코로나19로 인해서 재택근무가 점점 일반화 되어가고 있습니다. 저희 고객사들도 재택근무로 인해서 SSL VPN을 통한 업무환경을 구축하느라 많이 바빴네요.

이런 SSL VPN을 통한 재택근무 환경을 구축하다보니 이슈가 발생해서 이런 이슈를 사전에 고려해서 재택근무환경을 구축한다면 고객사에 더 도움이 되지 않을까 해서 포스팅을 합니다.

일반적으로 SSL VPN을 통해서 재택근무 환경을 구축하는것은 다들 아실테고 SSL VPN을 통해서 사내의 업무환경인 Legacy서버에 접속을 하시게 됩니다. 보통은 여기까지만 고민을 하시고 재택근무자들의 노트북을 어떻게 관리할지에 대한 고민들을 많이 하십니다.

만약에 재택근무자들이 SSL VPN을 통해서 사내서버로 접속을 했는데 그 노트북에 랜섬웨어나 악성코드등이 있으면 어떻게 하나? 이런 의문에서 백신을 설치하게 하고,

SSL VPN으로 업무를 보는 동안은 다른 인터넷은 안되도록 할려면 어떻게 해야하나? 이런 고민에서 DRM이나 MDM등도 고려하시는것 같습니다.

그런데 이런것들은 다 완벽하게 노트북의 통제는 잘 안되는게 현재의 솔루션 상황으로 보여집니다.

오늘 와이드플러스원이 말씀드릴려는 부분은 위의 부분이 아니고 본사와 지사로 구성된 경우에 어떻게 재택환경을 구성하느냐? 입니다.

위와 같은 구성이 일반적인 본사-지사의 구성입니다. 이 경우는 본사와 지사의 경우 전용선 등으로 연결이 되어있는 경우가 되겠네요.

재택근무자가 인터넷을 통해서 본사의 SSL VPN서버로 접속을 합니다.  예를 들어서 IP를 211.211.211.211라고 하겠습니다. 그러면 SSL VPN에 접속하면서 IP가 NAT가 되어서 바뀝니다.

보통은 SSL VPN업체에서 설정을 할 때 172.16대역을 많이 사용권장하는것 같습니다. 그래서 임의로 172.16.1.103의 IP로 NAT되었다고 하겠습니다. 이 172.16.1.103 IP는 관문방화벽의 인터페이스A로 접속을 하게 됩니다.

그러면 방화벽 정책에서 172.16대역은 내부 서버팜으로 접근이 되도록 정책을 넣으면 아무런 문제없이 그룹웨어, ERP 등의 업무서버로는 접속이 됩니다.

그리고 원격지나 지사로 접속을 하게 되면 다른 IP대역을 가지고 있을테니 그 IP대역을 임의로 10.1대역이라고 해보겠습니다.

그러면 방화벽의 인터페이스B를 통해서 나갈때 다시 10.1.1.103으로 NAT되어서 나갑니다.

그러면 원격지/지사의 방화벽에서 10.1대역에 대한 정책이 으면 문제없이 접속이 될겁니다.

그런데 요즘은 보안이슈로해서 본사와 지사간에 전용선이 아니면 IPSEC VPN을 통한 구성을 많이 이용하십니다.  바로 여기서 이슈가 발생을 하게 됩니다. 이유는 아래 그림을 보면서 설명을 드리겠습니다.

본사의 방화벽과 원격지/지사의 방화벽간에 IPSEC VPN으로 연결이 되어있는 경우가 많습니다. 이 경우에는 같은 제조사의 제품이 대부분이죠. 그래서 고객분은 본사-지사간 연결에 전혀 이슈가 발생할 것이라고는 생각하지 않으시고 구매를 하셨을 겁니다.

그런데 P사의 방화벽의 경우에는 이슈가 발생합니다. 어떤 이슈냐하면 본사방화벽의 인터페이스A에서 NAT된 172.16.1.103 IP가 다시 인터페이스B를 통해서 10.1.1.103으로 NAT되어서 원격지/지사로 나가게 됩니다.

그런데 NAT의 동작원리가 인터페이스를 통해서 나갈때 IP가 변경이 됩니다. 즉, 위 그림에서 1번 구간은 172.16.1.103 IP를 가지고 있고, 2번 구간도 172.16.1.103 IP를 가지고 있으며, 3번 구간에서 10.1.1.103 IP가 됩니다.

혹시 느낌이 오시나요? IPSEC VPN는 방화벽의 모듈로 존재를 해서 방화벽 내부에서 이미 원격지/지사와 터널링이 맺어져 있습니다. 그러면 2구간에서 10.1.1.103으로 IP가 되어있어야만 터널링구간을 통해서 원격지/지사로 연결이 될텐데 인터페이스B에서만 10.1.1.103 IP로 NAT가 됩니다. 즉, 2번 구간은 여전히 172.16.1.103 IP를 가지고 있으므로 터널링을 통해서 원격지/지사로 접속이 불가능하게 됩니다.

공공기관에서 가장 많이 사용하는 S사 방화벽은 이런 경우를 대비해서 인터페이스A에서 NAT가 10.1.1.103으로 되는 기능이 있는데 P사의 방화벽은 이런 기능이 없습니다. 따라서 위 그림의 구성으로는 접속이 원천적으로 불가능하게 되는것이죠.

P사 입장에서는 NAT기능은 있다라고 주장하겠지만 실제 사용자 입장에서는 원하는 구성으로 연결이 안되는 겁니다. 이런 경우까지 고객사에서 고민해서 장비를 구매하기가 어려운게 현실이라서 이슈가 발생을 하게 됩니다.

저희 와이드플러스원은 이런 보안SI, SM, NI등의 경험이 풍부합니다. 정보시스템 전반에 걸쳐서 어떤 문의라도 해주시면 최대한 고객사의 요구사항과 더 나아가서 미처 고민하지 못했던 부분까지도 고객사의 입장에서 고민해서 대응하겠습니다.

아무쪼록 코로나19시대에 건강조심하세요. 감사합니다.