7-1-2. RAS 사용자 보안설정

 

7-1-2-1. 원격 액세스 권한

 

RAS 서비스를 하는 서버가 네트워크에서 어떤 역할을 하는지, 어떤 OS로 구성이 되어 있는지에 따라 구성메뉴가 다르다. 만일, 도메인컨트롤러나 도메인의 멤버서버에서 서비스를 한다면 '관리도구àActive Directory 사용자 및 컴퓨터'를 통해서 접근하고, 독립실행형 서버에서 RAS서비스를 구현한다면 '관리도구à컴퓨터관리'도구를 이용한다. 어떤 환경이든지 사용자 계정의 등록정보를 연 다음 '전화 접속 로그인'탭을 열면 아래의 <그림7-16>와 같은 화면을 볼 수 있다. '액세스 허용'으로 구성하면 된다. 이것은 가장 간단하게 사용자에게 권한설정을 하는 방법이지만 실제로는 RAS정책을 통하여 구현하는 것이 바람직하다. 이 장의 후반부에서 RAS정책에 대해 다루도록 한다.

<그림7-16. 전화 접속 로그인 권한 설정 화면 >

 

원격 액세스 권한을 허용하는 것만으로도 사용자는 RAS 서버로부터 인증을 얻을 수 있게 된다. 하지만 추가로 설정할 수 있는 보안옵션들을 기억할 필요가 있다. 경우에 따라서 유용하게 사용할 수 있는 옵션이다.

 

7-1-2-2. 콜백 옵션

 

기본설정은 '콜백안함'으로 되어 있다. 콜백은 2가지 경우에 사용된다. 첫 번째는 전화요금 부담의 주체가 누구인지, 두 번째는 보안이 중요한 경우에 사용될 수 있다. 콜백옵션을 '호출자가 설정'을 셋팅하면 RAS 클라이언트가 서버에 전화를 걸어서 인증을 얻고 나면 서버는 사용자의 화면에 전화받을 위치를 입력할 것을 요구하게 된다. 이때 사용자가 현재 자신의 전화번호를 입력해 주면 서버가 클라이언트에게 전화 되걸기를 해 준다. 당연히 전화를 거는 쪽이 요금 부담을 하므로 클라이언트는 전화비용의 부담이 없이 RAS 서버에 연결해서 회사의 서버에 접속이 가능해 지는 것이다. RAS 클라이언트가 회사의 업무를 위하여 재택근무시 혹은 출장지에서 접속을 하게 되므로 전화비 부담을 회사에서 하는 것이 형평성에 맞을 것이다. 우리나라의 훌륭한 인터넷 인프라를 고려한다면 현실성이 떨어지긴 하지만.

 

콜백옵션을 '항상 콜백'으로 셋팅하는 것은 상황이 조금 다르다. 디렉토리 데이터베이스의 사용자 등록정보에 미리 전화번호를 입력해 두어야 한다. 그리고, RAS 클라이언트가 서버로 전화를 걸었을 때, 연결이 되고 나면 서버는 클라이언트에게 반드시 전화 되걸기를 해야만 연결이 되게 된다. 클라이언트쪽에서 별도로 전화번호를 지정할 수가 없기 때문에 RAS 사용자의 계정, 패스워드, RAS 서버의 전화번호 등이 외부에 유출이 되었다고 할지라도 상대방이 전화번호까지 도용하지 않는 이상 연결을 허용하지 않게 되는 것이다. 이것은 콜백옵션이 주는 보안중에서 가장 강력한 보안기능을 제공한다. 실제 동작하는 과정은 클라이언트쪽에서 연결을 하면서 체크해 보도록 하겠다. 이제 서버 구성은 마쳤고, 이 RAS 서버에 접속할 클라이언트를 구성하도록 한다.

 

7-1-3. 전화접속 클라이언트 구성

 

전화접속 서버에 접속하기 위해서는 클라이언트 역시 설정이 필요하다. Windows 9x 계열이나, Windows NT 4.0의 경우라면 "전화접속 네트워킹"을 통해서 설정하고, Windows 2000, XP등을 사용한다면 "네트워크 연결"을 통해서 설정할 수 있다. 예제의 화면은 Windows XP Professional에서 전화접속 서버로 연결하기 위해 구성하는 화면이다. 당연히 전화접속 서버에 연결하고자 하는 클라이언트는 역시 전화회선이 연결된 아날로그 모뎀이 필요하다.

 

<그림7-17. 네트워크 및 전화 접속 연결 화면 >	‘제어판’à’네트워크 연결’로 접근했다. ‘새 연결 마법사’를 클릭한다.
<그림7-18. 위치정보 입력화면 >	처음 접근할 때 위치정보를 물어보는 화면이 팝업된다. 클라이언트가 있는 위치에 대한 정보를 입력해 준다.   이 정보는 나중에 ‘제어판’à’전화 및 모뎀옵션’을 통해서 수정할 수 있다.
<그림7-19. 전화 및 모뎀 옵션 >	전화 및 모뎀 옵션을 설정하고 [확인]을 누른다.
<그림7-20. 네트워크 연결 마법사 시작 >	이제 네트워크 연결 마법사가 시작된다.
<그림7-21. 네트워크 연결 형식 선택 화면 >	네트워크 연결 형식에서 '회사 네트워크에 연결'을 선택한다. <그림7-21>
<그림7-22. RAS 서버의 전화번호 지정 >	전화접속 연결인지 가상사설망(VPN)연결인지를 선택해야 한다. 예제에서 모뎀을 가진 전화접속 서버에 연결하고자 함으로 '전화 접속 연결'을 선택했다.
<그림7-23. RAS 서버의 전화번호 지정 >	연결의 이름을 입력한다. 알기 쉬운 이름을 사용하면 된다. 예제에서는 ‘회사서버’라고 입력했다.
<그림7-24. RAS 서버의 전화번호 지정 >	'전화 걸 번호'창에서 전화접속 서버의 전화번호를 입력한다. 컴퓨터대 컴퓨터가 아니라 사람대 사람의 전화통화를 하는 것이라고 생각하면 쉽다.
<그림7-25. 네트워크 연결 마법사 완료 >	이제 설정을 마쳤다. [마침]을 눌러서 마법사를 마친다.
<그림7-26. RAS 서버로의 전화 접속 연결이 추가된 화면 >	마법사를 완료하고 나면 '네트워크 연결'화면의 전화접속 항목아래에 ‘회사서버’라는 새로운 연결이 추가된 것이 보인다. <그림7-26>
자 이제 제대로 접속이 될 것인지 테스트를 해 보자. <그림7-26>에서 ‘회사서버’ 아이콘을 더블클릭했다.
<그림7-27. RAS 서버 연결 테스트 >	사용자 이름과 암호를 입력하고 [전화걸기]를 클릭했다.
<그림7-28. RAS 서버에 전화 거는 중 >	해당 전화번호로 전화를 걸고 있다.
<그림7-29. RAS 서버에 전화 거는 중 >	연결이 되었다. 사용자 이름과 암호를 확인하는 ‘인증’과정을 거치고 있다. 이 때 해당 사용자가 전화접속서버에 ‘다이얼인’권한을 가지고 있지 않다면 권한이 없다는 메시지가 나온다.
<그림7-30. 컴퓨터를 네트워크에 등록하는 과정 >	인증이 되었다. 클라이언트 컴퓨터를 RAS서버가 속해있는 네트워크에 등록하는 과정이 나온다.
<그림7-31. 서버에 연결이 완료된 상태 >	등록이 성공적으로 되었다면 등록이 되었음을 보여주는 메시지가 나오고 작업표시줄에서 '네트워크'아이콘을 볼 수 있다.

 

일단 연결이 맺어지고 나면 클라이언트가 사용하는 컴퓨터가 회사의 네트워크의 로컬LAN에 직접 물려있는 것과 동일하게 생각하면 된다. 상대적으로 속도가 느리다는 것 (그런대로 쓸만 하긴 하지만) 말고는 별 차이가 없다. 회사의 파일서버, 프린트서버에 접근은 물론, 메일서버나 웹서버, 또 회사의 라우터를 이용해서 인터넷에 접근 등 로컬LAN의 다른 컴퓨터들과 동일한 작업을 할 수 있다.