암호화 전용 프록시 서버를 생성해야 합니다. 즉, 세계 어디에서든 회사의 모든 노트북 인터넷 트래픽이 암호화되어 이 단일 서버를 통해 라우팅되기를 바랍니다. 캐싱은 좋지만 필수는 아닙니다. 랩톱과 서버 간의 암호화가 유일한 요구 사항입니다.
이 설정을 수행하는 방법은 무엇입니까? 나는 Squid에 대해 읽어봤지만 암호화에 대한 정보를 너무 많이 찾지 못했습니다. 나는 SSL이나 SSH가 관련되어 있을 것이라고 생각하지만, 나는 이 분야에 전혀 익숙하지 않습니다. IM 및 전자 메일 클라이언트를 지원하는 것도 좋지만 브라우저가 연결의 기본 사용자가 됩니다. 클라이언트는 Windows와 nix이고, 서버는 오픈 소스라면 무엇이든 가능합니다.
편집하다:VPN이 프록시보다 더 나은 솔루션이라는 것이 분명해졌습니다. 답변을 수락하기 전에 누군가 이에 대해 논평해 주실 수 있나요?
노트북이 다른 기업 네트워크에 연결되면 어떻게 되나요? 예를 들어, 컨설턴트는 ABC 회사의 사무실에 앉아 있습니다. 어떤 이유로든 myabc.internal.com과 같은 intrAnet 사이트를 불러와야 합니다. 나는 인트라넷 DNS 서버가 일반적으로 이 문제를 올바르게 해결할 것이라고 믿습니다. 이 VPN에 연결되어 있으면 작동하나요? 프록시에 연결하는 브라우저에도 동일한 문제가 있다는 것을 이해합니다. 하지만 두 개의 브라우저를 사용할 수 있습니다. 하나는 프록시를 통하고 다른 하나는 프록시를 통하지 않는 것입니다. 아니면 이것이 VPN에 문제가 되지 않습니까?
답변1
나는 pjz의 의견에 동의합니다. VPN을 찾고 계시는 것 같네요.
OpenVPN은 VPN을 시작할 수 있는 훌륭한 무료 방법입니다. 안정적이고 프로덕션 용도로 사용할 수 있지만, 결국 사용하지 않더라도 VPN에 익숙해질 수 있는 좋은 도구입니다. 정적 키를 사용하여 설정하는 것은 정말 쉽고(연주용) 인증서를 사용하여 설정하는 것은(프로덕션 용도로) 약간 더 어렵습니다.
- http://openvpn.net/static.html- 정적 키 미니 하우투. 보안상 권장되지는 않지만, 간단한 PKI를 시작하기 전에 OpenVPN이 어떻게 작동하는지 알아볼 수 있는 좋은 방법입니다.
- http://openvpn.net/howto.html
질문에 "인터넷 트래픽"이라고 말씀하셨는데, 이것이 단순히 웹 사이트 검색만을 의미하는지 아니면 말 그대로 인터넷으로의 모든 IP 트래픽을 의미하는지 확실하지 않습니다. 인터넷 연결 트래픽이 OpenVPN "파이프"를 통해 서버로 라우팅되도록 "기본 게이트웨이" 경로를 OpenVPN이 있는 클라이언트로 전달하여 인터넷에 연결할 수 있습니다.
HTTP/HTTPS가 OpenVPN 아래로 라우팅되기를 원하는 경우(예: PING, Skype 실행 등의 경우 해당 트래픽이 인터넷으로 바로 이동할 수 있음) Squid Cache와 같은 것을 배포한 다음 클라이언트 브라우저 구성을 고려할 수 있습니다. 프록시에 대한 트래픽이 OpenVPN "파이프"로만 라우팅되도록 해당 프록시 서버를 사용합니다(즉, VPN 액세스 가능 IP 주소에 프록시를 배치하고 클라이언트의 기본 게이트웨이는 그대로 둡니다). ('dhcp-option 252 ...'를 눌러 프록시 자동 구성 URL을 OpenVPN을 통해 클라이언트에 푸시할 수도 있다고 생각합니다.)
수행하려는 작업에 따라 몇 가지 옵션이 있습니다.
답장: 인트라넷 사이트 접속에 관해 pjz에게 보낸 귀하의 의견
당신은 이것에 대해 어떻게든 "파이퍼에게 돈을 지불"해야 할 것입니다.
기본 게이트웨이 변경을 통해 모든 인터넷 바인딩 트래픽을 VPN 아래로 라우팅하는 경우 서브넷의 웹 서버에 대한 모든 트래픽은 여전히 "직접 이동"합니다. 그러나 인트라넷 웹 서버가 다른 서브넷에 있는 경우 해당 서브넷에 대한 트래픽은 현장 라우터 대신 OpenVPN 파이프를 따라 이동합니다. 그건 안 좋을 것 같아요.
OpenVPN(또는 다른 수단)을 통해 클라이언트에 프록시 자동 구성 스크립트를 푸시하라는 위의 제안을 수행한 경우 해당 파일에 "예외"를 넣어 클라이언트가 "직접 이동"하도록 할 수 있습니다. 나는 일반적으로 다음을 사용하여 프록시 자동 구성 파일에서 이를 수행합니다.
if ( isPlainHostName(host) ) { return "DIRECT"; }
이로 인해 점이 없는 호스트 이름에 직접 액세스할 수 있습니다.
직접 액세스해야 하는 특정 호스트(또는 와일드카드 일치 패턴)를 알고 있는 경우:
if ( shExpMatch(url,"http://*.customer.com")) { return "DIRECT"; }
if ( shExpMatch(url,"http://known-intranet-server.customer.com")) { return "DIRECT"; }
사용자가 작업할 위치를 알고 있다면 사실이 발생하기 전에 프록시 자동 구성 파일에 예외를 넣을 수 있습니다. 하지만 그렇지 않다면 이러한 문제를 대응적으로 처리해야 합니다. 하지만 사전에 알지 못한다면 자동으로 "올바른 일을 수행"할 수 있는 솔루션을 요구하는 것입니다. 불행하게도 컴퓨터는 그런 일을 끔찍한 일로 처리합니다. >미소<
프록시 자동 구성 파일을 사용하기 위해 배포하는 모든 작업에 추가 시간이 걸릴 것입니다. 이는 HTTP 트래픽을 프록시 서버로 전환하거나 인터넷으로 직접 이동시키는 것을 제어하기 위한 중앙 집중식 방법(클라이언트 컴퓨터를 건드리지 않고 "즉시" 업데이트 가능)을 제공합니다. 이런 종류의 응용 프로그램에 놀라울 정도로 편리합니다.
답변2
프록시 서버보다 VPN을 원하는 것 같군요. 또는 적어도 원하는 것은 모든 노트북이 연결되는 VPN 서버를 사용하면 가장 쉽게 달성할 수 있습니다. 프록시 서버는 클라이언트와 자체 간의 트래픽을 암호화하지 않지만(일부 특정 애플리케이션 서버 제외) 이것이 VPN 서버의 존재 이유입니다.
VPN 서버 자체에 관한 한 저는 행운을 누렸습니다.오픈 VPNLinux, Windows 및 Mac 클라이언트를 사용합니다.
답변3
"회사 노트북의 모든 인터넷 트래픽이 암호화되어 이 단일 서버를 통해 라우팅되기를 바랍니다."
"브라우저가 연결의 주요 사용자가 될 것이지만 IM 및 이메일 클라이언트를 지원하는 것도 좋을 것입니다."
설명하신 서비스와 기능은 VPN입니다. 하지만 일부 사람들은 VPN을 네트워크 수준 서비스를 제공하는 네트워크 하드웨어로 생각하고 "서버"라고 부르지 않습니다.
네트워크 수준에서 모든 트래픽을 보호하고 이를 단일 서비스 제공 호스트로 리디렉션하는 것에 대해 이야기하고 있기 때문에 VPN이 좋은 방법입니다.
VPN은 해당 사이트를 방문할 때 해당 네트워크가 공용 네트워크에 대한 액세스를 허용하는 한(그리고 VPN 호스트의 IP 주소에 대한 액세스를 차단하지 않는 한) 개인 기업 네트워크에서 작동합니다.
유일한 제한은 대부분의 VPN 클라이언트 소프트웨어가 "전부 아니면 전무"라는 것입니다. 즉, 시스템의 모든 트래픽을 래핑합니다(본질적으로 다른 사람의 로컬 네트워크 서비스를 신뢰하지 않습니다). 로컬 네트워크와 네트워크에서 작업해야 하는 경우 간편하고 쉬운 해결 방법은 VMWare와 같은 소규모 가상화 시스템에서 VPN 연결을 실행하고 기본/호스트 OS가 로컬 액세스에 정상적으로 액세스하도록 하는 것입니다.
(웹) 프록시의 경우:
오래 전에는 여러 종류의 애플리케이션 프록시가 있었지만 인터넷에서는 "프록시"를 "웹 프록시"로 통칭했습니다. 이러한 프록시는 일반적으로 암호화를 사용하지 않지만 가능합니다. 그러나 그들은 "웹/인터넷"에 초점을 맞추고 있으며 일반적으로 HTTP, HTTPS, FTP 및 Gopher를 프록시합니다. 이메일이나 IM을 사용할 수 없습니다.