TLS 종료 프록시

들어오는 HTTPS 트래픽은 해독되어 개인 네트워크의 웹 서비스로 전달된다.

TLS 종료 프록시(또는 SSL 종료 프록시,^[1] 또는 SSL 오프로드^[2])는 클라이언트와 서버 애플리케이션 사이의 중간 지점 역할을 하는 프록시 서버로, 통신을 해독하거나 암호화하여 TLS(또는 DTLS) 터널을 종료 및/또는 설정하는 데 사용된다.이는 암호화된 TLS 패스스루 프록시(D)와 다르다.터널을 종료하지 않고 클라이언트와 서버 간의 TLS 트래픽

사용하다

TLS 종료 프록시는 다음을 위해 사용할 수 있다.

신뢰할 수 없는 네트워크를 통해 일반 텍스트 통신을 (D)로 튜닝하여 보안TLS,
침입 탐지 시스템에 의한 암호화된 트래픽의 검사를 허용하여 악의적인 활동을 탐지하고 차단한다.
네트워크 감시 및 암호화된 트래픽 분석 허용
그렇지 않으면 콘텐츠 필터링 또는 하드웨어 보안 모듈과 같은 추가 기능을 제공하는 다른 애플리케이션과의 지원되지 않는 통합 사용
활성화(D)호환성 및/또는 보안을 강화하기 위해 클라이언트 또는 서버 응용프로그램에서 지원되지 않는 TLS 프로토콜 버전, 확장 또는 기능(예: OCSP 스테이플링, ALPN, DANE, CT 검증 등)
버기/보안(D)을 중심으로 작업하다호환성 및/또는 보안을 개선하기 위해 클라이언트 또는 서버 응용프로그램에 TLS 구현
서버 및/또는 클라이언트 응용 프로그램 또는 프로토콜에서 지원되지 않는 추가 인증서 기반 인증 제공
(D)의 중앙 집중화된 제어와 일관된 관리를 위해 심층 방어 계층을 추가로 제공한다.TLS 구성 및 관련 보안 정책
암호 처리를 다른 기계로 오프로딩하여 메인 서버의 부하를 줄인다.

종류들

TLS 종료 프록시는 다음과 같은 세 가지 연결 패턴을 제공할 수 있다.^[3]

인바운드 암호화(D)의 TLS 오프로드클라이언트로부터의 TLS 연결 및 일반 텍스트 연결을 통한 전달 통신을 서버로 전달.
클라이언트에서 인바운드 일반 텍스트 연결의 TLS 암호화 및 암호화(D)를 통해 통신 전달서버에 대한 TLS 연결.
암호화된 두 개의 TLS 브리징(D)인바운드(D)의 암호를 해독하여 암호화된 트래픽의 검사 및 필터링을 허용하는 TLS 연결클라이언트에서 TLS 연결 후 다른 클라이언트와 다시 암호화(D)서버에 대한 TLS 연결.

클라이언트 앞에 있는 TLS 암호화 프록시와 서버 앞에 있는 TLS 오프로드 프록시를 결합하면 (D) 허용 가능다른 방법으로 지원하지 않는 프로토콜과 응용 프로그램에 대한 TLS 암호화 및 인증. 두 개의 프록시가 보안(D)을 유지 관리(D)클라이언트와 서버 사이의 신뢰할 수 없는 네트워크 세그먼트를 통한 TLS 터널.

클라이언트가 모든 아웃바운드 연결의 중간 게이트웨이로 사용하는 프록시를 일반적으로 Forward 프록시라고 하며, 서버가 모든 인바운드 연결의 중간 게이트웨이로 사용하는 프록시를 일반적으로 Reverse 프록시라고 부른다.침입 탐지 시스템이 모든 클라이언트 트래픽을 분석할 수 있는 Forward TLS 브리징 프록시는 일반적으로 "SSL Forward Proxy"^[4]^[5]^[6]로 마케팅된다.

TLS 오프로드 및 TLS 브리징 프록시는 일반적으로 PKIX 또는 DANE 인증을 사용하는 디지털 인증서로 클라이언트에 자신을 인증해야 한다.일반적으로 서버 운영자가 (D) 동안 사용할 유효한 인증서를 역방향 프록시에 제공클라이언트와의 TLS 핸드셰이크.그러나 포워드 프록시 운영자는 자체적인 개인 CA를 생성하고, 이를 모든 클라이언트의 신뢰 저장소에 설치하고, 프록시로 하여금 클라이언트가 연결하려고 하는 각 서버에 대해 개인 CA가 서명한 새 인증서를 실시간으로 생성하도록 해야 한다.

클라이언트와 서버 간 네트워크 트래픽이 프록시를 통해 라우팅되면 서버에 접속할 때 자체 IP주소가 아닌 클라이언트의 IP주소를 사용하고 클라이언트에 응답할 때 서버의 IP주소를 사용함으로써 투명모드로 동작할 수 있다.투명 TLS 브리징 프록시에 유효한 서버 인증서가 있으면 클라이언트나 서버 모두 프록시 존재를 탐지할 수 없을 것이다.서버의 디지털 인증서의 개인 키를 손상시키거나 손상된 PKIX CA를 사용하여 서버에 대한 유효한 새 인증서를 발급할 수 있는 적수는 투명 TLS 브리징 프록시를 통해 클라이언트와 서버 간의 TLS 트래픽을 라우팅하여 중간 공격을 수행할 수 있으며 복사하는 기능을 가질 수 있다.로그온 자격 증명을 포함한 통신 암호를 해독하고 탐지되지 않고 즉시 통신 내용을 수정하십시오.

참조

^ SSL 종료, F5 네트워크.
^ "Setup IIS with URL Rewrite as a reverse proxy". Microsoft.
^ "Infrastructure Layouts Involving TLS". HAProxy Technologies.
^ "SSL Forward Proxy Overview". Juniper Networks.
^ "SSL Forward Proxy". Palo Alto Networks.
^ "Overview: SSL forward proxy client and server authentication". F5 Networks.

[1] SSL 종료, F5 네트워크.

[2] "Setup IIS with URL Rewrite as a reverse proxy". Microsoft.

[3] "Infrastructure Layouts Involving TLS". HAProxy Technologies.

[4] "SSL Forward Proxy Overview". Juniper Networks.

[5] "SSL Forward Proxy". Palo Alto Networks.

[6] "Overview: SSL forward proxy client and server authentication". F5 Networks.

[1]

[2]

[3]

[4]

[5]

[6]

Search

TLS 종료 프록시

네임스페이스

더

사용하다

종류들

참조