Microsoft Forefront: Forefront로 작업 그룹 보호
Microsoft Forefront Threat Management Gateway를 원래 용도에 맞게 Active Directory와 함께 사용하거나 작업 그룹 설정을 보호하는 용도로 사용할 수 있습니다.
Brien Posey
연결은 공동 작업을 가능하게 하지만 위험과 노출도 함께 가져옵니다. Microsoft Forefront Threat Management Gateway(Forefront TMG) 2010을 사용하여 작업 그룹의 작업자를 구성하고 작업자와 데이터, 회사 네트워크를 보호할 수 있습니다.
일반적으로 Forefront는 Active Directory 환경 내에서 사용하도록 설계된 엔터프라이즈급 응용 프로그램 집합으로 인식되어 있지만 Forefront를 꼭 Active Directory 내에 배포해야 할 필요는 없습니다. 실제로 다양한 토폴로지와 다양한 용도로 Forefront TMG를 배포할 수 있습니다.
작업 그룹 환경에서 네트워크 경계에 Forefront TMG를 설정해 두면 Forefront TMG는 인바운드 HTTP 및 HTTPS 패킷에서 악성 콘텐츠를 검사할 수 있습니다. 또한 Forefront TMG를 사용하여 사용자가 방문하는 웹 사이트 유형을 필터링할 수도 있습니다.
Forefront TMG 서버는 네트워크 경계에 위치하므로 최소 두 개의 네트워크 어댑터가 필요합니다. 어댑터 하나는 사설 네트워크에 연결되고, 다른 하나는 외부 환경과 연결됩니다. 두 어댑터 모두 고정 IP 주소로 구성하는 것이 좋습니다.
Forefront는 Windows 도메인 내에 배포되도록 설계되었습니다. 엔터프라이즈 작업 그룹 컨텍스트 내에서 Forefront를 사용할 수는 있지만 이 경우 도메인 환경에서는 일반적으로 볼 수 없는 몇 가지 사소한 제한이 있습니다.
예를 들어 작업 그룹 환경에 Forefront를 배포하는 경우 자동 웹 프록시 탐지를 사용할 수 없습니다. 마찬가지로, Active Directory 도메인이 없으면 그룹 정책 설정을 사용하여 Forefront를 구성할 수 없습니다. 대신 Forefront를 실행하는 각 개별 시스템에서 로컬 보안 정책을 사용해야 합니다.
더 주의 깊게 고려해야 하는 다른 제한 사항도 있습니다. 예를 들어 Forefront TMG Standard를 실행하는 컴퓨터는 일반적으로 엔터프라이즈 관리 서버에 가입됩니다. 그러나 작업 그룹 환경에서는 엔터프라이즈 관리 서버 복제를 수행할 수 없습니다.
인증 기관
작업 그룹 환경에 Forefront를 설치하기 위해 필요한 가장 중요한 요구 사항 중 하나는 Forefront TMG 서버에 서버 인증서를 설치해야 한다는 점입니다. 이 인증서는 내부적으로만 사용되므로 자체 엔터프라이즈 인증 기관을 만들면 상용 인증서를 구매하는 데 따르는 비용을 피할 수 있습니다.
Windows Server에는 인증 기관 역할을 하도록 구성하는 데 필요한 모든 요소가 있습니다. 그러나 서버 인증서는 그 속성상 민감하므로 네트워크 경계에서 Forefront 게이트웨이 역할을 할 서버가 아닌 다른 서버에 인증서 서비스를 배포해야 합니다.
인증 기관 역할을 할 서버를 선택했으면 서버 관리자를 엽니다. 역할 컨테이너로 가서 역할 추가 링크를 클릭합니다. 역할 추가 마법사가 시작됩니다. 마법사 시작 화면을 건너뛰면 설치할 역할을 선택하라는 메시지가 표시되는 화면으로 이동하게 됩니다.
Active Directory 인증서 서비스 역할을 선택하고 다음을 클릭합니다. Active Directory 인증서 서비스를 설치하고 나면 서버 이름 또는 도메인 상태를 변경할 수 없다는 경고 메시지가 표시됩니다.
배포할 역할 서비스를 선택하라는 메시지가 표시됩니다. 인증 기관 및 인증 기관 웹 등록 서비스를 선택하고 다음을 클릭합니다.
독립 실행형 인증 기관을 배포할지 엔터프라이즈 인증 기관을 배포할지 묻는 메시지가 표시됩니다. 작업 그룹 환경에 맞게 설정해야 하므로 독립 실행형 옵션을 선택합니다. 다음을 클릭하면 인증 기관 유형을 선택하라는 메시지가 표시됩니다. 이 인증 기관은 조직의 첫 번째 인증 기관이므로 루트 CA 옵션을 선택하고 다음을 클릭합니다.
이제 새 개인 키를 만들지 기존 개인 키를 사용할지 묻는 메시지가 표시됩니다. 새 개인 키를 만들고 다음을 클릭합니다.
마법사 암호화 화면이 표시되면 다음을 클릭하고 기본값을 그대로 사용합니다. 그러면 인증 기관의 일반 이름을 입력하라는 메시지가 표시됩니다. 원하는 이름을 입력하고 이 이름을 따로 적어 둡니다. 나중에 Forefront를 배포할 때 이 이름을 알아야 하기 때문입니다.
인증서 유효 기간을 선택하라는 메시지가 표시됩니다. 다음을 클릭하여 기본값을 그대로 사용합니다. 이제 인증서 데이터베이스 위치를 지정하는 화면이 표시됩니다. 원하는 위치를 사용하면 되지만 어느 위치를 선택하든 정기적으로 백업해야 합니다.
IIS에 대한 소개가 표시됩니다. 다시 다음을 클릭하면 IIS에 대한 추가 역할 서비스를 설치할 수 있습니다. 필수 역할 서비스가 이미 선택되어 있으므로 다음, 설치를 차례로 클릭하여 필수 역할 서비스를 배포합니다. 프로세스가 완료되면 닫기를 클릭합니다.
서버 준비
Forefront TMG를 설치하기 전에 서버를 준비해야 합니다. 먼저 서버에 최신 Windows Server 패치를 모두 설치합니다. 이 작업은 중요합니다. 무심코 이 단계를 건너뛰었더니 Forefront에서 제대로 패치를 설치해 주지 않았습니다.
서버가 최신 상태가 되면 Forefront TMG 2010 설치 미디어를 삽입합니다. Forefront 시작 화면이 표시되면 Run Preparation Tool(준비 도구 실행) 링크를 클릭합니다. 그러면 Forefront TMG Preparation Tool Wizard(Forefront TMG 준비 도구 마법사)가 시작됩니다.
마법사 시작 화면을 건너뛰면 사용권 계약에 동의하라는 메시지가 표시됩니다. 그림 1과 같이 수행할 Forefront 설치 유형을 선택하라는 메시지가 표시됩니다. Forefront TMG Services and Management(Forefront TMG 서비스 및 관리) 옵션을 선택하고 Next(다음)를 클릭합니다.
.jpg)
그림 1 ForeFront TMG Services and Management(ForeFront TMG 서비스 및 관리) 설치 옵션 선택
필요한 역할 및 기능이 설치됩니다. 프로세스가 완료되면 Launch Forefront TMG Installation Wizard(Forefront TMG 설치 마법사 시작) 확인란이 선택되어 있는지 확인하고 Finish(마침)를 클릭합니다.
Forefront TMG 설치
그러면 Forefront TMG Enterprise Installation Wizard(Forefront TMG 엔터프라이즈 설치 마법사)가 시작됩니다. 시작 화면을 건너뛰고 사용권 계약에 동의한 다음 Next(다음)를 클릭하고 제품 키를 입력해야 합니다. Next(다음)를 한 번 더 클릭하면 설치 경로를 확인하라는 메시지가 표시됩니다. 아무 문제 없으면 Next(다음)를 클릭하여 Define Internal Network(내부 네트워크 정의) 화면으로 이동합니다.
Forefront TMG는 네트워크 경계에 배포되도록 설계되었으므로 내부 네트워크에 포함된 IP 주소를 알아야 합니다. Add(추가) 단추를 클릭하여 내부 주소 범위를 입력할 수 있습니다.
여기서 Addresses(주소) 대화 상자로 이동됩니다. Add Adapters(어댑터 추가) 단추를 클릭한 다음 내부 네트워크에 연결된 어댑터를 선택합니다(그림 2 참조). 어댑터가 동적 IP 주소를 사용하는 경우 Addresses(주소) 대화 상자로 돌아가서 내부 주소 범위를 수동으로 지정해야 할 수 있습니다.
.jpg)
그림 2 내부 네트워크에 연결된 어댑터 선택
어댑터와 모든 내부 IP 주소 범위를 지정했으면 Next(다음)를 클릭합니다. 일부 서비스를 다시 시작해야 한다는 경고 메시지가 표시될 수 있습니다. 이러한 경고가 표시되면 그냥 Next(다음)를 클릭합니다.
IP 주소에서 원격 관리가 활성화된다는 메시지가 표시될 수 있습니다. 이러한 메시지가 표시되는 경우 Next(다음)를 클릭하기 전에 이 IP 주소를 적어 두어야 합니다.
이제 Forefront를 설치할 준비가 되었다는 메시지가 표시될 것입니다. Install(설치) 단추를 클릭하면 설치 프로세스가 시작됩니다. 그림 2에서 볼 수 있듯이 설치 프로세스가 완료될 때까지의 예상 시간이 표시됩니다. 설치 프로세스가 완료되면 Finish(마침)를 클릭합니다.
Forefront TMG 구성
이제 Forefront TMG를 설치했으므로 Forefront TMG 관리 콘솔을 열고 콘솔 트리의 최상위 노드를 선택합니다. Actions(작업) 창에서 Launch Getting Started Wizard(시작 마법사 실행) 링크를 클릭합니다. 그림 3과 같이 Getting Started Wizard(시작 마법사)가 실행됩니다.
.jpg)
그림 3 Getting Started Wizard(시작 마법사)가 구성 프로세스를 안내
Configure Network Settings(네트워크 설정 구성) 단추를 클릭하여 구성 프로세스를 시작합니다(그림 3 참조). Network Setup Wizard(네트워크 설정 마법사)가 시작됩니다. 마법사의 시작 화면을 건너뛰면 사용 중인 토폴로지를 가장 잘 나타내는 네트워크 템플릿을 선택하는 화면으로 이동됩니다. 여기서는 경계 보호 기능을 제공하도록 Forefront 서버를 구성할 것이므로 그림 4와 같이 Edge Firewall(에지 방화벽)을 선택합니다
.jpg)
그림 4 에지 방화벽 옵션 선택
내부 네트워크에 연결되는 네트워크 어댑터를 선택하라는 메시지가 표시됩니다. 여기서 추가 경로를 지정할 수도 있지만 작업 그룹 환경에서는 그럴 필요가 거의 없습니다.
선택한 후 Next(다음)를 클릭하면 인터넷에 연결되는 네트워크 어댑터를 선택하라는 메시지 화면이 표시됩니다. 선택하고 Next(다음), Finish(마침)를 차례로 클릭합니다.
시스템 설정 구성
이제 시스템 설정을 구성할 차례입니다. 그림 3에 나온 Configure System Settings(시스템 설정 구성) 단추를 클릭합니다. System Configuration Wizard(시스템 구성 마법사)가 시작됩니다.
마법사 시작 화면을 건너뛰면 그림 5와 비슷한 화면이 표시됩니다. 도메인 환경이라면 도메인 이름과 DNS 접미사를 입력해야 할 것입니다. 여기서는 작업 그룹에 Forefront를 설정하는 것이므로 아무것도 할 필요가 없습니다. Next(다음), Finish(마침)를 차례로 클릭하여 시스템 구성을 완료합니다.
.jpg)
그림 5 Forefront가 작업 그룹 배포용으로 구성되도록 확인
배포 옵션 정의
구성 프로세스의 마지막 단계는 배포 옵션을 정의하는 것입니다. 그림 3에 나온 Define Deployment Options(배포 옵션 정의)를 클릭합니다. Deployment Wizard(배포 마법사)가 시작되면 Next(다음)를 클릭하여 시작 화면을 건너뜁니다.
Microsoft Update를 사용하여 바이러스 백신 업데이트를 확인할 것인지 묻는 메시지가 표시됩니다. Yes(예)를 선택하는 것이 좋습니다. Next(다음)를 클릭하면 그림 6에 나온 화면으로 이동됩니다.
.jpg)
그림 6 무료 라이선스 활성화 및 맬웨어 검사 사용
그림 6에서 볼 수 있듯이 Forefront 라이선스를 활성화해야 합니다. Network Inspection System을 설정하여 HTTP/HTTPS 패킷 수준에서 악성 코드를 검사하도록 합니다. Enable Malware Inspection(맬웨어 검사 사용) 확인란도 선택해야 하며, 필요한 경우 URL 필터링도 사용하도록 설정합니다.
Forefront에서 바이러스 백신 업데이트를 확인하는 빈도를 제어하는 옵션을 설정합니다. 기본적으로 15분마다 업데이트를 확인합니다. 장시간 업데이트 확인이 실패하는 경우 알림을 보내도록 구성할 수도 있습니다.
그러면 Microsoft 사용자 환경 개선 프로그램에 참여할 것인지 묻는 메시지가 표시됩니다. 원하는 옵션을 선택하고 Next(다음), Finish(마침)를 차례로 클릭하여 구성 프로세스를 완료합니다. Close(닫기)를 클릭하여 Getting Started Wizard(시작 마법사)를 닫습니다.
그러면 Web Access Policy Wizard(웹 액세스 정책 마법사)가 자동으로 시작됩니다. 이 마법사를 통해 Forefront에서 수행하는 웹 필터링 유형을 제어할 수 있습니다. Next(다음)를 클릭하여 시작 화면을 건너뛰면 잠재적인 악성 URL을 차단하는 기본 규칙을 만들 것인지 묻는 메시지가 표시됩니다. Yes(예), Next(다음)를 차례로 클릭합니다.
이제 액세스를 차단할 웹 사이트 유형에 대해 묻는 메시지가 표시됩니다. 예를 들어 혐오스러운 문구나 기타 저속한 내용이 포함된 사이트에 대한 액세스를 차단할 수 있습니다. 차단되는 콘텐츠 목록은 자동으로 입력되지만 필요에 따라 목록을 조정할 수 있습니다.
그러면 웹 액세스 정책에 맬웨어 검사 규칙을 적용할 것인지 묻는 메시지가 표시됩니다. Yes(예)를 선택하고, 악성 파일을 포함할 가능성이 있는 암호화된 ZIP 파일을 차단하는 확인란도 선택하는 것이 좋습니다.
사용자가 SSL 암호화 HTTP 세션(HTTPS)을 사용하도록 허용할 것인지 묻는 메시지가 표시됩니다. HTTPS 콘텐츠를 검사하는 것이 좋지만 이 경우 법적인 문제가 발생할 수 있다는 경고 문구가 표시됩니다. 신중히 생각하여 결정합니다.
HTTPS 검사를 선택하면 사용자에게 이러한 검사가 수행됨을 알릴 것인지 여부를 묻는 메시지가 표시됩니다. 검사 프로세스에 인증서가 필요하다는 메시지도 표시됩니다.
Forefront에서 자체 서명된 인증서를 생성하도록 하거나 사용자 지정 인증서를 사용할 수 있습니다. 작업 그룹 환경에서는 자체 서명된 인증서를 사용할 수 없으므로 Custom Certificate(사용자 지정 인증서) 옵션을 선택해야 합니다. 그러면 인증 기관의 이름을 입력해야 합니다. 이 이름은 인증 기관을 만들 때 생성한 이름으로, 서버의 컴퓨터 이름이 아닐 수도 있습니다.
마지막으로, 수동으로 인증서를 내보내 배포해야 한다는 메시지 화면이 표시됩니다. 인증서를 다운로드할 대상 폴더를 지정하고 Next(다음)를 클릭합니다. 메시지가 표시되면 기본 웹 캐싱 규칙을 사용하도록 설정하여 프로세스를 마칩니다.
이 절차를 통해 HTTP/HTTPS 패킷이 네트워크 경계를 통과할 때 이를 검사하도록 Forefront TMG를 설치할 수 있습니다. Forefront TMG는 전자 메일 메시지 검사 기능을 비롯한 더 많은 기능을 제공합니다. 여기 소개한 내용은 작업 그룹 보호에 적합한 단순한 형태의 배포입니다.
.jpg)
Brien Posey는 Microsoft MVP이며 수천 건의 기사와 수십 권의 서적을 집필한 기술 관련 프리랜서 작가입니다. 문의 사항이 있으면 Brien의 웹 사이트인 brienposey.com을 방문해 보십시오.