RPC ALG

Junos OS 기본 RPC ALG(Remote Procedure Call 애플리케이션 레이어 Gateway) 서비스를 지원합니다. RPC는 한 주소 공간에서 실행되는 애플리케이션이 리소스가 첫 번째 주소 공간의 로컬인 것처럼 다른 주소 공간에서 실행되는 애플리케이션 리소스에 액세스할 수 있도록 하는 프로토콜입니다. RPC ALG는 RPC 패킷 처리를 담당합니다.

Junos OS RPC ALG는 다음 서비스와 기능을 지원합니다.

• Sun Microsystems RPC ONC(Open Network Computing)

• Microsoft RPC DCE(Distributed Computing Environment)

• 동적 포트 협상

• 특정 RPC 서비스를 허용 및 거부할 수 있는 기능

• 정적 네트워크 주소 변환(NAT) 및 소스 NAT(포트 변환 없음)

• 보안 정책의 RPC 애플리케이션

NFS 또는 Microsoft Outlook과 같은 RPC 기반 애플리케이션을 실행해야 하는 경우 RPC ALG를 사용합니다. RPC ALG 기능은 기본적으로 활성화되어 있습니다.

Sun Microsystems Remote Procedure Call(Sun RPC)는 오픈 네트워크 컴퓨팅 원격 프로시저 호출(ONC RPC)이라고도 하며, 한 호스트에서 실행되는 프로그램이 다른 호스트에서 실행되는 프로그램에서 절차를 호출할 수 있는 방법을 제공합니다. 많은 수의 RPC 서비스와 브로드캐스트가 필요하기 때문에 RPC 서비스의 전송 주소는 서비스의 프로그램 번호와 버전 번호를 기준으로 동적으로 협상됩니다. RPC 프로그램 번호와 버전 번호를 전송 주소에 매핑하기 위해 여러 바인딩 프로토콜이 정의됩니다.

Junos OS Sun RPC를 사전 정의된 서비스로 지원하고 구성한 보안 정책에 따라 트래픽을 허용하고 거부합니다. ALG(애플리케이션 레이어 Gateway)는 주니퍼 네트웍스 디바이스가 Sun RPC의 동적 전송 주소 협상 메커니즘을 처리하고 프로그램 번호 기반 보안 정책 적용을 보장하는 기능을 제공합니다. 모든 RPC 요청을 허용하거나 거부하거나 특정 프로그램 번호로 허용하거나 거부하는 보안 정책을 정의할 수 있습니다. ALG는 또한 들어오고 나가는 요청에 대한 경로 모드 및 네트워크 주소 변환(NAT) 모드를 지원합니다.

애플리케이션이나 PC 클라이언트가 원격 서비스를 호출할 때는 서비스의 전송 주소를 찾아야 합니다. TCP/UDP의 경우 주소는 포트 번호입니다. 이 케이스의 일반적인 절차는 다음과 같습니다.

1. 클라이언트는 원격 머신의 RPCBIND 서비스에 GETPORT 메시지를 보냅니다. GETPORT 메시지에는 호출하려는 원격 서비스의 프로그램 번호와 버전 및 절차 번호가 포함됩니다.

2. RPCBIND 서비스는 포트 번호로 응답합니다.

3. 클라이언트는 반환된 포트 번호를 사용하여 원격 서비스를 호출합니다.

4. 원격 서비스가 클라이언트에 회신합니다.

또한 클라이언트는 CALLIT 메시지를 사용하여 서비스의 포트 수를 결정하지 않고 원격 서비스를 직접 호출할 수 있습니다. 이 경우 절차는 다음과 같습니다.

1. 클라이언트는 원격 머신의 RPCBIND 서비스에 CALLIT 메시지를 보냅니다. CALLIT 메시지에는 호출하려는 원격 서비스의 프로그램 번호와 버전 및 절차 번호가 포함됩니다.

2. RPCBIND는 클라이언트에 대한 서비스를 호출합니다.

3. 통화가 성공하면 RCPBIND가 클라이언트에 회신합니다. 응답에는 호출 결과와 서비스의 포트 번호가 포함됩니다.

Sun RPC ALG는 기본 크기(512개의 항목)를 사용하는 대신 새 매핑 항목을 동적으로 할당합니다. 또한 제어 세션 및 데이터 세션을 포함하여 관련 활성 RPC 세션에 영향을 주지 않고 매핑 항목(자동 정리)을 제거하는 유연한 시간 기반 RPC 매핑 항목을 제공합니다.

Junos OS 15.1X49-D10 및 Junos OS 릴리스 17.3R1부터 Sun RPC 매핑 항목 연령 제한 값을 정의할 수 있습니다. set security alg sunrpc map-entry-timeout value 명령을 사용합니다. 에이지아웃 값의 범위는 1시간에서 72시간이며, 기본값은 32시간입니다. Sun RPC ALG 서비스가 72시간 후에도 제어 협상을 트리거하지 않으면 최대 RPC ALG 매핑 항목 값의 시간아웃이 발생하고 서비스에 대한 새로운 데이터 연결이 실패합니다.

Open Network Computing 원격 프로시저 호출(ONC RPC)이라고도 하는 Sun RPC는 한 호스트에서 실행되는 프로그램이 다른 호스트에서 실행되는 프로그램의 절차를 호출할 수 있는 방법을 제공합니다. Sun RPC 서비스는 프로그램 식별자가 정의합니다. 프로그램 식별자는 모든 전송 주소와 독립적이며 대부분의 Sun RPC 세션은 TCP 또는 UDP 포트 111을 통해 시작됩니다. 각 호스트는 필요한 RPC 서비스를 포트 111 제어 채널을 통해 협상되는 동적 TCP 또는 UDP 포트에 연결하여 클라이언트가 TCP 또는 UDP 포트 111에 연결할 수 있도록 합니다.

사전 정의된 Sun Microsystems 원격 프로시저 호출(Sun RPC) 서비스에는 다음이 포함됩니다.

• junos-sun-rpc-tcp

• junos-sun-rpc-udp

Sun RPC ALG는 다음 방법을 사용하여 적용할 수 있습니다.

• ALG 기본 애플리케이션 - 정책에서 제어 및 데이터 연결을 위해 다음 사전 정의된 애플리케이션 중 하나를 사용합니다.

  • junos-sun-rpc-any-tcp

  • junos-sun-rpc-any-udp

  • junos-sun-rpc-mountd-tcp

  • junos-sun-rpc-mountd-udp

  • junos-sun-rpc-nfs-tcp

  • junos-sun-rpc-nfs-udp

  • junos-sun-rpc-nlockmgr-tcp

  • junos-sun-rpc-nlockmgr-udp

  • junos-sun-rpc-portmap-tcp

  • junos-sun-rpc-portmap-udp

  • junos-sun-rpc-rquotad-tcp

  • junos-sun-rpc-rquotad-udp

  • junos-sun-rpc-ruserd-tcp

  • junos-sun-rpc-ruserd-udp

  • junos-sun-rpc-sadmind-tcp

  • junos-sun-rpc-sadmind-udp

  • junos-sun-rpc-sprayd-tcp

  • junos-sun-rpc-sprayd-udp

  • junos-sun-rpc-status-tcp

  • junos-sun-rpc-status-udp

  • junos-sun-rpc-walld-tcp

  • junos-sun-rpc-walld-udp

  • junos-sun-rpc-ypbind-tcp

  • junos-sun-rpc-ypbind-udp

  • junos-sun-rpc-ypserv-tcp

  • junos-sun-rpc-ypserv-udp

• 기본 제어 애플리케이션 - 다음을 통해 junos-sun-rpc사전 정의된 제어를 사용합니다.

  • 데이터용 애플리케이션(USER_DEFINED_DATA)을 생성합니다. 자체 데이터 세트(예 my_rpc_application_set: )를 만들고 정책에서 사용할 수 있습니다.

  • ALG 기본 애플리케이션 세트 - 정책에서 제어 및 맞춤형 데이터 애플리케이션을 위해 사전 정의된 애플리케이션 세트를 사용합니다.

    • junos-sun-rpc (제어 세션용)

    • junos-sun-rpc-any

    • junos-sun-rpc-mountd

    • junos-sun-rpc-nfs

    • junos-sun-rpc-nfs-access

    • junos-sun-rpc-nlockmgr

    • junos-sun-rpc-portmap (데이터 세션용)

    • junos-sun-rpc-rquotad

    • junos-sun-rpc-ruserd

    • junos-sun-rpc-sadmind

    • junos-sun-rpc-sprayd

    • junos-sun-rpc-status

    • junos-sun-rpc-walld

    • junos-sun-rpc-ypbind

    • junos-sun-rpc-ypserv

• 사용자 지정 제어 및 사용자 지정 데이터 애플리케이션 - 사용자 지정 애플리케이션 사용:

  • 제어() 및 데이터(USER_DEFINED_CONTROL)를 위한 애플리케이션을USER_DEFINED_DATA 생성합니다.

  • 정책에서 제어 및 맞춤형 데이터 애플리케이션에 사용자 정의 애플리케이션 세트를 사용합니다.

    • USER_DEFINED_CONTROL

    • USER_DEFINED_DATA

표 1 에는 사전 정의된 Sun RPC 서비스, 각 서비스와 관련된 프로그램 식별자 및 각 서비스에 대한 설명이 나와 있습니다.

Ms-RPC(Microsoft 원격 프로시저 콜)는 분산 컴퓨팅 환경(DCE) RPC의 Microsoft 구현입니다. Sun RPC와 마찬가지로 MS-RPC는 한 호스트에서 실행되는 프로그램이 다른 호스트에서 실행되는 프로그램의 절차를 호출할 수 있는 방법을 제공합니다. 많은 수의 RPC 서비스와 브로드캐스트가 필요하기 때문에 RPC 서비스의 전송 주소는 서비스 프로그램의 uUID(universal unique identifier)를 기반으로 동적으로 협상됩니다. 특정 UUID는 전송 주소에 매핑됩니다.

Junos OS 실행되는 Junos OS 디바이스는 사전 정의된 서비스로 MS-RPC를 지원하고 구성하는 정책에 따라 트래픽을 허용하고 거부합니다. ALG(애플리케이션 레이어 Gateway)는 주니퍼 네트웍스 디바이스가 MS-RPC의 동적 전송 주소 협상 메커니즘을 처리하고 UUID 기반 보안 정책 적용을 보장하는 기능을 제공합니다. 모든 RPC 요청을 허용하거나 거부하거나 특정 UUID 번호로 허용하거나 거부하는 보안 정책을 정의할 수 있습니다. ALG는 또한 들어오고 나가는 요청에 대한 경로 모드 및 네트워크 주소 변환(NAT) 모드를 지원합니다.

MS-RPC 클라이언트와 MS-RPC 서버가 모두 64비트(예: MS Exchange 2008)인 경우, 네트워크 통신 중에 NDR64 전송 구문을 사용하기 위해 협상합니다. NDR64를 사용할 때 NDR64의 패킷 형식이 NDR20(32비트 버전)의 패킷 형식과 다르기 때문에 인터페이스 매개 변수는 NDR64 구문에 따라 인코딩되어야 합니다.

MS-RPC에는 ISystemActivator(IRemoteSCMActivator라고도 함)라는 DCOM 원격 프로토콜의 원격 활성화 인터페이스가 있습니다. 이는 Windows 관리 계측 명령줄(WMIC), IIS(Internet Information Services) 및 광범위하게 사용되는 여러 다른 애플리케이션에 의해 사용됩니다.

MS-RPC ALG는 기본 크기(512개의 항목)를 사용하는 대신 새 매핑 항목을 동적으로 할당합니다. 또한 제어 세션 및 데이터 세션을 포함하여 관련 활성 RPC 세션에 영향을 주지 않고 매핑 항목(자동 정리)을 제거하는 유연한 시간 기반 RPC 매핑 항목을 제공합니다.

Junos OS 릴리스 15.1X49-D10 및 Junos OS 릴리스 17.3R1부터 MS-RPC 매핑 엔트리 에이지아웃 값을 정의할 수 있습니다. set security alg msrpc map-entry-timeout value 명령을 사용합니다. 에이지아웃 값의 범위는 1시간에서 72시간이며, 기본값은 32시간입니다. MS-RPC ALG 서비스가 72시간 후에도 제어 협상을 트리거하지 않으면 최대 MS-RPC ALG 매핑 항목 값의 시간이 단축되고 서비스에 대한 새로운 데이터 연결이 실패합니다.

MS-RPC는 Microsoft에서 DCE(Distributed Computing Environment) RPC를 구현한 것입니다. Sun RPC와 마찬가지로 MS-RPC는 한 호스트에서 실행되는 프로그램이 다른 호스트에서 실행되는 프로그램의 절차를 호출할 수 있는 방법을 제공합니다. MS-RPC는 서비스 프로그램의 uUID(universal unique identifier)를 기반으로 동적으로 협상됩니다. 특정 UUID는 전송 주소에 매핑됩니다.

Junos OS 릴리스 15.1X49-D90 이전 버전에서는 모든 SRX 시리즈 디바이스에서 선도적인 제로와 nil UUID(00000-0000-0000-0000-0000-0000-00000-0000000)가 있는 Microsoft 원격 프로시저 호출(MS-RPC)의 사용자 지정 애플리케이션 uUID(universal unique identifier)는 모든 TCP 트래픽과 매칭되어 MS-RPC ALG 체크에 들어가는 대신 모든 TCP 트래픽을 허용하는 정책을 참조할 수 있습니다.

Junos OS 릴리스 15.1X49-D100 및 Junos OS 릴리스 17.3R1부터는 선도적인 0이 있는 사용자 지정 애플리케이션 UUID가 모든 TCP 트래픽 및 참조된 정책과 일치하지 않아 MS-RPC ALG 검사를 입력합니다. 이 새 응용 프로그램은 nil UUID를 허용하지 않습니다.

사전 정의된 Microsoft 원격 프로시저 호출(MS-RPC) 서비스에는 다음이 포함됩니다.

• junos-ms-rpc-epm

• junos-ms-rpc-tcp

• junos-ms-rpc-udp

MS-RPC 애플리케이션의 기본 구성은 다음과 같습니다.

• junos-ms-rpc-iis-com-1

• junos-ms-rpc-iis-com-adminbase

• junos-ms-rpc-msexchange-directory-nsp

• junos-ms-rpc-msexchange-directory-rfr

• junos-ms-rpc-msexchange-info-store

• junos-ms-rpc-uuid-any-tcp

• junos-ms-rpc-uuid-any-udp

• junos-ms-rpc-wmic-admin

• junos-ms-rpc-wmic-admin2

• junos-ms-rpc-wmic-mgmt

• junos-ms-rpc-wmic-webm-callresult

• junos-ms-rpc-wmic-webm-classobject

• junos-ms-rpc-wmic-webm-level1login

• junos-ms-rpc-wmic-webm-login-clientid

• junos-ms-rpc-wmic-webm-login-helper

• junos-ms-rpc-wmic-webm-objectsink

• junos-ms-rpc-wmic-webm-refreshing-services

• junos-ms-rpc-wmic-webm-remote-refresher

• junos-ms-rpc-wmic-webm-services

• junos-ms-rpc-wmic-webm-shutdown

MS-RPC 애플리케이션 세트 기본값은 다음과 같습니다.

• junos-ms-rpc

• junos-ms-rpc-any

• junos-ms-rpc-iis-com

• junos-ms-rpc-msexchange

• junos-ms-rpc-wmic

표 2 에는 사전 정의된 MS-RPC 서비스, 각 서비스와 연결된 UUID 값 및 각 서비스에 대한 설명이 나와 있습니다.