Networking

ISA Server 2006으로 VPN 원격 액세스 구성

Alan Maddison

 

한 눈에 보기:

  • VPN 프로토콜
  • 사이트 간 VPN 연결 구성
  • 원격 액세스 VPN 연결 구성
  • ISA Server 2006의 새로운 기능

VPN(가상 사설망)은 높은 수준의 적응성, 확장성 및 네트워크 연결 제어 성능을 제공하고 보안을 강화할 뿐 아니라 기존의 전용 지점 간 연결에 비해

상당한 비용 절감 효과를 가져올 수 있으며 융통성이 뛰어납니다.

VPN에는 여러 가지 유형이 있습니다. 그 중에는 모바일 사용자를 회사 네트워크에 연결하는 데 사용되는 것도 있고 지리적으로 분산된 두 네트워크를 연결하는 데 사용되는 것도 있습니다. 이러한 VPN마다 사용하는 프로토콜과 제공하는 기능이 다릅니다. 인증 및 암호화와 같은 보안 기능을 제공하는 것도 있고 기본 제공 보안 기능을 전혀 제공하지 않는 것도 있으며 다른 유형에 비해 설정과 관리가 훨씬 쉬운 VPN도 있습니다.

이 기사에서는 Internet Security and Acceleration(ISA) Server 2006을 사용하여 VPN을 구현하는 방법을 살펴보겠습니다. 특히 ISA VPN 기능을 사용자에게 VPN 원격 액세스 연결을 제공하는 수단으로 사용하는 경우와 사이트 간 VPN 연결을 제공하는 수단으로 사용하는 경우, 이 두 가지 일반 시나리오를 중점적으로 다룹니다. 두 가지 구현 모두에 데이터 정보 보호를 보장하고 내부 네트워크 리소스를 보호하기 위한 보안 기능이 포함됩니다.

첫 번째 시나리오인 원격 액세스 VPN 연결에서는 원격 클라이언트가 인터넷을 통해 ISA Server에 대한 VPN 연결을 시작합니다. 그러면 ISA Server가 원격 클라이언트를 내부 네트워크에 연결하여 사용자에게 데이터와 응용 프로그램을 포함한 내부 네트워크 리소스에 대한 원활한 액세스를 제공합니다. 두 번째 시나리오인 사이트 간 VPN 연결은 ISA 자체가 될 수도 있는 라우터를 사용하기 때문에 약간 더 복잡합니다. 그러나 이 연결 유형을 사용하면 다른 사무실 또는 지사를 서로 원활히 연결하거나 본사에 연결할 수 있습니다.

ISA Server 2006을 사용하여 VPN을 구현하면 여러 가지 이점을 추가로 얻을 수 있습니다. 가장 중요한 이점 중 하나는 ISA Server의 통합 특성에 기인합니다. 즉, VPN 기능과 방화벽 기능이 서로 유기적으로 작동합니다. 또한 ISA Server는 서버 쪽 스크립트에 의해 구성이 검증될 때까지 Windows Server® 2003의 네트워크 액세스 격리 제어 기능을 이용하여 원격 액세스 컴퓨터를 격리하는 VPN 격리 기능을 제공합니다. 이 기능은 내부 네트워크 리소스에 대한 액세스를 허용하기 전에 원격 컴퓨터에서 바이러스 백신 정의 상태, 로컬 방화벽 정책 등을 검사할 수 있는 수단을 제공하여 보호 수준을 높입니다.

ISA Server가 VPN 솔루션으로서 제공하는 주된 관리 이점에는 정책 중앙 관리, 모니터링, 로깅, 보고 등이 있습니다. 일상적인 관리 작업에 있어서 이러한 기능의 가치는 헤아릴 수 없습니다. 특히 실시간 모니터링 및 로그 필터링 기능을 사용하면 ISA Server를 통과하는 네트워크 트래픽과 연결에 대한 주요 정보를 파악할 수 있습니다.

VPN 프로토콜

ISA VPN 연결에 사용되는 핵심 터널링 프로토콜은 제일선에서 연결 보안을 제공합니다. ISA Server는 IPsec을 통한 L2TP(Layer 2 Tunneling Protocol), PPTP(Point-to-Point Tunneling Protocol), IPsec 터널 모드의 세 가지 프로토콜을 지원합니다. 이 중 IPsec 터널 모드는 사이트 간 연결에 대해서만 지원되며 주로 L2TP나 PPTP를 지원하지 않는 다른 운영 체제 및 라우터와의 상호 운용성을 위해 사용됩니다.

L2TP는 데이터 정보 보호 기능을 제공하는 자체 메커니즘이 없기 때문에 IPsec과 짝을 이루어 사용됩니다. L2TP를 강력한 인증 및 암호화 방식을 제공하는 IPsec과 함께 사용했을 때, 강력한 솔루션이 구현됩니다. PPTP는 MS CHAP(Microsoft® Challenge Handshake Authentication Protocol) 버전 2나 EAP-TLS(Extensible Authentication Protocol-Transport Layer Security)를 인증에, MPPE(Microsoft Point-to-Point Encryption)를 암호화에 사용합니다.

조직에서 IPsec을 통한 L2TP와 PPTP 중 어떤 프로토콜을 선택할지는 해당 조직 고유의 요인에 따라 결정되곤 합니다. IPsec을 통한 L2TP를 사용하면 보다 복잡하고 정교한 암호화 방식을 사용할 수 있을 뿐만 아니라, 더 많은 유형의 네트워크(IP, X.25, 프레임 릴레이, ATM 등)가 지원됩니다. 하지만 PPTP는 구현하기가 더 쉽고 대개 요구 사항이 더 적습니다. 즉, 조직에서 적용하는 제약 조건이 없을 경우 통상 IPsec을 통한 L2TP를 구현하는 것이 최선의 방법이라 할 수 있습니다.

사이트 간 VPN 연결

ISA Server 2006에서는 사이트 간 VPN 설정을 단순화하는 데 있어 상당한 진전을 이루었습니다. 이전 버전에서는 사이트 간 VPN 설정이 훨씬 많은 단계로 이루어졌습니다. 이에 대한 예로, IPsec을 통한 L2TP를 사용하여 본사에 연결하는 단일 원격 사이트에 대해 설명하도록 하겠습니다. 이 예에서는 두 위치 모두에서 ISA Server를 사용합니다. 이 프로세스를 진행하려면 원격 사이트를 구성하기 전에 본사 ISA Server를 구성해야 합니다.

첫 단계로, 두 ISA Server 모두에 필요한 로컬 사용자 계정을 구성해야 합니다. 이 사용자 ID는 원격 또는 주 ISA Server에 연결할 수 있도록 보안 컨텍스트를 제공합니다. 이 계정의 이름은 ISA 관리 콘솔에서 만드는 VPN 연결의 이름과 일치해야 합니다. 예를 들어 본사의 ISA Server에는 원격 사이트를 가리키는 사용자 이름 "Site VPN"을 설정하고, 원격 ISA Server에는 "HQ VPN"을 설정하는 명명 규칙을 사용하는 것이 좋습니다. 이러한 계정을 만들었으면 계정 속성에 액세스하고 전화 접속 탭을 연 다음 액세스 허용 옵션이 선택되었는지 확인해야 합니다.

로컬 사용자 계정을 만든 후에는 다음 단계로 두 사이트 간 인증에 사용할 PKI(공개 키 인프라) 인증서를 만들어야 합니다. 미리 공유한 키를 사용하는 옵션이 제공되지만 인증서를 사용하는 방법이 항상 더 바람직합니다. VPN 연결용 인증서를 설치하는 가장 간단한 방법은 조직의 고유한 엔터프라이즈 인증 기관에 직접 연결하여 인증서 서버의 웹 사이트를 통해 인증서를 요청하는 것입니다. 그러나 이렇게 하려면 ISA Server가 HTTP를 통해 인증서 서버에 연결할 수 있도록 하는 액세스 규칙을 만들어야 합니다.

이전 버전의 ISA Server에 익숙하다면 그림 1에 나와 있는 ISA Server 2006 인터페이스가 훨씬 더 직관적일 것입니다. 왼쪽 창에서 VPN을 선택하면 상황에 맞는 구성 및 작업 옵션이 가운데 창과 오른쪽 창에 표시됩니다.

그림 1 보다 직관적인 인터페이스를 제공하는 ISA Server 2006

그림 1** 보다 직관적인 인터페이스를 제공하는 ISA Server 2006 **(더 크게 보려면 이미지를 클릭하십시오.)

오른쪽 창에서 사이트 간 VPN 연결 만들기 작업을 클릭하면 사이트 간 VPN 연결 만들기 마법사가 시작됩니다. 마법사가 시작되면 사이트 간 네트워크 이름을 입력해야 하는데, 이 이름은 앞서 만든 사용자 계정의 이름과 일치해야 합니다. 이름을 입력한 후 다음 단추를 누릅니다. 다음 화면(그림 2 참조)에서 사용할 VPN 프로토콜을 선택합니다. 이 예의 경우 IPsec을 통한 L2TP를 선택했습니다. 다음을 누르면 네트워크 이름과 일치하는 사용자 계정을 제공해야 한다는 경고가 표시됩니다. 이 예의 경우 그냥 확인을 눌러 다음 화면으로 이동하면 됩니다.

그림 2 사용할 VPN 프로토콜 선택

그림 2** 사용할 VPN 프로토콜 선택 **(더 크게 보려면 이미지를 클릭하십시오.)

이제 IP 주소 풀을 만들어야 합니다. 두 가지 옵션 중 하나를 선택할 수 있습니다. 즉, ISA Server에 고정 주소 풀을 만들 수도 있고 기존 DHCP 서버를 사용하여 주소 할당을 처리할 수도 있습니다. 두 가지 방법 모두 가능하므로 이 옵션과 관련한 회사의 절차에 따라 결정해야 합니다. 이제 화면에 원격 서버 이름을 입력해야 합니다. 원격 서버의 FQDN(정규화된 도메인 이름)을 입력한 다음 연결에 사용할 사용자 자격 증명을 입력합니다. 이때 원격 ISA Server에서 만든 사용자 계정 이름을 입력해야 한다는 사실을 잊지 마십시오. 이 예의 경우 그림 3과 같이 사용자 계정 HQ VPN을 입력하면 됩니다.

그림 3 원격 서버의 FQDN 입력

그림 3** 원격 서버의 FQDN 입력 **(더 크게 보려면 이미지를 클릭하십시오.)

다음 화면에서 나가는 인증 방법을 선택합니다. 앞서 설명한 바와 같이 인증서를 사용하는 것이 항상 더 바람직합니다. 다음으로, 원격 사이트의 내부 네트워크에 사용하고 있는 IP 주소 범위를 입력합니다.

ISA Server 2006 Enterprise Edition을 사용하고 있으면 마법사의 다음 단계에서 원격 사이트의 네트워크 부하 분산 전용 IP 주소를 구성할 수 있습니다. ISA Server 2006 Standard Edition을 사용하고 있으면 부하 분산 단계를 생략하고 다음 화면(그림 4 참조)으로 곧장 이동합니다. 이 화면에서는 원격 사이트에서 로컬 네트워크로 트래픽을 라우팅하는 데 사용되는 네트워크 규칙을 만들 수 있습니다.

그림 4 트래픽을 라우팅하는 네트워크 규칙 만들기

그림 4** 트래픽을 라우팅하는 네트워크 규칙 만들기 **(더 크게 보려면 이미지를 클릭하십시오.)

프로세스의 다음 단계로 액세스 규칙도 만들어야 합니다. 액세스 규칙을 구성할 때에는 프로토콜을 사용할 수 있도록 허용하는 세 가지 옵션이 제공됩니다. 즉, 모든 아웃바운드 트래픽을 허용할지, 특정 프로토콜을 제외한 모든 아웃바운드 트래픽을 허용할지, 아니면 특정 프로토콜만 허용할지를 선택할 수 있습니다. 대부분의 경우 모든 아웃바운드 트래픽을 허용하는 옵션을 선택해야 합니다.

이제 거의 마쳤습니다. 이 시점에서 구성 요약이 제공되고 마침 단추를 누를 경우 사이트 간 VPN 연결이 생성됩니다. 인증서 해지 목록 다운로드를 위해서는 시스템 정책 규칙을 사용해야 한다는 대화 상자가 나타나면 예를 눌러 이 규칙을 사용하도록 설정합니다. 추가로 필요한 구성 단계가 있을 경우 해당 단계에 대한 정보가 제공됩니다. 주 사이트의 ISA Server 구성을 완료한 후에는 동일한 단계에 따라 원격 사이트를 구성해야 합니다. 두 원격 사이트 구성 프로세스가 모두 완료되면 두 사이트의 사용자가 VPN을 통해 통신할 수 있습니다.

원격 액세스 VPN 연결

클라이언트 액세스용으로 원격 액세스 VPN 연결을 구성하는 방법은 훨씬 쉽습니다(그림 5 참조). 첫 단계로, ISA Server 관리 콘솔의 왼쪽 창에서 VPN을 선택합니다. 그런 다음 오른쪽 창에서 VPN 클라이언트 액세스 사용 작업을 선택하면 라우팅 및 원격 액세스 서비스가 다시 시작될 수 있다는 경고가 나타납니다. 연결 문제가 초래될 수 있으므로 예약된 유지 관리 기간 동안 이 변경 내용을 구현해야 합니다. 확인을 클릭하여 이 경고를 닫습니다. 그러면 VPN 클라이언트 트래픽이 ISA Server에 액세스할 수 있도록 하는 시스템 정책이 설정됩니다. ISA Server 관리 콘솔에서 방화벽 정책을 선택한 다음 시스템 정책 규칙 표시 작업을 선택하여 이 규칙을 확인할 수 있습니다.

그림 5 원격 액세스 VPN 연결 구성

그림 5** 원격 액세스 VPN 연결 구성 **(더 크게 보려면 이미지를 클릭하십시오.)

내부 네트워크와 두 VPN 네트워크(VPN 클라이언트 및 격리된 VPN 클라이언트) 간의 라우팅을 허용하는 기본 네트워크 규칙도 사용됩니다. 왼쪽 창에서 네트워크를 선택한 다음 가운데 창에서 네트워크 규칙 탭을 열어 이 네트워크 규칙을 보거나 편집할 수 있습니다.

이제 VPN 클라이언트 액세스를 구성해야 합니다. 이때에는 액세스가 허용되는 Windows 보안 그룹, 클라이언트가 사용할 수 있는 프로토콜, 사용자 매핑의 세 가지 매개 변수를 구성해야 합니다. 이러한 매개 변수를 구성하기 위한 대화 상자가 그림 6에 나와 있습니다.

그림 6 VPN 클라이언트 액세스 구성

그림 6** VPN 클라이언트 액세스 구성 **

그룹 탭에서는 VPN을 통한 원격 액세스가 허용되는 Windows 그룹을 선택하면 됩니다. 관리자 입장에서 보면 사용 권한이 주어져 있는 단일 그룹을 만드는 것이 좋습니다. 이렇게 하면 원격 액세스를 매우 쉽게 관리할 수 있습니다.

프로토콜 탭에는 기본적으로 PPTP만 사용하도록 설정되어 있습니다. 환경에서 사용 가능하다면 당연히 IPsec을 통한 L2TP를 사용하도록 설정해야 합니다.

사용자 매핑을 통해 RADIUS(Remote Authentication Dial-In User Service)와 같은 네임스페이스의 사용자 계정을 Windows 계정에 매핑하여 액세스 정책이 올바르게 적용되도록 할 수 있습니다. 구성 옵션을 완료하고 변경 내용을 ISA Server에 적용했으면 프로세스를 마친 것입니다. 이제 클라이언트가 VPN 연결을 사용하여 내부 네트워크 데이터와 응용 프로그램에 원활히 액세스할 수 있습니다.

ISA Server 2006의 향상된 기능

ISA Server 2006은 이전 버전보다 높은 성능을 제공하도록 많은 기능이 향상되었습니다. HTTP 압축, BITS(Background Intelligent Transfer Service) 지원, QoS(서비스 품질) 등의 향상된 기능을 통해 제공되는 다양한 기법을 활용하여 네트워크 사용량을 최적화할 수 있습니다. 물론 이러한 기법을 사용하는 경우에도 ISA Server의 핵심 기술인 일반 대역폭 최적화 기술(예: 캐싱)은 계속 사용해야 합니다.

HTTP 압축 기능은 다양한 Microsoft 제품에서 지원되어 왔습니다. 구체적으로는 Internet Explorer®에서는 버전 4부터, 그리고 Windows Server에서는 Windows® 2000부터 지원되고 있습니다. 하지만 HTTP 압축과 업계 표준 GZIP 및 Deflate 알고리즘을 지원하는 ISA Server는 이 버전이 처음입니다.

이는 어떤 의미가 있을까요? HTTP 압축에 대한 지원 덕분에 HTTP 1.1과 호환되는 웹 브라우저가 모든 웹 사이트에서 압축된 콘텐츠를 요청할 수 있습니다. 그러나 응답만 압축될 뿐, 클라이언트에서 나가는 초기 연결은 압축되지 않습니다.

특정 네트워크 규칙과 연결된 것과는 반대로 HTTP 압축은 ISA Server를 통과하는 모든 HTTP 트래픽에 적용되는 글로벌 HTTP 정책 설정입니다. 하지만 수신기별로 HTTP 압축을 구현하는 옵션이 제공되는데, 이는 웹 수신기 마법사를 통해 구성됩니다.

왼쪽 창의 일반 옵션을 통해 액세스할 수 있는 HTTP 압축은 기본적으로 사용됩니다. 그러나 그림 7과 같이 압축을 사용할 네트워크 요소를 구성해야 합니다. 사이트 간 VPN 예제의 경우 압축된 데이터 반환 탭을 선택하고 앞서 만든 Site VPN이라는 네트워크 요소를 선택해야 합니다. 이때 압축할 콘텐츠 형식을 구성하는 옵션도 제공됩니다. ISA Server 2006에는 표준 콘텐츠 형식 목록이 포함되어 있지만, 도구 상자 탭의 방화벽 정책 작업창을 통해 사용자 지정 콘텐츠 형식을 추가할 수도 있습니다. 압축된 데이터 반환 탭은 클라이언트에 데이터를 반환되기 전에 ISA Server가 해당 데이터를 압축하도록 하는 것과 관련이 있습니다. 데이터를 ISA Server에 보내기 전에 웹 서버가 데이터 압축을 처리하도록 요청하려면 압축된 데이터 요청 탭을 사용해야 합니다.

그림 7 HTTP 압축 구성

그림 7** HTTP 압축 구성 **(더 크게 보려면 이미지를 클릭하십시오.)

BITS(Background Intelligent Transfer System)는 HTTP 및 HTTPS 트래픽의 비동기 파일 전송 서비스입니다. Windows Server 2003에는 다운로드와 업로드를 지원하는 BITS 버전 1.5가 포함되어 있지만 업로드를 사용하려면 IIS(인터넷 정보 서비스) 버전 5.0 이상도 필요합니다. 지능형 파일 전송 서비스로서 BITS에는 네트워크 트래픽을 조사하여 네트워크 대역폭의 유휴 부분만 사용하는 기능이 있습니다. 또한 파일 전송이 동적으로 이루어지고, 네트워크 사용량을 제한하여 일반 네트워크 트래픽의 급격한 상승에 대응합니다. 여기서 얻을 수 있는 이점은 큰 파일의 다운로드 및 업로드 작업이 다른 네트워크 사용 작업에 부정적인 영향을 미치지 않도록 BITS가 제어한다는 점입니다. 관리자 입장에서 보면 열악한 네트워크 성능에 대해 전화로 불만을 토로하는 사용자가 줄어든다는 점에서 매우 바람직합니다.

BITS는 사용자 환경을 개선하고 네트워크 성능을 높이는 데 도움이 되는 다른 이점도 제공합니다. 예를 들어 BITS를 사용한 파일 전송은 이진 방식이므로 BITS는 네트워크 중단 등으로 인해 중단된 파일 전송을 처음부터 새로 시작하지 않고 이어서 다시 시작할 수 있습니다. ISA Server 2006은 BITS 캐싱을 이용하여 업데이트를 최적화하는 Microsoft Update 캐싱 기능을 기본 지원합니다.

DiffServ(Differentiated Services) 프로토콜을 사용하면 HTTP 및 HTTPS 트래픽에 대해 패킷 우선 순위를 지정(또는 QoS)할 수 있습니다. 즉, ISA Server 구성에 따라 특정 트래픽이 우선 처리됩니다. 이 기능은 트래픽 양이나 네트워크 연결 속도로 인해 대역폭이 제한된 네트워크에 유용합니다. IETF(Internet Engineering Task Force)는 DiffServ를 클래스 기반 트래픽 관리 메커니즘으로 정의하고 있습니다. 즉, DiffServ는 트래픽 유형을 구별하고 그에 따라 관리하여 우선 순위가 높은 트래픽이 먼저 처리되도록 할 수 있습니다.

이 기능을 제공하기 위해 ISA Server는 QoS를 지원하는 라우터와 함께 작동합니다. 동일한 우선 순위에 따라 패킷을 라우팅하려면 ISA Server DiffServ 비트가 라우터의 우선 순위와 일치하는지 확인해야 합니다.

ISA Server에서 이러한 유형의 패킷 우선 순위는 글로벌 HTTP 정책 설정으로 구현되며, DiffServ 웹 필터를 사용하여 ISA Server 2006을 통과하는 모든 HTTP 트래픽에 적용됩니다. 즉, ISA Server는 다른 프로토콜에 대해 DiffServ를 지원하지 않으며 실제로 HTTP 트래픽이 아닌 트래픽에서 기존 DiffServ 비트를 삭제할 수 있습니다.

그림 8과 같이 DiffServ는 웹 필터로 구현되며 왼쪽 창에서 추가 기능을 선택하여 액세스할 수 있습니다. 처리 시 ISA Server가 요청/응답 크기를 검사해야 하므로 DiffServ 필터의 우선 순위나 기본 설정을 변경하지 않는 것이 중요합니다.

그림 8 DiffServ 웹 필터 보기

그림 8** DiffServ 웹 필터 보기 **(더 크게 보려면 이미지를 클릭하십시오.)

그림 8을 자세히 살펴보면 DiffServ 필터가 기본적으로 사용되지 않는다는 것을 알 수 있습니다. 이 필터를 사용하려면 작업 창에서 선택한 필터 사용을 선택한 다음 필터를 구성하면 됩니다. ISA Server의 DiffServ 패킷 우선 순위는 특정 URL이나 도메인을 기준으로 하기 때문에 이 정보를 DiffServ 기본 설정에 추가해야 합니다. 이렇게 하려면 관리 콘솔의 왼쪽 창에서 일반을 선택한 다음 글로벌 HTTP 정책 설정에서 DiffServ 기본 설정 지정을 선택합니다. 기본 설정을 지정할 때는 우선 순위를 지정할 URL 및 도메인, 그리고 우선 순위를 정의해야 합니다. ISA Server 2006은 VPN 클라이언트의 원격 액세스를 설정하거나 사이트 간 VPN을 만드는 데 사용할 수 있는 강력한 새 기능을 제공하는 솔루션으로, 구현할 VPN 솔루션을 결정할 때 최우선으로 고려하기에 손색이 없습니다.

Alan Maddison은 MTI Technology Corporation의 Microsoft 기술 담당 수석 컨설턴트로, Active Directory, Exchange Server 및 가상화 관련 업무를 중점적으로 수행하고 있습니다.

© 2008 Microsoft Corporation 및 CMP Media, LLC. All rights reserved. 이 문서의 전부 또는 일부를 무단으로 복제하는 행위는 금지됩니다..