달력

4

« 2024/4 »

  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9
  • 10
  • 11
  • 12
  • 13
  • 14
  • 15
  • 16
  • 17
  • 18
  • 19
  • 20
  • 21
  • 22
  • 23
  • 24
  • 25
  • 26
  • 27
  • 28
  • 29
  • 30
2008. 11. 17. 21:57

7-4. 인터넷 인증 서버 (IAS) Windows Networking2008. 11. 17. 21:57

 

RAS서버의 정책은 RAS 서버에 로컬로 저장된다. Active Directory등의 중앙에 집중된 별도의 디렉토리에 저장되는 것이 아니라는 것을 의미한다. 그러므로 RAS서버가 여러대일 경우 RAS서버마다 일관성 있게 정책을 관리하거나 혹은 VPN, 무선랜, 전화접속 등 다양한 형태의 접속서버(혹은 디바이스)들을 위한 정책을 개별적으로 관리하는 것은 관리자에게 오버헤드가 되며, 실수로 인한 보안의 누수를 초래할 수도 있는 위험을 내포하고 있다.

 

이 경우 RADIUS(Remote Authentication Dial-in User Service)프로토콜을 이용한 원격 인증서비스를 이용하여 정책을 집중적으로 관리할 수 있는 방안이 제공된다. 마이크로소프트는 Windows서버에서 IAS(Internet Authentication Service) 를 제공함으로써 RADIUS를 지원하고 있다. 이 경우 IAS서버는 RADIUS 서버로서 동작하고, RAS 서버는 RADIUS클라이언트로 동작한다.

 

IAS서비스를 설치하고 구성하는 방법에 대해서 알아보자. ‘제어판à프로그램추가/제거à’Windows구성요소à네트워킹 서비스에서 인터넷 인증 서비스를 선택함으로써 IAS서비스를 설치할 수 있다.



<그림7-78. IAS서비스 추가>

 

7-4-1. IAS서버 구성 (RADIUS 서버)

 

IAS서비스를 추가한 후 서버를 구성해 주어야 한다. 서버에서 할 일은 자신을 통해서 인증을 얻을 수 있는 클라이언트(RAS서버, 802.1x를 지원한 무선랜AP)를 추가하고, 해당 클라이언트와 공유할 수 있는 키를 입력해 주어야 한다.

<그림7-79. IAS서버 구성1>


관리도구à인터넷 인증 서비스를 클릭하여 관리콘솔을 열고, 왼쪽 패널에서 ‘RADIUS클라이언트를 마우스 오른쪽 클릭하여 RADIUS클라이언트를 선택한다.


<그림7-80. IAS서버 구성2>



이름 및 주소창에서는 클라이언트를 식별할 수 있는 이름을 입력하고 RADIUS클라이언트의 IP주소나 DNS이름(FQDN)을 입력해야 한다.


<그림7-81. IAS서버 구성3>



추가정보창에서 클라이언트 공급업체에서 RADIUS Standard를 선택한 후 RADIUS클라이언트와 공유할 암호를 입력한다. 암호는 대/소문자,특수문자 등을 조합하여 22자까지 생성할 수 있다. 보안을 위하여 최대한 복잡한 암호를 사용하는 것이 좋다.

 

요청에 메시지 인증자 특성이 포함되어야 함옵션을 체크하면 위의 공유암호를 키로써 RADIUS서버와 클라이언트간의 메시지를 암호화한다. 보안상 좋은 설정이다.


<그림7-82. IAS서버 구성4>



Active Directory 환경에서는 IAS서버를 Active Directory로부터 인증받아야 한다. 인터넷 인증 서비스를 마우스 오른쪽 클릭한 후 ‘Active Directory에 서버 등록을 선택한다.


<그림7-83. IAS서버 구성5>



권한설정을 하겠다는 메시지가 팝업된다. [확인]을 눌러서 다음으로 진행한다.


<그림7-84. IAS서버 구성6>



권한이 추가되었음을 보여준다.

 

7-4-2. IAS클라이언트 구성 (RADIUS 클라이언트)

 

RADIUS는 산업표준 프로토콜이다. RADIUS클라이언트는 마이크로소프트의 RAS서버는 물론, 다양한 디바이스들에서 널리 지원하고 있다. 예제에서는 Windows Server 2003으로 구현된 RAS서버가 RADIUS클라이언트 역할을 할 것이다.

 

<그림7-85. IAS클라이언트 구성1>

관리도구’->’라우팅 및 원격액세스관리콜솔을 열고, 서버이름을 마우스 오른쪽 클릭하여 속성을 선택한다.


<그림7-86. IAS클라이언트 구성2>


서버의 등록정보가 나오면 보안탭을 열고 인증공급자항목을 확인한다. 기본값은 ‘Windows인증이다. RADIUS인증으로 공급자를 바꾼다.


<그림7-87. IAS클라이언트 구성3>



이어서 RADIUS인증을 위해 RADIUS서버를 지정해 주어야 한다. 인증공급자 항목 옆의 [구성]버튼을 클릭한다.


<그림7-88 IAS클라이언트 구성4>


RADIUS서버를 추가할 수 있는 화면이 나온다. [추가]버튼을 누른다.


<그림7-89. IAS클라이언트 구성5>



RADIUS서버추가 화면에서 서버 이름 항목에 RADIUS서버의 IPFQDN을 입력한다. 암호 항목에는 RADIUS에서 지정했던 것과 동일한 암호를 입력해 주어야 한다.


<그림7-90. IAS클라이언트 구성6>



RADIUS서버가 추가된 것을 볼 수 있다. 여러대의 RADIUS서버가 있다면 초기점수에 있는 점수가 낮은 순서대로 사용된다.


<그림7-91. IAS클라이언트 구성7>



같은 방법으로 계정 공급자항목도 RADIUS를 이용하도록 구성할 수 있다. 여기서 계정은 사용자 계정등을 의미하는 계정이 아니라 과금을 위한 계정에 해당한다. 계정 공급자를 RADIUS로 변경하지 않으면 모니터링을 위한 로깅 등은 여전히 RAS서버에서 관리된다.


<그림7-92. IAS클라이언트 구성8>



서비스를 구성하고 나면 원격 액세스 서비스가 재 시작된다.


<그림7-93. IAS클라이언트 구성후 변경된 화면>



RADIUS클라이언트 구성을 마쳤다. <그림7-85>의 화면과 비교해 보면 원격 액세스 정책원격 액세스 로깅항목이 없어진 것을 알 수 있다. 이제부터 정책 및 로깅은 RADIUS서버역할을 하는 IAS서버에서 관리되는 것이다.

 

RADIUS를 구성한 후 VPN을 통해 해당 RAS서버에 접근해 보았다. <그림7-94>에서는 WINDOWSNETWORK도메인의 wonsuk이라는 사용자가 연결된 것을 보여준다.

<그림7-94. RAS클라이언트 접속화면>

 

IAS서버에서는 로그를 확인할 수 있다. %windir%\system32\LogFiles가 로그파일의 기본위치이다. 서버의 라우팅 및 원격 액세스 관리콘솔의 왼쪽패널에서 원격 액세스 로깅을 클릭하면 오른쪽에서 확인할 수 있다. 기본설정은 로깅을 하지 않도록 되어 있다.

<그림7-95. IAS서버의 접속로그 화면>

 

로그는 텍스트로 저장하거나 SQL데이터베이스로 저장할 수 있다. <그림7-95> Deepsoftware사의 IAS Log Viewer를 통해서 로그파일을 열어본 화면이다. 로깅된 다양한 정보를 확인할 수 있다.


저작자표시 비영리 변경금지
:
Posted by 새벽예찬
2008. 11. 17. 21:20

7-1-2. RAS 사용자 보안설정 Windows Networking2008. 11. 17. 21:20

 

7-1-2-1. 원격 액세스 권한

 

RAS 서비스를 하는 서버가 네트워크에서 어떤 역할을 하는지, 어떤 OS로 구성이 되어 있는지에 따라 구성메뉴가 다르다. 만일, 도메인컨트롤러나 도메인의 멤버서버에서 서비스를 한다면 '관리도구àActive Directory 사용자 및 컴퓨터'를 통해서 접근하고, 독립실행형 서버에서 RAS서비스를 구현한다면 '관리도구à컴퓨터관리'도구를 이용한다. 어떤 환경이든지 사용자 계정의 등록정보를 연 다음 '전화 접속 로그인'탭을 열면 아래의 <그림7-16>와 같은 화면을 볼 수 있다. '액세스 허용'으로 구성하면 된다. 이것은 가장 간단하게 사용자에게 권한설정을 하는 방법이지만 실제로는 RAS정책을 통하여 구현하는 것이 바람직하다. 이 장의 후반부에서 RAS정책에 대해 다루도록 한다.



<그림7-16. 전화 접속 로그인 권한 설정 화면 >

 

원격 액세스 권한을 허용하는 것만으로도 사용자는 RAS 서버로부터 인증을 얻을 수 있게 된다. 하지만 추가로 설정할 수 있는 보안옵션들을 기억할 필요가 있다. 경우에 따라서 유용하게 사용할 수 있는 옵션이다.

 

7-1-2-2. 콜백 옵션

 

기본설정은 '콜백안함'으로 되어 있다. 콜백은 2가지 경우에 사용된다. 첫 번째는 전화요금 부담의 주체가 누구인지, 두 번째는 보안이 중요한 경우에 사용될 수 있다. 콜백옵션을 '호출자가 설정'을 셋팅하면 RAS 클라이언트가 서버에 전화를 걸어서 인증을 얻고 나면 서버는 사용자의 화면에 전화받을 위치를 입력할 것을 요구하게 된다. 이때 사용자가 현재 자신의 전화번호를 입력해 주면 서버가 클라이언트에게 전화 되걸기를 해 준다. 당연히 전화를 거는 쪽이 요금 부담을 하므로 클라이언트는 전화비용의 부담이 없이 RAS 서버에 연결해서 회사의 서버에 접속이 가능해 지는 것이다. RAS 클라이언트가 회사의 업무를 위하여 재택근무시 혹은 출장지에서 접속을 하게 되므로 전화비 부담을 회사에서 하는 것이 형평성에 맞을 것이다. 우리나라의 훌륭한 인터넷 인프라를 고려한다면 현실성이 떨어지긴 하지만.

 

콜백옵션을 '항상 콜백'으로 셋팅하는 것은 상황이 조금 다르다. 디렉토리 데이터베이스의 사용자 등록정보에 미리 전화번호를 입력해 두어야 한다. 그리고, RAS 클라이언트가 서버로 전화를 걸었을 때, 연결이 되고 나면 서버는 클라이언트에게 반드시 전화 되걸기를 해야만 연결이 되게 된다. 클라이언트쪽에서 별도로 전화번호를 지정할 수가 없기 때문에 RAS 사용자의 계정, 패스워드, RAS 서버의 전화번호 등이 외부에 유출이 되었다고 할지라도 상대방이 전화번호까지 도용하지 않는 이상 연결을 허용하지 않게 되는 것이다. 이것은 콜백옵션이 주는 보안중에서 가장 강력한 보안기능을 제공한다. 실제 동작하는 과정은 클라이언트쪽에서 연결을 하면서 체크해 보도록 하겠다. 이제 서버 구성은 마쳤고, RAS 서버에 접속할 클라이언트를 구성하도록 한다.

 

7-1-3. 전화접속 클라이언트 구성

 

전화접속 서버에 접속하기 위해서는 클라이언트 역시 설정이 필요하다. Windows 9x 계열이나, Windows NT 4.0의 경우라면 "전화접속 네트워킹"을 통해서 설정하고, Windows 2000, XP등을 사용한다면 "네트워크 연결"을 통해서 설정할 수 있다. 예제의 화면은 Windows XP Professional에서 전화접속 서버로 연결하기 위해 구성하는 화면이다. 당연히 전화접속 서버에 연결하고자 하는 클라이언트는 역시 전화회선이 연결된 아날로그 모뎀이 필요하다.

 


<그림7-17. 네트워크 및 전화 접속 연결 화면 >

제어판à네트워크 연결로 접근했다. ‘새 연결 마법사를 클릭한다.



<그림7-18. 위치정보 입력화면 >



처음 접근할 때 위치정보를 물어보는 화면이 팝업된다. 클라이언트가 있는 위치에 대한 정보를 입력해 준다.

 

이 정보는 나중에 제어판à전화 및 모뎀옵션을 통해서 수정할 수 있다.



<그림7-19. 전화 및 모뎀 옵션 >



전화 및 모뎀 옵션을 설정하고 [확인]을 누른다.



<그림7-20. 네트워크 연결 마법사 시작 >

 



이제 네트워크 연결 마법사가 시작된다.

<그림7-21. 네트워크 연결 형식 선택 화면 >

네트워크 연결 형식에서 '회사 네트워크에 연결'을 선택한다. <그림7-21>

 


<그림7-22. RAS 서버의 전화번호 지정 >



전화접속 연결인지 가상사설망(VPN)연결인지를 선택해야 한다. 예제에서 모뎀을 가진 전화접속 서버에 연결하고자 함으로 '전화 접속 연결'을 선택했다.

 


<그림7-23. RAS 서버의 전화번호 지정 >



연결의 이름을 입력한다. 알기 쉬운 이름을 사용하면 된다. 예제에서는 회사서버라고 입력했다.


<그림7-24. RAS 서버의 전화번호 지정 >



'전화 걸 번호'창에서 전화접속 서버의 전화번호를 입력한다. 컴퓨터대 컴퓨터가 아니라 사람대 사람의 전화통화를 하는 것이라고 생각하면 쉽다.


<그림7-25. 네트워크 연결 마법사 완료 >



이제 설정을 마쳤다. [마침]을 눌러서 마법사를 마친다.


<그림7-26. RAS 서버로의 전화 접속 연결이 추가된 화면 >



마법사를 완료하고 나면 '네트워크 연결'화면의 전화접속 항목아래에 회사서버라는 새로운 연결이 추가된 것이 보인다. <그림7-26>


자 이제 제대로 접속이 될 것인지 테스트를 해 보자. <그림7-26>에서 회사서버아이콘을 더블클릭했다.


<그림7-27. RAS 서버 연결 테스트 >



사용자 이름과 암호를 입력하고 [전화걸기]를 클릭했다.

 


<그림7-28. RAS 서버에 전화 거는 중 >



해당 전화번호로 전화를 걸고 있다.


<그림7-29. RAS 서버에 전화 거는 중 >


연결이 되었다. 사용자 이름과 암호를 확인하는 인증과정을 거치고 있다. 이 때 해당 사용자가 전화접속서버에 다이얼인권한을 가지고 있지 않다면 권한이 없다는 메시지가 나온다.


<그림7-30. 컴퓨터를 네트워크에 등록하는 과정 >



인증이 되었다. 클라이언트 컴퓨터를 RAS서버가 속해있는 네트워크에 등록하는 과정이 나온다.


<그림7-31. 서버에 연결이 완료된 상태 >



등록이 성공적으로 되었다면 등록이 되었음을 보여주는 메시지가 나오고 작업표시줄에서 '네트워크'아이콘을 볼 수 있다.

 

일단 연결이 맺어지고 나면 클라이언트가 사용하는 컴퓨터가 회사의 네트워크의 로컬LAN에 직접 물려있는 것과 동일하게 생각하면 된다. 상대적으로 속도가 느리다는 것 (그런대로 쓸만 하긴 하지만) 말고는 별 차이가 없다. 회사의 파일서버, 프린트서버에 접근은 물론, 메일서버나 웹서버, 또 회사의 라우터를 이용해서 인터넷에 접근 등 로컬LAN의 다른 컴퓨터들과 동일한 작업을 할 수 있다.
저작자표시 비영리 변경금지
:
Posted by 새벽예찬
2008. 11. 17. 20:59

7-1. 전화접속 서버 (Dial-up Server) Windows Networking2008. 11. 17. 20:59


재택근무를 하는 직원이 회사의 서버에 접속을 원한다면? 출장지에서 근무를 하는 직원이 회사의 파일서버에 접근해서 데이터에 액세스해야 할 필요가 있다면? , IIS 웹서버에 데이터베이스서버로 구성된 SQL Server가 사설네트워크로 구성되어 네트워크를 통해서는 접속을 할 수 없는 상황일 때 서버의 관리를 위해서는? 이러한 경우에 제공될 수 있는 솔루션이 원격 접속 서비스 (RAS)의 전화접속 서버 기능이다.

 

용어가 조금 낯설게 느껴질 수도 있겠지만 쉽게 생각하면 된다. 요즘은 초고속 인터넷이라는 이름으로 KT, 하나로통신 등의 사업자들이 ADSL, Cable 과 같은 인터넷 접속 서비스를 제공하고 있지만 불과 몇 년전만 하더라도 인터넷을 사용하기 위해서는 전화전속(dial-up)을 이용했다. 아날로그 모뎀을 가지고 천리안, 하이텔 등 PC통신회사의 통신서버로 전화를 걸어서 접속을 하고 인증을 얻은 다음 IP Address를 할당받고 PC통신회사의 통신서버 및 인터넷에 접속이 가능해 진다. 이때 통신서버는 사용자들의 전화접속 연결을 처리해 주는 전화 접속 서버역할을 한다.

 

Windows Server 2003RAS가 제공하는 기능중 하나인 전화접속서버도 이것과 동일하다. 사용자들이 외부의 전화접속서버를 이용하는 것이 아니라 회사에서 설치한 전화접속서버로 접속하는 것일 뿐이다. 그렇게 하기 위해서는 먼저 회사의 네트워크에 전화접속서버를 설치해야 한다.

 

7-1-1. 전화접속 서버 구성

 

예제에서는 Windows Server 2003을 통해서 구현하였다.

 


<그림7-1. 장치관리자 화면 >


먼저 RAS서버로 구현하고자 하는 시스템에 전화회선이 연결된 모뎀이 있어야 한다. 모뎀을 추가하고 나면 제대로 동작하는지 "장치관리자"를 통해서 확인한다.<그림7-1>

 



<그림7-2. 라우팅 및 원격액세스 관리콘솔 >



모뎀을 제대로 설치했다면 RAS서비스를 설정해야 한다. '관리도구à라우팅 및 원격액세스'를 통해서 관리콘솔로 접근한 다음, 서버이름을 더블클릭해 본다. <그림7-2>처럼 빨간색 화살표가 아래로 향해 있는 것이 보인다. 서비스가 멈춰 있다는 뜻이다. 서버 이름을 클릭하고 마우스 오른쪽 단추를 눌러서 '라우팅 및 원격액세스 사용 및 구성을 클릭한다.

 



<그림7-3. 라우팅 및 원격액세스 서버 설치 마법사 >

 



라우팅 및 원격 액세스 서버 설치 마법사가 시작되었다.


<그림7-4. 라우팅 및 원격액세스 서버 설치 마법사 - 일반구성>


일반구성 창에서 "원격 액세스(전화 접속 또는 VPN)"를 클릭하고 [다음]을 누른다. 5가지 메뉴 중 하나를 선택할 수 있다. 각각 용도가 다르며, 지금 설정할 수도 있고 나중에 각각 추가로 구현할 수도 있다.

 

첫번째 항목인 원격 액세스를 선택하였다.

 



<그림7-5. 라우팅 및 원격액세스 서버 설치 마법사 원격액세스 >



VPN서비스를 할 것인지, 전화접속 서버로 동작할 것인지를 선택한다. <그림7-5>

 



<그림7-6. 라우팅 및 원격액세스 서버 설치 마법사 네트워크 선택>

 



네트워크를 선택하라는 화면이 나온다. 클라이언트가 전화접속을 통해 접근했을 때 내부의 어떠한 네트워크에 연결하도록 허용할 것인지가 결정된다.

 


<그림7-7. 라우팅 및 원격액세스 서버 설치 마법사 - IP주소할당>


TCP/IP를 사용하기 때문에 당연히 IP Address 구성이 있어야 한다. 방법은 두 가지가 제공된다. DHCP Server를 사용하거나 RAS서버에서 직접 IP 범위를 셋팅할 수 있다. DHCP Server를 사용하겠다고 구성하면 별도의 DHCP 서비스를 구현해야 할 것이다. 예제에서는 직접 이 서버에 IP범위를 구성하도록 한다.<그림7-7>


<그림7-8. 라우팅 및 원격액세스 서버 설치 마법사 - 주소 범위 할당>

 



예제에서 RAS서버의 IP 192.168.0.15이다. 클라이언트를 위해 설정하는 주소범위는 RAS서버의 IP와 같은 네트워크ID를 사용하는 IP Address범위를 지정한다. 예제에서는 192.168.0.56 ~ 192.168.0.60까지 5개의 IP Address를 범위로 지정하였다.

 


<그림7-9. 라우팅 및 원격액세스 서버 설치 마법사 - 다중 원격 액세스 서버관리 >

 


RADIUS를 사용할 것인가를 묻는 화면이 나온다. 기본설정은 '아니오'이다. RADIUS에 대한 설명은 이 장의 마지막에서 다룬다. 기본설정을 그대로 두고 [다음]으로 진행한다.

 

<그림7-10. 라우팅 및 원격액세스 서버 설치 마법사 - 완료 >

 


'라우팅 및 원격액세스 서버 설치마법사'완료 화면이 나오면 요약정보를 확인하고 [마침]을 눌러서 마법사를 마친다.

 

<그림7-11. 라우팅 및 원격액세스 서버 설치 마법사 - DHCP Relay Agent 구성 메시지 >

 

DHCP릴레이 관련한 메시지가 팝업된다. <그림7-8>의 경우처럼 RAS서버에서 IP범위를 만들 경우에는 필요없는 옵션이다. 무시해도 좋다. 하지만, DHCP Server로부터 IP Address를 받도록 설정을 했다면 DHCP Relay agent를 구성해 주어야 한다.

<그림7-12. 라우팅 및 원격액세스 서버 설치 마법사 - 일반구성>

라우팅 및 원격 액세스 서비스를 시작하고 있다.



<그림7-13. 서버 등록정보 >

 



설정에 문제가 없었다면 서비스는 시작되고, 서버이름을 확인해 보면 녹색의 화살표가 up되어 있는 것을 확인할 수 있다. 서버이름을 마우스 오른쪽 클릭하여 속성을 선택한다.

 

<그림7-14. RRAS - 포트 등록정보 >

서버의 등록정보를 확인하면 <그림7-14>와 같다. 원격액세스 서버 항목에 체크되어 있는 것을 확인할 수 있다. 이 서버를 추가로 라우터로도 사용하기를 원한다면? 라우터 항목에 체크를 하고 구성을 할 수 있다. 된다. 처음 서비스를 구성할 때는 마법사를 통해서 접근하지만, 이미 서비스가 시작되어 있을 때는 마법사를 이용한 설정은 할 수 없다. 등록정보를 이용해서 추가를 해 주어야 한다.

 

이제 RAS클라이언트가 서버로 전화를 걸면 서버는 전화연결을 받을 수 있도록 구성이 되었다. 여기까지 셋업을 하면 서버구성은 끝났지만, 추가로 생각해 봐야 할 옵션이 있다. 만일 특별한 RAS사용자에 대해서 서버측에서 "콜백(call back)"옵션을 지정했다면 그때는 클라이언트로부터 전화를 받은 서버가 전화를 클라이언트 컴퓨터로 되걸어 주어야 할 필요가 생긴다.

<그림7-15. RRAS - 포트 등록정보 >

그럴 경우를 고려한다면 추가로 <그림7-15>의 옵션을 체크해 주어야 한다. 관리콘솔의 왼쪽 패널의 서버이름 아래에 '포트'를 클릭하고, 등록정보를 연 다음 모뎀의 [구성]을 클릭하면 접근할 수 있다. 기본설정은 '원격 액세스 연결(인 바운드만)'으로 되어 있다. '필요시 전화접속 라우팅 연결(인 바운드 및 아웃바운드)'옵션도 체크를 해 주면 된다.

 

이것으로 RAS서버의 구성은 완료되었다. RAS서버는 구성하였지만 RAS서버에 접근할 사용자가 있어야 할 것이다. 당연하지만, 설정을 빠트리면 어떤 사용자도 RAS서버에 접근을 할 수 없게 된다.

저작자표시 비영리 변경금지
:
Posted by 새벽예찬
2008. 11. 17. 20:48

7장. 원격 액세스 서비스 Windows Networking2008. 11. 17. 20:48

 

윈도우 서버는 전화접속, VPN접속, 인터넷 연결공유, 라우터 등 다양한 기능의 연결서비스를 제공한다. 이번 장에서는 접속서버 기능과 정책, 인증서비스를 살펴보도록 한다. Windows Server 2003을 기준으로 설명하였지만Windows 2000 Server의 서비스와 기능이나 인터페이스 측면에서 큰 차이는 없다.


저작자표시 비영리 변경금지
:
Posted by 새벽예찬

티스토리툴바