|
|
cygni 2008/11/17 09:00
서버를 관리하고 운영하는 관리자의 입장에서 사내의 서버를 언제 어디서든 연결 할 수 있다는 것은, 운영을 좀 더 편리하게 해주고, 관리와 운영에 효율성을 증대해주는 일임에도 불구하고, 보안상의 취약점으로 인해 외부에서의 연결을 자제해오거나, 아니며 보안 위협을 무시한체 외부에서의 연결을 허용하고 있는 것이 전산 시스템을 운영하고 있는 많은 기업들이 안고 있는 문제인 것 같습니다.
아래의 글은 John Morello라는 Microsoft의 어디서나 액세스 할 수 있는 기술을 담당하고 있는 수석 컨설턴트가 쓴 칼럼으로 Microsoft의 터미널 서비스와 NAP 기술을 이용하여 어디서나 안전하고 편리하게 액세스 할 수 있는 방법에 대한 글 입니다. 상세하고 읽기 쉽게 기술이 되어 있네요.. ^^ 가볍게 한 번 읽어 보시고, 편리하고 효율적인 전산 운영에 도움이 될 수 있었으면 좋겠습니다.
계속 보기... ☜ 클릭
네트워크에 연결된 모바일 사용자의 증가는 오늘날 기술 분야에 있어서 확실히 나타나는 추세 중 하나입니다. 대부분의 기업에는 원거리 지사 근무 또는 재택 근무를 하거나 고객 방문을 위한 출장이 잦은 직원이 있습니다. 생산성을 높이려면 이러한 사용자가 위치에 관계없이 응용 프로그램과 데이터에 쉽게 액세스할 수 있도록 해야 합니다.
그러나 최근까지도 원격으로 안전하게 액세스하려면 클라이언트 소프트웨어를 설치하고 복잡한 명령을 입력해야 하며 연결 시간도 많이 걸리는 경우가 많았습니다.
지난 몇 년 사이에 원격 액세스를 보다 간단하고 이용하기 쉬운 기술로 만들기 위한 다양한 방식이 등장했습니다. 예를 들어 Outlook® Web Access(OWA)는 사용자가 복잡한 계층 3 VPN(가상 사설망) 없이도 단일 브라우저를 통해 전자 메일, 일정 및 연락처에 간단하게 액세스할 수 있도록 합니다. OWA와 같은 기술은 "어디서든 액세스 가능한" 솔루션에 있어 중요한 부분을 차지하지만 대부분의 조직에서는 이러한 통합 브라우저 환경을 허용하지 않는 핵심 응용 프로그램을 많이 사용하고 있습니다. 이러한 경우 터미널 서비스와 같은 솔루션이 사용자가 어디서든 응용 프로그램에 액세스할 수 있는 효과적인 방법이 될 수 있습니다.
Microsoft는 Windows Server® 2008에서 터미널 서비스의 기본 기능 집합을 크게 개선했습니다. 그 결과 이제 터미널 서비스에는 완벽한 창, RemoteApp라는 응용 프로그램별 게시 기능, EasyPrint의 범용 인쇄 드라이버 기능, TS Web Access라는 브라우저 기반 포털 등이 추가되었습니다. 또한 Windows Server 2008에는 어디서든 액세스 가능한 솔루션의 핵심이 되는 TS 게이트웨이 구성 요소도 포함되었습니다. 이 구성 요소는 RDP(원격 데스크톱 프로토콜)에 대해 SSL 캡슐화를 제공하여 방화벽과 NAT(Network Address Translation) 장치를 쉽고 안전하게 통과할 수 있도록 합니다. TS 게이트웨이 기능은 NAP(네트워크 액세스 보호)라는 Windows Server 2008의 새로운 기술과 통합되어 끝점 클라이언트 상태 검사 기능도 제공합니다. 조직에서 이 모든 구성 요소를 결합하면 어디서든 쉽고 안전하게 응용 프로그램과 데이터에 액세스할 수 있는 솔루션을 구축할 수 있습니다.
이 칼럼에서는 터미널 서비스 구성 요소의 관리에 대한 자세한 내용보다는 어디서든 액세스 가능한 솔루션의 네트워크 및 보안 설계 측면에 중점을 두고, Windows Server 2008에 포함된 기술을 기반으로 이러한 솔루션을 작성하는 방법과 최상의 방법을 설명합니다.
계층 3 가상 사설망의 문제점
새 기술에 대해 생각해 볼 때는 현재 사용 중인 방식과 비교하여 어떤 이점이 있는지를 파악하여 새 모델의 가치를 정확히 평가하는 것이 중요합니다. 기존 계층 3 VPN에는 일반적으로 보안과 사용의 용이성과 관련하여 해결해야 할 두 가지 중대한 문제가 있습니다.
최신 계층 3 기반 VPN에서 보안이 문제가 된다는 사실이 다소 의아하게 들릴 수 있습니다. VPN의 궁극적인 목적이 바로 인터넷을 통해 안전한 터널을 제공하는 것이니까요. 이를 이해하기 위해 일반적으로 VPN 위협 요소가 될 수 있는 사항을 종합적으로 살펴보겠습니다. 그렇다고 VPN을 통해 전달하는 데이터가 가로채기나 변조의 위험에 노출된다는 의미는 아닙니다. 대부분의 최신 계층 3 VPN은 뛰어난 데이터 스트림 암호화 기능을 제공합니다. 그보다는 조직 네트워크에 "모든 포트, 모든 프로토콜"을 통해 액세스할 수 있는 모든 권한이 부여된 원격 컴퓨터로 인해 발생하는 위협을 생각해 볼 수 있습니다. 문제는 계층 3 VPN에서 암호화되어 네트워크를 통해 전달되는 데이터 스트림이 아니라 이러한 터널을 통한 원격 클라이언트 연결에 있습니다. 이러한 연결은 내부 네트워크의 위험성을 높입니다. Slammer나 Blaster와 같은 맬웨어로 피해를 입은 대부분의 조직이 내부 네트워크의 컴퓨터나 방화벽을 통과한 해커에 의해 손상을 입은 것이 아니었다는 점을 기억해 보십시오. 그보다는 오히려 감염된 컴퓨터에서 VPN을 통해 네트워크에 연결하는 원격 사용자를 통해 이러한 피해가 발생한 것입니다. 이러한 VPN에서 완전히 라우팅된 계층 3 기반 연결을 만들면 원격 컴퓨터가 데이터센터에 설치된 컴퓨터와 마찬가지로 내부 리소스에 대한 액세스 권한을 가지게 됩니다. 이러한 액세스 권한은 좋은 의도로 사용될 수도 있지만 악용될 소지도 있습니다.
게다가 계층 3 VPN을 위해서는 조직의 IT 부서에서 관리하지 않는 컴퓨터에 소프트웨어를 설치하고 구성해야 하므로 운영 비용이 높아질 수 있습니다. 예를 들어 사용자의 가정용 컴퓨터에 VPN 클라이언트를 설치하려면 사용자 지정 설치 패키지를 만들고, 사용자가 따라야 하는 자세한 설치 지침을 작성하고, 사용자의 컴퓨터에 설치된 응용 프로그램과의 충돌 문제를 해결해야 합니다. 뿐만 아니라, 새로운 버전의 클라이언트를 배포해야 하거나 새 VPN 끝점을 추가하는 경우와 같이 구성 데이터가 변경되는 경우 막대한 관리 비용이 소요될 수 있습니다. 사용자의 입장에서는 이 VPN을 통한 작업이 직관적이지 않게 느껴지는 경우가 많습니다. 계층 3 연결밖에 제공되지 않으므로 사용자의 업무용 응용 프로그램과 데이터를 쉽게 액세스하여 확인할 수 없습니다.
터미널 서비스를 통한 문제 해결
터미널 서비스와 계층 7 또는 응용 프로그램 계층 VPN이라는 다른 기술에서는 사용자가 액세스할 수 있는 리소스 및 프로토콜에 대한 효과적인 제어 기술을 제공하고 최종 사용자 환경을 이전보다 간단하고 직관적으로 만들어 이 두 가지 문제를 해결합니다.
보안의 관점에서 보면 계층 3 VPN 방식과 터미널 서비스 및 TS 게이트웨이를 사용하는 다른 방식 사이의 가장 중요한 기능 차이점은 내부 네트워크에 대한 연결이 완전히 개방된 파이프라인이 아니라는 점입니다. 특히 계층 3 방식에서는 내부 네트워크에 대한 모든 라우팅 기능을 가진 가상 인터페이스를 로컬 컴퓨터에 만드는 반면, TS 게이트웨이 방식에서는 RDP 기반 패킷만 내부 네트워크에 전달되도록 허용합니다. 따라서 전반적인 공격 노출 영역이 크게 줄고 RDP 내에서 보다 세부적으로 제어할 수 있습니다. 예를 들어 RDP는 드라이브 리디렉션에 대한 기본 지원을 제공하지만 조직에서 TS 게이트웨이를 NAP와 통합하여 원격 컴퓨터가 최신 바이러스 백신 소프트웨어가 설치되어 있음을 증명하는 경우에만 이 기능을 허용하도록 구성할 수 있습니다.
최종 사용자의 관점에서 계층 3 VPN과 터미널 서비스 기반 방식 간의 가장 명백한 차이는 설치가 훨씬 간단하다는 점(설치가 전혀 필요하지 않은 경우도 많음)과 응용 프로그램 및 데이터에 훨씬 쉽고 직관적으로 액세스할 수 있다는 점입니다. 원격 데스크톱 연결 클라이언트가 Windows에서 기본 제공되고 Windows® Update와 같은 일반 서비스 기술을 통해 최신으로 유지되므로 대개 별도로 설치할 클라이언트 소프트웨어가 없습니다. 또한 TS 웹 액세스를 활용함으로써 사용자가 단일 URL에서 모든 응용 프로그램과 데이터를 찾을 수 있습니다. 응용 프로그램을 간단히 클릭하면 TS 게이트웨이에서 인터넷을 통한 연결을 안전하게 터널링하여 해당 응용 프로그램이 사용자의 데스크톱에 완벽하게 전달됩니다. 다시 말해 복사하여 붙여넣기 기능이 지원되고 작업 표시줄에 최소화되는 등 응용 프로그램이 로컬로 설치된 것처럼 보이고 동작합니다. 터미널 서버 기반의 원격 액세스 방식은 응용 프로그램과 데이터를 검색하기 용이하게 하고 설치가 즉각적으로 이루어지게 함으로써 성공적으로 사용자 만족도를 높이고 지원 비용을 절감해 줍니다.
네트워크 아키텍처 선택
인터넷을 통해 TS 게이트웨이 서버를 사용할 수 있도록 하는 데에는 두 가지 기본 네트워크 설계 방식을 이용할 수 있습니다. 첫째는 TS 게이트웨이를 경계 네트워크의 계층 3/4 방화벽 사이에 배치하는 방식이고, 둘째는 TS 게이트웨이를 내부 네트워크에 배치하고 Microsoft® ISA Server, Microsoft Intelligent Application Gateway, 기타 다양한 타사 솔루션과 같은 응용 프로그램 계층 방화벽을 경계 네트워크에 배치하여 인바운드 HTTPS 프레임을 검사하는 방식입니다. 여기서는 이러한 인바운드 세션이 분석된 후에만 패킷이 내부 TS 게이트웨이 서버로 전달됩니다.
조직에 기본 상태 기반 패킷 검사만 실행하는 계층 3/4 방화벽밖에 없으면 그림 1과 같이 TS 게이트웨이 장치를 경계 네트워크에 직접 배치할 수 있습니다. 이 설계에서는 인터넷 쪽 방화벽이 인터넷을 통해 HTTPS 트래픽만 전달되도록 TS 게이트웨이에 대한 연결을 제한합니다. 그러나 방화벽은 응용 프로그램 계층에서는 이 트래픽에 대한 검사를 수행하지 않고 TS 게이트웨이로 전달하기만 합니다. 그러면 TS 게이트웨이 서버가 HTTPS 패킷에서 RDP 프레임을 추출하여 해당 백 엔드 서버로 전달합니다. 이러한 백 엔드 서버는 대체로 TS 게이트웨이에서 전달된 RDP 프레임이 해당 내부 서버에 전달되도록 허용하는 다른 방화벽에 의해 경계 네트워크와 분리됩니다.
.gif)
그림 1 계층 3/4 방화벽을 사용하는 경우 경계 네트워크에 배치된 TS 게이트웨이 (더 크게 보려면 이미지를 클릭하십시오.)
이러한 시나리오는 완벽하게 지원되고 많은 조직에서 유용할 수도 있지만 두 가지 중대한 단점이 있습니다. 첫째, TS 게이트웨이가 인터넷에서 직접 트래픽을 수신하기 때문에 외부의 악의적인 공격자에게 더 많이 노출되는 위험이 있습니다. 이러한 악의적인 공격자는 SSL 세션을 통해 게이트웨이에 대한 공격을 시도할 수 있을 뿐만 아니라 프런트 엔드 방화벽이 헤더만 검사하고 페이로드는 검사하지 않기 때문에 이러한 세션이 게이트웨이까지 도달할 수 있습니다. 그렇다고 TS 게이트웨이가 취약한 구성 요소라는 뜻은 아닙니다. 사실 TS 게이트웨이는 다른 Windows Server 2008 제품과 마찬가지로 엄격한 보안 설계와 테스트를 거쳤습니다. 그러나 이 시나리오에서만큼은 인터넷에서 직접 수신된 필터링되지 않은 트래픽을 처리할 수도 있기 때문에 위험 수준이 상대적으로 높습니다. 두 번째 중대한 단점은 게이트웨이와 백 엔드 방화벽 간에 허용되어야 하는 트래픽의 양이 증가한다는 점입니다. 사용자를 인증하기 위해 TS 게이트웨이는 Active Directory®와 통신해야 합니다. 이러한 통신을 가능하게 하려면 백 엔드 방화벽에서 HTTPS보다 훨씬 광범위한 포트와 프로토콜에 대해 예외를 적용해야 합니다. 이렇게 허용되는 통신이 증가함에 따라 또 다시 설계적인 측면에서의 상대적 위험 수준이 높아지게 됩니다.
TS 게이트웨이를 인터넷에 노출하기 위해서는 인바운드 HTTPS 세션이 게이트웨이에 도달하기 전에 응용 프로그램 계층(계층 7) 방화벽을 사용하여 처리하는 방식이 더 효과적입니다(그림 2 참조). 이 설계에서도 기존 계층 3/4 방화벽이 경계 네트워크를 구성할 수 있습니다. 그러나 TS 게이트웨이 대신 계층 7 방화벽이 경계에 배치됩니다. 트래픽이 외부와 접한 방화벽에 도달하면 방화벽에서 HTTPS 프레임을 제외한 모든 데이터를 필터링하여 계층 7 방화벽에 HTTPS 프레임만 전달합니다. 이때 계층 7 방화벽은 SSL 세션을 종료하고, 스트림에서 암호화되지 않은 콘텐츠를 검사하고, 악의적인 트래픽을 차단한 다음 백 엔드 방화벽을 통해 RDP 프레임을 TS 게이트웨이로 전송합니다. 원하는 경우 계층 7 방화벽에서 프레임을 TS 게이트웨이로 보내기 전에 다시 암호화할 수도 있습니다. 이 방식은 조직의 전용 네트워크에는 그다지 필요하지 않지만 호스팅되는 데이터 센터나 공유 네트워크에는 매우 유용할 수 있습니다.
.gif)
그림 2 TS 게이트웨이 장치와 응용 프로그램 계층 방화벽 사용 (더 크게 보려면 이미지를 클릭하십시오.)
이 설계를 통해 이전 솔루션의 단점을 모두 해결할 수 있습니다. TS 게이트웨이 서버가 계층 7 방화벽에서 검사된 트래픽만 수신하므로 인터넷을 통한 공격이 차단되지 않을 위험성이 낮아집니다. 계층 7 방화벽이 이러한 공격을 필터링하고 검사를 통과한 정상 트래픽만 게이트웨이로 보내기 때문입니다.
이 솔루션의 다른 주요 장점으로, 내부 네트워크에 따라 게이트웨이가 배치된다는 점을 들 수 있습니다. 인터넷에서 수신되는 트래픽이 게이트웨이에 도달하기 전에 계층 7 방화벽에서 검사되므로 게이트웨이를 내부 네트워크에 배치하여 사용자 세션의 인증과 RDP 호스트를 위해 도메인 컨트롤러에 직접 액세스하도록 할 수 있습니다. 게다가 백 엔드 방화벽에 훨씬 엄격한 정책을 적용할 수도 있습니다. RDP 및 디렉터리 인증 트래픽을 모두 허용하는 대신 계층 7 방화벽에서 전달된 RDP 세션만 TS 게이트웨이에 도달하도록 허용해야 합니다. 계층 7 방화벽을 기반으로 TS 게이트웨이 배포를 진행하면 기존 경계 네트워크를 다시 설계하지 않고도 관리가 용이하고 보다 안전한 솔루션을 제공할 수 있습니다.
NAP 통합
뛰어난 경계 설계가 어디서든 액세스 가능한 솔루션의 핵심 요소이기는 하지만 규정을 준수하고 끝점 장치의 보안을 유지하는 것도 중요합니다. RDP는 RDP 세션 및 프린터와 같은 다양한 유형의 장치 리디렉션을 허용하는 기능이 풍부한 프로토콜이므로 솔루션에 연결하는 클라이언트가 조직의 보안 정책을 따르도록 하는 것이 중요합니다. 예를 들어 앞서 살펴본 것과 같은 최상의 방법에 따른 안전한 네트워크 토폴로지를 사용하더라도 안전하지 않은 컴퓨터에서 터미널 서버에 연결하는 최종 사용자가 기밀 데이터를 잃거나 악의적인 파일을 터미널 서버로 가져올 수 있습니다. 사용자가 계층 3 VPN을 통해 연결하는 경우보다는 연결할 수 있는 경우와 피해를 입을 수 있는 가능성이 매우 적지만 데이터 손실의 위험성을 관리하고 IT 정책을 준수하도록 하는 것은 여전히 중요합니다.
NAP(네트워크 액세스 보호)는 네트워크에 연결할 수 있는 사용자뿐만 아니라 이러한 사용자가 연결에 사용할 수 있는 시스템의 종류까지 제어할 수 있는 Windows Server 2008의 새로운 기술입니다. 예를 들어 NAP를 사용하면 방화벽을 실행 중이고 최신 바이러스 백신 소프트웨어가 설치된 컴퓨터만 네트워크에 연결하도록 제한할 수 있습니다. 또한 NAP는 조직의 내부 네트워크는 물론, 계층 3 VPN을 통해 연결하는 사용자와 TS 게이트웨이를 통해 연결하는 사용자를 비롯한 원격 사용자까지 제어하도록 확장할 수 있는 솔루션입니다. NAP를 TS 게이트웨이 설계에 통합하면 보안 정책에 부합하는 시스템만 연결하도록 할 수 있습니다. NAP에 대한 자세한 내용은 2007년 5월호 TechNet Magazine에서 필자의 Security Watch 칼럼(technetmagazine.com/issues/2007/05/SecurityWatch)을 참조하십시오.
NAP는 설계에 서비스 하나만 추가하는 간단한 방식으로 TS 게이트웨이 배포에 통합할 수 있습니다. 이 서비스는 NPS(네트워크 정책 서버)로 TS 게이트웨이 서버 자체에 설치하거나 별도의 운영 체제 인스턴스에 설치할 수 있습니다. 그런 다음 TS 게이트웨이 MMC를 사용하여 특정 상태에서 허용할 RDP 기능을 정의하는 CAP(연결 권한 부여 정책)를 만듭니다. TS 게이트웨이 서버는 새 연결이 시도될 때마다 NPS로 검사하고 해당 연결에 대한 SoH(상태 설명)를 NPS로 전달하도록 구성됩니다. 그러면 네트워크 정책 서버가 SoH를 정책과 비교하여 클라이언트 상태에 따라 연결을 허용해야 할지 여부를 TS 게이트웨이에 알립니다.
그림 3에서 보듯이 조직의 보안 정책에서 자동 업데이트 사용을 요구하나 시스템이 Windows Update를 사용하지 않도록 구성되어 정책에 부합하지 않는 경우 사용자가 TS 게이트웨이에 연결을 시도하면 컴퓨터에서 SoH를 생성하여 전달합니다. 이 SoH의 내용은 "방화벽을 사용 중이며 바이러스 백신이 최신이지만 자동 업데이트를 사용하지 않습니다."와 같습니다. 이 경우 TS 게이트웨이에는 SoH를 디코딩하는 자체 논리가 없으므로 TS 게이트웨이는 이 SoH를 NPS에 전달하고 NPS에서 SoH를 관리자가 정의한 정책과 비교합니다. 자동 업데이트를 사용하지 않으므로 NPS는 연결이 "비준수" 정책에 해당하는 것으로 판단하여 TS 게이트웨이에 연결을 허용하지 않도록 지시합니다. 그러면 TS 게이트웨이가 연결을 끊고 사용자에게 컴퓨터가 조직의 보안 정책에 부합하지 않음을 알립니다. 사용자는 필요한 조치(이 경우 자동 업데이트 설정)를 취하고 연결을 다시 시도할 수 있습니다. 그 결과 새 SoH가 생성되고 NPS는 컴퓨터가 정책을 준수하는 것으로 판단하므로 TS 게이트웨이가 연결을 허용하게 됩니다. .gif)
그림 3 정책을 준수하는 시스템만 연결 가능 (더 크게 보려면 이미지를 클릭하십시오.)
결론
Windows Server 2008에는 안전하면서 어디서든 액세스 가능한 솔루션의 핵심이 되는 기초 구성 요소가 포함되어 있습니다. TS 게이트웨이는 인터넷을 통해 원격 데스크톱 세션을 안전하게 터널링하는 방법을 제공하며 조직에서 이 게이트웨이를 기존 네트워크에 통합할 수 있는 여러 옵션을 제공합니다. 선택할 수 있는 옵션으로는 TS 게이트웨이를 경계 네트워크에 직접 배치하거나, TS 게이트웨이의 전면에 ISA Server 또는 Intelligent Application Gateway와 같은 계층 7 방화벽을 사용하는 방식이 있습니다.
NAP를 TS 게이트웨이와 결합하면 솔루션에 끝점 상태 검사 기능을 추가할 수 있습니다. 조직에서는 끝점 검사를 통해 유효한 사용자가 원격 연결을 했는지 여부뿐만 아니라 해당 연결이 IT 보안 정책을 준수하는 컴퓨터에서 이루어졌는지도 확인할 수 있습니다. 이 두 기술을 함께 사용하는 경우 보다 안전하고 효율적으로 작동하며 최종 사용자에게 보다 나은 환경을 제공하는 원격 액세스 기능의 구현이 가능합니다. "터미널 서비스 리소스" 추가 기사에 나열된 사이트에서 더 많은 정보를 얻을 수 있습니다.
Trackback 0
:
Trackback Address :: http://www.hanulrang.com/trackback/138
cygni 2008/09/01 09:00
Windows Server 2008 터미널 서비스를 이용한 프리젠테이션 가상화
데모를 동영상으로 만들어 보았습니다.. ^^;
간단히 살펴 보시면서, Windows Server 2008 터미널 서비스의 달라진 모습들을 확인하세요. ^^
more.. 원격지에서 응용 프로그램을 사용 할 수 있도록, TS RemoteAPP와 TS Gateway, TS WebAccess를
이용하여 구성했습니다.
An optimist is one who makes the best out of the worst of all~
낙천주의자란 나쁜 것으로 최고의 것을 만드는 사람이다. cygni.
Trackback 0
:
Trackback Address :: http://www.hanulrang.com/trackback/103
Urikiri 2008/08/26 09:00
안녕하세요 Urikiri입니다.
이제 아침 저녁으로는 더위가 한풀 꺾인걸로 보아 그 고통스럽던 여름이 막바지에 접어든 거 같네요.
이제 조금 지나면 추석에 겨울에.. 올해도 금방 끝날 것 같은 느낌이 들고 있습니다. 실제로 달력을 보내 곧 9월이군요. 올해 초에 생각했던 모든것들을 다 이룰 수 있도록 좀 더 분발해야겠습니다. ^^
지난시간에는 TS 게이트웨이에 NPS서버가 같이 있을 경우 ISA Server 2006을 통한해서 TS 게이트웨이의 보안을 강화하는 방법을 설명해드렸습니다. 오늘은 TS 게이트웨이와 NPS 서버가 각각 다른 서버에 있을 경우에 대해서 설명을 해 드리겠습니다. 이번 시나리오에서 ISA 서버를 구성하는 방법이 지난번 시나리오 1과 같아서 TS 게이트웨이에서 중앙 NPS서버를 지정하는 방법에 대해서만 설명해 드립니다. 만약 ISA 서버 구성방법이 궁금하시면 시나리오 1을 참고해 주세요.
펼쳐보기... ☜ 클릭 시나리오 2
이번 시나리오에서, TS 게이트웨이는 다른 서버에 있는 NPS 중앙 정책을 이용할 것 입니다. 우리는 원격에서 TS 게이트웨이를 통해 연결하는 클라이언트들에 대해 NAP 정책을 적용할것 입니다. 시나리오 1에서 사용했던 구성요소와 같은 구성요소가 사용됩니다. 오직 NPS 서버만 추가되었습니다. 그러나 NAP 적용하기 위해 그림 7에서 보여지는것 과 같이 클라이언트에 추가적인 구성요소가 사용됩니다.
그림 7. 시나리오 2 토폴로지의 주요 구성요소들
각각의 개별적인 구성요소에 대해 설명해 드리겠습니다.Windows Vista 클라이언트에서 SHA(System Health Agent)는 모니터링과 클라이언트 건강 상태를 보고하기 위한 클라이언트쪽 구성요소입니다. Windows Vista는 Windows SHA를 가지고 있습니다. 그러나, 그들의 SHAs를 만들어서 동작하게하는 다른 업체들이 있습니다. 클라이언트에 있는 NAP 에이전트는 NAP 서버와 커뮤니케이션 확립을 위해 응답할 수 있습니다. 클라이언트가 네트워크에 연결을 시도할 때 NAP 에이전트는 클라이언트의 SoH(Statement of Health)를 서버로 보냅니다.
TS RAP(Resource Authorization Policy)은 TS 게이트웨이의 구성요소입니다. 그것은 들어오는 RDP 요청에 대해 어떤 컴퓨터가 가능한지를 결정하게 합니다. TS RAP는 또한 어떤 사용자가 특정 서버로 RDP 연결을 맺을 수 있는지에 대해서도 결정합니다.
중앙 NPS는 상태 제어, 구속(constraints), 그리고 내부 컴퓨터에 접근을 통제하는 설정에 대해 응답할 수 있습니다. 중앙 NPS의 SHVs(System Health Validators)는 클라이언트가 제출한 SoH가 관리자가 설정한 정책에 적합한지 아닌지에 대한 평가에 대해 응답할 수 있습니다.
이제 TS 게이트웨이가 NPS 중앙 서버를 가리키게 하겠습니다. TS Gateway Manager 콘솔을 실행합니다. 서버이름에서 마우스 오른쪽 버튼을 클릭합니다. 그리고 속성을 선택합니다. 서버 속성 창에서 TS CAP 저장소를 탭을 클릭한 후 중앙 NPS 서버를 선택합니다. NPS 서버의 IP 주소를 입력합니다. 그리고 추가 버튼을 클릭합니다. 공유 암호 창이 나타납니다. 암호를 입력하고 마침을 클릭합니다. 그리고 마침을 클릭해서 창을 닫습니다. 이 암호는 NPS 서버에서 사용되기 때문에 기억해야합니다.
NPS가 이미 다른 서버에 설치되었다는 가정하에 다음 순서를 진행하십시오.
-
NPS 콘솔을 실행합니다. 왼쪽에 NPS(Loacl)을 클릭합니다.
-
오른쪽 창에서 NAP 구성을 클릭합니다. "네트워크 연결 방법"이 나타납니다.
-
네트워크 연결 방법 아래에서 "TS 게이트웨이(터미널 서비스 게이트웨이)"를 선택합니다.
-
"TS 게이트웨이를 실행하는 NAP 적용 서버 지정"에서 "추가"버튼을 클릭합니다.
-
"새 TS 게이트웨이 서버"에서 TS 게이트웨이 서버의 IP나 이름을 입력합니다. 그리고 아래에 공유 암호를 입력합니다. 그리고 "확인"을 클릭합니다.
-
"클라이언트 장치 리디렉션 및 인증 방법 구성"페이지에서 리디렉션할 장치를 지정하고 허용할 인증 방법(암호 허용 또는 스마트 카드 허용)을 선택할 수 있습니다.
-
"사용자 그룹 및 컴퓨터 그룹 구성" 페이지에서 연결을 맺을 사용자 그룹을 추가합니다. 예를들어 "사용자 그룹" 아래의 "사용자 추가"버튼을 클릭합니다. 그리고 "Domain Admins"를 추가합니다. 그리고 "확인"을 누른 후 "다음"을 클릭합니다.
-
"NAP 상태 정책 정의"페이지에서 기본적으로 SHV가 이미 선택되어진 것을 확인할 수 있습니다. 이 페이지 아래에 적합하지 않은 컴퓨터덜은 액세스가 거부된 것도 확인할 수 있습니다. 기본설정대로 놔둔후 "다음"버튼을 클릭합니다.
-
"NAP 적용 정책 및 RADIUS 클라이언트 구성 완료"페이지는 앞에서 선택한 옵션들을 확인 할 수 있습니다. 그리고 "구성 세부 정보" 링크를 클릭하면 선택한 것 들이 요약된 HTML 페이지가 나타날 것 입니다. "마침"을 눌러 구성을 마칩니다.
이 마법사를 통한 작업은 많은 중요한 정책들의 설정을 구성하는데 도움이 됩니다.(연결 요청 정책, 네트워크 정잭 그리고, 성태 정책), 이 시나리오에 대한 NAP을 구성하는데 필요한 작업을 눈에띄게 줄여줍니다.
클라이언트에 대해서
서버가 이제 모두 설치가 되고 설정이 되었습니다. 이제 클라이언트에 대해선 어떤 것을 해야 할까요?
NAP 적용 정책의 이점을 위해 클라이언트는 Windows Server 2008 또는 Windows Vista이어야 합니다. Windows XP는 NAP 클라이언트를 포함하기 위해 SP3가 설치되어야 합니다. 그리고 아래는 몇 개의 관계되는 서비스와 설정입니다.
-
클라이언트에서 신뢰할 수 있는 서버 목록에 TS 게이트웨이 서버의 이름을 추가합니다.
-
NAP 에이전트 서비스를 시작합니다. 그리고 서비스 시작 유형을 "자동"으로 설정합니다.
-
TS 게이트웨이 격리 적용 클라이언트를 활성화 합니다.
이 솔루션을 쉽게 배포하기 위해서 Microsoft는 터미널 서비스 NAP 클라이언트 설정 명령을 만들었습니다.(Tsgqecclientconfig.cmd) 이것은 여기에서 다운로드 하실 수 있습니다. 명령어를 실행한 후에는 클라이언트는 TS 게이트웨이를 사용하는 NAP 적용 클라이언트로 설정될 것입니다. 명령어는 관리자 권한으로 실행되어야만 합니다.
[원문 Article]
http://technet.microsoft.com/en-us/magazine/cc742827.aspx
Urikiri Zzarit~~~
Never Sotp Growing Up
Trackback 0
:
Trackback Address :: http://www.hanulrang.com/trackback/98
cygni 2008/07/14 09:47
지난 시간에는 TS-Gateway 서버를 구성해보았는데요. 이번에는 구성해 놓은 TS-Gateway를 터미널 서비스 접속 시에 어떻게 사용하는지에 대한 이야기를 해보겠습니다.
먼저 TS-Gateway 관리 콘솔을 보시면, 연결 권한 부여 정책과 리소스 권한 부여 정책이 생성되어 있는 것이 보입니다. TSG의 정책 구성은 설치 시에 적용 할 수도 있고, 또는 설치 후에 적용하는 것도 가능 합니다. 연결 권한 부여 정책(CAP), 리소스 권한 부여 정책(RAP)에 대해서는 앞선 포스팅들을 통해 말씀을 드렸었습니다.
more.. 
TS-Gateway를 사용하려면, MSTSC로 더 잘 알고 있는 '원격 프로그램 연결(Remote Desktop
Connection)'을 사용해야 합니다. 하지만, RDC 6.0 버전을 사용하면 Windows Server 2008에서 제공하는 터미널 서비스를 완전하게 사용하는데 문제가 있습니다. RDC 6.1 이상 버전의 사용을 권장하고요. RDC 6.1은 Windows Vista SP1, Windows Server 2008에 포함되어 있습니다.
다음은 TS-Gateway를 이용하도록 RDC를 설정하는 방법 입니다. TS-Gateway를 사용하도록 설정하는 것은 접속하고자 하는 클라이언트의 RDC 설정에서 TS-Gateway를 사용하도록 설정 한 후, 해당 서버를 지정해주는 간단한 작업으로 설정이 가능 합니다. 그림에서 보시는 것 처럼, '고급 설정' 탭에서 '어디에서나 연결' 버튼을 눌러 줍니다.
어디에서나 연결의 설정을 누르면 위와 같이 TS-Gateway 서버를 지정 할 수 있는 설정 화면이 나옵니다. 연결 설정에 이 TS 게이트웨이 서버 설정 사용에서 서버 이름을 지정해줍니다. 여기서 한가지 중요한 부분은 TS-Gateway 서버 이름란에 꼭 서버의 FQDN을 적어 주셔야 합니다. IP등을 적어주게 되면 TS-Gateway 설정 시 구성 하였던 컴퓨터 인증서 이름과 위배가 되므로, TS-Gateway 서버를 사용 할 수 없습니다.
터미널 서비스 연결 시 TS-Gateway를 이용하도록 설정 한 후에는 로그온 설정의 '원격 컴퓨터에 TS 게이트웨이 자격 증명 사용' 을 통해 TS-Gateway 연결 시의 자격 증명으로 접속하고자 하는 대상 서버에 로그인을 시도 할 수 있습니다. 만약 대상 서버의 자격 증명이 TS-Gateway 자격 증명과 동일 하다면 다른 로그인 절차 없이 대상 서버에 로그인 할 수 있습니다.
TS-Gateway 서버의 구성 및 연결 방법 등에 대해서 간단하게 알아 보았습니다.
하지만 실제 구성을 하여 사용하다면 분명 예상하지 못한 문제들을 만날 수가 있는데요. 실제 구축하시거나, 테스트 진행 시에 잘 처리 되지 않는 어려운 부분이 있다면 문의 해주세요. 함께 테스트 하며 답을 찾아 볼 수 있도록 노력 하겠습니다. ^^
이제 다시 또 한 주가 시작이 되었네요~ 무더위를 건강하게 잘 이겨내시길~!!
An optimist is one who makes the best out of the worst of all~
낙천주의자란 나쁜 것으로 최고의 것을 만드는 사람이다. cygni.
Trackback 0
:
Trackback Address :: http://www.hanulrang.com/trackback/81
cygni 2008/06/30 09:00
안녕하세요. Cygni입니다. ^^
오늘은 언제 어디서나 그리고, 안전하게 터미널서비스에 접속 할 수 있는 Windows Server 2008 터미널서비스 게이트웨이 서버 역할 설치 방법에 대해서 포스팅을 해보았습니다. Windows Server 2008을 한 번이라도 사용해보신 분들은 잘 알고 계시겠지만, Windows Server 2008에서 서버의 역할을 설치하는 방법이 기존 버전의 서버들에 비해서 매우 간단해지고, 편리해졌습니다.
오늘 제가 말씀을 드릴 터미널서비스 게이트웨이 역할의 설치 역시도, 서버관리자 콘솔에서 쉽게 설치하실 수가 있는데요. 하지만 쉽게 설치가 가능하다고 해도, 터미널서비스 게이트웨이를 설치 하기 전에 준비를 해야 하는 것들과 설치 시 고려해야 하는 것들을 무시하고 그냥 역할만 설치한다면, 터미널서비스 게이트웨이를 정상적으로 사용하기는 힘들겠죠.. ^^ 그래서 설치 과정에서 준비해야 하는 것들과 터미널서비스 게이트웨이 역할을 설치한 후에 정상적으로 동작하기 위해 설정해야 하는 몇가지 부분들을 말씀 드리려고 합니다.
펼쳐보기... ☜ 클릭 설명을 드리기 위해서 설치 과정을 스크린샷을 떠 보았는데요. 모든 그림에 대해서 설명을 드리려면
너무 양이 많이 질 것 같아서, 중요한 부분에서 해당 설정에 대한 말씀을 드리는 것으로 하겠습니다.
터미널서비스 게이트웨이는 앞선 포스팅을 통해서 설명을 드렸던 것 처럼, 일반적인 터미널서비스 접속 포트인 3389 포트의 RDP를 이용한 연결이 보안 상 취약점을 노출 할 수있어, 보안된 웹 접속 방법인 SSL 연결에 캡슐화된 RDP를 전송하여 터미널 세션 연결 시의 보안 강화 및 언제 어디서든 연결이 가능하도록 하며, 또 접속 권한과 접근 제어를 통해 터미널 서비스 접속 제어를 제공하는 역할을 이야기 합니다.
그러한 터미널서비스 게이트웨이의 역할을 고려해보면, 설치 시에 어떠한 부분들을 고려해야하는지 알 수 있습니다. 즉, 보안 된 웹접속을 가능하게 하기 위한 웹서버 인증서를 이용한 SSL 연결 구현과 또 사용자의 접속 권한과 리소스 접근 제어를 위한 정책이 필요하다는 것을 알 수 있습니다.
아래의 그림들은 터미널 서비스 게이트웨이 역할을 구현 할 TS-GW서버에 인증서를 설치하는 과정 입니다. 구성을 위해서 TSDOM 도메인의 DC에 인증기관을 설치하여, TS-GW 서버에서 사용 할 웹서버용 인증서를 만들고 발급하는 과정 입니다.
인증기관의 인증서 템플릿의 관리를 통해 발급할 인증서를 만드는 과정 입니다.인증서 템플릿 중 웹서버 템플릿을 복제합니다.
복제한 템플릿에 이름과 발급하기 위한 조건을 설정 합니다. 보안 탭에서 도메인 어드민 계정이 인증서를 요청 할 때 자동으로 발급 받을 수 있도록 자동등록을 체크해주면 터미널서비스 게이트웨이 서버에서 인증서를 설치 할 때, 인증서를 요청하게 되면 자동으로 승인되어 등록되게 됩니다. 템플릿 복제를 통해서 터미널서비스 게이트웨이 서버에서 사용 할 웹서버 인증서를 만든 후 인증기관의 인증서 템플릿에서 새롭게 생성한 인증서 템플릿을 발급 할 수 있는 인증서 템플릿으로 등록 합니다.아래의 과정은 인증서를 설치 할 TS-GW(터미널서비스 게이트웨이) 서버에서 인증서를 발급 받는 과정 입니다. MMC를 이용하여 인증서를 스냅인을 추가 합니다. SSL 연결을 위한 인증서는 서버 인증서를 사용하므로 컴퓨터 계정으로 선택해줍니다. (나중에 SSL 연결에 대한 부분도 자세하게 한 번 다루어 보도록 하겠습니다.)
터미널서비스 게이트웨이 서버에 인증서를 발급 받는 과정 입니다. 여기서 가장 중요한 것은 인증서를 발급 받을 때, 외부에서 터미널서비스 게이트웨이 서버로 접근하고자 하는 URL명과 발급 받은 인증서의 이름이 일치해야 하다는 점 입니다. 즉, 외부에서 터미널서비스 게이트웨이 서버로 접속 하려고 할 때, TS-GW.Tsdom.com이라는 이름으로 접속한다면, 웹서버 인증서를 발급 받을 때 인증서의 일반 이르을 꼭, TS-GW.Tsdom.com으로 동일하게 해주어야 인증서 오류 때문에 터미널서비스 게이트웨이 연결 오류를 피할 수 있습니다. 역시 자세한 내용은 다음에 SSL 연결에 대한 포스팅을 올리게 될 때 말씀을 드리도록 하겠습니다. ^^이렇게 인증서 발급과 설치에 대한 설정이 끝나면 터미널서비스 게이트웨이 역할을 설치 할 TS-GW 서버의 서버관리자 콘솔을 통해서 역할을 설치 합니다.
역할 추가를 선택하여 설치 할 역할인 터미널 서비스 중 터미널 서비스 게이트웨이 역할을 선택하여 진행합니다. Windows Server 2008의 가장 좋은 점 중에 하나로 역할을 설치 할 때, 그 역할이 정상적으로 동작하기 위해 종속성을 가지는 다른 역할들도 함께 선택적으로 설치를 할 수가 있다는 점 입니다. 처음에는 그냥 조금 편하다라는 생각을 했었는데, 얼마전 오랜만에 Windows Server 2003에 Exchange 2007 클러스터를 구성하는 테스트를 진행하면서 Windows Server 2008이 얼마나 편한지를 다시금 느꼈었습니다.. ^^ㅋ
위와 같은 진행으로 터미널서비스 게이트웨이 서버를 설치 하실 수가 있습니다.
터미널서비스 게이트웨이 역할 설치 방법을 간단하게 요약을 해서 말씀을 드리면,
터미널서비스 게이트웨이 서버를 설치하기 위해서는 먼저 웹서버 인증서를 발급 받아 터미널서비스 게이트웨이 서버에 설치를 해주어야 하며, TS-CAP과 TS-RAP을 통한 사용자 접속 권한 설정 및 리소스 접근 제어 정책을 설정하기 위해서 터미널서비스 게이트웨이를 사용 할 사용자 그룹이나 리소스 그룹들을 사전에 미리 설정해놓는 것이 필요 합니다.
두서 없이 글만 길어졌는데요. 터미널서비스 게이트웨이 역할 설치 및 활용하시는데 도움이 되었으면 하는 바램이고요.^^ 다음에는 실제 업무에서 활용 할 수 있는 간단한 시나리오 구성에 대해서 말씀을 드리도록 하겠습니다.
An optimist is one who makes the best out of the worst of all~
낙천주의자란 나쁜 것으로 최고의 것을 만드는 사람이다. cygni.
Trackback 0
:
Trackback Address :: http://www.hanulrang.com/trackback/73
cygni 2008/05/12 09:00
Windows Server 2008 의 터미널 서비스의 달라진 점들에 대해서 말씀을 드렸었는데요.
그 중에서도 이전 버전과 비교하여 가장 크게 달리진 점은 터미널 서비스를 역할별로 설치 할 수 있다는 점인 것 같습니다.
오늘은 Windows Server 2008 터미널 서비스의 역할 중에서 TS Gateway 역할에 대해서 간단히 알아 보도록 하겠습니다.
펼쳐보기... ☜ 클릭
많은 IT 관리자 분들이 인프라 관리를 위해서 터미널 서비스를 관리 모드로 사용해오셨을 거라 생각을 해보면, 터미널 서비스를 사용 할 때 가장 큰 제약 사항이 바로 터미널 서비스 접속을 위한 RDP가 보안에 취약했었다는데 있었습니다. 그래서 해당 포트를 방화벽에서 막아 놓아 외부에서의 관리를 위한 접속이나 또는 사무실과 서버팜 간의 통신에서 해당 포트를 막아 놓아 관리를 하는데 큰 불편을 겪는 것을 보아왔던 것 같습니다.
TS Gateway는 RDP over Https처리를 사용합니다.(Exchange Server 2003에서 처음으로 이야기 되었던 RPC over Https와 동일한 아키텍쳐를 가지고 있습니다.) 즉, 보안에 취약한 RDP 패킷을 HTTPS를 이용한 보안 된 채널을 통해서 캡슐화 하여 방화벽을 통과 할 수 있게 해주고, TSG가 다시 캡슐된 것을 열어 터미널 접속을 가능하게 해줍니다.
아래의 그림을 보시면 이해가 쉽게 되실거라 생각이 드네요.
터미널 서비스 게이트웨이는 Https 연결을 제공하는 것 이외에도 접근에 대한 인증(CAP - Connection Authentication Policies)과 접근 가능한 리소스에 대한 허가(RAP - Resource Authorization Policies)를 통한 터미널 서비스 연결에 대한 보안을 제공 합니다.
An optimist is one who makes the best out of the worst of all~
낙천주의자란 나쁜 것으로 최고의 것을 만드는 사람이다. cygni.
Trackback 0
:
Trackback Address :: http://www.hanulrang.com/trackback/31
|
