7-4. 인터넷 인증 서버 (IAS)

 

RAS서버의 정책은 RAS 서버에 로컬로 저장된다. Active Directory등의 중앙에 집중된 별도의 디렉토리에 저장되는 것이 아니라는 것을 의미한다. 그러므로 RAS서버가 여러대일 경우 RAS서버마다 일관성 있게 정책을 관리하거나 혹은 VPN, 무선랜, 전화접속 등 다양한 형태의 접속서버(혹은 디바이스)들을 위한 정책을 개별적으로 관리하는 것은 관리자에게 오버헤드가 되며, 실수로 인한 보안의 누수를 초래할 수도 있는 위험을 내포하고 있다.

 

이 경우 RADIUS(Remote Authentication Dial-in User Service)프로토콜을 이용한 원격 인증서비스를 이용하여 정책을 집중적으로 관리할 수 있는 방안이 제공된다. 마이크로소프트는 Windows서버에서 IAS(Internet Authentication Service) 를 제공함으로써 RADIUS를 지원하고 있다. 이 경우 IAS서버는 RADIUS 서버로서 동작하고, RAS 서버는 RADIUS클라이언트로 동작한다.

 

IAS서비스를 설치하고 구성하는 방법에 대해서 알아보자. ‘제어판’à’프로그램추가/제거’à’Windows구성요소’à’네트워킹 서비스’에서 ‘인터넷 인증 서비스’를 선택함으로써 IAS서비스를 설치할 수 있다.

<그림7-78. IAS서비스 추가>

 

7-4-1. IAS서버 구성 (RADIUS 서버)

 

IAS서비스를 추가한 후 서버를 구성해 주어야 한다. 서버에서 할 일은 자신을 통해서 인증을 얻을 수 있는 클라이언트(RAS서버, 802.1x를 지원한 무선랜AP등)를 추가하고, 해당 클라이언트와 공유할 수 있는 키를 입력해 주어야 한다.

<그림7-79. IAS서버 구성1>	‘관리도구’à’인터넷 인증 서비스’를 클릭하여 관리콘솔을 열고, 왼쪽 패널에서 ‘RADIUS클라이언트’를 마우스 오른쪽 클릭하여 ‘새 RADIUS클라이언트’를 선택한다.
<그림7-80. IAS서버 구성2>	‘이름 및 주소’창에서는 클라이언트를 식별할 수 있는 이름을 입력하고 RADIUS클라이언트의 IP주소나 DNS이름(FQDN)을 입력해야 한다.
<그림7-81. IAS서버 구성3>	‘추가정보’창에서 클라이언트 공급업체에서 RADIUS Standard를 선택한 후 RADIUS클라이언트와 공유할 암호를 입력한다. 암호는 대/소문자,특수문자 등을 조합하여 22자까지 생성할 수 있다. 보안을 위하여 최대한 복잡한 암호를 사용하는 것이 좋다.   ‘요청에 메시지 인증자 특성이 포함되어야 함’옵션을 체크하면 위의 ‘공유암호’를 키로써 RADIUS서버와 클라이언트간의 메시지를 암호화한다. 보안상 좋은 설정이다.
<그림7-82. IAS서버 구성4>	Active Directory 환경에서는 IAS서버를 Active Directory로부터 인증받아야 한다. 인터넷 인증 서비스를 마우스 오른쪽 클릭한 후 ‘Active Directory에 서버 등록’을 선택한다.
<그림7-83. IAS서버 구성5>	권한설정을 하겠다는 메시지가 팝업된다. [확인]을 눌러서 다음으로 진행한다.
<그림7-84. IAS서버 구성6>	권한이 추가되었음을 보여준다.

 

7-4-2. IAS클라이언트 구성 (RADIUS 클라이언트)

 

RADIUS는 산업표준 프로토콜이다. RADIUS클라이언트는 마이크로소프트의 RAS서버는 물론, 다양한 디바이스들에서 널리 지원하고 있다. 예제에서는 Windows Server 2003으로 구현된 RAS서버가 RADIUS클라이언트 역할을 할 것이다.

 

<그림7-85. IAS클라이언트 구성1>	‘관리도구’->’라우팅 및 원격액세스’관리콜솔을 열고, 서버이름을 마우스 오른쪽 클릭하여 ‘속성’을 선택한다.ㅣ
<그림7-86. IAS클라이언트 구성2>	서버의 등록정보가 나오면 ‘보안’탭을 열고 ‘인증공급자’항목을 확인한다. 기본값은 ‘Windows인증’이다. RADIUS인증으로 공급자를 바꾼다.
<그림7-87. IAS클라이언트 구성3>	이어서 RADIUS인증을 위해 RADIUS서버를 지정해 주어야 한다. 인증공급자 항목 옆의 [구성]버튼을 클릭한다.
<그림7-88 IAS클라이언트 구성4>	RADIUS서버를 추가할 수 있는 화면이 나온다. [추가]버튼을 누른다.
<그림7-89. IAS클라이언트 구성5>	RADIUS서버추가 화면에서 서버 이름 항목에 RADIUS서버의 IP나 FQDN을 입력한다. 암호 항목에는 RADIUS에서 지정했던 것과 동일한 암호를 입력해 주어야 한다.
<그림7-90. IAS클라이언트 구성6>	RADIUS서버가 추가된 것을 볼 수 있다. 여러대의 RADIUS서버가 있다면 ‘초기점수’에 있는 점수가 낮은 순서대로 사용된다.
<그림7-91. IAS클라이언트 구성7>	같은 방법으로 ‘계정 공급자’항목도 RADIUS를 이용하도록 구성할 수 있다. 여기서 계정은 사용자 계정등을 의미하는 계정이 아니라 ‘과금’을 위한 계정에 해당한다. 계정 공급자를 RADIUS로 변경하지 않으면 모니터링을 위한 로깅 등은 여전히 RAS서버에서 관리된다.
<그림7-92. IAS클라이언트 구성8>	서비스를 구성하고 나면 원격 액세스 서비스가 재 시작된다.
<그림7-93. IAS클라이언트 구성후 변경된 화면>	RADIUS클라이언트 구성을 마쳤다. <그림7-85>의 화면과 비교해 보면 ‘원격 액세스 정책’및 ‘원격 액세스 로깅’항목이 없어진 것을 알 수 있다. 이제부터 정책 및 로깅은 RADIUS서버역할을 하는 IAS서버에서 관리되는 것이다.

 

RADIUS를 구성한 후 VPN을 통해 해당 RAS서버에 접근해 보았다. <그림7-94>에서는 WINDOWSNETWORK도메인의 wonsuk이라는 사용자가 연결된 것을 보여준다.

<그림7-94. RAS클라이언트 접속화면>

 

IAS서버에서는 로그를 확인할 수 있다. %windir%\system32\LogFiles가 로그파일의 기본위치이다. 서버의 라우팅 및 원격 액세스 관리콘솔의 왼쪽패널에서 ‘원격 액세스 로깅’을 클릭하면 오른쪽에서 확인할 수 있다. 기본설정은 로깅을 하지 않도록 되어 있다.

<그림7-95. IAS서버의 접속로그 화면>

 

로그는 텍스트로 저장하거나 SQL데이터베이스로 저장할 수 있다. <그림7-95>는 Deepsoftware사의 IAS Log Viewer를 통해서 로그파일을 열어본 화면이다. 로깅된 다양한 정보를 확인할 수 있다.