ISA 서버 필터 익스텐션 드라이버를 로드하는 도중에 오류가 발생하여 실패하는 경우에는 다음과 같은 이벤트 로그를 볼 수 있다.

Event type: Error
Event Source: Service Control Manager
Event Category: None
Event ID: 7000
User: N/A

Description: The ISA Server Packet Filter Extension Driver service failed to start due to the following error: This driver has been blocked from loading.

문제의 원인은 윈도우 2003 서버 운영 체제에서 ISA 2000을 설치할 때 발생하는데 바로 ISA Server Packet Filter Extension 드라이버를 차단하여 서비스를 시작할 수 없다.

해결방안은 아래의 링크에서 필요한 업데이트를 다운로드하여 설치한다.

http://www.microsoft.com/downloads/details.aspx?familyid=77d89f87-5205-4779-b1ab-fc338283b2d9&displaylang=en

또는, ISA 2000의 서비스팩 2를 설치한다. ISA 2000 sp2에는 윈도우 2003 스탠다드/서버/엔터프라이즈 에디션에서 ISA를 설치할 수 있게 하는 픽스가 포함되어 있다.

http://www.microsoft.com/downloads/details.aspx?FamilyID=C8D3D98B-1CD4-406A-A04A-2AA2547D09A3&displaylang=en


출처: http://support.microsoft.com/kb/555427/en-us
reTweet
Posted by 문스랩닷컴
blog comments powered by Disqus

    댓글을 달아 주세요

    이 글의 원래 주제는 'ISA 2004에 연결한 VPN 클라이언트가 인터넷을 사용할 수 있도록 구성하기'라고 해야 정확합니다. 하지만, 방화벽을 다뤄본 관리자라면 스플릿 터널링(Split Tunneling)이라는 용어로 보다 쉽게 알 수 있을 것으로 보여 제목을 변경하였습니다.

    목차
    #1. 개요
    #2. VPN 설정
    #3. 네트워크 규칙 구성
    #4. 액세스 규칙 설정
    #5. VPN 클라이언트 구성
    #6. 연결 테스트
    #7. 마치며


    #3. 네트워크 규칙 설정

    ISA 서버를 VPN 서버로 설정한 이후에는 ISA에서 네트워크 어댑터간에 연관 관계를 지정합니다. 즉, 네트워크에 규칙이 없는 경우에는 네트워크 간에 트래픽이 서로 오갈 수 없습니다.

    ISA 서버에서는 NAT(네트워크 주소 변환) 라우팅(Routing) 네트워크 규칙을 지정할 수 있습니다.

    일반적으로 VPN 클라이언트는 공인 IP를 가져야할 경우가 거의 없으므로 보통 외부 네트워크 인터페이스에 VPN 클라이언트가 NAT을 이용하여 접속하게 합니다.

    기본 외부 네트워크에 NAT을 설정하는 방법은 다음과 같습니다.

    1. ISA 관리 도구에서 서버 이름을 확장하고, Configuration 노드를 확장합니다.

    2. Networks 노드를 클릭하고 오른쪽 세부 창에서 Networks 탭을 클릭합니다.

    3. Tasks 탭에서  Create a New Network 링크를 클릭합니다.

    4. New Network Wizard 마법사를 시작합니다. 네트워크의 이름을 입력하고 Next 버튼을 클릭합니다.

    5. Network Traffic Sources 페이지에서 Add 버튼을 클릭합니다. Add Network Entities 대화상자에서 Networks 폴더를 클릭하고 VPN Clients 항목을 클릭합니다. Close 버튼을 클릭합니다. 그리고 Next 버튼을 클릭합니다.

    사용자 삽입 이미지

    6. Network Trafic Destinations 페이지에서 Add 버튼을 클릭합니다. Add Network Entities 대화상자에서 Netwroks 폴더를 클릭하고 Enternal 항목을 더블 클릭합니다. Close 버튼을 클릭하고 Next 버튼을 클릭합니다.

    7. Network Relationship 페이지에서 Network Address Translation(NAT)을 선택하고 Next 버튼을 클릭합니다.

    사용자 삽입 이미지

    8. Completing the New Network Rule Wizard 페이지에서 Finish 버튼을 눌러 마법사를 끝냅니다.

    지금까지 네트워크의 규칙에 대해 알아 보았습니다. 이 후에는 어떤 트래픽을 네트워크 간에 소통시킬 지에 대한 프로토콜 규칙에 대해 알아 보도록 하겠습니다.

    reTweet
    Posted by 문스랩닷컴
    blog comments powered by Disqus

      댓글을 달아 주세요

      이 글의 원래 주제는 'ISA 2004에 연결한 VPN 클라이언트가 인터넷을 사용할 수 있도록 구성하기'라고 해야 정확합니다. 하지만, 방화벽을 다뤄본 관리자라면 스플릿 터널링(Split Tunneling)이라는 용어로 보다 쉽게 알 수 있을 것으로 보여 제목을 변경하였습니다.

      목차
      #1. 개요
      #2. VPN 설정
      #3. 네트워크 규칙 구성
      #4. 액세스 규칙 설정
      #5. VPN 클라이언트 구성
      #6. 연결 테스트
      #7. 마치며


      #2. VPN 설정

      ISA 서버에서 VPN 서버로 사용할 수 있도록 설정합니다. 마이크로소프트의 제품답게 그리 어렵지 않습니다. VPN을 설정하면서 가장 유의해야 할 부분이 바로 DHCP와 주소 범위(Static address pool)입니다.

      VPN 클라이언트가 VPN 서버로 접속할 때에는 대부분 미리 구성한 DHCP 설정을 가져가도록 구성합니다. 따라서, DHCP로 할당해 주는 주소 범위과 ISA 서버의 클라이언트가 사용하는 주소 범위가 중복되지 않도록 유의해야 합니다.

      예를 들어, 내부 네트워크가 192.168.0.1 - 192.168.0.255라고 가정하고, VPN 클라이언트가 사용할 네트워크를 192.68.0.50 - 192.168.0.75라고 한다면 내부 네트워크는 이를 제외해야 합니다.

      여기에서는 VPN 클라이언트에 DHCP로 IP를 할당하도록 설정하는 예를 들어 보겠습니다. 다음과 같이 진행합니다.

      1. ISA 관리 콘솔을 열고 서버 이름을 확장하고 Vitrual Private Networks (VPN) 노드를 클릭합니다.

      2. Task Pane 부분에서 Tasks 탭을 클릭하고, Enable VPN Client Access 링크를 클릭합니다.

      3. Apply 버튼을 클릭하고, Ok 버튼을 클릭합니다.

      4. ISA 방화벽 서비스를 재시작합니다.

      VPN Client 설정은 이외에도 PPTP를 지원할지 L2TP를 지원할지 등에 대한 부분이 남아 있습니다. 이 부분은 독자의 몫으로 남겨 둡니다.

      다음 기사는 네트워크 액세스 규칙을 작성하는 방법에 대해 설명합니다.
      reTweet
      Posted by 문스랩닷컴
      blog comments powered by Disqus

        댓글을 달아 주세요

        이 글의 원래 주제는 'ISA 2004에 연결한 VPN 클라이언트가 인터넷을 사용할 수 있도록 구성하기'라고 해야 정확합니다. 하지만, 방화벽을 다뤄본 관리자라면 스플릿 터널링(Split Tunneling)이라는 용어로 보다 쉽게 알 수 있을 것으로 보여 제목을 변경하였습니다.

        목차
        #1. 개요
        #2. VPN 설정
        #3. 네트워크 규칙 구성
        #4. 액세스 규칙 설정
        #5. VPN 클라이언트 구성
        #6. 연결 테스트
        #7. 마치며


        #1. 개요

        ISA 서버는 방화벽, 웹 가속을 위한 캐싱 기능을 제공하지만 VPN 서버의 기능 또한 제공합니다. VPN은 외부(인터넷 등)의 클라이언트가 ISA를 통해 내부 네트워크로 연결하여 마치 회사 내에 있는 것처럼 자원을 사용할 수 있습니다. 하지만, ISA의 VPN 기능에서는 VPN 클라이언트가 인터넷을 사용할 수 없는 치명적인 약점을 지니고 있습니다.

        ISA 2000이 출시될 때에는 이러한 기능의 제한으로 인해 많은 논쟁거리를 가져왔지만 그 이후에 ISA 2004가 출시되면서 이 기능을 사용할 수 있는 방법이 발견(!)되어 널리 사용될 수 있었습니다.

        ISA 서버의 내부에 위치한 클라이언트는 SecureNAT 클라이언트 또는 웹 프록시 클라이언트이어야만 인터넷을 사용할 수 있습니다. 하지만, ISA VPN 서버에 접속한 VPN 클라이언트는 이러한 클라이언트가 아닌 VPN 링크이므로 나타날 수 밖에 없습니다.

        ISA 관리자는 VPN 클라이언트에서 스플릿 터널링(Split Tunneling)을 사용하여 이 문제점을 해결하기 위해 시도하지만 이러한 시도는 오히려 잠재적인 보안상 문제점을 가져왔습니다. 기본적으로 윈도우의 VPN 클라이언트 소프트웨어는 원격 네트워크의 기본 게이트웨이 주소를 사용합니다. 즉, 로컬이 아닌 네트워크(ex. 인터넷)로 향하는 모든 연결을 자동적으로 VPN 인터페이스를 통해 포워딩된다는 의미입니다.

        인터넷으로 향하는 모든 패킷은 VPN 연결을 통해 전달되지만 연결을 실패합니다. 왜냐 하면 ISA 2000 방화벽에서는 VPN 클라이언트의 SecureNat 클라이언트 연결을 허용하지 않습니다.
        사용자 삽입 이미지

        하지만, 만약에 VPN 클라이언트가 ISA VPN 서버에 연결된 이후에 SecureNAT 클라이언트가 아닌 방화벽/웹 프록시 클라이언트로 설정한다면 이러한 문제점을 해결할 수 있는 실마리를 가질 수 있습니다.

        이렇게 설정하는 것은 보안상 더 나은 선택이지만 단점으로는 방화벽 클라이언트 즉 사용자가 특정한 상황에서 VPN으로 연결할 때에 일부 설정을 직접 변경해야 하는 부담이 있습니다.
        사용자 삽입 이미지

        ISA 2004에서는 VPN 클라이언트가 연결하더라도 인터넷에 연결할 수 있도록 문제점이 해결되었습니다. 물론 VPN 클라이언트에서 스플릿 터널링을 구성할 필요도 없습니다.

        다음 강좌에서는 ISA 2004에서 VPN을 어떻게 구성하는지에 대해 설명합니다.


        reTweet
        Posted by 문스랩닷컴
        blog comments powered by Disqus

          댓글을 달아 주세요

          2007년 6월 28일, ISAserver.org 독자가 뽑은 안티 바이러스 추천 상은 시만텍 웹 시큐리티가 선정되었다. 카스퍼스키 안티-바이러스와 GFI 웹모니터 제품이 2, 3위 순을 차지했다.

          선정 결과

          1. Symantec Web Security : 20%

          2. Kaspersky Anti-Virus : 19%

          3. GFI WebMonitor : 14%

          4. avast! ISA Server : 10%

          5. CA Antivirus** : 8%

          6. BitDefender : 7%

          7. Trend Micro's Interscan WebProtect : 5%

          8. Panda ISASecure : 4%

          9. 기타(McAfee SecurityShield, Burstek bt-Enterprise) 등 : 13%

          참고로, CA Antivirus는 eTrust Antivirus의 새로운 제품명입니다.

          위에서 선정한 기준은 ISA 방화벽에서 사용할 수 있는 제품이며, 우리가 통상적으로 사용하는 개인용이나 서버용 백신을 의미하지 않으므로 주의해야 합니다.

          감사합니다.







          reTweet
          Posted by 문스랩닷컴
          blog comments powered by Disqus

            댓글을 달아 주세요

            DNS! 인터넷에서 여러가지 서비스를 제공하기 위해 반드시 사용해야 하는 핵심적인 구성요소입니다. 방화벽이 있고 그 안에 DNS 서버가 위치하는 경우에는 DNS 서버를 게시(Publishing)해야 합니다.

            ISAServer.org에서는 DNS 게시에 관련된 자료를 연재하고 있습니다. 필요한 부분만 정리해서 올려 보겠습니다.

            목차

            I. DNS Advertiser 및 Resolver의 이해



            1. DNS Advertiser(공개된 DNS 서버)

            DNS 서버를 게시한다는 의미는 ISA 방화벽 뒷단에 위치한 내부 네트워크에 DNS 서버가 놓여 있다는 의미입니다. DNS 서버를 게시하는 목적은 방화벽의 보호 아래 외부 사용자(주로 인터넷)가 DNS 정보를 조회(이름풀이)할 수 있는 서비스를 제공하는 것입니다. 물론 DNS 서버는 자신이 등록한 도메인에 대한 정보만을 이름풀이하여 사용자에게 반환합니다.

            외부 사용자가 게시된 내부의 DNS 서버로 패킷이 어떻게 전달되는지 살펴 봅니다. 먼저 외부 사용자는 ISA 방화벽의 외부 인터페이스인 공인 IP로 이름풀이를 요청합니다. ISA 방화벽은 게시 규칙을 검토하여 이를 바탕으로 내부의 DNS 서버로 해당 정보를 전달합니다. 이제 DNS 서버는 자신에게 등록된 도메인의 정보를 조회하여 ISA 방화벽으로 반환합니다. 마지막으로 ISA 방화벽은 이 정보를 외부 사용자에게 반환합니다.

            그리고, DNS 서버의 역할 중에 하나가 바로 DNS 정보를 다른 DNS 서버로 부터 조회하여 이 값을 사용자에게 반환할 수 있다는 것입니다. DNS 서버는 자신이 등록한 DNS 정보에 대해서만 책임(Authoritative)이 있으며, 이 값을 정확히 반환하게 되어 있습니다. 하지만, 등록하지 않은 다른 도메인 이름에 대한 조회 요청이 들어오면 이 DNS 서버는 사용자를 대신하여 다른 DNS 서버로 조회 요청을 하여 해당 정보를 가져와 사용자에게 반환합니다. 즉, DNS 서버의 도메인 등록정보는 일반적으로 다른 DNS 서버에서 조회가 가능하고, 사용자 또는 DNS 서버를 관리하는 사람도 조회가 가능한 '도메인 정보를 공개한 DNS 서버'로 관리하게 됩니다. 이 서버를 영어로 DNS Advertiser라고 합니다.

            따라서, 이러한 공개된 서버에서는 회사 네트워크의 중요한 비밀이 담겨 있는 정보를 포함해서는 절대로 안됩니다. 만약 포함하는 경우에는 방화벽에서 DNS 조회(이름풀이)에 관련된 포트를 제한해야 할 수도 있습니다.

            2. DNS Resolver

            관리자의 관리 하에 도메인 이름에 대한 액세스를 공개적으로 허용하도록 DNS Advertiser를 사용하는 경우에는 내부 사용자의 이름풀이 요청은 ISA 방화벽을 통해 아웃바운드 DNS 액세스로 연결합니다. DNS에서 아웃바운드 액세스를 허용할 때 내부 클라이언트와 서버들은 인터넷 상의 도메인 이름을 이름풀이하여 실제로 액세스할 수 있게 됩니다. 예를 들어, 내부 사용자가 웹 브라우저를 통해 http://moonslab.com을 입력하면, moonslab.com 도메인의 정보를 가지고 있고 이를 요청한 클라이언트에게 이름풀이를 제공해야 하는 DNS 서버가 반드시 존재해야 합니다. 이러한 DNS 서버는 인터넷 상의 이름풀이 요청을 처리 또는 내부 네트워크 도메인의 이름풀이도 책임져야 할 수도 있습니다. 이러한 서버를 바로 DNS Resolver라고 하며, 주 목적은 인터넷 상의(외부) 도메인의 이름풀이를 제공하는 것입니다.

            명심해야 할 중요한 사항은 바로 이것입니다. 내부 사용자는 DNS advertiser를 사용하여 이름풀이를 사용할 수 없고, 외부 사용자들은 이름풀이를 위해 내부 DNS Resolver를 사용해서는 안된다는 것입니다. 물론 예외 사항은 VPN 네트워크에 관련된 경우입니다.

            3. DNS의 보안 강화

            DNS 서버를 게시할 때에는 가급적 DNS Advertiser로 게시해야 합니다. 즉, 인터넷 사용자가 내부의 게시된 서버로 이름풀이 요청을 하여 정보를 가져갈 수 있어야 합니다. 만약, 이렇게 하지 않는 경우에는 어느 누구도(심지어 내부 사용자도) 도메인 정보를 알 수 없습니다.

            DNS 서버는 결함 허용 등의 목적을 달성하기 위해 적어도 두 대의 DNS 서버를 두어야 하며, 가급적 네트워크가 다른 즉, 다른 서브넷에 위치하도록 하는 것이 좋습니다.

            그리고, 만약 DNS 서버 컴퓨터에 여러 개의 IP 주소가 할당되어 있고, 특히 내부 네트워크에서 DNS 쿼리를 공유하여 문제가 발생하는 경우라면 DNS 요청을 처리할 인터페이스(NIC)를 강제로 지정할 수 있습니다.
             
            사용자 삽입 이미지

            전달자 탭에서는 전달자 사용을 체크를 해제해야 합니다. 앞에서 설명했다시피, DNS advertiser는 DNS resolver 역할을 수행하도록 하길 원하지 않기 때문입니다. 특히, 전달자를 허용할 경우에는 nslookup 명령어를 통해 DNS 서버의 도메인에 해당하는 모든 정보를 나열하여 볼 수 있으므로 보안상 막아야 합니다.
            사용자 삽입 이미지

            고급 탭에서는 재귀를 사용 안함오염에 대하여 캐시 보안을 선택하는 것이 좋습니다. 
            사용자 삽입 이미지

            루트 참고 탭에서는 인터넷 상에서 운영 중인 루트 서버의 목록을 보여줍니다. 이러한 루트서버는 전세계적으로 13대가 운영되고 있으며, 그 외에는 캐시 서버로 국내에서 운영중입니다. 루트 서버는 DNS 서버가 재귀 호출을 할 때 사용됩니다. 하지만, 우리는 DNS advertiser가 재귀로 사용할 것이 아니므로 루트 서버의 목록을 모두 삭제합니다. 서버를 선택하고 제거 버튼을 눌러 모두 삭제합니다. 아래 그림은  기본적으로 등록된 상태 화면입니다.
            사용자 삽입 이미지

            지금까지 DNS Advertiser와 DNS Resolver에 대해 간략히 설명했습니다. DNS advertiser는 자신이 등록한 도메인 정보에 대한 이름풀이 응답만 제공해 주고, 그 도메인 정보에 대해서는 권한(authoritative)을 갑니다. DNS 서버를 게시하는 경우에는 대부분 DNS advertiser로 구성하게 됩니다. DNS Resolver는 인터넷 상의 호스트에 대한 이름풀이를 제공해 줍니다.

            다음 편에서는 DNS 아웃바운드 액세스에 대해 점더 자세히 알아 봅니다.


            reTweet
            Posted by 문스랩닷컴
            blog comments powered by Disqus

              댓글을 달아 주세요

              ISA 2004에서는 진단 로깅 기능을 통하여 ISA를 사용하면서 발생하는 문제점이나 발생 가능한 문제점이 내재되어 있는지 확인할 수 있습니다. 이번 강좌는 ISA 2004에서 제공하는 진단 로그 및 로그를 볼 수 있는 뷰어에 대해 소개합니다.

              ISA 2004 SP3에서 새롭게 추가되거나 향상된 기능 중에 돋보이는 것이 바로 진단 로그(Diagnostic Logging) 기능입니다. 이 진단 로깅 기능은 200 여개 이상의 이벤트가 추가되어 있으며, ISA Server Diagnostics라고 하는 이름으로 윈도우 이벤트 뷰어에 추가되었습니다.

              진 단 로그 기능으로 로그를 살펴 볼 때에는 수백 수천 개의 로그가 나타난다는 단점이 있습니다. 조건 검색을 통해 줄이려고 해도 상당한 로그가 나타나며, 이로 인해 실제로 중요한 정보를 빼먹을 수도 있습니다. 이러한 문제를 해결하기 위해서는 진단 로그 뷰어(Microsoft ISA Server Diagnostics Logging Viewer)를 사용하는 것입니다.

              하 지만, 또 하나의 단점이 있는데 바로 명령행 기반으로 동작한다는 점입니다. 하지만, 출력되는 정보는 명령행 창으로 보거나, Log Parser를 통해 윈도우 창으로 볼 수 있습니다.  또한, HTML 문서로 저장이 가능하기 때문에 웹 브라우저를 통해 살펴 볼 수도 있습니다.

              목차는 다음과 같습니다.

              1. Log Parser 2.2 다운로드 및 설치
              2. ISA Firewall Diagnostic Logging Viewer 다운로드 및 설치
              3. 진단 로그 사용하도록 설정하기
              4. 기타
              5. 문제 해결을 위해 진단 로그 뷰어 사용하는 방법


              3. 진단 로그 사용하도록 설정하기

              진단 로그 기능을 사용하기 위해 필터링을 설정하는 방법에 대해 알아 봅니다. ISA 2004 SP3를 설치하고 나면 ISA 방화벽의 관리 콘솔에서 아래 그림과 같은 Troubleshooting 노드가 생성된 것을 볼 수 있습니다.
              사용자 삽입 이미지


              다음과 같은 5개의 세부 링크가 있습니다.

              • Use the ISA Server Best Practice Analyzer
              • View ISA Server Alerts
              • View ISA Server Logging
              • Configure Diagnostic Logging
              • Read ISA Server Documents and Troubleshooting Guides
                사용자 삽입 이미지

              관리 콘솔에서 Configure Diagnostic Logging 링크를 클릭하면 다음과 같이 Diagnostic Logging 대화상자가 나타납니다. 로그로 남기기 위한 두가지 이벤트 형식 중에 선택할 수 있습니다.

              • Firewall policy - 방화벽 정책 규칙(웹 프록시 트래픽 포함)에 대한 로그 정보를 남깁니다.
              • Authentication - 방화벽 정책 규칙 인증에 대한 로그 정보를 남깁니다.

              사용자 삽입 이미지

              그리고 세가지 버튼 중에 선택할 수 있습니다.

              • Start Logging - 로그 기록 시작
              • Clean Log Data - 로그로 저장된 정보 삭제(이벤트 뷰어에 있는 ISA Server Diagnostics 노드에 저장된 정보 삭제)
              • View Log Data - 이벤트 뷰어를 열어 로그 출력

              Start Logging 버튼을 클릭하면 이벤트 뷰어에는 아주 자세한 이벤트 정보들이 저장됩니다. 하지만 그만큼 CPU 등의 자원소비가 많으므로 반드시 필요한 경우에만 사용하길 추천합니다. 로그를 시작한 후에는 Close 버튼을 클릭합니다. 만약 No 버튼을 클릭하면 로그가 저장되지 않습니다.


              4. 기타

              이제 문제 해결에 필요한 트래픽을 일부러 만들어 봅니다. 여기 예에서는 3 개의 규칙을 생성합니다. - 아웃바운드 SMTP 트래픽, 아웃바운드 NNTP 트래픽, SMTP 서버 게시 규칙.

              아래 그림에서는 외부 SMTP 서버로 텔넷 명령어로 연결하여 연결이 실패하는 화면을 나타냅니다. 이러한 문제를 어떻게 해결하는지 진단 로그 뷰어를 통해 알아 봅니다.
              사용자 삽입 이미지

              아래 그림은 외부 즉, 인터넷에서 게시한 SMTP 서버로 텔넷 연결을 시도하는데 이 또한 연결이 실패한 것을 볼 수 있습니다. 하지만, 왜 화면에는 위와 다르게 아무것도 나타나지 않습니다. 이러한 화면은 실제 문제해결을 하는데 어려움을 줄 수도 있습니다.
              사용자 삽입 이미지

              아래 그림에서는 NNTP 서버로의 아웃바운드 연결이 실패한 화면입니다. 이러한 문제의 원인을 진단 로그 뷰어를 통해 알아 낼 수 있을까요?

              사용자 삽입 이미지


              5. 문제 해결을 위해 진단 로그 뷰어 사용하는 방법

              진단 로그 뷰어를 사용할 때, 데이터는 모두 4가지 형식으로 볼 수 있습니다.

              • 윈도우 이벤트 뷰어로 직접 보는 방법
              • 명령 프롬프트에서 출력한 데이터를 텍스트파일로 저장하여(pipe) 보는 방법
              • 로그 파서에서 격자 형태로 보는 방법
              • 웹 페이지에서 대화형으로 보는 방법
              아래 그림은 윈도우 이벤트 뷰어에서 로그 데이터를 직접 보는 것을 나타냅니다. 이 데이터를 보기 위해서는 진단 로그 뷰어를 실행하지 않고, 윈도우 관리도구의 이벤트 뷰어를 통해서 봅니다. 다만, 이벤트 뷰어에서는 필터 기능을 쓸 수 없다는 단점이 있습니다. 특히 진단 로그에서는 막대한 로그를 발생시키기 때문에 실제 이벤트 뷰어를 통해 보는 방법으로는 한계가 있습니다.
              사용자 삽입 이미지

              ISA 방화벽 진단로그 뷰어에서는 데이터를 데이터를 가공하여 볼 수 있습니다. 진단로그 뷰어는 로그파서 2.2를 기반으로 동작하기 때문에 SQL 쿼리를 통해 데이터를 검색할 수 있습니다.

              진단로그 뷰어의 사용법은 로그 뷰어 파일이 저장된 폴더에 dlviewerhelp.txt라는 텍스트 파일로 제공됩니다. 아래 그림을 참고하세요.
              사용자 삽입 이미지

              이제 간단하게 예제를 살펴 봅니다. 다음과 같이 입력합니다.

              Dlviewer "nntp outbound"

              nntp outbound는 액세스 규칙의 이름으로 아웃바운드 NNTP 연결을 허용합니다.

              아래 그림은 ISA 방화벽을 통해 아웃바운드 NNTP 연결을 시도하는 로그 엔트리에 대한 정보를 보여 줍니다. 이러한 정보는 ISA 방화벽이 연결 요청을 받은 내역입니다.
              사용자 삽입 이미지

              로그를 보는 다른 방법인 격자(탭으로 구분한) 보기하는 방법은 다음과 같습니다.

              dlviewer -ogrid "smtp outbound"

              smtp outbound는 액세스 규칙의 이름으로 아웃바운드 SMTP 연결을 허용합니다.
              사용자 삽입 이미지
              결과 값은 로그 파서를 통해 볼 수 있읍니다. Context 컬럼은 SMTP 액세스 규칙과 일치하는 각각의 연결 시도를 구별하는 숫자로 간단히 세션값이라고 생각하면 됩니다. 여기서 The rule SMTP outbound requires user authentication이라는 오류 값을 통해 아웃바운드 연결이 실패한다는 것을 쉽게 알아 낼 수 있습니다. Log source 컬럼에서는 이 연결을 방화벽 엔진 또는 방화벽 서비스가 관련되어 있는지에 대한 정보를 보여 줍니다. 방화벽 엔진의 패킷 필터에서 결정하지 못하는 경우 방화벽 서비스로 연결 요청을 넘겨 줍니다.
              사용자 삽입 이미지

              아래와 같이 명령어를 입력합니다

              dlviewer -odir tst1 "smtp outbound"

              "smtp outbound"는 아웃바운드 SMTP 연결을 허용하는 액세스 규칙의 이름입니다.

              명령어의 실행이 완료되면, 명령어를 실행했던 폴더로 탐색기를 열어 이동합니다. 이 경우에는 tst1이라는 이름의 폴더에 해당 파일이 위치하게 됩니다.

              웹 페이지에서는 연결시도에 대한 세부적인 정보를 보여 줍니다. Context 컬럼에서는 번호를 클릭하여 연결시도와 일치하는 연결을 평가한 방화벽의 정보를 세밀하게 볼 수 있습니다.
              사용자 삽입 이미지

              아래 그림은 하나의 SMTP 연결 시도에 대한 ISA 방화벽에 로그의 기록을 일부 보여 줍니다. 이러한 정보를 세밀하게 살펴 보면, ISA 방화벽이 규칙을 평가하는 순서를 볼 수 있습니다. 일부 정보는 사용자를 헛갈리게 할 수도 있지만 관심을 가져야할 연결과는 그리 관련있어 보이지는 않습니다.

              여기 예에서는 인증이 필요하고 클라이언트가 ISA 방화벽과 인증할 수가 없기 때문에 SMTP 연결이 실패한 것을 최종적으로 볼 수 있습니다.Context 엔트리를 클릭하면 그 연결에 대한 세부 정보를 볼 수 있습니다.
              사용자 삽입 이미지

              이제 아래와 같이 명령어를 입력합니다.

              dlviewer -odir tst5 "nntp outbound"

              "nntp outbound"는 아웃바운드 NNTP 연결을 허용하는 액세스 규칙의 이름입니다.
              사용자 삽입 이미지

              아래 그림은 쿼리의 결과 값을 보여 줍니다. 발생한 문제의 해결할 수 있는 실마리가 없어 보입니다. 특정한 연결 시도에 관련된 Context 번호를 클릭하면 볼 수 있을까요?
              사용자 삽입 이미지

              아마도 실마리가 여기에 있는가 봅니다. 로그에서는 source does not match the packet이라는 로그 기록이 여러군데 있는 것을 볼 수 있습니다. 이 메시지의 의미는 액세스 규칙에서 요구하는 원본 IP 주소가 정확히 일치하지 않는다는 뜻입니다. 만약 맞는다면 진단 로그가 도움을 제공한 것이 됩니다. 실패한 연결 시도의 원인은 액세스 규칙에서 아웃바운드 NNTP 연결을 특정 원본 IP 주소로 제한했기 때문이었습니다.
              사용자 삽입 이미지

              이제 마지막으로 다음의 명령어를 입력합니다.

              dlviewer -odir tst "smtp server"

              "smtp server"는 내부 네트워크에 위치한 SMTP 서버를 게시하는 서버 게시 규칙의 이름입니다.
              사용자 삽입 이미지

              아래 그림은 쿼리의 결과 값으로, SMTP 서버 게시 규칙이 패킷을 허용한 것으로 보여줍니다. 즉, SMTP 서버 게시 규칙이 패킷을 허용하는 경우에는 ISA 방화벽 구성이 제대로 잡혀 있다고 볼 수 있습니다. 그렇다면 문제는 무엇일까요? 문제는 바로 SMTP 서버에서 SMTP 서비스가 사용하지 않도록 설정되었다는 것입니다.
              사용자 삽입 이미지


              마무리

              ISA 2004 SP3에서 새롭게 제공하는 진단 로그 기능 및 뷰어를 통해 관리자는 다양한 문제점을 손쉽게 해결할 수 있는 수단을 제공하고 있습니다. 현재에는 진단 로그에 대한 간략한 정보만 제공되지만 차차 세부적인 정보가 공개될 것이라고 생각합니다. 참고로, 200 개 이상의 진단 로그 이벤트에 대한 세부 문서를 제공하고 있다는 점을 주시할 필요가 있습니다.












              http://isaserver.org/tutorials/Using-ISA-2004-Firewalls-Diagnostic-Log-Viewer.html




              reTweet
              Posted by 문스랩닷컴
              blog comments powered by Disqus

                댓글을 달아 주세요

                ISA 2004에서는 진단 로깅 기능을 통하여 ISA를 사용하면서 발생하는 문제점이나 발생 가능한 문제점이 내재되어 있는지 확인할 수 있습니다. 이번 강좌는 ISA 2004에서 제공하는 진단 로그 및 로그를 볼 수 있는 뷰어에 대해 소개합니다.

                ISA 2004 SP3에서 새롭게 추가되거나 향상된 기능 중에 돋보이는 것이 바로 진단 로그(Diagnostic Logging) 기능입니다. 이 진단 로깅 기능은 200 여개 이상의 이벤트가 추가되어 있으며, ISA Server Diagnostics라고 하는 이름으로 윈도우 이벤트 뷰어에 추가되었습니다.

                진단 로그 기능으로 로그를 살펴 볼 때에는 수백 수천 개의 로그가 나타난다는 단점이 있습니다. 조건 검색을 통해 줄이려고 해도 상당한 로그가 나타나며, 이로 인해 실제로 중요한 정보를 빼먹을 수도 있습니다. 이러한 문제를 해결하기 위해서는 진단 로그 뷰어(Microsoft ISA Server Diagnostics Logging Viewer)를 사용하는 것입니다.

                하지만, 또 하나의 단점이 있는데 바로 명령행 기반으로 동작한다는 점입니다. 하지만, 출력되는 정보는 명령행 창으로 보거나, Log Parser를 통해 윈도우 창으로 볼 수 있습니다.  또한, HTML 문서로 저장이 가능하기 때문에 웹 브라우저를 통해 살펴 볼 수도 있습니다.

                목차는 다음과 같습니다.

                1. Log Parser 2.2 다운로드 및 설치
                2. ISA Firewall Diagnostic Logging Viewer 다운로드 및 설치
                3. 진단 로그 사용하도록 설정하기
                4. 기타
                5. 문제 해결을 위해 진단 로그 뷰어 사용하는 방법


                1. Log Parser 2.2 다운로드 및 설치


                Log Parser는 명령행 프롬프트에서 필터링을 수행하는 부분입니다.  Log Parser 2.2는 다음 링크에서 다운로드할 수 있습니다.

                http://www.microsoft.com/downloads/details.aspx?FamilyID=890cd06b-abf8-4c25-91b2-f8d975cf8c07&displaylang=en



                2. ISA Firewall Diagnostic Logging Viewer 다운로드 및 설치

                그 다음에는 ISA Server Diagnostic Logging Viewer를 설치하는 것인데 마이크로소프트 사이트 어디를 뒤져봐도 이 자료를 구할 수 없다. 하지만~, 다음 링크에서 다운로드 받을 수 있다.

                http://www.microsoft.com/downloads/details.aspx?FamilyId=F8A0BF4C-639E-41EF-89F6-050DB1B2725D&displaylang=en

                dlviewer.exe 파일을 다운로드하고 설치할 때에는 로그의 경로를 지정해야 하는데 여기서는 C:\ISALOG로 설명을 진행한다.

                다음 강좌로 이어집니다... ...

                reTweet
                Posted by 문스랩닷컴
                blog comments powered by Disqus

                  댓글을 달아 주세요

                  최근 ISA Server 2004 Standard/Enterprise Edition의 서비스팩 3가 발표되었습니다. 이 글은 SP3에서 제공하는 향상된 기능이나 보완된 기능을 중점으로 알려 드립니다.

                  SP3에서는 다음의 기능들이 추가되거나 향상되었습니다

                  • 로그 뷰어 기능 향상
                  • 로그 필터링 기능 향상
                  • 로그 필터 관리 기능 향상
                  • 새로운 진단 로깅 기능
                  • ISA 방화벽 최적 분석기와 통합


                  1. 로그 뷰어 기능 향상

                    ISA에서는 기존 버전에서도 로그 뷰어 기능은 꽤 쓸만했었읍니다만, 이제 로그를 필터링함으로써 좀더 세분화하여 분석할 수 있습니다. 또한, 로그를 볼 때 불필요한 필드들은 생략하도록 함으로써 좀 더 나은 시인성을 제공합니다.

                    아래 그림과 같이, SP3에서는 Log Viewer라는 새로운 탭이 제공되고, 맨 하단에는 쿼리한 결과를 보여 줍니다.

                    로그의 각 필드에는 다음의 값 중에 선택하여 볼 수 있습니다.

                  • Log type
                  • Status
                  • Rule
                  • Service
                  • Destination
                  • Protocol
                  • User

                              추가정보는 다음과 같습니다.

                  • Number of bytes sent
                  • Processing time
                  • Original client IP address
                  • Client Agent

                              보통 모든 필드를 선택하지는 않으며, 아래 그림과 같이 필요한 정보만을 간략히 볼 수 있습니다.



                  1. 로그 필터링 기능 향상

                    위의 그림에서 보면, 각 로그마다 색깔이 다르게 나오는 것을 볼 수 있습니다. SP3에서 새롭게 제공하는 기능 중의 하나가 바로 이 색깔로 로그의 종류를 쉽게 구분할 수 있습니다.

                  • 초록색
                    • 허용한 연결
                    • 사용자가 격리지역을 해소(VPN 격리지역을 사용)
                  • 검은색
                    • 차단한 연결
                    • 차단한 VPN 연결
                    • 연결 상태
                    • 초기화한 연결
                    • 초기화한 VPN 연결
                  • 빨간색
                    • 거부한 연결
                    • 거부한 연결 시도
                    • 거부한 VPN 연결 시도
                  • 주황색
                    • 격리지역 시간초과

                  아래 그림은 기본적으로 제공하는 색상표입니다. 물론, 관리자는 자신이 원하는 대로 색깔을 바꿀 수 있으며 color 버튼을 통해 변경할 수 있습니다. 또한, 색상표를 내보내기하거나 가져오기하는 등 간편하게 백업 및 복원할 수 있는 방법을 제공합니다.

                   

                  연재는 이어집니다.

                  reTweet
                  Posted by 문스랩닷컴
                  blog comments powered by Disqus

                    댓글을 달아 주세요

                     앞 강좌에서는 VPN의 역사에서부터 왜 SSL VPN이 새롭게 선보이게 되었는지 간략하게 살펴 보았다. 이 번 강좌에서는 IAG에 대해서 설명을 시작하려고 한다. IAG 2007은 앞에서도 언급한 바와 같이 ISA 2006 스탠다드 에디션 방화벽에 탑재되어 판매되고 있다. 방금 박스를 풀은 상태에서 제공하는 기능에 대해 살펴 보고, 조직에서 안전한 원격 액세스를 제공하기 위해 어떤 조치를 취해야 하는지 알아 본다.

                     앞 강좌에서는 VPN의 역사에서부터 왜 SSL VPN이 새롭게 선보이게 되었는지 간략하게 살펴 보았다. 이 번 강좌에서는 IAG에 대해서 설명을 시작하려고 한다. IAG 2007은 앞에서도 언급한 바와 같이 ISA 2006 스탠다드 에디션 방화벽에 탑재되어 판매되고 있다. 방금 박스를 풀은 상태에서 제공하는 기능에 대해 살펴 보고, 조직에서 안전한 원격 액세스를 제공하기 위해 어떤 조치를 취해야 하는지 알아 본다.

                    이 강좌에서 주로 살펴 볼 부분은 다음과 같다.

                    • 연결 방식
                      • 고급 애플리케이션 수준의 검사(inspection) 리버스 프록시
                      • 포트 및 소켓 포워더
                      • 네트워크 커넥터

                    연결 방식
                    다 른 많은 SSL VPN 솔루션은 단일 연결 방식만을 사용하도록 제한하고 있지만, IAG 2007에서 클라이언트는 IAG 2007 VPN 게이트웨이에 다양한 연결 방식을 사용할 수 있다. IAG 2007은 액세스가 필요한 애플리케이션의 유형에 맞는 연결 방식을 제공하기 위해 다양한 옵션을 제공한다.

                    IAG 2007에서는 주로 다음과 같이 3 가지 연결 방식을 제공하고 있다.

                    1. 고급 애플리케이션 수준의 검사(inspection) 리버스 프록시
                    2. 포트 및 소켓 포워더
                    3. 네트워크 커넥터


                    1. 고급 애플리케이션 수준의 검사 리버스 프록시
                    IAG 2007에서 제공하는 고급 애플리케이션 수준의 검사 리버스 프록시는 ISA 방화벽에서 제공하는 웹 게시 규칙 기능과 아주 유사하다. 하지만, ISA 웹 게시 규칙과 IAG 2007 고급 애플리케이션 수준의 리버스 프록시와는 중요한 몇가지 차이점을 가지고 있다. 차이점은 다음과 같다.

                    훌륭한 성능을 제공하는 애플리케이션 수준의 검사 기능
                    ISA 방화벽에서는 제품 출하시 HTTP 보안 필터가 내장되어 있다. 하지만, HTTP 보안 필터는 특정한 메쏘드를 차단/허용하거나 차단 서명을 생성하도록 구성하지 않는 한 최소한의 보호 기능을 제공한다.

                    ISA 방화벽에서 제공하는 HTTP 보안 필터의 중요한 2가지 제한 사항은 다음과 같다.

                    • 서명을 거부하도록 설정할 수 있지만, 화이트 리스트 즉, 허용하는 서명은 설정할 수 없다.
                    • 서명은 그냥 문자열을 기반으로 작성하게 되며, URL이나 데이터를 좀더 명확히 정의하는 정규 표현식을 사용할 수 없다.

                    참고로, IAG 2007에서는 정규 표현식(RegEx)를 지원하며 차단/허용 규칙에서 사용할 수 있다. 아마도 리눅스에서 프로그래밍을 해보신 분이라면 정규 표현식에 대해 익히 알고 있을 것이라고 생각된다.

                    ISA 방화벽에서 제공하는 HTTP 보안 필터는 게시한 웹 서버와 인터넷 사용자간의 적절한 통신이 이루어지는지 확인하기 위해 엄청난 양의 작업량을 필요로 한다. 게시된 웹 서버에서 적절한 통신이 무엇인지 확인한 후에도, 여러분은 인터넷에서 공격하는 다양한 알려진 익스플로잇으로부터 게시된 서버를 보호하기 위해 어떤 통신을 차단할 지 검토해야 한다.

                    한편, IAGE 2007에서는 여러분이 게시하려는 업무상의 애플리케이션을 위해 충분한 애플리케이션 수준의 지식을 보유하고 있다. IAG 2007에서는 이를 위한 전문적인 팀이 운영되고 있으며, 업무에서 사용되는 애플리케이션에 필요한 적절한 통신이 무엇인지 그리고 어떤 통신을 차단해야 하는지 종합적인 정보를 제공하고 있다. 즉, 팀이 여러분이 해야 할 일을 대신해 주고 있으므로 업무에 대한 부담이 줄 수 있다.

                    IAG 2007에서는 포지티브 로직(게시된 웹 서버로 적절한 통신만을 허용함)뿐만 아니라 네거티브 로직 필터도 제공한다. 네거티브 로직 필터는 인터넷에서 이미 알려져 통용되고 있는 익스플로잇으로 파생되는 통신을 차단한다. 즉, 네거티브 로직 필터는 주로 알려져 있으며 해를 미칠 수 있는 통신을 차단한다. 그리고 포지티브 로직 필터는 제로데이 공격과 같은 통신을 차단한다.

                    IAG 2007에서는 마이크로소프트가 제공하는 다양한 애플리케이션(예를 들면, Exchange 웹 서비스(OWA, OMA, 액티브 싱크, RPC/HTTP), SharePoint 서비스, 마이크로소프트 CRM)뿐만 아니라 유명한 다른 애플리케이션(예를 들면, SAP 엔터프라이즈 포탈, Webtop Documentum, 도미노 웹액세스, SecureView 등등)을 게시할 수 있도록 제공한다. IAG 2007은 다양한 OS가 혼재되어 있는 이기종(heterogeneous) 환경에서도 충분한 원격 액세스 연결을 안전하게 지원하도록 설계되었다.

                    아래 그림은 SharePoint 서버를 게시하는데 사용하는 애플리케이션 지식 및 필터링의 예이다.

                    사용자 삽입 이미지

                     

                    포탈을 자동으로 만드는 기능
                    마 이크로소프트가 개발하는 제품들에는 마법사라는 편리한 기능이 포함되어 있다. ISA 방화벽이외에 다른 회사의 SSL VPN 제품에는 여러분이 게시한 애플리케이션을 사용자가 연결할 수 있게 해주는 포탈 사이트를 자동으로 만들어 주지 않는다. ISA 방화벽의 웹 게시 규칙을 통해 사용자는 게시된 웹서버에 연결할 URL을 기억해야 할 필요가 있다. 하지만, 많은 수의 애플리케이션을 게시하는 경우라면 사용자는 각기 URL을 모두 기억해야 하는 큰 불편함을 겪을 수 밖에 없다. 사용자는 프로그래머이거나 웹코딩에 익숙하지 않다는 점을 기억해야 할 것이다.

                    아래 그림은 IAG 2007이 자동으로 만들어 주는 포탈의 예를 보여 주고 있다. 포탈을 생성하고, 포탈에 애플리케이션을 할당하여 게시하면, 포탈 페이지에 이 정보를 볼 수 있다. 여기에서는 IAG 2007의 리버스 프록시 기능을 예로 들어 설명하기 때문에 포탈에는 웹 애플리케이션만 볼 수 있지만, 실제로는 다양한 게시 서버를 이용할 수 있다. 물론, 이 포탈은 사용자가 로그온한 이후에 나타난다.
                     

                    사용자 삽입 이미지



                    인증과 권한 부여를 통한 포탈 커스터마이징
                    포 탈을 생성하고 난 이후에는 포탈에 로그인하는 사용자 계정에 따라 포탈에 연결할 수 화면을 다르게 보여 주도록 커스터마이징할 수 있다. 사용자 계정과 보고된 보안 상태(IAG 2007의 종단 감시 기능의 결과)를 통해 사용자가 볼 수 있는 포탈을 결정할 수 있다. 여러 개의 포탈을 만들지 않고 하나의 포탈을 통해 사용자 계정 또는 로그온하는 컴퓨터에 따라 접속 환경이 바뀐다.
                     

                    사용자 삽입 이미지


                    다양한 인증 프로토콜 지원
                    ISA 방화벽에서는 마이크로소프트 AD 인증 방식 이외의 다양한 인증 방식을 지원한다. IAG 2007은 ISA 방화벽이 지원하는 인증 프로토콜을 동일하게 지원한다. 예를 들면, IAG 2007은 액티브 디렉터리, LDAP, 노츠, 넷스케이프, 노벨을 지원하며, 심지어 TACAC+도 지원한다. 또한 관리자가 필요로 하는 애플리케이션 프로토콜과 프로바이더를 지원하도록 커스터마징할 수 있다.

                    2. 포트 및 소켓 포워더
                    IAG 2007을 통해 웹 서버가 아닌 다른 애플리케이션 서버를 게시할 수 있다. ISA 방화벽에서 웹 서버 이외의 다른 서버를 게시할 경우에는 서버 게시 규칙을 사용해 왔다. IAG 2007은 이러한 애플리케이션과의 통신을 위해 SSL로 암호화된 원격 액세스를 지원한다. ISA 서버 게시 규칙과 비교할 때 IAG 2007이 가지는 장점은 다음과 같다.

                    암호화되지 않는 애플리케이션 프로토콜을 암호화함
                    ISA 방화벽을 사용하여 암호화되지 않은 프로토콜에 대한 서버 게시 규칙을 생성할 때, 클라이언트와 서버간의 통신은 암호화되지 않은 평문 상태로 전송되고, 네트워크 스니퍼 등으로 손쉽게 이러한 정보를 낚아 챌 수 있다. 가장 대표적인 경우가 POP3 통신으로, 사용자가 POP3에 접속하여 계정/비밀번호를 전송할 때에 평문으로 전송되므로 손쉽게 알아 낼 수 있다.

                    한 편, POP3를 게시하기 위해 IAG 2007 VPN 게이트웨이를 사용하는 경우에는 클라이언트와 IAG 2007 장비 사이에는 SSL 터널로 연결된다. IAG 2007 장비 밖에서 서버와 클라이언트 간의 트래픽을 제 3자가 채집하더라도 계정/비밀번호를 알아 낼 수 없으며 메일도 읽을 수 없다. POP3 이외에 SMTP, IMAP4, RPC/MAPI, RDP, NNTP 등 대부분의 암호화 통신을 하지 않는 프로토콜도 마찬가지이다. IAG 2007 SSL VPN은 ISA 방화벽이 없는 네트워크 환경에서도 보안 및 기밀을 유지할 수 있게 해준다.

                    웹 이외의 프로토콜에 대한 사전 인증 지원
                    ISA 의 서버 게시 규칙은 웹 프로토콜 이외의 다른 프로토콜에 대해서는 사전 인증을 지원하지 않는다. 이는 ISA 방화벽뿐만 아니라, 웹 프로토콜 이외 다른 프로토콜에 대해 포트포워딩이나 리버스 NAT 기능을 지원하는 대부분의 방화벽에서도 마찬가지이다. 이는 방화벽 자체의 한계가 아니라 프로토콜이 한계 때문으로, 방화벽의 프록시 구성요소가 인증 요청을 가로채서 대신 처리해야 한다.

                    IAG 2007은 이러한 문제를 웹 프록시(SSL VPN 게이트웨이가 위치한)를 통해 해결했다. 웹 프로토콜 이외의 프로토콜을 액세스하기 위해 사용자는 먼저 IAG 2007 SSL VPN 게이트웨이와 인증을 거쳐야 한다. 인증이 완료되면, 사용자는 포탈에 사용이 허용된 것들만 나타나게 된다. 이를 통해 사전 인증을 지원한다.

                    Split DNS 문제 해결
                    ISA 방화벽을 관리할 때 가장 애로사항이 바로 DNS의 분할(split)이다. Split DNS을 통해 사용자는 위치에 구애받지 않고 편리하게 네트워크 자원을 액세스할 때 동일한 객체(도메인) 이름을 사용할 수 있다. 즉, 사내 인트라넷에서 사용할 때 그대로 외부 즉 인터넷에서도 동일하게 사용할 수 있는 장점을 가지고 있다. 하지만, 네트워크 관리자는 DNS를 나눠 관리하기 때문에 관리 부담이 늘어나게 되고, 정확한 이해없이는 정확한 구성을 할 수 없게 된다.

                    IAG 2007에서는 split DNS이 필요없다. 사용자는 포탈의 이름만 기억하면 되고, 물론 계정 정보도 기억해야겠지만. 사용자가 일단 포탈에 로그온하면 그 이후에는 IAG 2007이 모든 이름풀이 과정을 처리해 준다. 따라서, 사용자는 포탈의 이름을 모두 기억할 필요가 없으며, 관리자도 DNS를 편하게 관리할 수 있다.

                    소켓 액세스를 통한 애플리케이션 제어
                    소 켓 포워딩 기능을 통해 클라이언트에서 애플리케이션이 IAG 2007 SSL VPN 게이트웨이로 어느 포트로 허용할지 결정할 수 있을 뿐만 아니라 그 포트를 사용할 애플리케이션도 결정할 수 있다. 이 기능은 ISA 방화벽의 방화벽 클라이언트 프로그램이 제공하는 기능과 유사한데, 바로 이미지 이름(실행 파일 이름)을 통해 액세스를 제어할 수 잇다. ISA 방화벽 클라이언트 프로그램의 단점이라면 일반 사용자도 이미지 이름을 손쉽게 바꿔서 실행할 수 있다.

                    2007은 ISA 방화벽 클라이언트 프로그램이 제공하는 애플리케이션 제어 방법보다 한층 발전된 방법으로 애플리케이션의 해시 값을 기준으로 제어한다. 예를 들어, SSL VPN 게이트웨이를 통해 아웃룩 클라이언트 프로그램을 위해 RPC를 허용하려고 한다고 가정하면, 이 게이트웨이로 다른 애플리케이션이 RPC를 사용하지 않게 할 것이다. IAG 2007에서는 SSL VPN 게이트웨이에서 RPC에 대한 트래픽을 허용하고, 또한 RPC종점 매퍼 포트로 호출하는 애플리케이션의 해시캆을 기준으로 아웃룩 2003만 허용하도록 제어한다. 이는 ISA 방화벽 클라이언트 프로그램보다 훨씬 보안성이 강화된 것으로 사용자가 악성코드가 파일이름을 outlook.exe로 바꿔서 실행됨으로 인해 발생할 수 있는 위험성을 줄일 수 있다.

                    아래 그림은 포트와 포켓 포워더로 연결된 사용자 컴퓨터릐 연결을 보여준다.

                    사용자 삽입 이미지



                    IAG 2007 VPN 게이트웨이에서 웹 애플리케이션 이외의 애플리케이션을 지원하는 방법은 다음과 같다.

                    포트 포워더
                    포 트 포워더는 SSL VPN 구성요소 중 하나로, 게시한 애플리케이션마다 특정한 로컬 주소/포트로 청취하여 실제 애플리케이션 서버 주소가 아닌 이 주소로 트래픽이 보내지게 한다. SSL VPN 포트 포워더 클라이언트는 트래픽을 SSL로 암호화 터널을 수립하고, SSL VPN 게이트웨이로 전송한다. 포트 포워더는 암호화되지 않은 애플리케이션 프로토콜을 포함하는 터널을 수립하여 SSL VPN으로 암호화하므로 훨씬 안전하다. 포트 포워더는 FTP 프로토콜과 같이 2차 연결이 필요한 프로토콜을 제외한 일반적인 애플리케이션에서만 지원한다

                    소켓 포워더
                    소 켓 포워더 SSL VPN 클라이언트는 MS Winsock 서비스 프로바이더 인터페이스를 가로채 채서, 저수준 0-레벨 핸들링을 지원하기 위해 Windows LSP/NSP(Layered Service Provider/Name Space Provider)를 사용한다. NSP는 내부 서버 이름이 터널로 수립되고 인터넷으로 전송되지 않도록 보장하기 위해 내부 서버 이름을 풀이하는데 사용한다. 소켓 포워딩의 보안상 가장 중요한 장점은 사용자를 식별할 수 있고, 트래픽을 생성하여 그 통신에 특정한 보안 매개변수를 설정할 수 있다는 점이다.

                    3. 네트워크 커넥터
                    리 버스 프록시와 포트/소켓 포워더는 반대로, 네트워크 커넥터는 진정한 SSL VPN 연결성을 제공한다. 리버스 프록시와 포트/소켓 포워딩에서는 가상의 네트워크 연결이 없다. 네트워크 커넥터를 사용하여 여러분은 원격 액세스 VPN 클라이언트에 할당된 IP 주소 내에 실제로 터널링된 IP로 연결을 한다. 즉, 회사 네트워크로 PPTP나 L2TP/IPSec VPN 네트워크 연결을 지원한다.

                    네 트워크 커넥터는 클라이언트 컴퓨터의 장치 관리자에서 네트워크 장치로 구현된다. 포탈에서 네트워크 커넥터를 사용할 수 있는 경우에는 클라이언트 컴퓨터에 네트워크 커넥터 애플리케이션이 자동으로 설치된다. 물론, 어떤 컴퓨터에서 네트워크 커넥터가 실행될지 제어할 수 있다. 또한, IAGE 2007 종점 감지 기능을 사용하여 네트워크 커넥터를 어떤 종점 컴퓨터에 허용할지 액세스 정책을 제어할 수 있다.

                    네트워크 커넥터는 다음과 같은 특징이 있다.

                    • WINS, DNS, DNS 접미사와 같은 회사 네트워크 매개변수의 자동 감지 및 변경
                    • 고정 IP 주소 영역 또는 DHCP를 사용하여 IP 주소 반영
                    • Split 터널링 제어
                    • TCP, UDP, ICMP 프로토콜 마스크 필터
                    • Windows 2000, XP, Windows 2003 서버 클라이언트 지원
                    • IAG 2007 네트워크 커넥터 프로그램을 설치 후 재부팅할 필요가 없음
                    • 통계 및 연결종료 옵션을 제공하는 세션 아이콘
                    • IP 유니캐스트 기능

                    네 트워크 커넥터는 네트워크 수준의 액세스를 완벽하게 제어할 수 있게 해주며, 다중 1차 연결과 2차 연결이 필요한 프로토콜까지도 지원한다. VoIP와 같은 복잡한 프로토콜일 경우에는 포트/소켓 포워더에서 지원하지 않을 수도 있는데 이럴 때에는 네트워크 커넥터를 사용한다. 하지만, ISA 방화벽의 강력한 사용자/그룹 액세스 제어 기능과는 달리 네트워크 커넥터에서는 자세한 제어가 힘들다. 네트워크 커넥터는 대표적인 ‘하드웨어’ VPN 게이트웨이로 동작하며 보통 링크를 통해 이루어진다. 원격 액세스 VPN 연결에 대해 좀더 강력한 상태 패킷 검사와 애플리케이션 수준의 검사가 필요한 경우에는 ISA 방화벽의 PPTP 또는 L2TP/IPSec VPN 원격 액세스 VPN 서버의 사용을 고려해야 한다.

                    4.마무리
                    이 번 강좌에서는 IAG 2007에서 지원하는 네트워크 연결 방식에 대해 살펴 보았다. IAG 2007 SSL VPN 게이트웨이에서는 애플리케이션의 요구사항에 따라 다음과 같이 3가지 연결 방식을 지원한다.

                    • 리버스 웹 프록시
                    • 포트/소켓 포워딩
                    • 네트워크 커넥터

                    다음 강좌에서는 파일 액세스 및 보안 기능에 대해 알아 볼 예정이니 기대하기 바란다.

                    자료출처 : The Microsoft Intelligent Application Gateway 2007 (IAG 2007) Part 2: IAG Connectivity Options

                    reTweet
                    Posted by 문스랩닷컴
                    blog comments powered by Disqus

                      댓글을 달아 주세요



                      Web Analytics Blogs Directory