ISA 2000에서는 유용한 서드 파티 도구 들이 별로 없었지만, ISA 2004와 2006으로 발전해나가면서 다양한 프로그램과 스크립트가 개발되어 제공되고 있습니다. 일부 도구들은 마이크로소프트가 직접 제작하여 배포하지만, 다른 경우에는 ISAServer.org와 같은 ISA 전문 사이트를 통해 소개됩니다.

아래 자료는 ISAServer.org에 올라온 자료로 ISA Server 2004/2006에서 유용하게 사용할 수 있는 도구 7가지를 소개합니다.


1. Firewall Engine Monitor

방화벽 엔진 모니터(FWENGMON)은 ISA 커널 모드 드라이버를 모니터링하는 방법을 통해 방화벽 연결에 관련된 문제를 파악하고 해결하는데 도움을 줄 수 있는 도구입니다. 커널 모드 드라이버는 FWENG.SYS 파일에 구현되어 있습니다. FWENGMON 프로그램은 명령행 프롬프트에서 동작하며 다양한 옵션을 제공합니다.

프로그램을 다운로드하고 FWENGMON 명령어를 실행하면 쉽게 알 수 있습니다.
사용자 삽입 이미지
다운로드: http://www.microsoft.com/downloads/details.aspx?FamilyID=F3306399-D4F9-4989-865E-C61F8293C330&displaylang=en


2. ISA 2006 SDK

ISA 2006 SDK(Software Development Kit)에는 ISA의 기능을 확장하기 위한 다양한 정보를 제공하고, ISA 2006을 위한 추가적인 애플리케이션을 개발할 수 있게 해줍니다. SDK에는 ISA의 설계 구조와 향상된 기능에 대한 문서를 포함합니다.
사용자 삽입 이미지

SDK에는 ISA에서 사용할 수 있는 다양한 스크립트도 제공합니다.

다운로드: http://www.microsoft.com/downloads/details.aspx?FamilyID=16682c4f-7645-4279-97e4-9a0c73c5162e&DisplayLang=en


3. ISA Tunnel Range Editor

SSL 포트인 443번을 다른 포트로 확장하기 위해 ISA Tunnel Port Range Editor를 사용할 수 있습니다. 업계에서는 SSL 트래픽을 기본 포트가 아닌 다른 포트로 이용하는 특정한 프로그램이 이를 필요로 합니다. 에디터는 명령 프롬포트용과 GUI 용 두가지로 제공되므로 관리자의 선호에 따라 선택할 수 있습니다.
사용자 삽입 이미지
위 화면은 명령 프롬프트에서 실행한 것으로 SSL 포트를 1711로 변경하는 경우에는 다음과 같이 입력합니다.

CSCRIPT ISA_TPR.JS /ADD Port1711 1711


4. ISABPA(ISA Basic Practice Analyzer)

ISA 서버를 설치하기 전에 다양한 환경 및 요구사항을 검증하는 분석 프로그램으로 이와 유사한 프로그램으로는 EXBPA(Exchange Best Practice Analyzer)가 있습니다. ISABPA는 ISA 관리 COM 객체, WMI 클래스, 시스템 레지스트리, 파일, DNS 세팅 과 같은 환경 설정에 대해 지정한 테스트를 자동으로 실행합니다. ISABP에 대한 자세한 내용은 아래 링크를 참고하십시오.

http://www.isaserver.org/tutorials/ISA-Server-2004-Best-Practice-Analyzer.html

지금까지 ISA 2004/2006에서 유용하게 사용할 수 있는 도구 프로그램을 소개하였습니다.
reTweet
Posted by 문스랩닷컴
blog comments powered by Disqus

    댓글을 달아 주세요

    ISA 2000 버전에서는 유용한 서드 파티 도구들이 별로 없었지만, ISA 2004와 2006으로 발전해나가면서 다양한 프로그램과 스크립트가 개발되어 제공되고 있습니다. 일부 도구들은 마이크로소프트가 직접 제작하여 배포하지만, 다른 경우에는 ISAServer.org와 같은 ISA 전문 사이트를 통해 소개됩니다.

    아래 자료는 ISAServer.org에 올라온 자료로 ISA Server 2004/2006에서 유용하게 사용할 수 있는 도구 7가지를 소개합니다.

    1. CacheDirTool

    ISA 서버는 방화벽이기도 하지만 웹 가속기 역할을 제공합니다. 웹 가속기에서는 반드시 캐시한 데이터를 보관하는 저장소를 가지고 있습니다. 하지만, ISA 에서는 기본적으로 캐시한 데이터를 살펴 볼 수 있는 기능을 제공하고 있지 않습니다. 여기에서 소개하는 CachDirTool은 캐시한 컨텐트를 볼 수 있게 해줍니다. 또한, 특정한 캐시 항목을 삭제할 수 있는 관리 기능도 제공합니다.

    사용방법은 프로그램을 Microsoft 웹 사이트에서 다운로드하여 ISA 설치 폴더(C:\Program Files\Microsoft ISA Server) 폴더로 Cachedir.exe 파일을 복사합니다.
    사용자 삽입 이미지
    다운로드: http://www.microsoft.com/downloads/details.aspx?FamilyId=88117626-D72C-4CC8-A15F-C1FBDBCFF688&displaylang=en


    2. ISAInfo

    ISAInfo는 프로그램 이름에서 보면 알 수 있듯이, ISA 서버를 설치한 상황부터 OS에 이르기까지 다양한 소프트웨어 정보를 일목요연하게 살펴 볼 수 있는 기능을 제공합니다. 예를 들어, ISA 서버의 방화벽 규칙, 설치한 핫픽스 목록, 서비스팩 등등 다양한 정보를 보여 줍니다.
    이 프로그램은 2개의 프로그램으로 나눠져 있습니다. 먼저 ISAInfo.js 스크립트를 실행합니다. ISAInfo.js 스크립트는 ISA 서버와 윈도우 OS 등의 다양한 정보를 수집하여 XML 파일로 저장합니다.
    사용자 삽입 이미지

    두 번째는 작성한 XML 파일을 관리자에게 직관적으로 보여 주는 뷰어(ISAInfo Viewer)을 실행합니다. Load XML 버튼을 눌러 ISAInfo.js가 생성한 XML 파일을 지정하는 것으로 손쉽게 작업이 완료됩니다.
    사용자 삽입 이미지

    다운로드: http://www.isatools.org/tools.asp?Context=ISA2004


    3. DNSCacheTool

    ISA 서버는 방화벽 역할을 수행하며 이 기능 중의 하나가 바로 DNS 프록시의 역할입니다. ISA 서버 또는 클라이언트에서 DNS 이름 풀이를 수행할 때에 문제점이 발생하는 경우에는 이 프로그램을 이용하여 문제를 해결할 수 있는 수단을 제공합니다.

    이 프로그램은 ISA 캐시에 저장되어 있는 DNS 캐시의 목록을 살펴 볼 수 있으며 잘못된 항목을 삭제할 수도 있습니다.

    프로그램은 ISA 설치 폴더(C:\Program Files\Microsoft ISA Server)에 DNSTool.exe 파일을 복사하고 명령 프롬프트 창을 열고 다양한 옵션을 이용하여 실행합니다.
    사용자 삽입 이미지
    다운로드: http://www.microsoft.com/downloads/details.aspx?FamilyId=1B46838D-1674-4D6D-9974-0E5E80E77045&displaylang=en


    다음 강좌에 추가로 소개할 예정입니다.
    reTweet
    Posted by 문스랩닷컴
    blog comments powered by Disqus

      댓글을 달아 주세요

      최근 ISA Server 2004 Standard/Enterprise Edition의 서비스팩 3가 발표되었습니다. 이 글은 SP3에서 제공하는 향상된 기능이나 보완된 기능을 중점으로 알려 드립니다.

      SP3에서는 다음의 기능들이 추가되거나 향상되었습니다

      • 로그 뷰어 기능 향상
      • 로그 필터링 기능 향상
      • 로그 필터 관리 기능 향상
      • 새로운 진단 로깅 기능
      • ISA 방화벽 BPA와 통합

      3. 로그 필터 관리 기능 향상

      기존 버전까지에서는 관리자가 직접 작성한 로그 필터를 가져오기하거나 내보내기를 하려면, Edit Filter 대화상자에서 Import Filter 또는 Export Filter 버튼을 눌러 처리했습니다. 이러한 처리 방식은 Edit Filter 대화상자에서는 적절한 인터페이스라고 할 수 있지만, 단순한 작업을 번거롭게 처리하는 귀찮음이 있었습니다. 아래 그림과 같이 Save FilterLoad Filter 버튼을 사용하여 현재의 필터 설정을 손쉽게 가져오기하거나 내보내기할 수 있습니다.
      사용자 삽입 이미지

      또한, 서비스팩3에서는 추가적인 필터링 옵션을 제공하는데 아래 그림과 같이 Not One ofOne of 조건이 그것입니다.
      사용자 삽입 이미지

      예를 들어, Filter by 드롭다운 리스트박스에서 Protocol을 선택하고 Not One of 옵션을 선택하는 경우 Value 박스에서 선택할 수 있는 값을 볼 수 있게 됩니다. 로그에서 볼 필요가 없는 엔트리를 체크합니다. 이는 로그 파일에서 Not Contains 조건을 여러개 주는 등의 작업보다 편리합니다.
      사용자 삽입 이미지


      4. 새로운 진단 로깅 기능

      ISA 2004 SP3에서 가장 주목을 받는 기능이 바로 새로 추가된 진단 로깅 기능입니다. 진단 로깅 기능을 사용하여 관리자는 ISA 방화벽을 통과하거나 연결하는 연결에 대한 정보를 세부적으로 살펴 볼 수 있습니다. 진단 로깅에 포함되는 정보에는 ISA 방화벽이 각각의 규칙별로 어떻게 평가하고 처리하는지 심도있게 검토할 수 있습니다.

      아래 그림에서는 진단 로깅 기능의 구성 인터페이스를 보여 줍니다. 다음과 같이 2가지 유형의 이벤트를 로그로 남길 수 있습니다.

      • Firewall Policy - 웹 프록시 트래픽 등 방화벽 정책 규칙에 대한 로그 정보
      • Authentication - 방화벽 정책 규칙 인증에 대한 로그 정보

      저장된 로그 데이터를 보는 방법에는 여러가지가 있지만, 이에 대해 별도의 기사를 통해 제공할 예정이기 때문에 자세히 설명하지는 않습니다.
      사용자 삽입 이미지


      5. ISA 방화벽 BPA와 통합

      ISA 방화벽 BPA(Best Practices Analyzer)은 일반 적인 설치 절차에 대한 안내와 ISA 방화벽에서 발생할 수 있는 구성 오류를 찾을 수 있는 도구입니다. ISA 방화벽 BPA는 ISAinfo 도구와 통합되어 제공되며, 시스템과 ISA 방화벽 구성에 대한 충분한 이해를 도울 수 있도록 보여 줍니다.

      실제 ISA 방화벽 BPA은 별도로 다운받을 수 있으며 실제 서비스팩3에 포함되어 있지는 않습니다. 하지만, 일단 설치한 다음부터는 ISA 방화벽 콘솔에서 Troubleshooting 노드에서 ISA 방화벽 BPA를 사용할 수 있습니다.

      ISA 방화벽 BPA를 실행하고 나면 여러분은 ISA 방화벽의 구성 정보에 대한 세부 보고서를 볼 수 있으며 발생한 문제점에 대해서도 알려 줍니다. 아래 그림은 ISA 방화벽 BPA를 실행한 화면으로 어떤 문제점이 있으며 이를 어떻게 해결할 지에 대한 추가적인 정보도 보여 줍니다.
      사용자 삽입 이미지

      좀더 자세한 정보는 ISA 방화벽 BPA의 도움말을 참고하기 바랍니다. 이 도움말에는 수많은 흥미진진한 정보가 포함되어 있으며 ISA 방화벽을 사용하면서 발생할 수 있는 문제점에 대한 해결책도 제시합니다.

      또한, 보고서에서는 사용한 BPA의 버전, ISA 방화벽의 버전 및 서비스팩 버전, 시스템 디스크의 용량, 프로세서의 갯수, 기타 유용한 정보도 보여줍니다. 그리고 이러한 보고서를 파일로 저장하여 분석을 하기 위해 Jim Harrison에게 보낼 수도 있습니다.
      사용자 삽입 이미지


      마지막으로 익스체인지 2007 서버의 게시 지원을 들 수 있다. 하지만, 실제로는 익스체인지 2007 서버를 게시하는 작업이 그리 만만치는 않습니다.다. 이에 대한 자세한 정보는 별도의 기사를 통해 제공할 예정이므로 기대하시기 바랍니다.

      reTweet
      Posted by 문스랩닷컴
      blog comments powered by Disqus

        댓글을 달아 주세요

        지난 번 강좌를 통해 ISA Server에서 새롭게 추가된 SSL VPN 기능에 간단히 언급한 적이 있다. IAG 2007이 바로 그 제품인데, 실제로는 Whale이라는 자회사에서 개발한 프로그램을 ISA Server와 연동한 것이라고 보면 되겠다. ISA Server 방화벽의 기능 중에 가장 빈약한 기능이 바로 SSL VPN 기능이었는데, 이를 지원함으로써 통합 보안 솔루션으로 한번 더 자리매김하게 되었다. 참고로, 필자는 IAG 2007을 실제로 시연하는 모습을 살펴 보았는데, 다음 번에는 현장에서 실제 사용되는 서버의 화면으로 IAG 2007을 설명할 예정이니 기대하기 바란다.

        이 글은 IAG 2007에서 지원하는 SSL VPN의 실제 기능에 대해 설명하지 않고 먼저 기초가 되는 SSL VPN의 역사에 대한 다루고 있다. 또한, SSL VPN의 역할이 무엇인지에 대해서도 다룬다.

        사용자 삽입 이미지

        SSL VPN의 역사

        필요는 발명의 어머니! SSL VPN은 문제점을 해결하기 위한 하나의 기술로 소개되었다. 여기서 문제점이란 회사의 직원들이 회사 애플리케이션에 원격 액세스를 제공하여야 할 때 요구되는 복잡성과 어려움을 말한다. 가장 처음에 제시된 솔루션은 바로 전화접속 RAS 서버였다. 전화접속 RAS 솔루션의 가장 큰 단점은 속도가 아주 느렸으며, 그 보다는 장거리 전화요금 때문에 골치꺼리 였다. 만약, 외국에서 국내 회사 서버로 전화접속을 한다면 얼마나 많은 국제전화 요금을 낼 것인가? 싸이도 싸대기를 맞을 수 있다!

        원격 접속 환경은 인터넷이 소개되고, 속도가 빨라지면서 이러한 기술은 급격하게 변화하게 되었다. 전화접속 대신에 인터넷을 사용하고, 전화 접속 모뎀을 여러 개 장착한 뱅크~ 대신에 VPN 서버로 대체하게 되었다. VPN 서버는 인터넷에 연결된 클라이언트에서 연결을 허용하고, 회사 네트워크 자원에 접속할 수 있게 해준다. 물론 클라이언트들은 회사 애플리케이션이나 애플리케이션 프로토콜을 사용할 수 있게 된다.

        간단히 보기에는 VPN 기술이 아주 이상적인 솔루션으로 보일 수 있다. Windows NT에서 제공하는 VPN 서버 기능은 RRAS 서비스로 제공된다. PPTP(나중에는 L2TP/IPSec으로 발전됨)를 사용하여 회사 네트워크에 직접 연결한 것처럼 충분한 액세스를 제공받을 수 있다. 이러한 경험은 예전의 전화 접속 방식보다 훨씬 훌륭하다. 인터넷 업체의 속도 경쟁 덕분에 속도도 월등히 빠르다.

        하지만, 이러한 이상적인 솔루션을 사용하면서도 결점이 눈이 보이는 것은 당연한 것 아닐까? VPN 솔루션에서 단점으로 여겨지는 사항을 정리해 보았다.

        • VPN 연결을 사용하기 전에 이미 사용하던 일상적인 애플리케이션(예를 들면, 아웃룩 등)을 모두 종료해야 한다는 점이다. 사용자는 단지 일의 연장일 뿐인데, 왜 이렇게 해야 하는지 이해하지 못한다.
        • VPN 클라이언트 구성이 복잡하다. 손쉬운 마법사 기능이 제공되는 제품도 있지만, 대부분 VPN 클라이언트를 설치하는데 어려움을 느끼고, 고객 지원팀의 도움을 받는 경우가 허다하다.
        • 설치가 완료되더라도 일부 네트워크 환경에서는 사용하는데 어려움을 겪을 수 있다. 예를 들어, 방화벽에서 이러한 포트를 열어 주지 않는 다면, 사용자는 이래저래 고생할 것이다. 이러한 변수로 인해 고객 지원팀의 운영에 들어가는 비용이 증가할 수 있다.
        • VPN 클라이언트는 사용하려는 네트워크에 따라 서로 다른 네트워크 ID를 가져야 한다. 이러한 문제로 인해 다양한 문제점이 발생할 수 있다.
        • PPTP에서는 복잡한 암호를 사용하지 않은 경우 보안상 문제점을 가지고 있다. 이러한 단점이 L2TP/IPSec의 출현을 가져오게 했다.
        • VPN 연결을 성공적으로 하게 되면, 그 사용자는 네트워크에 대해 리소스에 대한 충분한 액세스를 제공받을 수 있다. 하지만, 이러한 결과 바이러스, 웜 기타 익스플로잇이 회사 네트워크로 감염되어 보다 큰 보안 사고를 유발할 수 있다. 이 문제는 보안상 아주 중요한 부분이기 때문에 아주 중요한 이슈로 받아 들여야 한다. 이러한 단점을 해결해 주는 솔루션이 바로 ISA 2004/2006이다.

        지금까지 언급한 단점들을 토대로 SSL VPN 솔루션의 개념이 탄생하게 되었다. SSL VPN의 주된 목표는 다음과 같다.:

        • 방화벽을 통해 아무런 불편없는 액세스를 제공
        • NAT 장비의 존재 여부에 관계없이 원격 액세스 솔루션은 쭉~ 제공되어야 한다.
        • 복잡한 VPN 클라이언트 소프트웨어를 설치할 필요가 없어야 한다. 그런데 이거 설치해 보니, Active-X 컨트롤이다. 아이러니하다.

        최근 국내 회사에서 제공하는 SSL VPN은 웹 인터페이스를 제공하고 있다. 그런데 이러한 인터페이스가 사용자의 편리성을 중요한 것인지? 아니면 개발의 한계 때문인지 이는 물어봐야 하는데, 힘들다~

        하여튼, SSL VPN의 솔루션은 이제 조금씩 자리를 잡아 가고 있다. 다음은 SSL VPN의 4가지 형태를 보여 준다:

        • 웹 기반의 애플리케이션만을 지원하는 단순한 리버스 프록시 장비. 가장 대표적인 장비가 ISA 방화벽의 웹 게시 기능으로 VPN과는 아무런 관계가 없다. 이러한 리버스 프록시는 리버스 NAT 솔루션보다는 안전하고, 대리 인증(pre-authentication)과 URL 변경(rewriting)을 지원한다.
        • 프로토콜 터널링. SSL 세션에서는 클라이어트와 게이트웨이가 애플리케이션 프로토콜의 터널링을 지원한다. 이러한 SSL VPN의 대표적인 예로는 아웃룩 RPC/HTTP 클라이언트와 RPC/HTTP 프록시가 있다. 아웃룩 RPC/HTTP 클라이언트는 SSL로 암호화된 세션에서 RPC/MAPI 호출을 터널링하고 이러한 패킷을 RPC/HTTP 프록시로 전달한다. RCP/HTTP 프록시는 RPC/MAPI 통신이 터널링된 것을 해제하고 메일 서버로 전달한다.
        • 소켓 또는 포트 포워딩 장비. 소켓/포트 포워딩 장비는 특정한 포트/소켓으로 오는 호출을 청취하고, 이러한 호출을 가로채서 SSL VPN 게이트웨이로 전달하는 클라이언트 프로그램을 설치한다. 이러한 대표적인 예로는 로컬 SOCKS 프록시를 들 수 있다. 또한, 개인 PC에 설치되는 백신이 아웃룩으로 들어오고 나가는 메일을 감시하는 방식도 이와 유사하다고 볼 수 있다. 로컬 SOCKS 프록시를 설치하게 되면 TCP 25/100으로 오는 호출을 가로채서 SSL VPN 게이트웨이로 연결을 전달한다. SSL VPN 게이트웨이는 터널된 프로토콜을 해제하여 메일 서버로 전달한다.
        • 진정한 SSL VPN. SSL VPN이라고 말할 수 있는 장비라면 회사 네트워크에 매끄럽게 연결할 수 있어야 한다. 앞에서 언급한 단점을 모두는 아니지만 대부분을 해결할 수 있어야 한다. 클라이언트는 적절한 IP주소를 회사 네트워크에서 할당 받아야 하며, 모든 프로토콜을 지원해야 한다. 기존의 VPN 서버와 프로토콜을 경험한 사용자들을 위해 또 다른 사용법을 배우는 수고가 적어야 한다.

        현재 SSL VPN은 급격한 변화를 가져오고 있으며, 다양한 제품이 출시되고 있다. 하지만, SSL VPN 제품의 홈페이지에 나와 있는 정보를 보면, "어디서나 회사 네트워크에 접근할 수 있습니다"라는 말만 요란할 뿐 어떤 기술이 제대로 적용되는지 설명된 경우가 그리 많지는 않다.

        SSL VPN을 바라보는 IT 관계자나 실제 사용자의 입장에서 살펴 보자. VPN의 원래 목적인 어디서나 회사 네트워크를 액세스하여 매끄럽게 업무를 진행한다는 개념을 가지고 있다. 하지만, SMB/CIFS와 같은 보안상 문제의 소지가 있는 프로토콜을 인터넷을 통해 사용한다는 것은 그리 좋은 보안 정책은 아니지만, 실제 사용자의 입장에서는 당연한 요구일 뿐이다.

        잠시 보안에 대해 운을 띄었지만, SSL VPN 용어 자체에서 풍기는 맛은 바로 보안이다. 기존 VPN 서버/장비에서는 그리 큰 보안 대책을 제공하지 못했다. 일부 장비에서는 나름대로의 암호화 터널을 제공했지만, 이는 다른 제품과의 호환성이라는 문제점에 봉착하게 된다. 즉, VPN으로 연결한 사용자는 회사의 업무를 무리 없이 사용할 수 있지만, 또 다른 관점에서 보면 바이러스/웜 그리고 해킹의 주요 발상지가 될 수 있다는 의미이다.

        회사 네트워크에는 업무상 자료뿐만 아니라 기밀 데이터가 보관되어 있을 가능성이 매우 높다. 이러한 정보들이 외부로 누출된다면, 큰일이 아닐 수 없다. 그렇다고, 각 개인 PC마다 접속하기 전에 백신/개인용 방화벽이 있는지 그리고 안전한지 확인하는 절차가 있을 가능성은 거의 00%이다.

        지금까지 언급한 기존의 VPN 솔루션의 단점을 해결하기 위해 나온 기술이 바로 SSL VPN이다.

        SSL VPN의 역할

        대부분의 SSL VPN 벤더는 원격 액세스 솔루션에서 발생할 수 있는 보안 취약점을 매우 빨리 개선하고 있으며, 이러한 결과 SSL 게이트웨이는 SSL VPN 기능을 가지게 되었다. 이러한 SSL VPN 기능은 클라이언트와 게이트웨이 단에 구현된다.

        엔터프라이즈 급에서 사용가능한 SSL VPN 솔루션은 다음의 기능을 필수적으로 제공해야 할 것이다:

        • 터널링. SSL VPN 게이트웨이는 SSL 세션 내에서 웹 기반의 애플리케이션뿐만 아니라 모든 애플리케이션 그리고 프로토콜을 터널링할 수 있어야 한다.
        • 클라이언트 보안 강화. SSL VPN 장비는 SSL VPN 클라이언트 컴퓨터의 상태를 평가할 수 있는 수단을 제고하는 어떤 면으로 본다면 종단간 감지 기능을 제공해야 한다. 이러한 기능을 제공하는 이유는 네트워크 보안 정책을 지키지 못하는 클라이언트는 회사 네트워크에 연결할 수 없도록 하기 위함이다. 예를 들어, 가정에서 컴퓨터는 아이들이 사용할 수도 있다. 이러한 경우를 대비하여 원치 않는 접속을 차단할 수 있어야 한다.
        • 대리 인증. 외부 사용자들은 회사 서버로 인증 시도뿐만 아니라 직접적인 세션 연결을 가질 수 없다. SSL VPN 게이트웨이는 외부 사용자의 인증을 대리로 받아 인증하고 인증 후에는 사용자의 정보를 게시된 웹 서버로 전달해줘야 한다. 웹 프로토콜뿐만 아니라 다른 모든 프로토콜도 지원해야 한다
        • 인증. SSL VPN 게이트웨이는 SSL VPN 포털에서 운영하는 포탈/애프리케이션에 대한 액세스를 허용/거부하는 기능을 가져야 한다.
        • 사용자 포탈. 사용자 포탈은 SSL VPN 사용자가 포탈에 로그온한 이후에 사용할 수 있는 애플리케이션을 액세스하기 위해 방문하는 웹페이지를 말한다. 포탈에는 사용자가 접근할 수 있는 모든 애플리케이션을 미리 정의하여 둘 수 있는 페이지가 있다. 즉, 원격 접속을 하기 위해 별도로 URL이나 아이디/비밀번호를 넣는 수고를 덜 수 있다. 설명보다는 그림 한 장이 최고인데, 아직 보안 문제로 스크린샷을 못찍었다.
        • 애플리케이션 수준의 검사(inspection). 엔터프라이즈급 SSL VPN 게이트웨이를 좀더 선별하기 위해서는 일정 수준의 애플리케이션 검사 기능을 제공해야 한다. 애플리케이션 수준이라는 의미는 HTTP/HTTPS 연결에 제한될 수도 있다. 하지만, SMTP, POP3, RPC, IMAP4와 같이 많이 사용하는 프로토콜을 지원하는 솔루션도 출시되어 있다.

        지금까지 SSL VPN이 초기의 웹 프록시 서버로부터 어떻게 발전해 왔는지 살펴 보았다. 최근 출시되는 SSL VPN 제품들은 SSL VPN, 리버스 프록시, 프로토콜 터널링, SSL 세션으로 네트워크에 연결하는 모든 기능을 제공하고 있다. 또한, SSL VPN은 회사 네트워크 연결이라는 본연의 목적뿐만 아니라 애플리케이션 수준의 보안 검사(inspection)까지 가능한 수준으로 발전되고 있다.

        정리

        이 강좌를 통해 SSL VPN에 대한 간략한 정보를 소개하고 있다. SSL VPN이 어떤 연유로 탄생했는지 그리고 어떻게 배치되었는지 간략히 설명했다. 다음 기사에서는 IAG 2007에서 제공하는 SSL VPN에 대해 좀더 자세한 정보를 제공하고자 한다. 참고로, 여기서 사용되는 IAG 2007는 모 업체의 협찬으로 가능했다. IAG 2007 써보신 분 손~~.

        참고 문헌: ISASERVER.ORG

        reTweet
        Posted by 문스랩닷컴
        blog comments powered by Disqus

          댓글을 달아 주세요


          ISA Server 2006은 기존의 제품과 동일한 에디션 형식으로 판매됩니다. 스탠다드 에디션과 엔터프라이즈 에디션의 차이점을 알려 드립니다.

          특징

          스탠다드 에디션

          엔터프라이즈 에디션

          확장성

           

           

          네트워크 크기

          무제한

          무제한
          엔터프라이즈 네트워크 추가

          하드웨어 확장성

          최대 4 CPU, 2 GB RAM

          무제한(운영체제에 따름)

          로드 밸런싱

          단일 서버

          NLB를 통해 최대 32 노드까지 지원

          캐시

          단일 서버의 캐시 저장소

          무제한(Cache Array Routing Protocol [CARP] 이용)

          가용성

           

           

          Windows NLB 지원

          지원 안함

          지원(내장되어 있음)

          관리

           

           

          정책

          로컬

          어레이 및 엔터프라이즈 정책은 ADAM(Active Directory Application Mode)을 이용

          지사

          정책을 직접 가져오기/내보내기함

          엔터프라이즈/어레이 정책

          모니터링/통보

          단일 서버 모니터링 콘솔
          Microsoft Operations Manager (MOM) 관리 팩

          다중 서버 모니터링 콘솔
          Microsoft Operations Manager (MOM) 관리 팩

          다중 네트워크

          템플릿

          템플릿


          원문: http://www.microsoft.com/isaserver/prodinfo/standard-enterprise-comparison.mspx
          reTweet
          Posted by 문스랩닷컴
          blog comments powered by Disqus

            댓글을 달아 주세요


            ISA 2006 소개

            ISA Server 2006에서는 사용자가 애플리케이션 데이터를 안전하면서도 빠르게 이용할 있도록 제공해 주면서 동시에 인터넷에서 발생가능한 위협으로부터 IT 환경을 안전하게 보호하는데 도움을 제공합니다. ISA Server 2006 스탠다드 버전과 엔터프라이즈 버전으로 제공됩니다.(차이점  보기) 글에서는 버전에서 모두 제공하는 기능 특징을 소개합니다.

            ISA Server 2006 다양한 네트워크 환경에서 보안, 효율적인 관리, 빠르고 안전한 액세스를 제공합니다.

            시나리오

            ISA Server 2006 네트워크의 보안, 성능, 유지보수, 네트워크 비용 감소 등에 관심을 가지고 있는 IT 관리자, 네트워크 관리자, 정보 관리 전문가에게 적합합니다. ISA Server 2006 사용함으로써 다음의 이점을 누릴 있습니다.

             

            원격에서 컨텐트를 안전하게 액세스할 있도록 게시. ISA Server 2006 인터넷을 통해 회사 애플리케이션을 액세스할 있는 보안을 제공합니다.

            본사와 지사 간의 안전한 연결. ISA Server 2006 기존 네트워크 연결을 바탕으로 네트워크 연결 비용을 감소시키면서 회사 네트워크를 안전하게 확장할 있는 다양한 수단을 제공합니다.

            기반의 위협으로부터 보호. ISA Server 2006 네트워크를 보호 관리를 위해 보다 강력한 보안 수단을 제공합니다.


            원격에서 컨텐트를 안전하게 액세스할 있도록 게시

            회사에서는 직원과 협력사가 PC 각종 장비에서 애플리케이션, 문서, 데이터를 외부에서 안전하게 액세스할 있도록 제공해야 필요가 있습니다. ISA Server 2006에서 제공하는 안전한 애플리케이션 게시 이용하여 회사 밖에 위치한 사람들이 Exchange, SharePoint, 기타 애플리케이션 서버에 보다 안전하게 액세스할 있습니다. ISA Server 2006 게시된 서버로 액세스하기 위해서는 미리 사용자는 인증을 받게 하고, 애플리케이션 수준에서 암호화된 트래픽을 검사, 자동화된 게시 도구 제공합니다.

            사용자 삽입 이미지

            본사와 지사 간의 안전한 연결

             

            회사는 외부의 지사가 본사 네트워크에 연결하는데 있어, 지사에서 인터넷을 사용하여 액세스하는데 향상된 보안을 제공하고 제한된 대역폭을 효율적으로 사용할 필요가 있다. 조직은 지사 간의 안전한 연결, 네트워크 대역폭의 효율적인 사용을 위해 ISA Server 2006 지사 게이트웨이 사용할 있다. ISA Server 2006 HTTP 압축(소프트웨어 업데이트와 같은 컨텐트 캐싱, 애플리케이션 수준의 필터링 기능을 내장한 사이트간 VPN 기능) 비슷한 기능을 제공함으로써 회사 네트워크를 관리하고 안전하게 확장하는데 비용적인 측면에서 효율적인 방안을 제공한다.

            사용자 삽입 이미지


            기반의 위협으로부터 보호

            유해 컨텐트, 파일, 웹사이트를 검색 차단하기 위한 도구를 통해 악성코드와 해커들의 공격으로 인한 피해를 최소화할 필요가 있다.

            ISA Server 2006 제공하는 액세스 보호 기능을 통해 인터넷에서 유입되는 위협으로부터 네트워크 환경을 보호하는데 도움을 준다. ISA Server 2006 하이브리드 방식의 프록시 방화벽 아키텍터를 가지고 있고, 자세한 컨텐트 검색, 세밀하게 설정할 있는 정책, 이해하기 편리한 경고 기능 모니터링을 제공합니다. ISA Server 2006 통해 네트워크 유지 관리 보호를 손쉽게 처리할 있게 해준다.

            사용자 삽입 이미지


            출처: http://www.microsoft.com/isaserver/prodinfo/overview.mspx

            reTweet
            Posted by 문스랩닷컴
            blog comments powered by Disqus

              댓글을 달아 주세요


              ISA Server의 서비스들

               

              ISA Server의 서비스는 다음과 같이 6가지로 이루어져 있다.

               

              서비스

              기 능

              Web Proxy

              (W3proxy.exe)

              Web Proxy 클라이언트의 요청을 처리한다. 또한 Web Proxy 서비스는 Web Publishing 규칙을 사용하여 게시된 서버로 외부 인터넷 요청을 관리한다.

              Firewall

              (wspsrv.exe)

              Firewall 클라이언트와 연동되어 WinSOCK 애플리케이션을 위해 보안 액세스를 제공한다.

              Content Download

              (W3Prefch.exe)

              Content Download 서비스는 ISA Server에서 구성된 Content Download 규칙에 기반하여 Web Contents를 자동으로 다운로드한다.

              Gatekeeper

              (svchost.exe의 일부 프로세스로 동작)

              Gatekeeper 서비스는 ISA Server를 사용하는 내부 네트워크 사용자와 ISA Server H.323 Gateway로 사용하는 외부클라이언트간의 H.323 통신을 관리한다.

              ISA Server Control

              (Mspadmin.exe)

              l  Packet Filters

              l  ISA 서비스를 자동으로 재시작

              l  경고 생성 및 경고에 대한 동작

              l  엔터프라이즈 Array 내의 서버 동기화

              l  Mspclnt.ini Msplat.txt 파일 업데이트

              Microsoft ISA Server Proxy Filter Extensions

               

               

              ISA Management 콘솔에서는 Web Proxy, Firewall, Content Download 서비스들만 서비스 시작 및 중지를 할 수 있다.

               

              ISA Server Proxy Filter Extensions, ISA Server Control service, H.323 Gatekeeper 서비스를 중단하려면 관리도구에 있는 Services MMC를 이용하거나 명령행을 이용한다.

               

              여기서는 명령행에서 사용하는 방법에 대해 다룬다.

               

              l  Web Proxy service : net stop w3proxy 또는 net stop “Microsoft web proxy”

              l  Firewall service : net stop wspsrv 또는 net stop “Microsoft firewall”

              l  H.323 Gatekeeper service : net stop gksvc 또는 net stop “Microsoft h.323 gatekeeper”

              l  ISA Server Control service : net stop isactrl 또는 net stop “microsoft isa server control”

              l  ISA Server Proxy Filter Extensions : net stop mspfltex

               

              주의 : ISA Server Control service를 중지하면 Scheduled Content Download service, Web Proxy service, Firewall service 도 또한 중지된다. 만약 RRAS(Routing and Remote Access service)를 사용하고 있다면 이도 역시 중단된다. VPN 서버로 ISA 서버를 사용하려고 할 때에만 RRAS가 필요하다.

               

               

               

              원문 :

              http://www.microsoft.com/isaserver/using/tips/controlling.asp

               

               

              reTweet
              Posted by 문스랩닷컴
              blog comments powered by Disqus

                댓글을 달아 주세요



                ISA Server 는 Enterprise Edition 과 Standard Edition 두가지로 나뉜다. 가장 큰 차이점은 바로 Active Directory와 연동할 수 있느냐이다.

                1. ISA Server 2000 Enterprise Edition

                사용자 삽입 이미지

                2. ISA Server 2000 Standard Edition

                사용자 삽입 이미지



                참고 : 실제 사용하는 시스템에서는 부하(load) 라든지 여러 가지 요인에 따라 프로세서, 램, 하드 디스크 등이 업그레이드 될 수 있다.

                원문 : http://www.microsoft.com/isaserver/evaluation/sysreqs/default.asp

                reTweet
                Posted by 문스랩닷컴
                blog comments powered by Disqus

                  댓글을 달아 주세요



                  Web Analytics Blogs Directory