Security Watch네트워크 액세스 보호
John Morello
이 칼럼에 나와 있는 Windows Server "Longhorn"에 대한 시험판 정보는 변경될 수 있습니다.
오늘날 기업들이 그 규모에 관계없이 직면하고 있는 최대 보안 위협 중 하나는 네트워크 밖에 존재하는 악의적인 장치들입니다. 인터넷을 통해 들어오는 외부 위협을 차단하는 보안 시스템이 아무리 잘 구축되어 있어도 직원이 자기도 모르는 사이에 의도하지 않게 웜이나 트로이 목마를 통해 맬웨어를 전송하는
매개체가 되어 조직의 보안이 위험에 노출될 수 있습니다. 특히 직원들이 한 대의 랩톱을 사용하여 개인 용무와 회사 업무를 처리하고 비용 부담이 크고 배포하기가 복잡하다는 이유로 네트워크 액세스 제어 기술을 제대로 갖추지 않은 중소 기업의 IT 환경이 가장 심각합니다. 하지만 시스템 중단으로 인해 높은 비용을 지불하는 것도 대부분 이러한 중소 기업들이기 때문에 이러한 위협을 차단하는 것이 무엇보다 중요합니다.
Microsoft의 NAP(네트워크 액세스 보호) 기술을 이용하면 모든 규모의 기업들이 네트워크에 액세스할 때 미리 컴퓨터의 상태를 확인하고 네트워크에 연결되어 있는 동안 정상적인 상태를 유지할 수 있습니다. NAP은 유연한 정책 기반 아키텍처로서, 기업들은 이 기술을 통해 고의로든 실수로든 직원, 공급업체, 방문객들에 의해 정책에 맞지 않는 컴퓨터가 네트워크에 액세스하는 것을 차단할 수 있습니다. NAP은 정책 유효성 검사, 격리, 치료, 지속적인 규정 준수라는 네 가지 기본 요소를 중심으로 구축되었습니다.
NAP 개요
NAP을 통해 제공되는 첫 번째 핵심 서비스는 정책 유효성 검사입니다. 정책 유효성 검사란 NAP 기술을 사용하여 관리자가 정의해 둔 규칙을 기준으로 시스템을 평가하고 시스템의 상태를 분류하는 과정을 말합니다.
IT 관리자는 컴퓨터가 네트워크에 접속하려고 할 때 비교를 목적으로 NAP에서 사용할 정책 요소들을 지정합니다. 정책 요소와 부합되는 컴퓨터는 정상적인 것으로 간주되지만 관리자가 지정한 하나 이상의 검사에서 실패하는 컴퓨터는 정상적이지 않은 상태로 간주됩니다. 이러한 정책을 통해 바이러스 백신 및 스파이웨어 방지 소프트웨어 설치 여부, 호스트 방화벽 활성화 여부, 컴퓨터 보안 업데이트 누락 여부 등을 검사할 수 있습니다. 또한 NAP은 확장이 가능한 독립 소프트웨어로 구축되므로 공급업체는 자체적으로 NAP용 플러그인을 만들어 응용 프로그램별로 검사를 실시할 수 있습니다.
NAP을 통해 제공되는 또 다른 핵심 서비스는 네트워크 연결 제한입니다. 관리자가 정의해 둔 정책에 따라 NAP은 시스템을 다양한 네트워크 연결 상태로 설정합니다. 예를 들어 시스템에 중요한 보안 업데이트가 없어서 위험한 것으로 판단되면 NAP에서 이 시스템을 차단 네트워크로 옮겨 정상적인 상태가 될 때까지 다른 환경과 격리시킬 수 있습니다. NAP을 사용하지 않는 경우 정상적이지 않은 상태의 클라이언트는 회사 네트워크에 마음대로 액세스할 수 있습니다. 중요한 보안 업데이트를 설치하지 않아 발생한 보안 허점을 통해 맬웨어가 시스템을 손상시킬 수 있으면 네트워크에 있는 다른 시스템도 감염시키려고 계속 시도할 것입니다. 그림 1은 NAP 아키텍처의 일반적인 모습입니다.
그림 1** 일반 NAP 아키텍처 **(더 크게 보려면 이미지를 클릭하십시오.)
하지만 단순히 연결을 제한해서만은 정상적이지 않은 상태의 시스템을 효율적으로 처리할 수 없습니다. 어쨌거나 사용자는 여전히 할 일이 있기 때문입니다. 따라서 NAP은 관리자가 개입하지 않고도 격리된 정상적이지 않은 시스템의 상태 문제를 해결할 수 있는 치료 서비스도 제공합니다. 위 예에서는 제한된 네트워크에서 감염된 컴퓨터가 누락된 업데이트를 설치하는 데 필요한 특정 네트워크 리소스(예: 조직의 Windows Server® Update Services(WSUS) 컴퓨터)에만 액세스할 수 있습니다. 다시 말해, NAP이 구현된 환경에서는 정상적이지 않은 상태의 컴퓨터가 감염을 치료할 수 있는 네트워크 리소스에만 액세스할 수 있기 때문에 완전히 치료될 때까지 네트워크의 다른 시스템으로 트래픽을 보낼 수 없습니다.
NAP의 마지막 요소인 지속적인 정책 준수는 컴퓨터가 처음 네트워크에 연결될 때뿐만 아니라 네트워크에 연결되어 있는 동안 지속적으로 상태 정책이 적용되도록 하는 것입니다. 지금까지 설명한 예를 바탕으로 컴퓨터가 자동 업데이트를 통해 정상적인 상태가 되고 그 결과 네트워크에 자유롭게 액세스할 수 있다면 어떤 이점을 얻을 수 있을지 생각해 보십시오. Windows 방화벽 비활성화 등의 이유로 나중에 컴퓨터가 정책을 준수하지 못하더라도 NAP이 자동으로 그 컴퓨터를 다시 격리할 수 있습니다. 또한 관리자가 자동 치료 기능을 구성할 수 있으므로 초기 네트워크 연결이 완료되고 오랜 시간이 지난 후에도 별도의 사용자 개입 없이 비준수 상태를 자동으로 해결할 수 있습니다.
NAP에서는 네트워크 액세스를 제어할 때 몇 가지 기술을 사용할 수 있습니다. 관리되는 네트워크 스위치가 있는 기업의 경우, 802.1X를 사용하여 네트워크 하드웨어 계층에서 포트를 기반으로 액세스를 제어할 수 있습니다. 또한 보안 네트워크가 IPsec 연결을 통해 만들어지고 실제 네트워크를 통해 계층화되는 IPsec 기반 정책을 적용할 수도 있습니다. IPsec 기반 정책을 적용하면 NAP이 IPsec 엔진에서 사용되는 인증서를 동적으로 만들고 제거하는 방식으로 보안 영역에 대한 액세스를 제어합니다. 마지막으로 NAP을 사용하면 DHCP 기반 정책을 적용할 수 있습니다. 이 경우 DHCP 서버는 제한된 풀에서 가져온 IP 리스를 정상적이지 않은 상태의 클라이언트에 제공합니다. 이러한 리스는 별도의 DNS 접미사와 IP 경로를 사용하여 제한된 클라이언트가 액세스할 수 있는 리소스를 제어합니다.
NAP 서버 구성 요소는 코드명이 "Longhorn"인 차세대 Windows Server, 더 구체적으로 말하자면 인터넷 인증 서비스의 뒤를 이어 한층 더 향상된 모습으로 등장한 새로운 NPS(네트워크 정책 서버)에 통합되었습니다. 802.1X 기반 정책을 적용하는 기업의 경우, 네트워크 하드웨어가 802.1X 인증 및 동적 VLAN 기능을 지원해야 합니다. "NAP 리소스" 추가 기사의 네트워크 액세스 보호 파트너 사이트에 특정 하드웨어 공급업체에 대한 자세한 정보가 나와 있습니다. DHCP 기반 정책을 적용하는 경우, Windows Server "Longhorn"에서 사용할 수 있는 것과 같은 NAP 사용 DHCP 서비스가 필요합니다. 클라이언트의 경우 Windows Vista™에서 기본 제공되는 NAP을 이용할 수 있습니다. NAP은 또한 Windows XP에 802.1X를 적용하는 새로운 802.1X 신청자와 함께 Windows® XP에 추가 기능으로도 제공될 예정입니다.
뿐만 아니라 NAP은 상태 정보를 보고하는 Windows 보안 센터를 비롯한 타사 상태 에이전트에 통합됩니다. 따라서 NAP은 보안 센터를 통해 노출된 데이터를 바탕으로 정책 유효성 검사 결과를 결정할 수 있습니다.
NAP은 엔터프라이즈 수준의 뛰어난 정책 관리 솔루션이므로 하나의 기사에서 모든 기능과 배포 전략을 설명한다는 것은 불가능합니다. 따라서 이 기사에서는 IT 직원의 시간이 많이 부족하고 NAP 배포를 간소화하여 배포에 필요한 투자 효과를 빠르게 얻을 수 있는 중소 규모 기업을 대상으로 한 배포에 초점을 맞추고자 합니다. 하지만 대부분의 지침과 일반 안내 정보는 기업의 규모에 관계없이 모든 NAP 설계에 동등하게 적용됩니다. 단, 여기서 예로 든 내용은 단계별 설치 가이드라기보다는 성공적인 DHCP 기반 NAP 배포를 위해 알아야 할 중요한 분야를 소개하는 개요의 성격이 강합니다. 자세한 설치 가이드는 "NAP 리소스" 추가 기사에 있는 링크를 참조하십시오.
Contoso의 문제
NAP이 중소 규모 기업만이 지닌 요구 사항을 어떻게 해결할 수 있는지 자세히 알아보기 위해 Contoso, Inc.의 예를 살펴보겠습니다. Contoso는 세 개의 본사에 250대의 컴퓨터를 두고 있는 중간 규모의 가상 기업입니다. Contoso는 많은 직원들이 재택 근무를 하고 외부 고객 회사에서 본사의 컴퓨터에 접속하여 업무를 처리하는 등 인력의 이동량이 매우 많습니다. 따라서 컴퓨터를 사용하는 전 직원의 절반 가량이 랩톱과 Tablet PC를 사용합니다. 직원들의 이동량이 늘어나면서 Contoso도 다른 여러 기업들처럼 보안 문제에 직면하게 되었습니다. 모바일 컴퓨터를 사용하는 일부 사용자가 고객 회사에서 작업하거나 재택 근무 중에 맬웨어에 감염된 컴퓨터를 그대로 내부 Contoso 네트워크에 연결한 경우가 있었습니다.
Contoso는 이러한 원격 컴퓨터를 항상 최신 상태로 유지해야 하는 문제로도 고민해 왔습니다. 사용자가 오랜 기간 고객사에서 일하다가 Contoso 사무실로 돌아오는 경우가 많기 때문입니다. 이런 경우 몇 달 동안 시스템에 보안 업데이트를 설치하지 않기도 하기 때문에 Contoso 네트워크에 연결되어 있는 나머지 시스템까지 위험에 빠뜨릴 가능성이 높습니다. 따라서 Contoso에는 원격으로든 로컬로든 네트워크에 연결된 모든 시스템을 안전하게 보호할 수 있는 솔루션이 필요합니다.
NAP은 Contoso의 목표를 달성하는 데 어떤 도움을 줄 수 있을까요? NAP의 기본 요소를 떠올려 보십시오. NAP은 정책 유효성 검사를 통해 Contoso 네트워크에 연결된 모든 시스템의 상태를 확인할 수 있습니다. 정책 유효성 검사를 통해 시스템에 최신 바이러스 백신 서명이 설치되어 있는지, 모든 보안 업데이트가 완벽하게 패치되었는지 확인할 수 있습니다. NAP 정책 유효성 검사 결과 정상적이지 않은 상태의 시스템이 확인되면 NAP이 이러한 호스트에 대한 네트워크 연결을 제한합니다. 따라서 외부 사이트에서 사용되어 맬웨어에 감염된 컴퓨터가 네트워크의 다른 컴퓨터에 문제를 퍼뜨릴 수 없습니다. NAP이 정상적이지 않은 컴퓨터의 연결을 제한하면 이 컴퓨터는 Contoso의 IT 관리자가 정의해 둔 업데이트 관리 리소스에만 액세스할 수 있습니다. 예를 들어 정상적이지 않은 상태의 컴퓨터는 Contoso WSUS 서버와 바이러스 백신 서명을 호스팅하는 서버에 액세스할 수 있습니다. 마지막으로 NAP은 시스템이 치료된 후 지속적으로 정상적인 상태를 유지하도록 합니다. 여기서 보여준 예에서는 재택 근무자가 VPN을 통해 정상적이지 않은 상태의 호스트를 사용하고 이 사용자가 호스트 방화벽을 해제한 경우 NAP이 자동으로 문제를 해결합니다. 방화벽이 해제되면 그 즉시 NAP 인프라가 컴퓨터를 격리하고 방화벽을 다시 활성화한 다음 시스템 상태를 다시 확인하여 정상이라고 판단한 경우에만 시스템을 제한되지 않은 네트워크에 다시 추가합니다. NAP의 네 가지 기본 요소가 동적이고 이동량이 많은 Contoso 컴퓨팅 환경의 주요 보안 요구 사항을 직접 해결하는 것입니다.
NAP 설계
많은 중소 규모 기업에게는 DHCP 기반 정책 적용을 통해 NAP을 구현하는 것이 가장 빠르고 쉬운 방법입니다. DHCP 정책 적용에는 별도의 네트워크 변경이나 DHCP와 NPS 외의 추가 서비스가 필요하지 않기 때문입니다. IPsec 및 802.1X 적용 옵션이 보다 유연하기는 하지만 이 옵션을 사용하려면 네트워크를 추가로 변경해야 하고 새로운 서비스를 배포해야 합니다. 덜 복잡한 환경에서는 DHCP를 사용함으로써 구현 비용도 훨씬 낮추고 운영 부담도 줄이면서 NAP의 주요 혜택을 모두 얻을 수 있습니다.
Contoso의 환경에서는 Windows Server "Longhorn"을 실행하는 컴퓨터가 NAP 배포의 핵심 요소로 사용됩니다. NAP에는 Windows Server "Longhorn" NPS가 필요하기 때문에 이전 Windows Server 릴리스에는 NAP을 배포할 수 없습니다. DHCP 기반 적용을 통해 NAP을 구현하려는 경우에도 Windows Server "Longhorn" DHCP 서버가 필요합니다. 서비스를 통합하기 위해 NPS와 DHCP를 모두 동일한 서버에 배포하는 것이 좋으며 이렇게 해도 아무런 문제 없이 실행됩니다. 따라서 Contoso에 필요한 기본적인 NAP 서버 인프라는 상당히 단순합니다. Windows Server "Longhorn"이 있는 한 대의 컴퓨터가 정책 구성 요소와 적용 구성 요소를 모두 실행하기 때문입니다.
클라이언트 쪽에서는 Windows Vista를 실행하는 Contoso의 컴퓨터가 이미 NAP을 지원하는 데 필요한 기능을 갖추고 있습니다. 클라이언트 쪽에서 Windows Vista를 실행하는 시스템에 유일하게 수행해야 하는 변경 작업은 NAP 기능을 활성화하는 것입니다. 이 작업은 그룹 정책을 통해 수행할 수 있습니다. Windows XP를 실행하는 Contoso 컴퓨터의 경우, NAP 클라이언트 패키지를 별도로 설치해야 합니다. 도메인에 가입된 Windows XP를 실행하는 컴퓨터는 기본적으로 Windows 보안 센터 기능이 비활성화되어 있습니다. NAP 정책이 보안 센터의 상태 정보를 사용하여 컴퓨터 상태를 평가하는 경우 보안 센터를 실행해야 NAP이 제대로 작동됩니다. 따라서 Windows XP를 실행하는 Contoso 컴퓨터의 경우에는 관리자가 그룹 정책을 통해 보안 센터를 활성화했습니다. 이러한 변경 작업을 제외하면 클라이언트 쪽에서 NAP을 지원하는 데 수행해야 할 별도의 작업은 없습니다.
Contoso NAP 배포
앞서 언급한 그룹 정책 변경을 모두 완료한 후 Contoso가 수행해야 할 다음 NAP 배포 단계는 Windows Server "Longhorn"을 설치하는 것입니다. Windows Server "Longhorn"의 모든 버전에는 필요한 NAP 구성 요소가 포함되어 있으므로 Contoso는 어떤 버전을 사용해도 요구 사항을 충족할 수 있습니다. 설치가 완료되면 IT 관리자는 서버 관리자 도구를 사용하여 시스템에 새 역할을 추가합니다. Contoso가 사용하는 DHCP 기반 적용의 경우 필요한 역할은 네트워크 액세스 서비스와 DHCP 서버입니다. 관리자는 역할 추가 마법사를 사용하여 종속성을 처리하고 서버에 필요할 수 있는 추가 기능을 포함합니다. 역할을 추가했으면 이제 NAP을 구성할 준비가 된 것입니다.
Contoso의 관리자는 서버 관리자 도구를 사용하여 MMC(Microsoft Management Console)의 DHCP 스냅인에 액세스하여 새 범위를 추가합니다. Windows Server "Longhorn"을 DHCP 서버로 구성하면 서버가 호스팅하는 IP 세그먼트에 있던 기존의 모든 DHCP 서비스가 대체됩니다. 범위가 생성되고 Contoso의 네트워크를 기반으로 올바른 옵션이 채워지면 NAP을 그 범위에서 활성화해야 합니다. 이 작업은 범위 속성의 네트워크 액세스 보호 탭에서 수행할 수 있습니다(그림 2 참조).
그림 2** NAP 활성화 **(더 크게 보려면 이미지를 클릭하십시오.)
NAP은 새로운 NAP 사용자 클래스 범위 옵션을 사용하여 동일한 범위 내에서 시스템의 네트워크 액세스를 제한하거나 제한을 해제합니다. 이처럼 특수한 범위 옵션(DNS 서버, 기본 DNS 접미사 등)은 정상적이지 않은 상태의 클라이언트에 리스를 제공할 때 사용됩니다. 예를 들어, 정상적인 클라이언트에는 "contoso.com"이라는 기본 DNS 접미사가 제공되지만 정상적이지 않은 상태의 클라이언트에는 "restricted.contoso.com"이라는 접미사가 지정됩니다(그림 3). DHCP 범위 옵션이 구성되면 네트워크 정책 서버를 설정하고 규칙을 생성할 수 있습니다.
그림 3** 제한된 액세스 **(더 크게 보려면 이미지를 클릭하십시오.)
NPS 정책은 네 가지 주요 구성 요소로 구성되어 있습니다. SHV(시스템 상태 검사기)는 컴퓨터의 상태를 평가하기 위해 수행할 검사를 정의합니다. 업데이트 관리 서버 그룹에는 정상적이지 않은 상태의 시스템이 치료를 받기 위해 액세스할 수 있는 시스템(예: WSUS)이 포함됩니다. 시스템 상태 검사기 템플릿 구성 요소는 실제 상태를 정의하는 데 사용됩니다. 예를 들어, Windows 보안 SHV를 통과하지만 클라이언트가 바이러스 백신 공급업체에서 제공하는 또 다른 SHV 검사를 통과할 수 없게 하는 시스템을 "정책 준수" 컴퓨터로 지정할 수 있습니다. 마지막으로 이러한 구성 요소는 시스템 상태에 따라 시스템에 어떤 조치를 적용할지 결정하는 논리가 포함된 네트워크 정책에 통합됩니다.
시스템 상태 검사기는 NPS 에이전트가 NPS의 상태를 검사하여 보고하는 항목 목록입니다. 기본 NAP 배포에는 Windows SHV가 포함되는데, 이 Windows SHV가 Windows 보안 센터에 연결되어 보안 센터를 통해 보고되는 모든 보안 구성 요소의 상태를 NAP이 확인할 수 있게 해줍니다. 여기에는 방화벽, 바이러스 백신, 자동 업데이트, 스파이웨어 방지 구성 요소 등이 있습니다.
NAP은 확장이 가능하며 타사에서도 자체 SHV를 만들어 개별 구성 요소를 보다 세부적으로 검사할 수 있도록 설계되었다는 점을 기억하십시오. 자세한 내용은 microsoft.com/windowsserver2003/partners/nappartners.mspx를 참조하십시오. 예를 들어 NAP은 Windows 보안 SHV를 통해 바이러스 백신 프로그램이 활성화되어 있는지, 최신 상태인지 등을 확인할 수 있습니다. 그러나 Windows 보안 SHV는 시스템 검사 횟수나 다른 응용 프로그램 옵션 등 보다 자세한 바이러스 백신 응용 프로그램 검사는 수행할 수 없습니다. 하지만 바이러스 백신 공급업체는 응용 프로그램에 더 깊이 연결되어 기본 Windows SHV보다 더욱 구체적인 응용 프로그램 검사를 제공하는 자체 SHV를 만들 수 있습니다. 이 SHV는 Windows SHV 및 다른 SHV(있는 경우)에 연결되어 작동할 수 있으므로 NAP 배포 시 여러 SHV가 동시에 사용될 수 있습니다(그림 4 참조).
그림 4** Windows 보안 SHV **
업데이트 관리 서버 그룹은 정상적이지 않은 상태의 시스템이 액세스할 수 있는 리소스를 지정할 때 사용됩니다. 이 그룹에는 WSUS 서버나 SMS(Systems Management Server), 바이러스 백신 업데이트 서버가 종종 포함됩니다. 서버 자체뿐만 아니라 클라이언트가 서버를 찾을 때 사용하는 이름 확인 서버도 추가하는 것이 중요합니다. Contoso의 클라이언트는 자동 업데이트에 wsus.contoso.com이라는 서버를 사용하도록 그룹 정책을 통해 구성되었으므로 업데이트 관리 서버 그룹에는 WSUS 서버의 IP 주소뿐만 아니라 클라이언트가 FQDN(정규화된 도메인 이름)을 숫자 IP 주소로 변환할 때 사용하는 DNS 서버의 IP 주소도 포함해야 합니다. 클라이언트가 이러한 이름 확인 리소스(클라이언트가 구성된 방식에 따라 DNS와 WINS 모두 될 수 있음)에 액세스하지 못하면 업데이트 관리 리소스의 IP 주소를 확인할 수 없기 때문에 결과적으로 업데이트 관리 리소스에 액세스할 수 없습니다. 그림 5는 DNS 및 IP 설정의 예입니다.
그림 5** DNS 이름과 IP 주소 **(더 크게 보려면 이미지를 클릭하십시오.)
시스템 상태 검사기 템플릿은 정상적인 컴퓨터의 요건을 정의하는 데 사용됩니다. 검사기 템플릿은 SHV 검사 결과를 받아서 시스템이 이러한 검사를 통과했는지 또는 실패했는지에 따라 시스템의 상태를 판단합니다(그림 6 참조).
그림 6** 정책 준수 검사 **(더 크게 보려면 이미지를 클릭하십시오.)
대부분의 중소 규모 배포 환경과 마찬가지로 Contoso 환경에서는 두 가지 상태만 정의됩니다. 정상적인 컴퓨터는 모든 SHV 검사를 통과하는 컴퓨터이고 비준수 컴퓨터는 이러한 검사를 통과하지 못한 컴퓨터입니다. 역할, 부서, 위치 등에 따라 사용자마다 다른 정책 준수 표준을 생성하는 것처럼 필요한 경우 좀더 복잡한 논리를 구현할 수도 있지만 그럴 경우 문제 확인 및 해결이 어려워지고 그에 따른 소요 시간도 늘어날 수 있다는 점에 유의해야 합니다.
이러한 구성 요소에는 모두 네트워크 정책이 적용됩니다. 네트워크 정책은 관리자에 의해 정의되며 컴퓨터 상태에 따라 컴퓨터를 어떻게 처리할지 NPS에게 알려줍니다. 이러한 정책은 NPS UI에 표시된 대로 위에서 아래로 평가되며 정책 규칙과 부합하면 프로세스가 중단됩니다.
다시 말하지만 Contoso 네트워크에서는 단순성이 목표이기 때문에 몇 가지 정책만 있으면 됩니다. 첫 번째는 Compliant-FullAccess(준수-모든 액세스) 정책입니다. 이 정책은 모든 SHV 검사를 통과한 시스템에게 네트워크에 무제한 액세스할 수 있는 권한을 주는 것입니다. 특히 시스템 상태를 평가한 결과 모든 검사에 통과하면 NPS가 DHCP 서버에게 "normal"(표준) 범위 옵션이 있는 IP 리스를 시스템에게 제공하라고 명령합니다. 검사 시 대부분의 시스템이 정책을 준수하므로 일반적으로 이 Compliant-FullAccess(준수-모든 액세스) 정책이 처리 순서에서 가장 먼저 나옵니다. 이 정책을 먼저 표시해야 NPS에서 처리 로드와 시간을 줄일 수 있습니다.
다음으로 사용되는 정책은 Noncompliant-Restricted(비준수-제한) 정책입니다. Contoso 환경에서는 SHV 검사에 실패하여 결과적으로 비준수 시스템 상태 검사 템플릿과 일치하는 모든 시스템이 이 정책에 해당됩니다. 이 정책과 부합하는 클라이언트가 발견되면 NPS가 DHCP 서버에게 특수 NAP "restricted"(제한) 범위 옵션이 있는 IP 리스를 클라이언트에게 제공하라고 명령합니다. 따라서 비준수 컴퓨터는 Contoso 업데이트 관리 서버 그룹에 정의되어 있는 리소스에만 액세스할 수 있습니다.
세 번째로 사용되는 정책은 이전 버전과의 호환성을 위한 정책입니다. 기본적으로 NAP 지원은 Windows XP 이후 운영 체제에서 사용할 수 있다는 점을 기억하십시오. 단, 독립 소프트웨어 공급업체에서 직접 NAP 클라이언트를 개발하여 이전 버전의 Windows나 Windows 이외의 운영 체제에 사용할 수는 있습니다. Contoso 프로덕션 환경에서 여전히 Windows 2000이 사용되고 있다면 NAP을 인식하지 못하는 시스템이 네트워크(DHCP 서버에 의해 기본 범위 옵션이 지정됨)에 액세스할 수 있는 권한을 받을 수 있도록 허용하는 규칙을 만들 수 있습니다. 이 예에서는 Downlevel-Full-Access(이전 버전-모든 액세스)를 만들었습니다. 이 정책은 마지막에 평가되어야 하며 이전 버전 시스템이 네트워크에 액세스해야 하는 경우에만 만들어 활성화해야 합니다(그림 7 참조).
그림 7** 이전 버전 시스템의 액세스 설정 **(더 크게 보려면 이미지를 클릭하십시오.)
Contoso 네트워크에 프린터나 다른 하드웨어처럼 NAP을 인식할 수 없는 리소스가 있는 경우에는 어떻게 해야 할까요? 더 나아가, NAP을 인식할 수는 있지만 영구적으로 또는 일시적으로 정책 검사에서 제외하고 싶은 시스템이 있는 경우에는 어떻게 해야 할까요? 이러한 시스템을 쉽게 제외할 수 있는 방법은 MAC 주소를 사용하는 것입니다. 이러한 시스템에서 NAP 검사를 건너뛰려면 Contoso 관리자가 모든 네트워크 액세스 권한을 부여하는 새로운 정책인 Exempt by MAC(MAC에 의한 제외)을 만들면 됩니다. 이 정책은 Calling Station ID의 RADIUS 클라이언트 속성이 NAP 검사를 건너뛰어야 하는 장치의 MAC 주소와 일치하는지 비교하는 조건문을 사용합니다. 시스템이 이 정책의 조건문과 일치하면 NPS가 DHCP에게 "normal"(표준) 범위 옵션을 리스에 제공하라고 명령합니다. 평가 순서에서 이 정책을 가장 먼저 표시해야 NPS에서 전체 처리 시간과 로드를 줄일 수 있습니다. 이 정책과 일치하는 시스템은 SHV 평가를 받을 필요가 없으므로 NPS에서 이러한 시스템을 검사하기 위해 추가로 시간을 투자하지 않아도 됩니다(그림 8 참조).
그림 8** 특정 시스템 무시 **(더 크게 보려면 이미지를 클릭하십시오.)
이러한 정책들을 통합하면 Contoso의 NPS가 네트워크에 연결된 시스템을 빠르고 정확하게 평가할 수 있습니다. 또한 이전 버전 컴퓨터와 장치에 필요한 경우나 일시적으로 NAP 인식 장치를 건너뛰어야 하는 경우에 예외를 적용할 수 있습니다.
결론
NAP은 다양한 기술을 통합적으로 사용하므로 특히 복잡한 시나리오에서는 철저한 계획과 테스트가 필요합니다. 이 기사에서는 덜 복잡한 시나리오를 중심으로 설명했지만 NAP 웹 사이트에는 다양한 규모의 기업에 적합한 배포 지침이 자세히 나와 있습니다. 또한 경우에 따라서는 DHCP 기반 적용보다 기업에 더 잘 맞는 802.1X 및 IPsec 기반 적용 기술을 계획하는 데 대한 정보도 나와 있습니다.
NAP은 네트워크에 연결된 컴퓨터의 상태를 평가할 수 있는 유용하고 확장 가능한 플랫폼입니다. 중소 규모 기업의 경우, DHCP 기반 적용을 통해 구현 및 관리 비용을 절감할 수 있으므로 많은 혜택을 얻을 수 있습니다. NAP은 Windows Server "Longhorn"의 가장 중요한 장점으로 기업의 보안 및 정책 준수 효과를 높여줄 수 있습니다.
NAP 리소스
John Morello는 지난 6년 동안 Microsoft에서 다양한 업무를 담당했습니다. 선임 컨설턴트로서 Fortune 100대 기업과 연방 민간 및 군 고객을 위한 보안 솔루션을 설계하였으며, 현재는 Windows Server 그룹의 수석 프로그램 관리자로 어디서나 액세스할 수 있는 기술을 담당하고 있습니다.
© 2008 Microsoft Corporation 및 CMP Media, LLC. All rights reserved. 이 문서의 전부 또는 일부를 무단으로 복제하는 행위는 금지됩니다..