이 글의 원래 주제는 'ISA 2004에 연결한 VPN 클라이언트가 인터넷을 사용할 수 있도록 구성하기'라고 해야 정확합니다. 하지만, 방화벽을 다뤄본 관리자라면 스플릿 터널링(Split Tunneling)이라는 용어로 보다 쉽게 알 수 있을 것으로 보여 제목을 변경하였습니다.

목차
#1. 개요
#2. VPN 설정
#3. 네트워크 규칙 구성
#4. 액세스 규칙 설정
#5. VPN 클라이언트 구성
#6. 연결 테스트
#7. 마치며


#1. 개요

ISA 서버는 방화벽, 웹 가속을 위한 캐싱 기능을 제공하지만 VPN 서버의 기능 또한 제공합니다. VPN은 외부(인터넷 등)의 클라이언트가 ISA를 통해 내부 네트워크로 연결하여 마치 회사 내에 있는 것처럼 자원을 사용할 수 있습니다. 하지만, ISA의 VPN 기능에서는 VPN 클라이언트가 인터넷을 사용할 수 없는 치명적인 약점을 지니고 있습니다.

ISA 2000이 출시될 때에는 이러한 기능의 제한으로 인해 많은 논쟁거리를 가져왔지만 그 이후에 ISA 2004가 출시되면서 이 기능을 사용할 수 있는 방법이 발견(!)되어 널리 사용될 수 있었습니다.

ISA 서버의 내부에 위치한 클라이언트는 SecureNAT 클라이언트 또는 웹 프록시 클라이언트이어야만 인터넷을 사용할 수 있습니다. 하지만, ISA VPN 서버에 접속한 VPN 클라이언트는 이러한 클라이언트가 아닌 VPN 링크이므로 나타날 수 밖에 없습니다.

ISA 관리자는 VPN 클라이언트에서 스플릿 터널링(Split Tunneling)을 사용하여 이 문제점을 해결하기 위해 시도하지만 이러한 시도는 오히려 잠재적인 보안상 문제점을 가져왔습니다. 기본적으로 윈도우의 VPN 클라이언트 소프트웨어는 원격 네트워크의 기본 게이트웨이 주소를 사용합니다. 즉, 로컬이 아닌 네트워크(ex. 인터넷)로 향하는 모든 연결을 자동적으로 VPN 인터페이스를 통해 포워딩된다는 의미입니다.

인터넷으로 향하는 모든 패킷은 VPN 연결을 통해 전달되지만 연결을 실패합니다. 왜냐 하면 ISA 2000 방화벽에서는 VPN 클라이언트의 SecureNat 클라이언트 연결을 허용하지 않습니다.
사용자 삽입 이미지

하지만, 만약에 VPN 클라이언트가 ISA VPN 서버에 연결된 이후에 SecureNAT 클라이언트가 아닌 방화벽/웹 프록시 클라이언트로 설정한다면 이러한 문제점을 해결할 수 있는 실마리를 가질 수 있습니다.

이렇게 설정하는 것은 보안상 더 나은 선택이지만 단점으로는 방화벽 클라이언트 즉 사용자가 특정한 상황에서 VPN으로 연결할 때에 일부 설정을 직접 변경해야 하는 부담이 있습니다.
사용자 삽입 이미지

ISA 2004에서는 VPN 클라이언트가 연결하더라도 인터넷에 연결할 수 있도록 문제점이 해결되었습니다. 물론 VPN 클라이언트에서 스플릿 터널링을 구성할 필요도 없습니다.

다음 강좌에서는 ISA 2004에서 VPN을 어떻게 구성하는지에 대해 설명합니다.


reTweet
Posted by 문스랩닷컴
blog comments powered by Disqus

    댓글을 달아 주세요



    Web Analytics Blogs Directory