micros[...]
2024-01-23
본 사이트는 AI가 위키백과와 뉴스 기사,정부 간행물,학술 논문등을 바탕으로 정보를 가공하여 제공하는 백과사전형 서비스입니다.
모든 문서는 AI에 의해 자동 생성되며, CC BY-SA 4.0 라이선스에 따라 이용할 수 있습니다.
하지만, 위키백과나 뉴스 기사 자체에 오류, 부정확한 정보, 또는 가짜 뉴스가 포함될 수 있으며, AI는 이러한 내용을 완벽하게 걸러내지 못할 수 있습니다.
따라서 제공되는 정보에 일부 오류나 편향이 있을 수 있으므로, 중요한 정보는 반드시 다른 출처를 통해 교차 검증하시기 바랍니다.
문의하기 : help@durumis.com