7-3. RAS 정책의 이해

 

 

특정한 사용자들이나 부서단위로 회사의 RAS서버에 접속하도록 허용하거나 제한하는 것 등의 결정은 RAS 정책이 어떻게 만들어져 있는지에 달려있다. 단순하게 RAS를 사용하는 것은 특별한 정책이 필요한 것은 아니지만 이러한 정책이 802.1x무선인증, 디렉토리와 연동한 네트워크 디바이스 등에도 적용가능하여 그 활용도가 증가하고 있기 때문에 정리해 두면 도움이 될 것이다.

 

7-3-1. RAS정책 생성하기

 

간단하게 정책을 생성하는 방법을 예제를 통해 알아 보도록 하자.

<그림7-60. RAS정책 추가하기1>	‘라우팅 및 원격액세스’관리도구를 열면 왼쪽 패널에서 ‘원격 액세스 정책’을 찾을 수 있다. 오른쪽 패널에서 기본정책이 2가지 있는 것을 볼 수 있다.
<그림7-61. RAS정책 추가하기2>	새로운 정책을 추가해 보도록 하자. 예제에서는 SalesTeam 그룹에 속한 사용자들에게 VPN접속 권한을 할당하는 정책을 생성한다.   왼쪽패널의 ‘원격 액세스 정책’을 마우스 오른쪽 클릭하여 ‘새 원격 액세스 정책’을 선택한다.<그림7-61>
<그림7-62. RAS정책 추가하기3>	마법사 화면이 나온다.<그림7-62>
<그림7-63. RAS정책 추가하기4>	정책을 설정하는 방법은 2가지이다. 마법사를 이용하는 것과 사용자가 정책을 직접 만드는 방법이 있다. 마법사를 이용하여 만들어보도록 하자. 정책이름 항목에는 나중에 정책을 알아보기 쉽도록 직관적인 이름을 사용하자. ‘SalesTeamRAS정책’이라고 입력했다.
<그림7-64. RAS정책 추가하기5>	이 정책에 해당하는 연결을 선택한다. 예제에서는 ‘VPN’을 선택했다.
<그림7-65. RAS정책 추가하기6>	접근을 허용하고자 하는 사용자나 그룹을 선택할 수 있다. <그림7-65> 그룹을 선택한 후 [추가]버튼을 클릭하여 SalesTeams 그룹을 추가했다. [다음]으로 진행한다.
<그림7-66. RAS정책 추가하기7>	인증방법을 결정한다. 기본값은 MS-CHAPv2이다. 클라이언트가 Windows 2000 이상이라면 기본설정을 하고 진행하면 된다. <그림7-66>
<그림7-67. RAS정책 추가하기8>	암호화 수준을 선택하고 [다음]으로 진행한다.
<그림7-68. RAS정책 추가하기9>	새 원격 액세스 정책 마법사가 완료되었다. 요약 내용을 확인한 후 [다음]을 눌러 정책생성을 완료한다.<그림7-68>
<그림7-69. RAS정책 추가하기10>	<그림7-69>를 보면 ‘SalesTeamRAS정책’이 추가된 것이 보인다. 정책이름옆의 숫자에 주목하라. 순서를 나타내는데 최근에 추가한 항목이 기본적으로 맨 위에 올라가 있고, 순서로는 1에 해당한다.

이제 SalesTeams 그룹에 속한 사용자가 위의 RAS서버에 VPN을 통해 접속하면 접속이 허용된다.

 

7-3-2. RAS정책의 이해

 

이러한 RAS 정책이 구체적으로 어떻게 이루어져 있는지 알아보자. 차근차근 이해해서 꼭 알아두도록 하자. 다양하게 사용할 기회가 있을 것이다.

<그림7-70. RAS정책 등록정보>

RAS정책중의 하나를 더블클릭하여 열어보면 <그림7-70>과 같은 화면을 볼 수 있다. RAS정책은 조건(Condition), 접근권한(Permission), 프로필(Profile)의 세가지 요소로 구성되어 있다. RAS클라이언트가 전화접속이나 VPN접속을 통해서 서버에 접근하면 RAS서버는 정책을 보고 클라이언트의 접근에 대한 판단을 내린다. 맨 처음에 정책의 조건에 사용자가 접근한 상황이 만족하는지를 살펴본다. 조건에 부합하면 이번에는 접근권한을 살펴서 접근이 허용되었는지 거부되었는지를 확인한다. 정책은 접근을 허용하기 위한 것만은 분명히 아니다. ‘특별한 조건에 만족하면 접근거부’라는 배타적인 접근권한도 있을 수 있다. 접근이 허용된다면 마지막의 요건인 프로필에서는 추가적인 제한, 연결지속시간 제한 등의 추가설정을 확인한다.

 

예제를 통하여 정책을 이해해 보도록 하자. 예제를 위해 다음의 상황을 가정한다. RAS서버는 다음의 정책1, 정책2의 2가지 RAS정책을 가지고 있다. RAS 클라이언트가 접근할 때 RAS서버는 어떻게 판단하는지 설명한다.

순서	정책이름	정책조건(Condition)	접근권한(Permission)	프로필(Profile)
1	정책1	Sales그룹멤버	접근허용	연결허용시간10분
2	정책2	오전9시~오후6시접근	접근거부	128bit암호화

l  정책1 : Sales그룹에 소속된 멤버가 RAS서버에 접근하면 접근을 허용하는데, 허용시간은 10분으로 제한된다.

l  정책2 : 오전9시부터 오후6시 사이에 접근하면 접근을 거부한다. (이 경우 프로필의 설정은 의미없는 설정이다)

<그림7-71. RAS정책 적용의 흐름>

 

<그림7-71>에서는 이해를 돕기 위해 정책의 흐름을 도식화하였다. Sales그룹에 속한 RAS클라이언트가 이 RAS서버에 접근했다고 가정하자. 이 때 RAS서버는 2개의 정책중 순서상으로 위에 있는 ‘정책1’을 먼저 판단한다. 그림에서 첫번째 질문은 ‘현재 사용자의 연결이 정책1의 조건에 만족하는가?’이다. 정책1의 조건은 ‘sales그룹의 멤버’이다. 조건에 만족하므로 다음의 판단항목인 ‘사용자 계정에 대한 전화접속 권한 설정은 무엇인가?’로 진행한다. 여기서 주의해야 한다. 정책1의 접근권한이 ‘접근허용’으로 되어 있다고 해서 무조건 서버에 접근이 허용되는 것이 아니다. 그것은 사용자 개개인의 ‘전화 접속 로그인’ 권한에 달려 있다. <그림7-72>의 사용자 계정에 대한 ‘전화 접속 로그인’탭을 보면 ‘원격 액세스 권한’항목이 있고, 세가지의 옵션이 있는 것을 확인할 수 있다.

<그림7-72. 사용자 계정의 원격 액세스 권한>

 

이 설정이 어떻게 되어 있는지가 접근권한이 결정되는데 중요한 요소가 된다. <그림7-71>의 흐름을 따라가 보도록 하자. <그림7-72>에서 만일 현재 접근하는 사용자 계정에 대한 원격 액세스 권한이 ‘액세스 거부’로 되어 있으면 RAS서버는 사용자의 연결을 거부한다. ‘액세스 허용’으로 되어 있으면 RAS서버는 정책1의 권한설정값과는 무관하게 사용자의 연결을 허용한다. 사용자 계정에 대한 원격 액세스 권한이 ‘원격 액세스 정책을 통해 액세스 제어’로 되어 있을때만 RAS정책의 ‘접근권한’의 설정값이 유효하다는 것이다.

 

여기서 생각해 볼 것이 있다. 사용자 개개인의 계정에 대해서 ‘원격 액세스 권한’설정을 한다면 관리적인 측면에서 쉽지 않을 것이다. 누구는 허용하고, 누구는 거부하고.. 사용자가 많아질수록 일관성이 결여되는 정책이 될 수 밖에 없다. 필자가 생각하는 가장 좋은 설정은 ‘원격 액세스 정책을 통해 액세스 제어’이다. 사용자 계정에 대한 권한설정은 이대로 두고, RAS정책을 통해서 접근권한을 제어하는 것이 관리의 오버헤드를 줄여주고 관리자 실수에 의해 불필요하게 RAS서버로의 접근을 허용하는 실수를 막을 수 있는 좋은 방법이다.

 

어떻게든 ‘접근허용’이라는 결과가 나왔다면 그 다음에 RAS서버는 프로필에 만족하는지를 판단한다. 프로필에 결격사유(?)가 없으면 최종적으로 접근허가라는 판정이 내려지고 클라이언트 접속은 허용된다.

 

만일 현재 접근하고자 하는 클라이언트가 Sales그룹의 멤버가 아니라면 어떻게 될까? RAS서버는 클라이언트가 정책1의 조건에 만족하지 못하고 있음을 알 것이고, 다음의 정책인 정책2의 조건에 만족하는지를 판단한다. 현재 클라이언트가 접속하고 있는 시간이 오전11시라면 조건에 만족한다. 그 다음 판단요소인 ‘접근권한’검토를 시작한다. 이 클라이언트의 원격 액세스 권한 설정이 <그림7-72>와 같이  ‘원격 액세스 정책을 통해 액세스 제어’로 되어있다면 정책2의 접근권한 설정값인 ‘접근거부’가 반영되어 클라이언트의 연결은 거절되겠지만 ‘액세스 허용’으로 설정되어 있다면 RAS정책에서는 ‘접근거부’라고 되어 있지만 사용자는 접근이 허용되고 말 것이다. 정책이 반영되지 않는 의도하지 않은 상황이 발생할 수도 있다는 것이다. 주의를 기울여야 할 부분이다.

 

만일 정책의 순서가 아래와 같이 바뀌어 있다면 어떻게 될 것인지도 검토해 보자.

순서	구분	정책조건(Condition)	접근권한(Permission)	프로필(Profile)
1	정책2	오전9시~오후6시접근	접근거부	128bit암호화
2	정책1	Sales그룹멤버	접근허용	연결허용시간10분

 

이 경우 오후3시경에 Sales그룹의 멤버가 이 RAS서버에 접근했다면? 결과는 접근거부이다. 앞에서는 정책1이 적용되어 접근이 허용된 반면에 이번에는 정책2가 먼저 적용되어 접근이 거부된 것이다. 이처럼 2가지의 정책이 있을 때 첫 번째 정책에서 접근거부 판단이 내려졌다고 해서 두 번째 정책을 적용받는 것이 아니다. 첫 번째 정책의 ‘조건’에 만족되지 않을 때는 두 번째 정책을 판단하게 되지만 일단 ‘조건’에 만족되면 더 이상 그 다음 정책으로 넘어가지는 않는다는 것을 알 수 있다.

 

* Active Directory 환경에서 사용자 계정에 대해 ‘원격 액세스 정책을 통한 액세스 제어’ 활성화하기   사용자 계정에 대한 ‘원격 액세스 권한’을 설정하기 위해 계정의 등록정보를 열어 보면 원격 액세스 권한중 ‘원격 액세스 정책을 통한 액세스 제어’옵션이 비활성화 되어 있는 경우가 있다. <그림7-73. 사용자 계정의 원격 액세스 권한 옵션> 그것은 해당 도메인이 Windows Server 2003 이전버전인 Windows NT4.0, Windows 2000 Server 등의 도메인 컨트롤러와의 호환성을 유지하는 "mixed mode(혼합모드)"로 도메인 기능수준 (Domain Functional Level)설정이 되어 있기 때문이다. Active Directory를 셋업했을 때 기본설정이 '혼합모드'이므로 특별히 설정을 바꾸지 않았다면 '혼합모드'로 되어 있을 것이다. 도메인 기능 수준을 올려주어야 한다. 이 작업을 하기 전에 도메인에는 Windows Server 2003 서버만이 도메인 컨트롤러 역할을 수행하고 있어야 한다. <그림7-74. 도메인 기능 수준 올리기1> ‘시작’à’프로그램’à‘관리도구’à’Active Directory사용자 및 컴퓨터’를 선택한 후 왼쪽 패널에서 도메인 이름을 마우스 오른쪽 클릭한 후 ‘도메인 기능 수준 올리기’를 클릭한다. <그림7-75. 도메인 기능 수준 올리기2> 사용 가능한 도메인 기능수준 선택에서 ‘Windows Server 2003’을 선택하고 [수준 올리기]를 클릭한다. <그림7-76. 도메인 기능 수준 올리기3> <그림7-77. 도메인 기능 수준 올리기4>