안녕하세요 Urikiri입니다. 이전 포스팅에서 SSTP VPN 서버 구성하는 방법에 대해 설명해드렸습니다. 이제 이 SSTP VPN에서 마지막 포스팅인 클라이언트 설정 부분에 대해 설명해 드리겠습니다. 우선 접속하기 위한 클라이언트는 Windows Vista with SP1 이상이 준비되어있어야 합니다. 실제 저희가 구성하는 네트워크는 가상이기 때문에 몇가지 설정을 더 해줘야 합니다. 클라이언트가 서버에 FQDN으로 접속할 수 있게 하기 위해 host파일을 수정하겠습니다.
Windows Vista에서는 host파일을 수정하실 때 관리자 권한으로 실행된 메모장으로 편집을 하셔야 저장을 하실 수 있습니다. 메모장을 관리자 권한으로 실행하신다음 다음 C:\windows\system32\drivers\etc\hots 파일을 열기합니다.
아래와 같이 "[외부 IP][FQDN]" 형식으로 주소를 추가해 줍니다.
그리고 신뢰된 루트 인증기관에 SSTP VPN서버의 루트 인증서를 설치를 해야합니다. 인터넷 익스프로러를 실행시킨 후 http://buster.zero.demo/certsrv 에 접속을 해서 아래와같이 CA 인증서를 다운로드 한 후 설치합니다. 이제 VPN 연결 설정을 합니다. [네트워크 속성] – [연결 또는 네트워크 설정] [내 인터넷 연결 사용(VPN)]
여기에서 [취소]를 누르시고 아래 연결 항목에서 [속성]을 선택합니다. [SSTP(Secure Socket Tunneling Protocol)]를 선택하신 후 확인을 누르시고 연결을 클릭합니다. 이제 VPN 서버에 연결합니다.
IP를 잘 받아왔는지 확인해 보겠습니다. 그리고 DC에서 공유한 CorpData폴더에 접근해 보겠습니다. 시작 – 실행 - \\20.20.20.201 근데 정말로 SSTP VPN이 443포트로 통신을 하는 걸까요? ^^ 아래를 보시면 확인하실 수 있습니다. 이제 외부에서 443연결만 할 수 있다면 사내에 SSTP VPN을 이용해서 언제든지 연결을 하실 수 있습니다. 거기에 인증서를 이용한 암호화된 통신까지 추가가 되었기 때문에 보다 안전하게 사내에 접근을 하실 수 있으리라 생각합니다.
안녕하세요 Urikiri입니다. 일반적으로 외부에서 사내 서버에 접근할 일반적으로 VPN(PPTP(1723), L2TP/Ipsec(1701))을 사용하시거나 원격데스크탑 연결(3389)을 사용하실거라 생각이 됩니다. 오늘은 Windows Server 2008의 새로운 기능인 SSTP VPN에 대해 설명해 드리겠습니다. 보통 VPN을 이용해서 사내 서버에 접근하실 텐데요 그런데 가~끔 보안이 심하게 적용된 사이트에 나가시게 되면 이 또한 사이트 방화벽에서 포트들이 막혀있어서 접속할 수 없는 상황이 발생하게 됩니다. 이럴 때 유용한 방법은 IAG2007에서 제공하고 있는 SSL VPN일 것 입니다. 이 SSL VPN이 사용하거나 회사에 적용하는데 많은 장점(대표적으로 웹을 이용해서 연결할 수 있는 점)이 있지만 비싼 장비를 들여놔야 한다는 단점이 있습니다.
그래서, 만약 접속하는 클라이언트가 Windows Vista SP1이나 Windows Server 2008이고 서버가 Windows Server 2008일 경우 Windows Server 2008의 새로운 기능인 SSTP VPN을 이용하실 수 있습니다. SSTP는 Secure Socket Tunneling Protocol의 약자입니다. 이 프로토콜 역시 SSL VPN과 마찬가지로 SSL 포트 443을 사용합니다. 어찌보면 RPC Over HTTP와 비슷하게 PPTP Over HTTPS로 생각하시면 쉬울거 같네요. 즉 SSTP를 좀 더 자세하게 정리하자면 SSTP(Secure Socket Tunneling Protocol)는 PPTP 및 L2TP/IPsec 트래픽을 차단하는 방화벽을 통해 트래픽을 전달할 수 있는 새로운 형태의 VPN 터널입니다. SSTP는 HTTPS 프로토콜의 SSL 채널을 통해 PPP 트래픽을 캡슐화하는 메커니즘을 제공합니다. PPP를 사용할 수 있으므로 EAP-TLS와 같은 강력한 인증 방법을 사용할 수 있습니다. HTTPS를 사용한다는 것은 웹 액세스에 공통적으로 사용되는 포트인 TCP 포트 443을 통해 트래픽이 전달된다는 의미입니다. SSL(Secure Sockets Layer)은 향상된 키 협상, 암호화 및 무결성 확인을 통해 전송 수준 보안을 제공합니다.
그리고 SSTP는 아래와 같은 순서로 연결이 이루어집니다. 1. SSTP 클라이언트는 SSTP 클라이언트에서 동적으로 할당된 TCP 포트와 SSTP 서버의 TCP 포트 443 사이에서 SSTP 서버와 관련한 TCP 연결을 구축합니다. 2. SSTP 클라이언트는 SSL Client-Hello 메시지를 전송하며, SSTP 클라이언트가 SSTP 서버와 함께 SSL 세션을 만들고자 함을 알립니다. 3. SSTP 서버는 자체 컴퓨터 인증서를 SSTP 클라이언트에 전송합니다. 4. SSTP 클라이언트는 컴퓨터 인증서 검사, SSL 세션에 대한 암호화 방식 결정, SSTP 세션 키 생성 및 SSTP 서버 인증서의 공개 키로 암호화, SSL 세션 키의 암호화 형식을 SSTP 서버로 보내기 과정을 거칩니다.
5. SSTP 서버는 컴퓨터 인증서의 개인 키로 암호화된 SSL 세션 키를 해독합니다. SSTP 클라이언트와 SSTP 서버 간에 이루어지는 모든 통신은 협상된 암호화 방식 및 SSL 세션 키로 암호화됩니다. 6. SSTP 클라이언트는 HTTP over SSL 요청 메시지를 SSTP 서버로 보냅니다. 7. SSTP 클라이언트는 SSTP 서버와의 SSTP 터널을 조정합니다. 8. SSTP 클라이언트는 SSTP 서버와의 PPP 연결을 조정합니다. 이 조정 과정에는 PPP 인증 방식으로 사용자 자격 증명을 인증하고 Internet Protocol 버전 4(IPv4) 또는 Internet Protocol 버전 6(IPv6) 트래픽을 위해 설정하는 것이 포함됩니다. 9. SSTP 클라이언트는 PPP 링크를 통해 IPv4 또는 IPv6 트래픽 전송을 시작합니다. 현재 서버는 Windows Server 2008, 클라이언트는 Windows Server 2008, Vista with SP1환경에서만 된다는 아주 큰 단점이 있지만 시간이 지나보면 XP에서도 되는 날이 있겠죠… 한때 XP SP3에 포함된다는 루머가 있긴 했지만 역시 루머에 그쳤네요. 아무튼 앞으로 XP에서도 지원된다라고 하면 기업에 Windows Server 2008을 도입하게 될 때, 가장 유용하게 사용할 수 있는 기능 중 하나가 되지 않을까라는 생각이 드는군요.. SSL VPN과 비슷하게 HTTPS가 되는 환경이라면 모두 접근할 수 있는 장점, 일반 VPN보다 강화된 인증 기능과 암호화된 통신 방법등. 오늘 데모가 성공하면 좀 더 자세한 설명을 해 드리려고 했는데 아직 구성이 다 되지 않아서 실제 설치하고 구성하는 방법은 다음주로 미뤄야 할 거 같네요 ^^
