Professional Documents
Culture Documents
Blue Coat Certified ProxySG Administrator Course - Johnny
Blue Coat Certified ProxySG Administrator Course - Johnny
Administrator Course
BCCPA 관리자 과정
Bccpa-v41-student-us-wmk
ProxySG 소개
Web 위협에 대한 방어
최신 Malware 에 대한 방어
임직원 생산성에 대한 웹 어플리케이션 최적화와 컨텐츠 필터링
정보 누수 및 유실에 대한 차단
원격 사용자에 대한 Malware 차단과 웹 필터링
신원 인증을 통한 신뢰성 확인
1. ProxySG 소개
방화벽의 한계
Proxy Servers
1. ProxySG 소개
ProxySG 기능
왜 ProxySG 인가 ?
간단한 설치
높은 신뢰도
통합된 하드웨어와 소프트웨어 구성
낮은 유지 보수 비용 (TCO: Total cost of ownership)
관리의 용의성
추가적인 서비스는 가능하다 ?
Additional services can be layered.
1. ProxySG 소개
Centralized Reporting
Blue Coat Reporter
Web Application and content Controls
ProxySG + Director Cloud Service PacketShaper
Bto.bluecoat.com 내의 자원 활용
- Service Request (SR) Open
- Knowledge Base (KB) 를 통한 1 Reference 확인 및 질문
- Support Forum 을 통한 지식 공유 및 토론
- Deployment Assistance 를 통한 구성 도움
2. ProxySG 보안 구성
구성에 따른 고려사항
물리적 구성 방법
- Inline
- Virtual Inline
- Out of path
사용자 연결 방식에 따른 구성 방법
- Explicit Proxy
- Transparent Proxy
프록시 역할에 따른 구성 방법
- Forward Proxy
- Reverse Proxy
2. ProxySG 보안 구성
물리적 구성 방법
Inline
- ProxySG 가 Network 에 바로 연결되며 모든 트래픽이 ProxySG 를 통과하여 지나간다 .
Virtually Inline
- 라우터 또는 Layer 4 스위치를 통해 연결된다
- 선택된 트래픽만 가시성을 가지게 된다
- ProxySG 는 물리적으로 Out of Path 구성이 된다
Out of Path
- ProxySG 는 스위칭된 네트워크 세그먼트에 구성된다
- 네트워크 트래픽과는 별도의 물리적 구성이 된다
2. ProxySG 보안 구성
Inline 구성
장 점 단 점
• 쉬운 구성 • 설치될 때 Down time 이 필요함
• 스위치나 라우터에 요구되는 별도의 구성이 • 1 대 이상으로 확장을 할 수 없음
요구되지 않음 • 복잡한 경로를 지원하지 못함
• 전체 트래픽에 대한 즉각적인 가시성을 가짐 • 단일 장애점 (Single point of failure)
• Client 에 구성이 필요없음
2. ProxySG 보안 구성
Virtually Inline
장 점 단 점
• 설치될 때 Down time 이 필요 없음 • 네트워크 구성이 복잡해짐
• 뛰어난 확장성 • 추가적인 하드웨어 구성이 요구됨
• 추가적인 ProxySG 를 통한 처리 용량 및 (WCCP 지원가능한 라우터 ,
이중화 구성 가능 PBR 지원가능한 라우터 ,
또는 Layer 4 스위치 )
2. ProxySG 보안 구성
Out of Path
장 점 단 점
• 설치될 때 Down time 이 필요 없음 • ProxySG 를 통해 Traffic 가시성을 가지려면
• 아주 쉬운 구성 Client 구성이 요구됨
2. ProxySG 보안 구성
Client 연결 방법
Explicit proxy
- Client 가 ProxySG 로 연결하기 위해서는 구성이 필요함
- Client 구성
: Manual ( 테스트 또는 작은 사업장 환경에 적당 )
: Auto-detect (WPAD.dat file)
: Proxy auto-configuration (PAC) file
Transparent proxy
- Client 의 세부구성이 필요 없으며 , Network 상 Proxy 가 존재하는 것을 알지 못함
- Inline 또는 Virtual inline 구성이 요구됨
- 특정 어플리케이션 (streaming, authentication with SSL) 에서 문제가 될 수도 있음
2. ProxySG 보안 구성
Explicit Proxy
2. ProxySG 보안 구성
장 점 단 점
• 덜 복잡한 구성 • Client 구성이 요구됨
• 테스트 또는 평가하기 적합 • 특정 Client 를 지원하지 못함 (FTP 같은 )
• Proxy 구성을 위한 모든 RFC 규격 지원 • Over HTTP 를 사용하는 어플리케이션의
• 사용자 인증이 필요할 때 가장 좋은 방법 경우 가시성을 확보하기 힘들 수 있음 ( 예
• 인터넷 트래픽에 바인딩 되지 않은 Skype)
트래픽의 영향을 미치지 않음
• WCCP 또는 Layer 4 Switch 와 같은 별도
하드웨어에 의존하지 않음
2. ProxySG 보안 구성
Transparent Proxy
2. ProxySG 보안 구성
장 점 단 점
• 뛰어난 확장성 • 보다 복잡한 셋업이 필요
• Client 구성이 필요하지 않음 • 추가 장비가 필요할 경우 보다 비싼
• 전체 Network 트래픽에 대한 가시성 비용이 요구됨
• 처리되는 트래픽을 식별하기 위해서
일반적으로 많은 트래픽을 Bypass 함
• SSL 인증은 구현하기 보다 힘들 수 있음
2. ProxySG 보안 구성
Proxy Roles
2. ProxySG 보안 구성
Best Practices
Inline 구성 권고
- 규모가 커지지 않는 제한된 소규모 사업소
- 단기간 평가를 위한 구성
Explicit proxy 구성 권고
- 인증과 / 또는 SSL 을 전사에 적용하기 원하는 사이트
Transparent proxy 구성 권고
- 물리적으로 Inline 구성을 원하는 사이트
3. ProxySG 초기 보안 구성
접속 방법
2. ProxySG 초기 보안 구성
워크 플로우 선택
3. ProxySG 초기 보안 구성
주소 설정
3. ProxySG 초기 보안 구성
초기 구성 단계 : SWG
주소 구성
- VLAN 구성 ( 필요 시 )
- IP Address, Subnet mask, Gateway, DNS server
비밀번호
- Console
- Enable
- Setup
Access control
SGOS Edition
3. ProxySG 초기 보안 구성
SGOS Editions
기본 정책 연결 차단 연결 허용
ProxySG VA 지원 No Yes
3. ProxySG 초기 보안 구성
Passwords
리셋 단위
restore-defaults …
Factory-
Yes Reset Reset Reset
Defaults
Reset
Force No Reset Reset
IPv6 구성
Management Console 구조
4. ProxySG Management Console
기능 영역
영역 Displays / Functions
• 장비명
• 하드웨어 모델
Header • Serial Number
• Software Version (SGOS)
Statistics tab • ProxySG 의 상태 및 Health 확인
• ProxySG Sets up
• 정책을 관리하는 데 사용되는 개체와 매개 변수를
Configuration tab
생성
• 구성에 대한 저장 및 복구
• 라이센싱
Maintenance tab • 모니터링
• 장비에 대한 Health Check
4. ProxySG Management Console
Command Generation
Concurrent Access
4. ProxySG Management Console
Access Control
4. ProxySG Management Console
문서 및 Help
5. ProxySG 보안 라이센싱
Edition 변경
5. ProxySG 보안 라이센싱
SGOS 라이선스 타입
License 타입 속성 만료 ?
• SGOS 기본 제공 60 일
• 새로운 ProxySG 하드웨어와 함께 제공됨
평가판 • Proxy Edition 또는 MACH5 중 선택 가능함 Yes
• SGOS user 는 무제한
• Reset-trial 명령어로 두 번 재사용 가능
• 임시로 Bluecoat 또는 Reseller 에 요청 가능함
• 평가 기간 연장 가능
데모 Yes
• 고객 평가에 필요한 추가 기능
• Bluecoat 또는 Reseller 에 의한 기간 설정
• 구입된 기능을 모두 영구 해제
영구 No
• 평가 기간이 유효하더라도 User 제한 적용
Subscription
• ProxySG VA only Yes
( 신청 )
5. ProxySG 보안 라이센싱
추가적인 기능
License 타입 속성
• 거의 모든 모델에 포함 : 일부 추가로 적용 가능
SSL ( 일부 모델 )
• 추가로 적용할 경우 옵션에 대한 비용 추가
Flash steaming • 추가 비용 필요
License 상태
5. ProxySG 보안 라이센싱
User 제한
6. Proxy 서비스
Key 컨셉
6. Proxy 서비스
Proxy Service 구성 요소
Listeners
Custom
관리자에 의해서 생성 가능함 None
Service groups
Setting 유효성 상세
Transparent
Reflect client IP Client 의 IP Address 를 이용해 OCS 로 연결
Proxy only
Static Bypass
• Transparent proxy 만 가능
Restricted Intercepted
• Transparent proxy 만 가능
• 테스트에 유용함
Policy 컨셉
7. Visual Policy Manager 소개
VPM 구조
7. Visual Policy Manager 소개
• 11 가지 layer 타입 ; 일반적으로
사용되는
- Web Authentication
- Web Access
- Web Content
- SSL Intercept
- SSL Access
7. Visual Policy Manager 소개
Policy 심사 순서
• Default proxy policy 가 시작점이다 .
• 만약 룰이 부합한다면 , 해당 layer 는
심사된다 ; 만약 아니라면 해당 layer 는
심사를 하지 않는다 .
• 정책 구성을 효과적으로 할 수 있다
7. Visual Policy Manager 소개
허용되는 사용 정책 : 예제
AUP 예제 : Policy 심사 과정
7. Visual Policy Manager 소개
VPM 설정 연습
정책 구조
- 별도의 레이어에 별도의 정책을 구현 한다 .
- 구현되는 정책이 생각한 구조와 일치하여야 한다 .
정책 보존
- 허용되는 정책에는 주의한다
정책 최적화
- RegEx( 정규표현식 ) 은 꼭 필요한 경우에만 사용한다 .
- 부합되는 가능성이 가능 높은 룰을 가장 상단의 Layer 에 위치시킨다 .
- 가능하다면 subnet 을 이용한다 .
- Layer guard 를 적절히 이용한다 .
8. Content Filtering and WebPulse
Content Filtering 의 역할 변경
구 버전 신 버전
• Web 요청 필터 • Web 2.0 위협 증가
• 부적절한 컨텐츠 • 유명 웹사이트 주입
• 규정준수와 경영구조 • 검색 엔진의 미끼 페이지
• 인적 자원에 대한 가시성 • IT/ 위험 관리에 대한 가시성
발전되는 요구사항들
동적 링크 분석
WebPulse 와 WebFilter
8. Content Filtering and WebPulse
WebPulse 처리 흐름
8. Content Filtering and WebPulse
Content Filtering 실행
WebPulse 구성
정책 쓰기
8. Content Filtering and WebPulse
Content Filtering 의 역할 변경
사용자 한 명 단위의 판매
WebPulse 와 WebFilter 구성
Dynamic categorization
- Off : local DB 만 확인하며 , 주기적으로 업데이트한다 .
- Immediate : 클라우드의 결과를 기다린다 . ( 모든 구성에서 권고하는 설정 )
- Background : 만약 즉시 처리가 안 될 경우 “ Pending” 카테고리로 보내진다 .
필요 시 상세 구성 업데이트 확인
- Default : 변경된 DB 업데이트에 대해 하루 매 5 분 확인하며 , 변경이 되었다면 업데이
트 내역을 설치한다 .
- 매일 정해진 시간에 업데이트 확인 가능
- 5 분 주기의 간격은 변경 불가능
8. Content Filtering and WebPulse
별도로 생성 및 유지 관리
WebFilter 와 마찬가지로 업데이트 다운로드가 자동으로 가능함
장 점 단 점 / 제 한
• 다수의 URL 일 경우 정책보다 효과적 • Webpulse DB 는 더 완전하며 지속적인
• 정책에서 카테고리로 관리 업데이트가 가능
• 분류되지 않은 사이트에 대한 번잡함을 • 최대 200 개의 Category
줄이고 조직의 내부 사이트를 분류 할 수 • 32 Characters 로 Category 이름 제한
있음 • 특정 URL 패턴은 4 개 이상의 Category
• 정책의 혼란을 줄일 수 있음 정의에 나타낼 수 없음
• 여러 대의 ProxySG 장비로 Category
목록들을 공유할 수 있음
8. Content Filtering and WebPulse
카테고리화 기반의 허용 / 차단 선택 생성
Rules 는 세부 카테고리 ; 계층 구조를 미리 정의 할 수 없음
Layers : Web Access (HTTP), SSL Access (HTTPS)
Objects : 요청 URL 카테고리 추가
카테고리 유형
- Policy : VPM 과 함께 생성 및 유지
- Local : local DB 안에 생성 및 유지
- Blue Coat : WebFilter 카테고리들 (80 개 이상 )
- System : 특별한 카테고리들
Other triggers : Time of day, IP addresses, etc
8. Content Filtering and WebPulse
System Categories
None
- Content filter 가 설치되지 않았음
- 내부 사이트 또는 URL 이 분류되지 않음
- 오류 조건은 필요하지 않음
Pending
- WebPulse 에서 Background categorization 을 수행함
Unavailable
- DB 가 다운로드 되지 않음
- System 오류 (WebPulse 서버로 접속이 되지 않을 경우 등 )
Unlicensed
- WebFilter 라이선스 만료로 Category 화 할 수 없음
8. Content Filtering and WebPulse
WebPulse 정보 공유
# (config) content-filter
# (config content-filter) bluecoat
# (config content-filter bluecoat) service send-request-info enable
# (config content-filter bluecoat) service send-request-info disable
WebPulse 로 data 를 안보낼 때 WebPulse 로 data 를 보낼 때
• 라우팅 불가한 IP 주소에 의해 식별된 모든 • Blue Coat 사용자 License key
Host • Scheme (HTTP, HTTPS, etc)
• DNS lookup 로 조회하여 라우팅 불가한 IP • Method (GET, POST, etc)
주소로 확인되는 모든 Host • URL host, port, path
• 사설 네트워크 목록에 명시적으로 구성된 • Sent only if send-request-info enable
모든 Host - URL query string
• 위의 조건을 일치하는 모든 HTTP 참조 헤더 - Referer header
- User-Agent header
9. Authenticating Users on the ProxySG (Skipped)
별개의 실행
- Authentication : 사용자의 신뢰성을 결정
- Authorization : 사용자가 수행 할 수 있는지 결정
인증 문제
- 사용자의 경험은 동일 : 추가 행위 없음 (No extra prompt)
- 거의 모든 web page 는 많은 object 를 가지고 있음 ; 좋지 않은 구성은 사용자에게
하나의 object 당 추가 행위를 필요하게 만듦
Overview
예외 페이지
- 특정 조건이나 전송 오류 발생 시 발송
- 내장 지원 및 사용자 정의
- 50 가지 이상의 예외 페이지 내장
- 관리 콘솔 및 CLI 에서 구성
사용자 Object 에 대한 통지
- Splash pages
- Coaching pages
- VPM 의 Web Access layer 에서만 구성 가능
- CLI 에서 설정 불가
- User action 이 요구됨
11. Exceptions and Notifications
Built-in Exceptions
User-defined Exceptions
Triggers Actions
Source Dest Service Time Action Track
Return exception
Rule 1 Any Hacking Any Any None
No-Hacking
Exception 의미
Item 목적 대체하는 변수
HTTP-Code HTTP 응답 코드 사용 -
11. Exceptions and Notifications
대체 변수
사용자에게 보여지는 예외 메시지의 Custom
변수 타입
예외 계층 구조
자식은 자신의 특성을 부모로 부터
상속
exception.user-defined.all 는 ex
ception.all 에서 속성을 상속
11. Exceptions and Notifications
예외 목록
- 키 / 값 쌍 (Key/Value pair) 의 계층 구조
- 관리 콘솔 또는 CLI 를 통해 접속
모범 사례
Splash Page
사용자는 첫 페이지를 요청
사용자는 허용을 클릭
Coaching Page
사용자는 허용을 클릭
사용자는 허용을 클릭
Item 대체 변수
Name VPM 에서는 짧은 식별자만 사용 가능
Access Logging
12. Access Logging
Log 기능
일반적인 log 파일은 아님
또한 관련 특성과 행동을 내포
- 업로드 일정
- Rotation 일정
- 로그 형식
- 업로드 자격 증명
매개 변수 기능
공공 인프라의 SSL 사용 증가
- 원격 사용자와의 통신
Tunnel vs Intercept
“Intercept” 는 프록시 서비스 리스너 설정에 따라 다름
- Malware scanning
- Contnet filtering
법률 및 보안 고려 사항
ProxySG 의 물리적 보안
- 캐시 된 콘텐트는 암호화되지 않음
메시지 흐름
- 인증서의 해지 확인
- Web Access Layer 와 동일하지 않음
Web Authentication 그리고 Web Access Layer 또한 속성을 사용
13. SSL 트래픽 관리
* 고객 동의 인증서
SSL 프록시 클라이언트 인증서가 필요할지 여부를 지정할 수 있습니다 . 이 인증서는
없는 사용자 인증을 위해 , 사용자의 동의에 사용됩니다 . 그들이 필요 여부는 지역의
개인 정보 보호 법률에 따라 달라집니다 .
클라이언트의 동의 인증서로 , 각 사용자는 해당 개인 키와 인증서 쌍을 발급됩니다 .
두 인증서는 일반 이름 필드에 의미있는 사용자가 읽을 수있는 문자열이 있습니다 .
하나의 인증서는 " 예 , SSL 가로 채기에 동의합니다 .“ 와 같은 동의하는 문자열이 ,
다른 인증서는 " 아니 , 난 SSL 차단에 동의하지 않는합니다 .“ 와 같은 일반적으로
동의를 거부하는 의사가 담긴 문자열을 가지고 있습니다 .
당신은 프록시 SG 이러한 일반적인 이름을 찾기 위해 허용하거나 작업을 거부에 대한
정책을 만들 수 있습니다 . 자세한 내용은 SGOS 관리 설명서의 " 클라이언트 동의
인증서 사용 " 절을 참조하십시오 .
13. SSL 트래픽 관리
• bccpa-v41-student-us-wmk.pdf
• 2013 년 자료 발췌
*. Accelation profiles
Pipeline redirects for This configuration item applies only to HTML responses. When this setting is
prefetch request enabled, and the object associated with an embedded object reference in
the HTML is not already cached, HTTP proxy acquires the object’s content
before the client requests the object. This improves response time
dramatically. If this setting is disabled, HTTP proxy does not acquire
embedded objects until the client requests them.
Pipeline redirects for client request When this setting is enabled, and the response of a client request is one of
the redirection responses (such as 301, 302, or 307 HTTP response code),
then HTTP proxy pipelines the object specified by the Location header of
that response, provided that the redirection location is an HTML object. This
feature improves response time for redirected URLs. If this setting is
disabled, HTTP proxy does not pipeline redirect responses resulting from
client requests.
Pipeline embedded objects in prefetch This configuration item applies only to HTML responses resulting from
request pipelined objects. When this setting is enabled, and a pipelined
object’s content is also an HTML object, and that HTML object has
embedded objects, then HTTP proxy also pipelines those embedded objects.
This nested pipelining behavior can occur three levels deep at most.
If this setting is disabled, the HTTP proxy does not perform nested
pipelining.
*. Accelation prfiles
Pipeline embedded objects in client When this setting is enabled, HTTP proxy pipelines the object specified by a
request redirect location returned by a pipelined response. If this setting is disabled,
HTTP proxy does not try to pipeline redirect locations resulting from
a pipelined response.
Substitute Get for IMS If the time specified by the If-Modified-Since: header in the client’s
conditional request is greater than the last modified time of
the object in the cache, it indicates that the copy in cache is stale. If so,
HTTP proxy does a conditional GET to the OCS, based on the last
modified time of the cached object. To change this aspect of the If-
Modified-Since: header on the ProxySG, enable the Substitute Get for IMS
setting. When this setting is enabled, a client time condition greater than
the last modified time of the object in the cache does not trigger
revalidation of the object.
Note: All objects do not have a last-modified time specified by the OCS.