Proxy ( Forward proxy, Reverse proxy )와 Client-Proxy MitM(Man-in-the-middle)

Proxy = 대신/대리

네트워크에서 proxy는 client나 server를 대신하여/대리하여 요청을 전달한다.

물리적인 위치는 사용자의 컴퓨터일 수도 있고
사용자의 컴퓨터 - 목적지 중간의 한 지점일 수 있다.


왜 대신하는가?

캐싱
자주 요청되는 리소스 or 자주 변하지 않는 리소스의 경우
proxy 서버에 리소스를 저장할 수 있다.

- (본 목적지까지 전달했던) network hop을 줄일 수 있다.
- 리소스가 캐싱된 스토리지에 따라 더 빠른 응답 시간를 얻을 수 있다.


보안
내부망과 인터넷이 소통하는 지점인 게이트웨이로서 작동.


로그
물리적인 서버, 또는 로컬 컴퓨터에 쌓인 기록을 바탕으로
보안 정책을 구성할 수 있음.


우회
보안과 공통적인 면이 있다.

자신의 실제 IP가 아닌 프록시가 대신 요청을 수행하고
응답을 대신 받아서 본인에게로 전송해준다.

목적 리소스가 있는 컴퓨터에서는 프록시가 요청을 수행한 것으로 인식하고
프록시에게 응답을 돌려준다.



Forward proxy 대 Reverse proxy

Forward proxy(= gateway, proxy)

1. 클라이언트, 클라이언트 풀에서 나가는 요청에 대한 제어 수행.
클라이언트는 요청의 출발지 주소를 프록시 주소로 대신 사용함으로서
클라이언트의 원 정보를 숨길 수 있으며 우회 기능을 사용할 수 있음.

ex) Tor의 여러 프록시 서버 노드를 경유하는 proxy chaining

요청에 대한 들어오는 응답에 대한 제어 또한 수행하며
클라이언트 풀의 각각의 클라이언트에게 응답을 돌려준다.



2. HTTP 터널링을 통한 암호화
프록시 서버가 클라이언트 대신 인터넷을 연결한다.
TLS를 지원하는 웹 서버에 proxy 서버를 사용하여 연결한다.
(http1.1부터 connect method로 TLS tunnel을 사용할 수 있음)

connect method가 평문 형태의 http proxy를 
ssl 암호화된 요청을 tcp/ip 터널로 전환한다.


- client가 http proxy 서버에게 tcp connection을 목적지까지 forward하기를 요청한다.
- http proxy 서버는 client 대신 목적지와 연결을 수립한다.
- 연결이 수립되면 client의 TCP byte stream을 proxy하여 전달한다.
- client, proxy와의 첫 연결 요청만 HTTP를 사용하고
   그 후 부터는 수립된 TCP Connection을 프록시하기만 한다.


이 경우, 클라이언트가 조회할 수 있는 인증서는 (암호화 통신을 위한)
proxy가 아니라 목적지 서버의 것이 맞다.

proxy 서버가 별도로 서버의 인증서를 본인의 인증서로 교체해서 연결을 수립하는 것이 아님.




3. ( client-proxy sever ) - Internet - ( server area )의 구조.


Reverse proxy
서버로 들어오는 요청에 대한 제어 수행.
서버에 대한 정보를 숨길 수 있음.


1. 비즈니스 서비스 측면에서의 로드 밸런싱

부하를 여러 수평 확장된 여러 웹 서버로 분산하거나,
용도에 맞는 MSA 서비스로 분산할 수 있음.

만약 로그인/인증이 필요한 서비스를 요청하는 패킷이 도달했는데
종단간 인증을 위한 데이터가 비어있다면(세션 키나 JWT 같은)
로그인 서버로 라우팅 할 수 있음.



2. 보안
1의 종단간 인증도 보안의 한 측면에 속한다.

기업에서는 외부망과 내부망을 분리하여
대외 서비스 영역인 공인망 대역(=DMZ)에서 인터넷과 통신해야함.
Reverse proxy가 게이트웨이 역할을 함.

또한, reverse proxy가 client에 인증서를 제공하여 
클라이언트로 하여금 SSL 핸드셰이크를 통해 HTTPS 프로토콜로 데이터를 암호화 하게 할 수 있다.
키 유도가 완료되고 Master Secret 교환이 끝나면
데이터 전송이 시작된다. 



( client area) - Internet - ( reverse proxy - 내부망 server)의 구조.




Client-Proxy 간 MitM(Man-in-the-middle)

어떤 조직들은 가짜 인증서를 생성함으로서 full MitM을 실현한다.
proxy서버에서 자체적으로 평문을 검사하고 평문에서 조직의 보안 정책에 맞는 로직을 수행한다.
ex) 안티바이러스 스캐닝

이를 위해서는 client 브라우저가 가짜 인증서를 진짜로 인식해야하며
대신 client 컴퓨터에 specia-organization-controlled 루트 ca가 저장돼야함.
(Windows/Active directory에서는 GPO, Group policy objects가 그 역할을 대신함)


모든 방화벽/프록시 제품을 공급하는 벤더에서 이 MitM 정책을 옵션으로만 제공하고 있는데
아래와 같은 단점들이 그 이유다.

- 벤더의 라이센싱 비용

- 암/복호화, 내용 검사 등의 추가적인 작업에 CPU 자원 소모 ( 내용물 검사를 하지 않으면 의미없음 )

- BYOD환경에서는 자동으로 root CA를 사용자 기기에 push하는 것이 
  작동하지 않음. (Bring your own device 정책) // 최하단 링크 참고

- MitM에서는 인증서 기반 클라이언트 인증 체계를 사용할 수 없음.

- 그리고 무엇보다 사용자들이 MitM을 꺼린다고 한다.

참고











댓글

댓글 쓰기

이 블로그의 인기 게시물

실무진 면접 경험으로 정리하는 백엔드 (1) : 에듀 테크 기업 면접

에듀 테크 기술 면접 시간 내어 이력서를 꼼꼼하게 봐주시고 서류상으로는 회사에서 원하는 background라고 생각해주셔서 느낌이 좋았다. 최근 본 면접들 중 가장 깊이있는 질문을 해주셨고 오답과 대안에 대한 설명도 해주셔서 배워갈 수 있었다. 아쉽게도 합격하지 못했지만 좋은 면접 경험이었기 때문에 다음 면접에서 더 견고한 답변을 위해 정리해보았다. 질문&답변&더 나은 답변 일반 질문 이직 사유? 경영상의 이유로 인한 권고사직, 프로덕트 개발과 프로덕트 피벗 과정의 공백기 회사의 이 직군에 지원하면서 뭘 기대하는지? 거의 혼자서 개발을 해왔는데 다른 관점의 의견을 들을 기회가 없었다. 여러 개발자의 의견을 듣고 내 의견에 태클을 걸며 같이 발전하면 좋겠다. 공백기에 뭐하고 있는지 ?  1. django template과 admin, 그리고 오픈소스 wysiwyg를 사용하여 블로깅 서비스 사이드 프로젝트하면서 풀스택 공부중이다. 2. 현업에서 줄곧 이미 구축된 ci/cd를 사용해오고있었는데 직접 구현을 학습하기 위해 github action workflow를 공부하고 있음.  기술&개발 관련 관리형 서비스를 쓰지 않고 aws ec2를 쓴 이유 ? - 비용문제 vpc 어떻게 설정했나? - production region은 모든 ip에 대해서 열고   development region은 사무실 개발 pc와 사무실 기기들의 ip만 접근가능하도록 함 nginx ssl 적용했다고 하는데, 인증서 뭐 사용했나? - 'let's encrypt'사용했는데 생각이 안나서 대답못함. socketio에는 wsgi or asgi? - wsgi vs asgi 차이점에 대해서 답변함. django vs fast api ? - 동기, 비동기 서버 기반과 기타 feature에 대해서 답변함. - django에서 기본 제공되는 템플릿, admin,ORM과 미들웨어들 - fastapi는 기타 기능들을 따로 붙여서 써야한다고 답변, django도 ...
Read more »

노마드코더 개발자북클럽 Clean code TIL 6 : 6장. 객체와 자료구조

      오늘 TIL 3줄 요약 구현을 감추려면 추상화가 필요하다. 객체 지향 코드에서 어려운 변경은 절차적인 코드에서 쉽다. 절차적인 코드에서 어려운 변경은 객체 지향 코드에서 쉽다. 모듈은 자신이 조작하는 객체의 속사정을 몰라야한다. -> 특히 기차 충돌 코드를 피하라. TIL (Today I Learned) 날짜 2025. 06.01 오늘 읽은 범위 5장. 형식 맞추기 기억하고 싶은 내용을 써보세요. 도형 클래스는 간단한 자료구조로, 도형 동작 방식은 Geometry 클래스에서 구현한다. 객체라면 내부 구조를 감춰야 한다. 정확히는, 1. 동작을 공개하고  2. 자료를 숨겨라. 함수나 타입을 보호할지 공개할지에 대한 확신이 부족할 때 잡종 구조가 생긴다.  DTO = 자료 전달 객체 db, 통신을 위한 소켓에서 받은 메시지의 구문을 분석하여 db의 raw data를 애플리케이션의 객체로 변환할 때 유용. 새로운 자료 타입을 추가하는 유연성이 필요하면 객체가 더 적합하다. 새로운 동작을 추가하는 유연성이 필요하다면, 자료구조와 절차적인 코드가 더 적합하다. 활성 레코드는 자료로 취급하며 비즈니스 규칙를 담고 내부자료(높은 확률로 활성 레코드 인스턴스)를 숨기는 객체는 따로 생성한다. 오늘 읽은 소감은? 떠오르는 생각을 가볍게 적어보세요 잡종 구조 !! 내가 최근에 구현한 클래스 인 것 같다. 다시 리팩토링 할 까? 한 때는 이론적인 책이구나라고 생각했는데, 이 챕터를 읽고 생각이 바뀌었다. 아주 좋은 실례를 다루고 있어서 고개를 끄덕이면서 읽게 되었다. 특히, 활성 레코드의 취급에 대한 부분이 명쾌했다. 궁금한 내용이 있거나, 잘 이해되지 않는 내용이 있다면 적어보세요.   #노개북   #노마드코더   #개발자북클럽  
Read more »

백엔드 개발자가 Djnago fullstack 사이드 프로젝트를하며 ( html, css, vanillaJS 그리고 JS프레임워크 )

서론 웹 개발 환경에서 FE 개발자와 BE 개발자는 상대의 업무를 서로 이해하게된다면  좀 더 총괄적인 서비스의 흐름과 병목지점을 파악할 수 있다. 때문에 이 둘의 협업 과정은 자연스럽게 Full-stack을 지향하고 있는 과정이라고 생각한다. 24년 12월부터 Django fullstack 사이드 프로젝트를 시작했다. 본론 시행착오 python django 코드 뿐 아니라 html + css + js도 함께 커버하기에 작업에 상당한 context switch가 있었다. 머릿속에 그린 것을 도식화나 문서화하지 않고 무작정 뛰어들었기 때문에  디자인 중인 화면을 확인할 곳이 없었다는 흠이 있었다. 특히 wireframe, 화면설계서가 없으니까  백엔드 작업시 하나의 기능을 완성하기 전까지 제대로 빌드가 되지 않기 때문에  dribble이라는 디자인 사이트를 많이 참고했다. 중복 작업과 반복 작업 중복, 반복 작업 django template language에서 상속을 지원하기 때문에 베이스 템플릿을 상속받아서 페이지를 제작할 수 있다. 템플릿에서 내부에서 여러번 쓰이는 컴포넌트가 불편하다면 공통 컴포넌트를 만들어주면된다. 그러나 컴포넌트를 FE 프레임워크 레벨 정도로 관리하기는 쉽지 않다. 공통 컴포넌트를 관리하려면 프레임워크의 틀을 따라가야하는데 이 시점이 프론트엔드 프레임워크 선정을 할 타이밍이라고 생각한다. JS로 모든 것을 control한다는 것의 간결함 FE UI 프레임워크에서는 html로 작성한 class, id 명을 js에서 검색하여 따르기보다 js로 직접 동적으로 문서 객체를 생성한다. 참조하기도 간편하고 관리하기도 쉽다. js는 bom(부분적으로)과 dom을 컨트롤 할 수 있다. 결론 결국 아주 간결한 landing page 외에는 JS 기반 프레임워크를 사용해야한다. 나는 왜 바로 FE 프레임워크로 뛰어들지 않았나? 더 깊고 가파른 학습을 위해 컴퓨터공학이나 소프트웨어학과의 교육 커리큘럼도 그렇고 프레임워크 이...
Read more »