[MOONSLAB.com]

이 글의 원래 주제는 'ISA 2004에 연결한 VPN 클라이언트가 인터넷을 사용할 수 있도록 구성하기'라고 해야 정확합니다. 하지만, 방화벽을 다뤄본 관리자라면 스플릿 터널링(Split Tunneling)이라는 용어로 보다 쉽게 알 수 있을 것으로 보여 제목을 변경하였습니다.

목차
#1. 개요
#2. VPN 설정
#3. 네트워크 규칙 구성
#4. 액세스 규칙 설정
#5. VPN 클라이언트 구성
#6. 연결 테스트
#7. 마치며


#5. VPN 클라이언트 구성

VPN 클라이언트를 구성하는 방법은 PPTP이므로 대부분 잘 알고 있으리라 생각됩니다. VPN 클라이언트는 윈도우 운영체제에 따라 설정하는 방법이 약간 다르지만, PPTP와 L2TP/IPSec 연결 모두 다 지원하므로 무리 없이 설정이 가능합니다. 여기에서는 지점간(Site-to-Site VPN)  연결이 아니기 때문에 L2TP/IPSec을 사용하지 않고 PPTP를 사용합니다.

PPTP 연결을 할 때에는 비밀번호가 쉽게 누출될 수 있으므로 가급적 영어, 숫자, 기호 등을 혼합하여 비밀번호를 작성하는 것이 좋습니다.

왜냐 하면, NTLM 인증에서 14바이트 이하의 비밀번호는 손쉽게 캘 수 있는 새로운 무지개 테이블(Rainbow table) 기술이 있기 때문입니다. 이에 대한 자세한 내용은 아래 링크를 참고하십시오.

http://moonslab.com/619

PPTP를 구성할 때에는 아래 화면과 같이 연결할 ISA VPN 서버의 호스트 이름이나 IP 주소를 입력합니다.

2007년 6월 28일, ISAserver.org 독자가 뽑은 안티 바이러스 추천 상은 시만텍 웹 시큐리티가 선정되었다. 카스퍼스키 안티-바이러스와 GFI 웹모니터 제품이 2, 3위 순을 차지했다.

선정 결과

1. Symantec Web Security : 20%

2. Kaspersky Anti-Virus : 19%

3. GFI WebMonitor : 14%

4. avast! ISA Server : 10%

5. CA Antivirus** : 8%

6. BitDefender : 7%

7. Trend Micro's Interscan WebProtect : 5%

8. Panda ISASecure : 4%

9. 기타(McAfee SecurityShield, Burstek bt-Enterprise) 등 : 13%

참고로, CA Antivirus는 eTrust Antivirus의 새로운 제품명입니다.

위에서 선정한 기준은 ISA 방화벽에서 사용할 수 있는 제품이며, 우리가 통상적으로 사용하는 개인용이나 서버용 백신을 의미하지 않으므로 주의해야 합니다.

감사합니다.

액세스 제어 부문에서 ISAserver.org 독자가 뽑은 제품은 GFI WebMonitor이었고, 그 다음이 SurfControl Web 필터와 bt-WebFilter가 뒤를 이었다.

결과 1st	GFI WebMonitor	28%
2nd	SurfControl Web Filter	25%
3rd	bt-WebFilter	13%
4th	Websense Enterprise	11%
5th	ISA Time	5%
6th	CyBlock ISA	4%
7th	IBM Proventia Web Filter	2%
8th	FairShare	1%
	기타	11%

출처: ISAserver.org

Microsoft는 최근에 Virtual Server에서 사용할 수 있는 다양한 VHD(Virtual Hard Disk)를 제공하고 있습니다. 대표적인 예를 보면, Exchange 2007 32비트 에디션, IAG 등이 있습니다.

아래 URL에서 다운로드가 가능하며, 정품 OS이어야 합니다. ISA 2006 VHD는 30일간 사용할 수 있는 평가판이며, 대략 10GB의 여유 공간을 필요로 합니다.

http://www.microsoft.com/downloads/details.aspx?FamilyID=234C9DDA-5452-4946-9E2F-D4B64082814E&displaylang=en

참고로, VHD를 운영하려면, Virtual PC 또는 Virtual Server가 필요합니다.

최근 WIndows Server 2003의 서비스 팩 2가 공식적으로 출시되었습니다. (http://www.microsoft.com/technet/windowsserver/sp2.mspx) 우리 팀은 서비스팩과 ISA Server가 아무런 문제가 없는지 충분한 테스트를 진행했습니다. 하지만, ISA Server에 부정적인 영향을 미칠 수 있는 몇가지 중요한 이슈를 발견했습니다. 이 블로그에서는 현재 알려져 있는 이슈를 소개하고 이를 완화할 수 있는 방안을 제시합니다.

1. ISA Server 2004 엔터프라이즈 에디션(또는 ISA Server 2004 엔터프라이즈 에디션 서비스팩 2)에서는 WIndows Server 2003 SP2를 설치하기 전에 먼저 ISA Server 스토리지 서버에 ADAM SP1를 설치해야 합니다. ADAM SP1은 다음 URL에서 다운로드할 수 있습니다.(http://www.microsoft.com/downloads/details.aspx?FamilyId=9688F8B9-1034-4EF6-A3E5-2A2A57B5C8E4&displaylang=en)

만약 ADAM SP1을 설치하지 않고 Windows Server 2003 SP2를 설치하는 경우에는 설치후에 ISA Server가 시작되지 않습니다. 따라서 Windows Server 2003 SP3를 제거해야 할 것입니다. 이에 대한 자세한 정보는 다음의 출시 정보를 참고하세요.(http://technet2.microsoft.com/WindowsServer/en/library/ed5382af-e819-4d33-ace0-225d31b7ab751033.mspx?mfr=true)

2. ISA Server 2000, 2004, 2006 스탠다드/엔터프라이즈 에디션을 SMP(멀티 코어 / 멀티 프로세서) 컴퓨터에서 실행하는 중인 경우에, Windows Server 2003 SP2를 설치하고 난 후에 CPU의 과도한 부하로 인해 성능의 급격한 저하 현상이 일부 환경에서 나타날 수 있습니다. 이러한 현상의 원인은 Windows Server 2003 SP2에서 제고하는 인터럽트 처리 기능의 변경 때문입니다. 이 문제는 Windows Server 2003 리소스 킷에서 제공되는 Interrupt Affinity Tools(intfilty)을 다운로드하여 실행하여 해결할 수 있습니다.(http://www.microsoft.com/downloads/details.aspx?FamilyID=9d467a69-57ff-4ae7-96ee-b18c4790cffd&DisplayLang=en) 이 도구의 사용법은 다음 URL을 참고하세요.(http://support.microsoft.com/kb/252867)

3. 시스템의 랜 카드가 RSS(Receive-side scaling)을 지원하는 경우 일부 ISA 2000, 2004, 2006 스탠다드/엔터프라이즈 에디션으로 NAT 환경을 사용하는 경우 Windows Server 2003 SP2의 설치 후에 다른 랜 카드로 패밋이 전송되지 않을 수 있다. 이 문제를 해결하려면 RSS를 사용 안함으로 변경해야 한다.(http://support.microsoft.com/default.aspx?scid=kb;EN-US;927695)

출처: ISA Server Product Blog

ISAserver.org 사이트에서는 서버 관리자들이 추천하는 제품에 대한 다양한 정보를 제공했었다. 사이트에서는 다양한 제품들이 소개되었고, 나름대로의 평가를 위한 투표도 진행했다.

다음의 제품들은 4000명 이상의 통신원들이 뽑은 제품의 목록으로 2006년에 2달에 한번씩 부문별로 선정한 결과이다.

• Access Control - GFI WebMonitor
• Anti Virus - Symantec AntiVirus
• Reporting - Red Line Software Internet Access Monitor
• Monitoring & Administration - GFI WebMonitor
• Content Security - SurfControl Web Filter
• Hardware Appliances - HP ProLiant DL320

하드웨어 어플라이언스 - 2006년 12월/2007년 1월

투표 결과

카테고리에 대한 자세한 결과는여기를 참고한다. 하드웨어 어플라이언스에 대한 자세한 정보는 여기를 참고한다

컨텐트 보안 – 2006년 10월/11월

투표 결과

카테고리에 대한 자세한 결과는여기를 참고한다. 컨텐트 보안 솔류션에 대한 자세한 정보는 여기를 참고한다.

모니터링 및 관리 – 2006년 8월/9월

투표 결과

카테고리에 대한 자세한 결과는 여기를 참고한다. 모니터링 및 관리 솔류션에 대한 자세한 정보는 여기를 참고한다.

보고 기능 – 2006년6월/7월

투표 결과

카테고리에 대한 자세한 결과는 여기를 참고한다. 보고 기능 솔류션에 대한 자세한 정보는 여기를 참고한다.

안티 바이러스 – 2006년 4월/5월

투표 결과

카테고리에 대한 자세한 결과는 여기를 참고한다. 안티 바이러스에 대한 자세한 정보는 여기를 참고한다.

액세스 제어 – 2006년 2월/3월

투표 결과

카테고리에 대한 자세한 결과는 여기를 참고한다. 액세스 제어 솔류션에 대한 자세한 정보는 여기를 참고한다.

2007년도에 선정할 예정인 카테고리 소개

추천 제품 선정은 2007년도에도 계속 진행될 것이며, 서버 관리자들은 자기 나름대로의 소신에 따라 투표해 주시길 바란다. 아래 목록은 2007년도에 선정 예정인 카테고리이다.

• Access Control - February/March 2007
• Anti Virus - April/May 2007
• Reporting - June/July 2007
• Monitoring & Administration - August/September 2007
• Content Security - October/November 2007
• Hardware Appliances - December 2007/January 2008