위 그림과 같이 Full Enterprise Network Access와 Seleted Server Access의 두가지의 방법이 있습니다
첫 번째 Seleted Server Access는 종단간의 암호화 연결을 제공하여 직접 원하는 서버를 클라이언트에서 IPSec으로 연결 됩니다 DirectAccessServer과 다른 Server간에는 Windows 2008 또는 Windows 2008 R2 버전이여야 하며, IPv6와 IPSec을 꼭! 필요로 합니다.
두 번째 Full Enterprise Network Access는 엣지와 종단간의 연결을 제공하며, DirectAccessServer가 게이트웨이 역할을 하게 됩니다. 각 서버간에는 IPv4의 통신을 하게 되며, 이 안에는 IPv6의 주소가 담겨 있습니다. IPv6에는 암호화 주소부분이 담겨져 있습니다
안녕하세요 Urikiri 입니다. 오늘은 ISA 2006에 내장되어있는 VPN을 설정하고 접근하는 방법을 알아보겠습니다.
이 시나리오를 테스트 하기 위해서는 Windows Server 2003과 ISA Server 2006이 설치된 가상 컴퓨터 두 대가 필요합니다.
ISA Server 2006이 클라이언트의 VPN 연결 요청을 수용하도록 설정
라우팅 및 원격 액세스 서비스 상태 확인하기
시작 메뉴에서 관리 도구를 클릭한 후 라우팅 및 원격 액세스 서비스를 클릭한 후 컴퓨터 이름을 클릭합니다.
라우팅 및 원격 액세스 서비스가 시작되지 않았으며 서비스도 구성되지 않았습니다. ISA Server는 VPN 연결이 승인된 후 VPN 연결을 처리하기 위해 라우팅 및 원격 액세스 서비스를 사용합니다.
참고: 사용자 및 그룹을 위한 원격 전화 접속 권한을 제외한 모든 VPN 구성이 ISA Server 관리자를 통해 이루어집니다.
VPN 주소 범위 구성을 위해 ISA Server 관리자 사용하기
참고: 사용할 IP 주소 범위는 10.3.1.1–10.3.1.100입니다.
시작 메뉴에서 모든 프로그램을 클릭한 후 Microsoft ISA Server를 클릭하고, 다시 ISA Server 관리자를 클릭합니다.
ISA Server 관리자의 콘솔 트리에서 배열, 배열 이름을 차례로 확장한 후 가상 사설망(VPN)을 선택합니다.
작업 창의 작업 탭에서 주소 할당 정의를 클릭합니다.
참고: ISA Server 2006 Enterprise Edition에서, VPN 클라이언트에 IP 주소 할당을 위해 DHCP (Dynamic Host Configuration Protocol) 서버를 사용하는 것은 단일 ISA Server 컴퓨터로 구성된 배열에만 허용됩니다. 이것은 VPN 클라이언트가 연결할 때 각 배열 구성원 상에서 필요한 라우팅 테이블의 업데이트와 배열 내부의 트래픽을 피하기 위한 것입니다.
하나 이상의 ISA Server 컴퓨터를 포함하는 배열에서 VPN 액세스를 설정하기 위해서는, 우선 서버 별 정적 IP 범위를 정의해야 합니다.
가상 사설망 (VPN) 등록 정보 대화 상자의 주소 할당 탭에서 추가를 클릭합니다.
서버 IP 주소 범위 속성 대화 상자에서 다음 정보를 입력합니다:
서버 선택: Florence
시작 주소: 10.3.1.1
끝 주소: 10.3.1.100
이 IP 주소 범위가 허용하는 최대 구성은 다음과 같습니다:
ISA 서버 상의 하나의 대상 VPN IP 주소 (10.3.1.1).
99개의 VPN 클라이언트 주소 (10.3.1.2-10.3.1.100).
가상 사설망 (VPN) 등록 정보 대화 상자의 주소 할당 탭에서 추가를 클릭합니다.
서버 IP 주소 범위 속성 대화 상자에서 다음 정보를 입력합니다:
서버 선택: Firenze
시작 주소: 10.3.1.101
끝 주소: 10.3.1.200
확인을 클릭하여 가상 사설망(VPN) 등록 정보 대화 상자를 닫습니다.
VPN 클라이언트 액세스 설정 및 구성
다음 절차는 PPTP를 사용해 최대 99 개 클라이언트를 지원하는 VPN을 구성합니다.
작업 탭에서 VPN 클라이언트 액세스 구성을 클릭합니다.
VPN 클라이언트 등록 정보 대화 상자의 일반 탭에서 VPN 클라이언트 액세스 사용 확인란을 선택합니다. 허용되는 최대 VPN 클라이언트 수 텍스트 상자에 99를 입력합니다. (그림K.1a참조)
프로토콜 탭에서 PPTP 사용 항목만이 선택되어 있음을 확인합니다.
확인을 클릭하여 VPN 클라이언트 등록 정보 대화 상자를 닫습니다. 참고: VPN 구성은 아직 적용되지 않았습니다.
VPN 연결 설정 검토
콘솔 트리에서 가상 사설망(VPN)을 오른쪽 클릭한 후 속성을 클릭합니다.
가상 사설망 (VPN) 동록 정보 대화 상자를 작업 창을 통해서 액세스할 수도 있습니다.
가상 사설망(VPN) 등록 정보 대화 상자에서 액세스 네트워크 탭을 선택합니다. (그림K.1b참조)
ISA Server는 현재 외부 네트워크로부터의 VPN 연결만 받아들이도록 구성되어 있습니다.
인증 탭을 선택합니다.
ISA Server는 현재 수신되는 VPN 연결에 대해 MS CHAPv2 인증만을 허용하도록 구성되어 있습니다.
확인을 클릭하여 가상 사설망(VPN) 등록 정보 대화 상자를 닫습니다.
VPN 액세스 규칙 검토
콘솔 트리에서 방화벽 정책 (서버 이름)을 선택합니다.
작업 창의 작업 탭에서 시스템 정책 규칙 표시를 클릭합니다.
세부 정보 창에서 ISA Server로의 VPN 클라이언트 트래픽 허용 시스템 정책 규칙을 선택합니다 (규칙 13)
이 시스템 정책 규칙은 외부 네트워크에서 로컬 호스트 네트워크(ISA Server)로의 PPTP 프로토콜을 허용합니다. VPN 클라이언트가 접속을 위해 L2TP over IPsec VPN 또한 사용할 수 있도록 구성되었다면, 이 규칙은 Internet Key Exchange (IKE), Internet Protocol security (IPsec), 및 Layer Two Tunneling Protocol (L2TP)와 같은 필요한 프로토콜에 대해서도 확장되어야 합니다.가상 사설망 (VPN) 등록 정보 대화 상자의 액세스 네트워크 탭 상에 있는 추가적인 네트워크가 설정 된 경우에도, 이 규칙은 그러한 네트워크로 확장되어야 합니다.
작업 창의 작업 탭에서 시스템 정책 규칙 숨기기를 클릭합니다.
ISA Server 관리자에서 적용을 클릭하여 VPN 구성을 적용한 후 확인을 클릭합니다.
이 단계는 ISA Server 상에 VPN 연결을 구성하고 설정하며, ISA Server 컴퓨터 상의 라우팅 및 원격 액세스 서비스도 구성 및 시작합니다.
참고: 다음 단계를 진행하기 전에 ISA Server가 라우팅 및 원격 액세스 서비스를 구성하고 시작할 수 있도록 30 초 정도 기다립니다.
라우팅 및 원격 액세스 서비스 검토
필요한 경우 라우팅 및 원격 액세스 관리자의 왼쪽 창에서 컴퓨터 이름 (로컬)을 오른쪽 클릭한 후 새로 고침을 클릭합니다.
화면에 라우팅 및 원격 액세스의 구성 상태 및 실행 여부가 업데이트됩니다.
컴퓨터 이름 (로컬) 을 오른쪽 클릭한 후 속성을 클릭합니다.
컴퓨터 이름 (로컬) 등록 정보 대화 상자에서 IP 탭을 선택합니다.
ISA Server가 라우팅 및 원격 액세스 서비스의 주소 할당 방식을 고정 주소 풀 방식으로 구성하였습니다.
취소를 클릭하여 컴퓨터 이름 (로컬) 등록 정보 대화 상자를 닫습니다.
컴퓨터 이름 (로컬)을 확장한 후 원격 액세스 정책을 선택합니다.
세부 정보 창에서 ISA Server 기본 정책을 오른쪽 클릭한 후 속성을 클릭합니다.
ISA Server가 새로운 원격 액세스 정채을 추가해 두었습니다:
· 이 정책은 가장 위에 있으며 수신되는 모든 원격 액세스 연결에 적용됩니다 (Day-And-Time-Restrictions 일치7x "00:00-24:00").
· 관련 프로필에는 허용된 모든 연결에 대한 인증 방법이 명시되어 있습니다.
· 사용자 프로필에 개별적인 액세스 권한이 지정되어 있지 않다면 원격 액세스는 거부됩니다. (개별 액세스 권한 지정 방식은 바로 다음 연습에 설명되어 있습니다) 취소를 클릭하여 ISA Server 기본 정책 등록 정보 대화 상자를 닫습니다.
왼쪽 창에서 IP 라우팅을 선택합니다. 세부 정보 창에서, 고정 경로를 오른쪽 클릭한 후 IP 라우팅 테이블 표시를 클릭합니다.
ISA Server가 Firenze (10.3.1.101–10.3.1.200) VPN 주소 범위에 대한 라우팅을 추가해 두었습니다.
컴퓨터 이름 - IP 라우팅 테이블 윈도우를 닫습니다.
라우팅 및 원격 액세스를 닫습니다.
Administrator 계정이 전화 접속할 수 있도록 사용자 프로필을 구성하기
시작 메뉴에서, 관리 도구를 클릭한 후 컴퓨터 관리를 클릭합니다.
컴퓨터 관리의 왼쪽 창에서 로컬 사용자 및 그룹을 확장한 후 사용자를 선택합니다.
세부 정보 창에서 Administrator를 오른쪽 클릭한 후 속성을 클릭합니다.
Administrator 등록 정보 대화 상자의 전화 접속 로그인 탭에서 액세스 허용을 선택한 후 확인을 클릭합니다. (그림K.1d참조)
컴퓨터 관리를 닫습니다
참고: 이 예에서는 로컬 관리자에 대해 VPN 연결을 설정했지만, 일반적으로는 도메인 사용자 계정에 대해 VPN 연결을 설정합니다.
참고: 이제 ISA Server가 외부 네트워크 상의 클라이언트 컴퓨터로부터 VPN 연결을 수용하도록 설정했습니다. 클라이언트는 연결 후에 VPN 클라이언트 네트워크로 할당됩니다. VPN 클라이언트에 대해 액세스를 허용할 리소스를 결정할 액세스 규칙도 생성되어야 합니다.
오늘은 VPN에 대해서 알아볼까요? 당신에게 VPN이 무엇이냐 라고 물으면… 과연 어떠한 답이 나올까요? 물론 정답은 많습니다. 하지만 그 답을 모두 말하려면 긴 시간에 걸쳐서 설명해야 겠죠?
제가 생각하는 VPN이란 가상사설망 입니다 말 그대로 VPN(Virtual Private Network)은 가상, 사설 망 이라는 뜻을 가지고 있습니다 우리나라는 현재 많은 업체에서 VPN을 쓰고 있으며, 많은 VPN업체가 있는데요 지금부터 VPN을 사용하는 이유와 기능에 대해서 알아보도록 할께요~ ^^
공중망과 사설망 어떠한 차이점이 있을까요?
공중망(Public Network)
사설망(Private Network)
전화망이나 인터넷처럼 모두에게 공개
특정 조직 내에서만 사용되는 네트워크
어느 누구와 언제든 정보 교환가능
인증된 자만 사용
보안성 취약
보안성 우수
IP등의 공인된 표준을 따르는 통신 방법 채택
거리에 따른 설치비용 부담
관리 비용 부담
보안이 우수하고 인증된 사용자만이 사용하기 때문에 기업에서는 사설망을 쓰고 있습니다
그럼 VPN의 정의를 내려보겠습니다
1.공중망을 이용하여 사설망이 요구하는 서비스를 제공할 수 있도록 구축한 망
2.공중망 내에서 마치 전용선 처럼 사용할 수 있게 한 망
3.데이터 암호화 및 사용자 인증, 사용자 액세스 권한제한을 둔 망으로 보안성이 우수
위와 같이 정의를 내려 볼 수 있겠네요…
그럼 VPN의 장점은 뭐가 있을까요?
가장 큰 이유는 구축 비용의 절감이라고 볼 수 있습니다
전용회선을 사용하게 되면 엄청난 비용의 설치 비용과 유지 관리 비용이 들어가게 됩니다. 하지만 VPN을 사용하게 되면 공중망을 이용하기 때문에 초기 설치 비용 및 유지 비용이 살대적으로 적게 듭니다.
그럼 여기서 VPN의 기능은 어떠한 것들이 있을까요? 뭔가 좋은 이점이나 기능에 장점이 있어야 쓰지 않겠나요? 공중망을 이용하면…. "보안에 취약할 텐데"… 라고 생각하시는 분들이 있을 것 같아요…
1.IP네트워크를 통해 전달되는 데이터의 보안을 보장하기 위해 데이터 기밀성, 무결성, 근원인증, 액세스 제어기능 등을 제공합니다.
2.터널링,인증,그리고 암호화 기술이 필수적으로 요구되며, 부가적으로 라우터나 방화벽에서 제공하는 일부 보안기술도 병행하여 VPN을 구성 가능합니다.
터널링 = 전송하고자 하는 데이터를 특정 프로토콜로 캡슐화 하여 전송하는 것을 말합니다. 기밀성 = 데이터를 송,수신하는데 있어서 전송도중 데이터의 내용을 임의의 다른 사용자가 보았을 때, 그 내용 을 파악하지 못하도록 암호화 하여 전송합니다. 무결성 = 데이터의 송,수신 도중 데이터의 내용이 변경되지 않았음을 보장하는 기능으로 암호화 및 전자서명을 이용하여 보장합니다. 근원인증 = 데이터를 송수신할 때 수신측이 수신한 데이터가 원래의 송신자에 의해서 전송되어 졌음을 확인 할 수 있는 서비스 제공합니다. 접근통제 = 인증된 사용자에게만 접근을 허용하는 기능으로 협상 내용을 모르는 제 자는 접근할 수 없게끔 하 는 서비스를 제공합니다.
위 4가지의 기능은 보안과 뗄래야 뗄 수 없는 그러한 존재들 입니다 간단하게나마 알아주시는 것이 꼬~~~옥 필요합니다. 보든 보안시험 등에 출제가 됩니다 ^^ 출제가 안 된다고 해서 너무 나무라진 마시구요 ^^
VPN은 어떠한 토플로지를 가지고 있을까요? 음~~~
허브형과 완전 그물형이 있는데 허브형 같은 경우 구축비용이 저렴하나, 중앙사이트에 몰리기 때문에 과부하? 의 결과를 초래 할 수 있으며 속도도 많이 느립니다.
완전 그물형 토플로지는 구축비용을 자소 비싸나 중앙사이트를 통하지 않고도 언제든디 이용 가능합니다.
이렇게 간단히 VPN에 대해서 알아 보았습니다 다음 이 시간에는 VPN의 분류에 대해서 알아보도록 할께요
무더운 여름날씨에 항상 건강하세요!
보이세요?? 나는 지금도 여전히 도전하고 있습니다!! Always Smile ^___________^
안녕하세요 Urikiri입니다. 일반적으로 외부에서 사내 서버에 접근할 일반적으로 VPN(PPTP(1723), L2TP/Ipsec(1701))을 사용하시거나 원격데스크탑 연결(3389)을 사용하실거라 생각이 됩니다. 오늘은 Windows Server 2008의 새로운 기능인 SSTP VPN에 대해 설명해 드리겠습니다. 보통 VPN을 이용해서 사내 서버에 접근하실 텐데요 그런데 가~끔 보안이 심하게 적용된 사이트에 나가시게 되면 이 또한 사이트 방화벽에서 포트들이 막혀있어서 접속할 수 없는 상황이 발생하게 됩니다. 이럴 때 유용한 방법은 IAG2007에서 제공하고 있는 SSL VPN일 것 입니다. 이 SSL VPN이 사용하거나 회사에 적용하는데 많은 장점(대표적으로 웹을 이용해서 연결할 수 있는 점)이 있지만 비싼 장비를 들여놔야 한다는 단점이 있습니다.
그래서, 만약 접속하는 클라이언트가 Windows Vista SP1이나 Windows Server 2008이고 서버가 Windows Server 2008일 경우 Windows Server 2008의 새로운 기능인 SSTP VPN을 이용하실 수 있습니다. SSTP는 Secure Socket Tunneling Protocol의 약자입니다. 이 프로토콜 역시 SSL VPN과 마찬가지로 SSL 포트 443을 사용합니다. 어찌보면 RPC Over HTTP와 비슷하게 PPTP Over HTTPS로 생각하시면 쉬울거 같네요. 즉 SSTP를 좀 더 자세하게 정리하자면 SSTP(Secure Socket Tunneling Protocol)는 PPTP 및 L2TP/IPsec 트래픽을 차단하는 방화벽을 통해 트래픽을 전달할 수 있는 새로운 형태의 VPN 터널입니다. SSTP는 HTTPS 프로토콜의 SSL 채널을 통해 PPP 트래픽을 캡슐화하는 메커니즘을 제공합니다. PPP를 사용할 수 있으므로 EAP-TLS와 같은 강력한 인증 방법을 사용할 수 있습니다. HTTPS를 사용한다는 것은 웹 액세스에 공통적으로 사용되는 포트인 TCP 포트 443을 통해 트래픽이 전달된다는 의미입니다. SSL(Secure Sockets Layer)은 향상된 키 협상, 암호화 및 무결성 확인을 통해 전송 수준 보안을 제공합니다.
그리고 SSTP는 아래와 같은 순서로 연결이 이루어집니다. 1. SSTP 클라이언트는 SSTP 클라이언트에서 동적으로 할당된 TCP 포트와 SSTP 서버의 TCP 포트 443 사이에서 SSTP 서버와 관련한 TCP 연결을 구축합니다. 2. SSTP 클라이언트는 SSL Client-Hello 메시지를 전송하며, SSTP 클라이언트가 SSTP 서버와 함께 SSL 세션을 만들고자 함을 알립니다. 3. SSTP 서버는 자체 컴퓨터 인증서를 SSTP 클라이언트에 전송합니다. 4. SSTP 클라이언트는 컴퓨터 인증서 검사, SSL 세션에 대한 암호화 방식 결정, SSTP 세션 키 생성 및 SSTP 서버 인증서의 공개 키로 암호화, SSL 세션 키의 암호화 형식을 SSTP 서버로 보내기 과정을 거칩니다.
5. SSTP 서버는 컴퓨터 인증서의 개인 키로 암호화된 SSL 세션 키를 해독합니다. SSTP 클라이언트와 SSTP 서버 간에 이루어지는 모든 통신은 협상된 암호화 방식 및 SSL 세션 키로 암호화됩니다. 6. SSTP 클라이언트는 HTTP over SSL 요청 메시지를 SSTP 서버로 보냅니다. 7. SSTP 클라이언트는 SSTP 서버와의 SSTP 터널을 조정합니다. 8. SSTP 클라이언트는 SSTP 서버와의 PPP 연결을 조정합니다. 이 조정 과정에는 PPP 인증 방식으로 사용자 자격 증명을 인증하고 Internet Protocol 버전 4(IPv4) 또는 Internet Protocol 버전 6(IPv6) 트래픽을 위해 설정하는 것이 포함됩니다. 9. SSTP 클라이언트는 PPP 링크를 통해 IPv4 또는 IPv6 트래픽 전송을 시작합니다. 현재 서버는 Windows Server 2008, 클라이언트는 Windows Server 2008, Vista with SP1환경에서만 된다는 아주 큰 단점이 있지만 시간이 지나보면 XP에서도 되는 날이 있겠죠… 한때 XP SP3에 포함된다는 루머가 있긴 했지만 역시 루머에 그쳤네요. 아무튼 앞으로 XP에서도 지원된다라고 하면 기업에 Windows Server 2008을 도입하게 될 때, 가장 유용하게 사용할 수 있는 기능 중 하나가 되지 않을까라는 생각이 드는군요.. SSL VPN과 비슷하게 HTTPS가 되는 환경이라면 모두 접근할 수 있는 장점, 일반 VPN보다 강화된 인증 기능과 암호화된 통신 방법등. 오늘 데모가 성공하면 좀 더 자세한 설명을 해 드리려고 했는데 아직 구성이 다 되지 않아서 실제 설치하고 구성하는 방법은 다음주로 미뤄야 할 거 같네요 ^^
