The Cable Guy: NAP(네트워크 액세스 보호)를 사용한 DirectAccess

  • 아티클

DirectAccess는 유용합니다. 네트워크 액세스 보호와 함께 사용하면 그 유용성은 더욱 커집니다.

The Cable Guy

원격 사용자는 이제 회사 네트워크에 더 안전하게 액세스할 수 있습니다. DirectAccess는 Windows 7 및 Windows Server 2008 R2의 새로운 기능으로, 원격 사용자에게 VPN(가상 사설망)에 연결하지 않고도 인트라넷 리소스에 안전하게 액세스할 수 있는 기능을 제공합니다.

Windows Server 2008 R2 및 Windows 7에는 NAP(네트워크 액세스 보호)도 포함되어 있습니다. NAP는 클라이언트 컴퓨터가 네트워크에 연결 또는 통신을 시도할 때 이러한 컴퓨터의 상태를 모니터링하고 평가합니다.

이 두 가지는 함께 강력한 연합을 구성합니다. NAP를 적용한 DirectAccess를 사용하면 시스템 상태 요구 사항을 충족하는 DirectAccess 클라이언트만 인터넷을 통해 인트라넷 리소스에 접속할 수 있도록 지정할 수 있습니다.

DirectAccess 터널

전체 인트라넷 액세스 또는 선택된 서버 액세스 모델을 사용하는 DirectAccess 클라이언트는 DirectAccess 서버에 대해 다음과 같은 IPsec(인터넷 프로토콜 보안) 터널을 만듭니다.

  • 인프라 터널: 인트라넷 DNS(Domain Name System) 서버 및 AD DS(Active Directory 도메인 서비스) 도메인 컨트롤러에 접속합니다. 기본적으로 이 터널에는 인증을 위해 컴퓨터 인증서와 컴퓨터 계정 NTLMv2(NT LAN Manager version 2) 자격 증명이 필요합니다. DirectAccess 클라이언트는 사용자가 로그온하기 전에 이 터널을 만듭니다.
  • 관리 터널: 사용자가 로그온하기 전에 추가 인트라넷 위치에 접속합니다. 인트라넷 관리 서버는 이 터널을 만들어 DirectAccess 클라이언트를 원격으로 관리할 수도 있습니다. 인프라 터널과 마찬가지로 기본적으로 이 터널에는 인증을 위해 컴퓨터 인증서와 컴퓨터 계정 NTLMv2 자격 증명이 필요합니다.
  • 인트라넷 터널: 사용자가 로그온한 후 인프라 및 관리 터널 규칙의 대상 주소 목록에 없는 인트라넷 위치에 접속합니다. 기본적으로 이 터널에는 인증을 위해 컴퓨터 인증서와 사용자 계정 Kerberos 자격 증명이 필요합니다.

NAP 및 IPsec 적용

NAP를 배포하여 연결 및 통신에 시스템 상태 요구 사항을 적용할 수 있는 방법은 다양합니다. IPsec 적용 방법은 상태 인증서(EKU(향상된 키 용도) 필드에 시스템 상태 인증 OID(개체 ID)가 있는 디지털 인증서), 그리고 인트라넷 트래픽의 IPsec 보호와 상태 인증서를 사용한 IPsec 피어 인증을 요구하는 IPsec 연결 보안 규칙을 사용합니다.

이 조합은 인트라넷에서 컴퓨터 간 통신에 시스템 상태 요구 사항을 적용할 수 있습니다. 시스템 상태 요구 사항을 준수하지 않고 상태 인증서가 없는 컴퓨터는 인트라넷에서 통신을 시작할 수 없습니다.

IPsec 적용 배포에는 다음이 필요합니다.

  • HRA(상태 등록 기관): 시스템 상태를 확인하고 상태 인증서를 받기 위해 NAP 클라이언트 및 이러한 클라이언트의 요청을 수신하고 이에 응답하는 웹 서버.
  • NAP CA(인증 기관): 준수하는 NAP 클라이언트를 위한 상태 인증서를 발급하는, 일반적으로 전용인 PKI(공개 키 인프라)의 CA.
  • NAP 상태 정책 서버: 시스템 상태 요청을 확인하는 NPS(네트워크 정책 서버).
  • 업데이트 관리 서버: NAP 클라이언트가 비준수 시스템 상태를 교정하는 데 필요한 리소스가 포함된 서버.

HRA를 통해 얻은 상태 인증서는 수명이 짧아서 일반적으로 몇 시간 정도입니다. IPsec 피어 인증을 위한 상태 인증서가 필요하지만 시스템 상태 확인을 수행할 필요가 없는 서버에 수명이 긴 제외 상태 인증서를 발급할 수도 있습니다.

NAP를 적용한 DirectAccess

NAP를 적용한 DirectAccess는 시스템 상태 정책 준수와 DirectAccess 연결 프로세스를 통합합니다. 인트라넷 리소스에 대한 액세스를 허용하기 전에 DirectAccess와 NAP를 통합하여 시스템 상태 요구 사항을 적용하면 NAP 인프라를 활용하여 상태 인증서를 발급하고(HRA, NAP CA, NAP 상태 정책 서버) 시스템 상태를 교정할 수 있습니다(업데이트 관리 서버). 또한 인프라, 관리 및 인트라넷 터널에 대한 DirectAccess 연결 보안 규칙을 활용할 수 있습니다.

기본적으로 인프라, 관리 및 인트라넷 터널에 대해 DirectAccess 클라이언트 및 서버에 구성된 연결 보안 규칙은 인증에 상태 인증서를 요구하지 않습니다. 상태 인증서를 요구하도록 수정해야 하는 규칙 집합은 다음에 따라 달라집니다.

  • NAP 배포 모드(보고 또는 전체 적용)

보고 모드에서는 시스템 상태 정책 준수를 요구하지 않습니다. 비준수 DirectAccess 클라이언트도 인트라넷에 액세스할 수 있습니다. 따라서 DirectAccess 연결 보안 규칙에 아무런 변경도 필요 없습니다.

전체 적용 모드에서는 시스템 상태 정책 준수를 요구합니다. 이 모드에서는 일반적인 컴퓨터 인증서가 아닌 상태 인증서를 요구하도록 연결 보안 규칙을 구성해야 합니다.

  • HRA 및 업데이트 관리 서버의 위치

HRA와 업데이트 관리 서버는 인트라넷 또는 인터넷에 둘 수 있습니다.

다음 섹션에서는 HRA와 업데이트 관리 서버의 이러한 두 위치에 대해, 그리고 이에 따라 연결 보안 규칙이 상태 인증서를 요구하도록 변경해야 하는 부분에 대해 설명합니다.

인트라넷 기반 HRA 및 업데이트 관리 서버

HRA와 업데이트 관리 서버가 인트라넷에 위치하는 경우, 컴퓨터 인증서는 있지만 상태 인증서는 없는 DirectAccess 클라이언트에서 여기에 액세스할 수 있어야 합니다. 상태 유효성 검사는 인프라 및 관리 터널이 만들어진 후 수행됩니다. DirectAccess 클라이언트는 인트라넷 이름을 확인하기 위해 인트라넷 DNS 서버에 액세스하는 데 인프라 터널이 필요하고, HRA 및 업데이트 관리 서버에 액세스하는 데 관리 터널이 필요합니다.

Figure 1  DirectAccess with NAP when the HRAs and remediation servers are on the intranet.

그림 1  HRA 및 업데이트 관리 서버가 인트라넷에 있는 경우의 NAP를 적용한 DirectAccess

그러나 전체 적용 모드의 경우 DirectAccess 클라이언트는 다른 인트라넷 리소스에 접속하기 위해 먼저 상태 인증서가 필요합니다. 따라서 상태 인증서 요구 사항은 인트라넷 터널에 대한 연결 보안 규칙에만 적용됩니다.

구성 단계

HRA 및 업데이트 관리 서버가 인트라넷에 있는 경우 NAP를 적용한 DirectAccess를 구성하려면 다음과 같이 해야 합니다.

  • HRA 및 업데이트 관리 서버의 IPv6 주소를 관리 서버 목록에 추가합니다. 이 작업은 DirectAccess 설치 마법사의 3단계 또는 Netsh.exe 명령을 사용하여 수행할 수 있습니다.
  • Netsh.exe 명령을 사용하여 DirectAccess 서버 GPO(그룹 정책 개체)의 인트라넷 터널 규칙을 상태 인증서를 요구하도록 구성합니다.

자세한 단계는 NAP에 대한 DirectAccess 연결 보안 규칙 구성을 참조하십시오.

Netsh.exe를 사용하여 DirectAccess 연결 보안 규칙을 사용자 지정하는 경우 DirectAccess 설치 마법사 설정을 다음 번 적용할 때 변경 내용을 덮어쓰게 됩니다. 사용자 지정 설정을 유지하려면 구성 변경에 더 이상 DirectAccess 설치 마법사를 사용하지 않거나, 사용자 지정 변경 내용 목록을 스크립트로 컴파일해서 DirectAccess 설치 마법사 설정을 적용할 때마다 이 스크립트를 실행해야 합니다.

작동 원리

다음 프로세스에서는 HRA 및 업데이트 관리 서버가 인트라넷에만 위치할 경우 NAP를 적용한 DirectAccess가 DirectAccess 클라이언트에 대해 어떻게 작동하는지 설명합니다.

  1. DirectAccess 클라이언트는 시작되어 컴퓨터 계정으로 AD DS 도메인에 로그온을 시도할 때 컴퓨터 인증서를 사용하여 인프라 터널을 만듭니다. [인프라 터널]
  2. NAP 에이전트가 시작되면 DirectAccess 클라이언트는 구성된 HRA URL(Uniform Resource Locator)의 FQDN(정규화된 도메인 이름)을 확인하고 컴퓨터 인증서를 사용하여 관리 터널을 만든 다음 현재 상태 정보를 HRA로 보냅니다. [관리 터널]
  3. HRA는 DirectAccess 클라이언트의 상태 정보를 NAP 상태 정책 서버로 보냅니다. [인트라넷 트래픽]
  4. NAP 상태 정책 서버는 DirectAccess 클라이언트의 상태 정보를 평가하여 클라이언트의 정책 준수 여부를 확인하고 그 결과를 HRA로 보냅니다. [인트라넷 트래픽]
  5. HRA는 DirectAccess 클라이언트로 상태 평가 결과를 보냅니다. [관리 터널]
  6. 준수 상태인 경우 HRA는 NAP CA로부터 상태 인증서를 받아 이를 DirectAccess 클라이언트로 보냅니다. [관리 터널]
  7. DirectAccess 클라이언트는 인트라넷의 리소스에 액세스를 시도할 때 먼저 상태 인증서를 사용하여 인트라넷 터널을 만듭니다. [인트라넷 터널]

DirectAccess 클라이언트가 정책을 준수하지 않는 경우:

  1. HRA는 DirectAccess 클라이언트에 상태 수정 지침이 포함된 상태 평가 결과를 보내며 상태 인증서를 받지 않습니다. [관리 터널]
  2. 설치된 상태 평가 구성 요소에 따라 DirectAccess 클라이언트는 업데이트 관리 서버에 액세스하여 상태를 수정해야 할 수 있습니다. 이 경우 DirectAccess 클라이언트는 해당 업데이트 관리 서버로 업데이트 요청을 보냅니다. [관리 터널]
  3. 업데이트 관리 서버는 시스템 상태 요구 사항을 준수하기 위해 필요한 설정 또는 업데이트를 DirectAccess 클라이언트에 공급합니다. [관리 터널]
  4. DirectAccess 클라이언트는 업데이트된 상태 정보를 HRA로 보냅니다. [관리 터널]
  5. HRA는 업데이트된 상태 정보를 NAP 상태 정책 서버로 보냅니다. 필요한 업데이트가 모두 수행된 경우 NAP 상태 정책 서버는 DirectAccess 클라이언트가 정책을 준수하는 것으로 판단하고 그 결과를 HRA로 보냅니다. [인트라넷 트래픽]
  6. HRA는 NAP CA로부터 상태 인증서를 받습니다. [인트라넷 트래픽]
  7. HRA는 상태 인증서를 DirectAccess 클라이언트로 보냅니다. [관리 터널]
  8. DirectAccess 클라이언트는 인트라넷의 리소스에 액세스를 시도할 때 상태 인증서를 사용하여 인트라넷 터널을 만듭니다. [인트라넷 터널]

인터넷의 HRA 및 업데이트 관리 서버

HRA 및 업데이트 관리 서버가 인터넷에만 위치하는 경우 DirectAccess 클라이언트는 항상 여기에 액세스할 수 있으며, 시스템 상태 유효성 검사는 DirectAccess 터널에 의존하지 않고 수행됩니다.

그림 2에서는 HRA와 업데이트 관리 서버가 인터넷에만 위치할 경우의 구성을 보여 줍니다. 이 구성에 대한 자세한 내용은 2009년 6월 Cable Guy 기사 “인터넷의 NAP”를 참조하십시오.

Figure 2  DirectAccess with NAP when the HRAs and remediation servers are on the Internet.

그림 2  HRA 및 업데이트 관리 서버가 인터넷에 있는 경우의 NAP를 적용한 DirectAccess

전체 적용 모드의 경우 DirectAccess 클라이언트는 인트라넷에서 비준수 DirectAccess 클라이언트를 원격으로 관리 또는 지원하는 데 필요할 수 있는 관리 서버를 제외한 모든 인트라넷 리소스에 액세스하는 데 상태 인증서가 필요합니다. 따라서 상태 인증서 요구는 인프라, 인트라넷 및 관리(선택 사항) 터널에 대한 연결 보안 규칙에 적용됩니다.

구성 단계

HRA 및 업데이트 관리 서버가 인터넷에 위치하는 경우 NAP를 적용한 DirectAccess를 구성하려면 Netsh.exe 명령을 사용하여 DirectAccess 서버 GPO의 인프라, 인트라넷 및 관리 터널 규칙을 변경하여 상태 인증서를 요구하도록 해야 합니다.

다음 명령은 Windows Server 2008 R2에서 DirectAccess 설치 마법사에 의해 구성된 대로 GPO 및 연결 보안 규칙의 기본 이름을 사용합니다.

  1. 관리자 수준 명령 프롬프트에서 netsh –c advfirewall 명령을 실행합니다.
  2. netsh advfirewall 프롬프트에서 다음 명령을 실행합니다.

 

set store gpo="DomainName\DirectAccess Policy-{ab991ef0-6fa9-4bd9-bc42-3c397e8ad300}"

consec set rule "DirectAccess Policy-DaServerToDnsDC" new auth1=computercert auth1ca=CANameString auth1healthcert=yes applyauthz=yes

consec set rule "DirectAccess Policy-DaServerToCorp" new auth1=computercert auth1ca=CANameString auth1healthcert=yes applyauthz=yes

consec set rule "DirectAccess Policy-DaServerToMgmt" new auth1=computercert auth1ca=CANameString auth1healthcert=yes applyauthz=yes

참고: DomainName은 AD DS 도메인의 FQDN입니다. CANameString은 consec show rule name=“DirectAccess Policy-DaServerToCorp” 명령 화면에서 Auth1CAName 필드의 값입니다.

마지막 명령은 정의된 관리 서버가 있고 비준수 DirectAccess 클라이언트가 이 관리 서버에 액세스하지 못하도록 차단하려는 경우에만 실행하십시오.

작동 원리

다음 프로세스에서는 HRA 및 업데이트 관리 서버가 인터넷에만 위치할 경우 NAP를 적용한 DirectAccess가 DirectAccess 클라이언트에 대해 어떻게 작동하는지 설명합니다.

  1. DirectAccess 클라이언트는 시작되면 컴퓨터 계정으로 AD DS 도메인에 로그온하고 컴퓨터 인증서를 사용하여 인프라 터널을 만들려고 시도합니다. DirectAccess 클라이언트에 상태 인증서가 없으므로 이 시도는 실패합니다. [인터넷 트래픽]
  2. NAP 에이전트가 시작되면 DirectAccess 클라이언트는 HRA URL의 FQDN을 확인한 다음 현재 상태 정보를 인터넷의 HRA로 보냅니다. [인터넷 트래픽]
  3. HRA는 DirectAccess 클라이언트의 상태 정보를 NAP 상태 정책 서버로 보냅니다. [인트라넷 트래픽]
  4. NAP 상태 정책 서버는 DirectAccess 클라이언트의 상태 정보를 평가하여 클라이언트의 정책 준수 여부를 확인하고 그 결과를 HRA로 보냅니다. [인트라넷 트래픽]
  5. HRA는 DirectAccess 클라이언트로 상태 평가 결과를 보냅니다. [인터넷 트래픽]
  6. 준수 상태인 경우 HRA는 NAP CA로부터 상태 인증서를 받아 이를 DirectAccess 클라이언트로 보냅니다. [인터넷 트래픽]
  7. DirectAccess 클라이언트는 다음 번에 컴퓨터 계정으로 AD DS 도메인에 로그온하거나 인트라넷 FQDN을 확인하려고 시도할 때 먼저 상태 인증서를 사용하여 인프라 터널을 만듭니다. [인프라 터널]
  8. DirectAccess 클라이언트는 인트라넷의 리소스에 액세스해야 하는 경우 먼저 상태 인증서를 사용하여 인트라넷 터널을 만듭니다. [인트라넷 터널]

DirectAccess 클라이언트가 정책을 준수하지 않는 경우:

  1. HRA는 DirectAccess 클라이언트에 상태 수정 지침이 포함된 상태 평가 결과를 보내며 상태 인증서를 받지 않습니다. [인터넷 트래픽]
  2. 설치된 상태 평가 구성 요소에 따라 DirectAccess 클라이언트는 업데이트 관리 서버에 액세스하여 상태를 수정해야 할 수 있습니다. 이 경우 DirectAccess 클라이언트는 해당 업데이트 관리 서버로 업데이트 요청을 보냅니다. [인터넷 트래픽]
  3. 업데이트 관리 서버는 시스템 상태 요구 사항을 준수하기 위해 필요한 설정 또는 업데이트를 DirectAccess 클라이언트에 공급합니다. [인터넷 트래픽]
  4. DirectAccess 클라이언트는 업데이트된 상태 정보를 HRA로 보냅니다. [인터넷 트래픽]
  5. HRA는 업데이트된 상태 정보를 NAP 상태 정책 서버로 보냅니다. 필요한 업데이트가 모두 수행된 경우 NAP 상태 정책 서버는 DirectAccess 클라이언트가 정책을 준수하는 것으로 판단하고 그 결과를 HRA로 보냅니다. [인트라넷 트래픽]
  6. HRA는 NAP CA로부터 상태 인증서를 받습니다. [인트라넷 트래픽]
  7. HRA는 상태 인증서를 DirectAccess 클라이언트로 보냅니다. [인터넷 트래픽]
  8. DirectAccess 클라이언트는 다음 번에 컴퓨터 계정으로 AD DS 도메인에 로그온하거나 인트라넷 FQDN을 확인하려고 시도할 때 먼저 상태 인증서를 사용하여 인프라 터널을 만듭니다. [인프라 터널]
  9. DirectAccess 클라이언트는 인트라넷의 리소스에 액세스해야 하는 경우 상태 인증서를 사용하여 인트라넷 터널을 만듭니다. [인트라넷 터널]

Joseph Davies는 Windows 네트워킹 기사 팀의 수석 테크니컬 라이터입니다. “Windows Server 2008 Networking and Network Access Protection (NAP),” “Understanding IPv6, Second Edition” 및 “Windows Server 2008 TCP/IP Protocols and Services”를 포함하여 Microsoft Press에서 출판한 여러 서적을 집필하거나 공동 집필했습니다.

관련 콘텐츠: