오늘날 원격 액세스는 매우 중요합니다. 집과 직장 컴퓨터에 저장된 정보에 액세스해야 하는 사람이 늘어나면서 어디에서나 해당 정보에 액세스할 수 있는 기능이 중요해졌습니다. 사람들이 "내 컴퓨터에 접속하자마자 이 정보를 보내드리겠습니다."라고 말하던 시대는 지났습니다. 오늘날의 비즈니스 세계에서 경쟁하려면 이 정보가 즉시 필요합니다.

전산화 석기시대에 얻는 방법 원격 액세스저는 컴퓨터에 전화 접속 연결을 사용했습니다. RAS 전화 접속 연결은 최대 약 56kbps의 데이터 속도로 일반 POTS(Plain Old Telephone Service) 회선을 통해 작동됩니다. 이러한 연결의 가장 큰 문제는 속도였지만, 장거리 접속이 필요한 경우에는 연결 비용이 더 큰 문제였습니다.

인터넷의 인기가 높아짐에 따라 RAS 연결의 사용이 점점 줄어들고 있습니다. 그 이유는 VPN(가상사설망) 연결의 출현 때문이었습니다. VPN 연결은 전화 접속 RAS 연결과 동일한 지점 간 연결을 제공했지만 VPN 연결 속도는 인터넷 연결 속도와 연결 비용이 같을 수 있으므로 더 빠르고 저렴했습니다. 목적지의 위치에 의존하지 않습니다. 당신이 지불해야 할 유일한 것은 인터넷 연결입니다.

가상 사설망

VPN 연결을 사용하면 컴퓨터에서 다음을 만들 수 있습니다. 가상그리고 사적인인터넷을 통한 네트워크 연결. 화합물 가상컴퓨터가 인터넷을 통해 VPN 연결을 생성하면 이 연결을 생성하는 컴퓨터는 마치 로컬 케이블을 통해 네트워크에 연결된 것처럼 네트워크에 직접 연결된 노드 역할을 하기 때문입니다. 이더넷 네트워크. 사용자는 케이블을 사용하여 네트워크에 직접 연결된 경우와 동일한 리소스에 대한 액세스 권한을 갖습니다. 그러나 VPN 클라이언트가 VPN 서버에 연결되는 경우에는 연결이 사실상대상에 대한 유효한 이더넷 연결이 없기 때문입니다. VPN 연결 사적인, 이 연결 내부의 데이터 스트림 내용이 암호화된, 따라서 인터넷상의 어느 누구도 VPN 연결을 통해 전송된 데이터를 가로채거나 읽을 수 없습니다.

Windows 서버와 클라이언트는 Windows NT 및 Windows 95 시절부터 VPN 연결을 지원해 왔습니다. Windows 클라이언트와 서버는 10년 동안 VPN 연결을 지원해 왔지만 VPN 지원 유형은 시간이 지남에 따라 발전해 왔습니다. 윈도우 비스타서비스 팩 1과 Windows Server 2008은 현재 세 가지 유형을 지원합니다. VPN 연결. 다음과 같은 유형이 있습니다.

L2TP/IPSec

PPTP는 지점간 터널 프로토콜입니다. PPTP는 VPN 연결을 만드는 가장 쉬운 방법이지만 불행하게도 보안 수준도 가장 낮습니다. 이 유형이 보안 수준이 가장 낮은 이유는 사용자 자격 증명이 안전하지 않은 채널을 통해 전송되기 때문입니다. 즉, VPN 연결 암호화가 시작됩니다. 이후권한이 어떻게 이전되었는지. 실제 자격 증명 정보는 VPN 클라이언트와 서버 간에 전달되지 않지만, 전달된 해시 값은 정교한 해커가 VPN 서버에 액세스하고 연결하는 데 사용될 수 있습니다. 기업 네트워크.

L2TP/IPSec VPN 프로토콜이 더 안정적입니다. L2TP/IPSec는 Microsoft와 Cisco가 공동으로 개발했습니다. L2TP/IPSec는 자격 증명이 유선을 통해 전송되기 전에 보안 IPSec 세션이 생성되므로 PPTP보다 더 안전합니다. 해커는 자격 증명에 액세스할 수 없으므로 나중에 사용하기 위해 자격 증명을 훔칠 수 없습니다. 또한 IPSec은 시스템 간 상호 인증을 제공하므로 알 수 없는 시스템은 L2TP/IPSec VPN 채널에 연결할 수 없습니다. IPSec는 상호 인증, 데이터 무결성, 기밀성 및 부인 방지 기능을 제공합니다. L2TP는 시스템 인증과 사용자 인증이 모두 필요하기 때문에 높은 로그인 보안을 제공하는 PPP 및 EAP 사용자 인증 메커니즘을 지원합니다.

Windows Vista SP1 및 Windows Server 2008은 이제 새로운 유형의 VPN 프로토콜인 SSTP(Secure Socket Tunneling Protocol)를 지원합니다. SSTP는 SSL로 암호화된 HTTP 연결을 사용하여 VPN 게이트웨이에 대한 VPN 연결을 생성합니다. SSTP는 사용자 자격 증명이 전까지 전송되지 않으므로 안전합니다. VPN 게이트웨이에 연결하기 위한 보안 SSL 터널이 열릴 때까지. SSTP는 SSL을 통한 PPP라고도 알려져 있습니다. 즉, PPP 및 EAP 인증 메커니즘을 사용하여 SSTP 연결을 더욱 안전하게 만들 수 있습니다.

비공개라고 해서 보안이 보장되는 것은 아닙니다

VPN 연결은 안전하지 않고 비공개라는 점에 유의해야 합니다. 나는 개인 정보 보호가 보안 통신의 기본 구성 요소라는 것을 알고 있지만 그 자체로 보안을 보장하지는 않습니다. VPN 기술은 제3자가 귀하의 통신 내용을 읽지 못하도록 인터넷 연결에 비공개 구성 요소를 제공합니다. 또한 VPN 기술을 사용하면 승인된 사용자만 VPN 게이트웨이를 통해 특정 네트워크에 연결할 수 있도록 할 수 있습니다. 그러나 개인 구성 요소, 인증 및 권한 부여는 포괄적인 보안을 제공하지 않습니다.

VPN 액세스 권한을 부여한 직원이 있다고 가정해 보겠습니다. Windows Server 2008 VPN 프로토콜은 EAP 사용자 인증을 지원하므로 사용자를 위한 스마트 카드를 만들고 L2TP/IPSec VPN 프로토콜을 사용하기로 결정했습니다. 스마트 카드와 L2TP/IPSec 프로토콜을 결합하면 사용자 인증과 정상적인 시스템 사용을 요구할 수 있습니다. 귀하의 스마트 카드와 L2TP/IPSec 솔루션은 훌륭하게 작동하며 모두가 만족합니다.

어느 날 사용자 중 한 명이 SQL 서버에 로그인하여 회계 정보를 얻고 이를 다른 직원과 공유하기 시작할 때까지는 모두가 행복합니다. 무슨 일이에요? VPN 연결이 안전하지 않았나요? 아니요, VPN 연결은 개인 정보 보호 구성 요소, 인증 및 권한 부여를 제공할 만큼 안전했지만 액세스 제어를 제공하지 않았으며 액세스 제어는 컴퓨터 보안의 기본 구성 요소입니다. 실제로 액세스 제어가 없으면 다른 모든 보안 조치는 상대적으로 가치가 거의 없다고 주장할 수도 있습니다.

VPN이 진정한 보안을 유지하려면 VPN 사용자에게 필요한 액세스 수준을 부여할 수 있도록 VPN 게이트웨이가 사용자/그룹 액세스 제어를 제공할 수 있는지 확인해야 합니다. ISA 방화벽과 같은 고급 VPN 게이트웨이 및 방화벽은 VPN 연결에 대한 이러한 제어 기능을 제공할 수 있습니다. 또한 ISA 방화벽과 같은 방화벽은 클라이언트 VPN 연결에 대한 주소 패킷 및 애플리케이션 계층 검사를 제공할 수 있습니다.

Windows Server 2008 VPN은 사용자 및 그룹 액세스 제어를 제공하지 않지만 고급 방화벽 및 VPN 게이트웨이 구입 비용을 지불하고 싶지 않은 경우 서버 자체에서 액세스 제어를 구성할 수 있는 다른 방법이 있습니다. 이 기사에서는 VPN 서버의 구성 요소에만 중점을 둡니다. ISA 방화벽과 VPN 서버 기능에 대해 자세히 알아보려면 www.isaserver.org를 방문하세요.

새로운 VPN 프로토콜을 사용하는 이유는 무엇입니까?

Microsoft는 사용자가 기업 네트워크에 연결할 수 있도록 하는 두 가지 실행 가능한 VPN 프로토콜을 이미 만들었는데 왜 세 번째를 만들까요? SSTP는 다음과 같은 경우에 훌륭한 추가 기능입니다. Windows 사용자 SSTP는 PPTP 및 L2TP/IPSec 프로토콜과 달리 방화벽 및 NAT 장치에 문제가 없기 때문에 VPN입니다. NAT 장치에서 PPTP가 작동하려면 장치가 PPTP용 NAT 편집기를 사용하여 PPTP를 지원해야 합니다. 이 장치에 PPTP용 NAT 편집기가 없으면 PPTP 연결이 작동하지 않습니다.

L2TP/IPSec에는 나가는 연결을 위해 방화벽이 L2TP 포트 UDP 1701을 열어야 하고, 나가는 연결을 위해 IPSec IKE 포트 UDP 500을 열어야 하며, 나가는 연결을 위해 IPSec NAT 통과 포트 UDP 4500이 열려 있어야 하기 때문에 NAT 장치 및 방화벽에 문제가 있습니다( NAT-T를 사용하는 경우에는 L2TP 포트가 필요하지 않습니다. 대부분의 방화벽은 호텔, 컨벤션 센터, 레스토랑 등과 같은 공공 장소에 있습니다. HTTP, TCP 포트 80 및 HTTPS(SSL), TCP 포트 443과 같이 나가는 연결을 위해 소수의 포트를 열어두십시오. 사무실을 떠날 때 HTTP 및 SSL 프로토콜 이상의 지원이 필요한 경우 성공적인 연결이 크게 감소합니다. PPTP나 L2TP/IPSec에 필요한 포트를 받지 못할 수도 있습니다.

이전 프로토콜과 달리 SSTP VPN 연결은 TCP 포트 443을 사용하여 SSL 채널을 통해 이동합니다. 모든 방화벽과 NAT 장치는 열린 포트 TCP 443, 어디서나 SSTP를 사용할 수 있습니다. 이는 VPN 연결을 사용하여 사무실에 연결하는 여행자의 삶을 훨씬 쉽게 만들고 여행자를 지원해야 하는 기업 관리자의 삶을 훨씬 쉽게 만들고 공공 장소의 직원이 호텔, 컨퍼런스 센터 등에서 인터넷 액세스를 제공하도록 돕습니다. .

SSTP 연결 프로세스

SSTP VPN 클라이언트는 SSTP VPN 클라이언트의 임의 TCP 원본 포트와 SSTP VPN 게이트웨이의 TCP 포트 443 사이에서 SSTP VPN 게이트웨이에 대한 TCP 연결을 만듭니다.
SSTP VPN 클라이언트가 SSL을 보냅니다. 클라이언트-안녕하세요 SSTP VPN 게이트웨이를 사용하여 SSL 세션을 생성하려고 함을 나타내는 메시지입니다.
SSTP VPN 게이트웨이가 보냅니다. 컴퓨터 인증서 SSTP VPN 클라이언트.
SSTP VPN 클라이언트는 신뢰할 수 있는 루트 인증 기관 인증서 데이터베이스를 확인하여 서버에서 서명한 CA 인증서가 해당 데이터베이스에 있는지 확인함으로써 컴퓨터 인증서의 유효성을 검사합니다. 그런 다음 SSTP VPN 클라이언트는 SSL 세션의 암호화 방법을 결정하고, SSL 세션 키를 생성하고 이를 공용 게이트웨이의 SSTP VPN 키로 암호화한 다음 SSL 세션 키의 암호화된 형식을 SSTP VPN 게이트웨이로 보냅니다.
SSTP VPN 게이트웨이는 컴퓨터 인증서의 개인 키를 사용하여 암호화된 SSL 세션 키를 해독합니다. SSTP VPN 클라이언트와 SSTP VPN 게이트웨이 간의 모든 후속 연결은 합의된 암호화 방법과 SSL 세션 키를 사용하여 암호화됩니다.
SSTP VPN 클라이언트는 SSL을 통한 HTTP(HTTPS) 요청 메시지를 SSTP VPN 게이트웨이로 보냅니다.
SSTP VPN 클라이언트는 SSTP VPN 게이트웨이와 SSTP 채널을 협상합니다.
SSTP VPN 클라이언트는 SSTP 서버와 PPP 연결을 협상합니다. 이러한 협상에는 표준 PPP 인증 방법(또는 EAP 인증)을 사용하여 사용자 자격 증명을 인증하고 IPv4(인터넷 프로토콜 버전 4) 또는 IPv6(인터넷 프로토콜 버전 6) 트래픽에 대한 설정을 구성하는 작업이 포함됩니다.
SSTP 클라이언트는 PPP 연결을 통해 IPv4 또는 IPv6 트래픽을 보내기 시작합니다.

VPN 프로토콜 아키텍처의 특징에 관심이 있는 분들은 아래 그림을 통해 확인하실 수 있습니다. SSTP에는 다른 두 VPN 프로토콜과 달리 추가 헤더가 있습니다. 이는 SSTP 헤더 외에 추가적인 HTTPS 암호화 덕분입니다. L2TP 및 PPTP에는 연결을 암호화하는 응용 프로그램 계층 헤더가 없습니다.

그림 1

SSTP가 어떻게 작동하는지 알아보기 위해 간단한 3개 시스템 네트워크를 예로 들어보겠습니다. 이 세 기계의 이름과 특징은 다음과 같습니다.

비스타 비즈니스 에디션

비스타 서비스 팩 1

도메인이 아닌 회원

W2008RC0-VPNGW:

두 개의 NIC "내부 및 외부

WIN2008RC-DC:

윈도우 서버 2008 엔터프라이즈 에디션

MSFIREWALL.ORG 도메인의 도메인 컨트롤러

인증서 서버(엔터프라이즈 CA)

Vista 서비스 팩 1이 VPN 클라이언트로 사용된다는 점에 유의하세요. 과거에 SSTP를 지원하는 Windows XP 서비스 팩 3에 대한 논의가 있었지만 전혀 그렇지 않을 수도 있습니다. 최근 테스트 컴퓨터에 Windows XP 서비스 팩 3 평가판을 설치했는데 SSTP 지원에 대한 증거를 찾지 못했습니다. 오늘날 너무나 많은 노트북이 Windows XP를 사용하고 있고, 증거에 따르면 Vista가 노트북을 실행하기에는 너무 느리다는 것이 밝혀졌습니다. Vista 성능 문제는 Vista 서비스 팩 1로 해결될 수 있습니다.

예제 네트워크의 상위 수준 구성이 아래 그림에 나와 있습니다.

그림 2

Windows Server 2008을 원격 액세스 SSL VPN 서버로 구성

아주 기본적인 것부터 모든 단계를 다루지는 않겠습니다. 도메인 컨트롤러를 설치하고 이 서버에서 DHCP, DNS 및 인증서 서비스 역할을 활성화했다고 가정하겠습니다. 서버 인증 유형은 Enterprise여야 하며 네트워크에 CA가 있어야 합니다. 다음 단계를 계속하기 전에 VPN 서버가 도메인에 연결되어 있어야 합니다. 시작하기 전에 Vista 클라이언트용 SP1을 설치해야 합니다.

솔루션이 작동하려면 다음 절차를 따라야 합니다.

VPN 서버에 IIS 설치
IIS 인증서 요청 마법사를 사용하여 VPN 서버에 대한 시스템 인증서를 요청합니다.
VPN 서버에 RRAS 역할 설치
RRAS 서버를 활성화하고 VPN 및 NAT 서버로 작동하도록 구성합니다.
CRL을 게시하도록 NAT 서버 구성
전화 접속 연결을 사용하려면 사용자 계정을 설정하세요.
CRL 디렉터리에 대한 HTTP 연결을 허용하도록 인증서 서버에서 IIS를 구성합니다.
VPN 클라이언트용 HOSTS 파일 구성
PPTP를 사용하여 VPN 서버와 통신
Enterprise CA에서 CA 인증서 받기
SSTP를 사용하도록 클라이언트를 구성하고 SSTP를 사용하여 VPN 서버에 연결합니다.

VPN 서버에 IIS 설치

네트워크 보안 어플라이언스에 웹 서버를 설치하지 말 것을 권장하므로 이 절차부터 시작하는 것이 이상하다고 생각할 수도 있습니다. 좋은 소식 VPN 서버에 웹 서버를 저장할 필요가 없으며 잠시 동안만 필요하다는 것입니다. 그 이유는 Windows Server 2008 인증서 서버에 포함된 등록 사이트가 더 이상 컴퓨터 인증서를 요청하는 데 유용하지 않기 때문입니다. 사실, 그것은 전혀 쓸모가 없습니다. 흥미로운 점은 컴퓨터 인증서를 얻기 위해 등록 사이트를 사용하기로 결정한 경우 인증서가 수신되어 설치된 것처럼 보이지만 실제로는 그렇지 않고 인증서가 설치되지 않았다는 것입니다.

이 문제를 해결하기 위해 우리는 엔터프라이즈 CA를 사용하고 있다는 점을 활용하겠습니다. Enterprise CA를 사용하면 온라인 인증서 서버에 요청을 보낼 수 있습니다. IIS 인증서 요청 마법사를 사용하여 현재 "도메인 인증서"라고 불리는 인증서를 요청하면 컴퓨터 인증서에 대한 대화형 요청이 가능합니다. 이는 요청 시스템이 Enterprise CA와 동일한 도메인에 속하는 경우에만 가능합니다.

VPN 서버에 IIS 웹 서버 역할을 설치하려면 다음 단계를 따르세요.

윈도우 2008을 엽니다 서버 매니저.
콘솔의 왼쪽 패널에서 탭을 클릭합니다. 역할.

그림 1

메뉴를 클릭하세요 역할 추가오른쪽 패널의 오른쪽에 있습니다.
딸깍 하는 소리 더 나아가페이지에서 시작하기 전에.
해당 라인 옆에 체크 표시를 하세요. 웹 서버(IIS)페이지에서 서버 역할 선택. 딸깍 하는 소리 더 나아가.

그림 2

페이지에서 정보를 읽을 수 있습니다. 웹 서버(IIS), 당신이 원하는 경우. 이것은 IIS 7을 웹 서버로 사용하는 것에 대한 매우 유용한 일반 정보이지만 VPN 서버에서 IIS 웹 서버를 사용하지 않을 것이므로 이 정보가 우리 상황에 완전히 적용되지는 않습니다. 딸깍 하는 소리 더 나아가.
페이지에서 역할 서비스 선택여러 옵션이 이미 선택되어 있습니다. 그러나 기본 옵션을 사용하면 인증서 요청 마법사를 사용할 수 없습니다. 적어도 제가 시스템을 테스트할 때는 그랬습니다. 인증서 요청 마법사에 대한 역할 서비스가 없으므로 각 옵션 옆의 확인란을 선택해 보았습니다. 안전, 효과가 있었던 것 같습니다. 여러분도 똑같이 해보고 클릭하세요 더 나아가.

그림 3

페이지의 정보를 검토하세요. 설정 선택 확인그리고 누르세요 설치하다.
딸깍 하는 소리 닫다페이지에서 설치 결과.

그림 4

IIS 인증서 요청 마법사를 사용하여 VPN 서버에 대한 시스템 인증서 요청

다음 단계는 VPN 서버에 대한 시스템 인증서를 요청하는 것입니다. SSL VPN 클라이언트의 컴퓨터와 SSL VPN 연결을 생성하려면 VPN 서버에 컴퓨터 인증서가 필요합니다. 인증서의 일반 이름은 VPN 클라이언트가 SSL VPN 게이트웨이 컴퓨터에 연결하는 데 사용할 이름과 일치해야 합니다. 즉, VPN 서버의 외부 IP 주소로 확인되는 인증서의 이름 또는 연결을 전달할 VPN 서버 앞의 NAT 장치의 IP 주소에 대한 공용 DNS 레코드를 생성해야 함을 의미합니다. SSL VPN 서버에.

SSL VPN 서버에 대한 시스템 인증서를 요청하려면 다음 단계를 따르세요.

안에 서버 매니저, 탭을 확장하세요 역할왼쪽 창에서 탭을 확장합니다. 웹 서버(IIS). 누르다 .

그림 5

콘솔에서 인터넷 정보 서비스(IIS) 관리자왼쪽 패널 오른쪽에 나타나는 서버 이름을 클릭합니다. 이 예에서 서버 이름은 다음과 같습니다. W2008RC0-VPNGW. 아이콘을 클릭하세요 서버 인증서 IIS 콘솔의 오른쪽 창에 있습니다.

그림 6

콘솔의 오른쪽 패널에서 링크를 클릭하십시오. 도메인 인증서 만들기.

그림 7

페이지에 정보를 입력하세요 특정 속성이름. 여기서 가장 중요한 개체는 다음과 같습니다. 일반 이름. VPN 클라이언트가 VPN 서버에 연결하는 데 사용할 이름입니다. VPN 서버의 외부 인터페이스 또는 VPN 서버 앞에 있는 장치의 공용 NAT 주소를 인식하려면 이 이름에 대한 공용 DNS 레코드도 필요합니다. 이 예에서는 일반 이름을 사용합니다. sstp.msfirewall.org. 나중에 항목을 만들겠습니다. HOSTS 파일 VPN 클라이언트의 컴퓨터에서 이름을 인식할 수 있도록 합니다. 딸깍 하는 소리 더 나아가.

그림 8

페이지의 버튼을 클릭하세요. 선택하다. 대화 상자에서 인증서 소스 선택에서 Enterprise CA 이름을 클릭하고 좋아요. 해당 줄에 친숙한 이름을 입력하세요. 친근감있는 이름. 이 예에서는 이름을 사용했습니다. SSTP 인증서 SSTP VPN 게이트웨이에 사용된다는 것을 알고 있습니다.

그림 9

딸깍 하는 소리 마치다페이지에서 온라인 인증서 소스.

그림 10

마법사가 시작된 다음 사라집니다. 그러면 IIS 콘솔에 인증서가 나타나는 것을 볼 수 있습니다. 인증서를 두 번 클릭하고 섹션에서 일반 이름을 확인하세요. 임명, 이제 인증서에 해당하는 개인 키가 있습니다. 딸깍 하는 소리 좋아요대화 상자를 닫으려면 자격증.

그림 11

이제 인증서가 있으므로 RRAS 서버 역할을 설치할 수 있습니다. 매우 중요한 점 참고해주세요 인증서 설치 RRAS 서버 역할을 설치하기 전에. 이렇게 하지 않으면 다소 복잡한 루틴을 사용해야 하므로 심각한 두통을 겪게 될 것입니다. 명령줄인증서를 SSL VPN 클라이언트와 연결합니다.

VPN 서버에 RRAS 서버 역할 설치

RRAS 서버 역할을 설치하려면 다음 단계를 완료해야 합니다.

안에 서버 매니저, 탭을 클릭하세요 역할콘솔의 왼쪽 패널에 있습니다.
섹션에서 일반 정보역할링크를 클릭하세요 역할 추가.
딸깍 하는 소리 더 나아가페이지에서 시작하기 전에.
페이지에서 서버 역할 선택해당 줄 옆의 확인란을 선택하세요. 딸깍 하는 소리 더 나아가.

그림 12

페이지의 정보를 읽어보세요. 네트워크 정책 및 액세스 서비스. 대부분은 네트워크 정책 서버(이전에는 인터넷 인증 서버라고 불렸으며 본질적으로 RADIUS 서버였습니다) 및 NAP와 관련되어 있으며 우리의 경우에는 어떤 요소도 적용할 수 없습니다. 딸깍 하는 소리 더 나아가.
페이지에서 역할 서비스 선택해당 줄 옆에 체크 표시를 하세요. 라우팅 및 원격 액세스 서비스. 결과적으로 항목이 선택됩니다. 원격 액세스 서비스그리고 라우팅. 딸깍 하는 소리 더 나아가.

그림 13

딸깍 하는 소리 설치하다창문에서 선택한 설정 확인.
딸깍 하는 소리 닫다페이지에서 설치 결과.

RRAS 서버를 활성화하고 VPN 및 NAT 서버로 구성

이제 RRAS 역할이 설치되었으므로 이전과 마찬가지로 RRAS 서비스를 활성화해야 합니다. 윈도우 버전. VPN 서버 기능과 NAT 서비스를 활성화해야 합니다. VPN 서버 구성 요소를 활성화하는 것은 모두 명확하지만 NAT 서버를 활성화해야 하는 이유가 궁금할 수 있습니다. NAT 서버를 활성화하는 이유는 외부 클라이언트가 인증서 서버에 접근하여 CRL에 연결할 수 있도록 하기 위함입니다. SSTP VPN 클라이언트가 CRL을 다운로드하지 못하면 SSTP VPN 연결이 작동하지 않습니다.

CRL에 대한 액세스를 열기 위해 VPN 서버를 NAT 서버로 구성하고 가역 NAT를 사용하여 CRL을 게시합니다. 기업 네트워크 환경에서는 인증서 서버 앞에 ISA 방화벽과 같은 방화벽이 있을 가능성이 높으므로 방화벽을 사용하여 CRL을 게시할 수 있습니다. 그러나 이 예에서 우리가 사용할 유일한 방화벽은 윈도우 방화벽 VPN 서버의 방화벽이므로 이 예에서는 VPN 서버를 NAT 서버로 구성해야 합니다.

RRAS 서비스를 활성화하려면 다음 단계를 따르세요.

안에 서버 매니저탭을 확장하세요 역할콘솔의 왼쪽 패널에 있습니다. 탭 확장 네트워크 정책 및 액세스 서비스탭을 클릭하세요. 탭을 마우스 오른쪽 버튼으로 클릭하고 라우팅 및 원격 액세스 구성 및 활성화.

그림 14

딸깍 하는 소리 더 나아가창문에서 라우팅 및 원격 액세스 서버 설정 마법사에 오신 것을 환영합니다..
페이지에서 구성옵션을 선택하세요 가상 사설망 및 NAT에 대한 액세스그리고 누르세요 더 나아가.

그림 15

페이지에서 VPN 연결섹션에서 NIC를 선택하세요 네트워크 인터페이스, VPN 서버의 외부 인터페이스를 나타냅니다. 그런 다음 클릭 더 나아가.

그림 16

페이지에서 IP 주소 할당옵션을 선택하세요 자동으로. VPN 서버 뒤의 도메인 컨트롤러에 DHCP 서버가 설치되어 있기 때문에 이 옵션을 선택할 수 있습니다. DHCP 서버가 없으면 옵션을 선택해야 합니다. 특정 주소 목록에서을 클릭한 다음 VPN 클라이언트가 VPN 게이트웨이를 통해 네트워크에 연결할 때 사용할 수 있는 주소 목록을 입력합니다. 딸깍 하는 소리 더 나아가.

그림 17

페이지에서 여러 서버의 원격 액세스 관리선택하다 아니요, 라우팅 및 원격 액세스를 사용하여 연결 요청을 인증합니다.. NPS 또는 RADIUS 서버를 사용할 수 없을 때 이 옵션을 사용합니다. VPN 서버는 도메인의 구성원이므로 도메인 계정을 사용하여 사용자를 인증할 수 있습니다. VPN 서버가 도메인의 일부가 아닌 경우 NPS 서버를 사용하도록 선택하지 않는 한 로컬 VPN 서버 계정만 사용할 수 있습니다. 앞으로는 NPS 서버 활용에 대한 글을 쓰겠습니다. 딸깍 하는 소리 더 나아가.

그림 18

읽다 일반 정보페이지에서 라우팅 및 원격 액세스 구성 마법사 완료그리고 누르세요 마치다.
딸깍 하는 소리 좋아요대화 상자에서 라우팅 및 원격 액세스이는 DHCP 메시지 배포에는 DHCP 배포 에이전트가 필요함을 알려줍니다.
콘솔의 왼쪽 창에서 탭을 확장합니다. 라우팅 및 원격 액세스그리고 탭을 클릭하세요 포트. 가운데 창에는 이제 SSTP용 WAN 미니포트 연결을 사용할 수 있음이 표시됩니다.

그림 19

CRL 게시를 위한 NAT 서버 구성

앞서 말했듯이 SSL VPN 클라이언트는 CRL을 다운로드하여 VPN 서버의 서버 인증서가 손상되거나 취소되지 않았는지 확인할 수 있어야 합니다. 그러기 위해서는 인증서버 앞의 기기에서 전송을 할 수 있도록 구성해야 합니다. HTTP 요청인증서 서버의 CRL 위치에 대해 알아보세요.

CRL을 다운로드하기 위해 SSL VPN 클라이언트가 연결해야 하는 URL을 어떻게 알 수 있나요? 이 정보는 인증서 자체에 포함되어 있습니다. VPN 서버로 돌아가 이전과 마찬가지로 IIS 콘솔에서 인증서를 두 번 클릭하면 이 정보를 찾을 수 있습니다.

버튼을 클릭하세요 세부인증서에서 해당 항목까지 아래로 스크롤합니다. CRL 배포 지점을 클릭한 다음 이 항목을 클릭하세요. 하단 패널에는 해당 지점에 액세스하는 데 사용되는 프로토콜을 기반으로 다양한 배포 지점이 표시됩니다. 아래 이미지에 표시된 인증서에서 SSL VPN 클라이언트가 URL을 통해 CRL에 액세스하도록 허용해야 함을 알 수 있습니다.

http://win2008rc0-dc.msfirewall.org/CertEnroll/WIN2008RC0-DC.msfirewall.org.crl

그림 20

이것이 외부 VPN 클라이언트가 인증서 서버의 웹 사이트에 액세스하기 위해 역방향 NAT 또는 역방향 프록시를 수행할 IP 주소나 장치에 이 이름을 할당할 수 있도록 이 이름에 대한 공용 DNS 레코드를 생성해야 하는 이유입니다. 이 예에서는 바인딩해야 합니다. win2008rc0-dc.msfirewall.org VPN 서버의 외부 인터페이스에 IP 주소가 있습니다. 연결이 VPN 서버의 외부 인터페이스에 도달하면 VPN 서버는 NAT 연결을 인증서 서버로 전달합니다.

ISA 방화벽과 같은 고급 방화벽을 사용하는 경우 액세스를 허용하여 게시 사이트 CRL을 더욱 안전하게 만들 수 있습니다. 오직전체 사이트가 아닌 CRL에. 그러나 이 기사에서는 RRAS NAT를 제공하는 것과 같은 간단한 NAT 장치의 가능성으로 제한하겠습니다.

기본 사이트 CRL 이름을 사용하면 컴퓨터의 개인 이름이 인터넷에 노출되므로 보안 수준이 낮을 수 있습니다. CA의 개인 이름이 공개적으로 노출된다고 생각되는 경우 이를 방지하기 위해 사용자 지정 CDP(CRL 배포 지점)를 만들 수 있습니다. DNS 레코드보안 위험이 있습니다.

HTTP 요청을 인증서 서버로 라우팅하도록 RRAS NAT를 구성하려면 다음 단계를 따르세요.

왼쪽 패널에서 서버 매니저탭을 확장하세요 라우팅 및 원격 액세스을 클릭한 다음 탭을 확장합니다. IPv4. 탭을 클릭하세요 NAT.
탭에서 NAT콘솔 중앙 패널의 외부 인터페이스를 마우스 오른쪽 버튼으로 클릭합니다. 안에 이 예에서는외부 인터페이스 이름은 다음과 같습니다. 로컬 영역 연결. 누르다 속성.

그림 21

대화 상자에서 옆의 확인란을 선택하십시오. 웹 서버(HTTP). 그러면 대화 상자가 나타납니다. 편집 서비스. 텍스트 줄에서 개인 주소내부 네트워크에 있는 인증서버의 IP 주소를 입력하세요. 딸깍 하는 소리 좋아요.

그림 22

딸깍 하는 소리 좋아요대화 상자에서 로컬 영역 연결 속성.

그림 23

이제 NAT 서버가 설치 및 구성되었으므로 CA 서버 및 SSTP VPN 클라이언트 구성에 집중할 수 있습니다.

전화 접속 연결을 사용하도록 사용자 계정 구성

사용자 계정에 연결하려면 전화 접속 액세스 권한이 필요합니다. 윈도우 서버도메인의 일부인 VPN 액티브 디렉토리. 이를 수행하는 가장 좋은 방법은 NPS(네트워크 정책 서버)를 사용하고 다음을 허용하는 것입니다. 계정 NPS 정책에 따라 원격 액세스를 허용하는 기본 사용자입니다. 하지만 우리의 경우에는 NPS 서버를 설치하지 않았으므로 사용자의 전화 접속 액세스 권한을 수동으로 구성해야 합니다.

다음 기사에서는 NPS 서버 및 EAP 사용자 인증서 인증을 사용하여 SSL VPN 서버와의 연결을 만드는 방법에 중점을 둘 것입니다.

특정 사용자 계정의 전화 접속 액세스를 허용하여 SSL VPN 서버에 연결하려면 다음 단계를 완료해야 합니다. 이 예에서는 기본 도메인 관리자 계정에 대한 전화 접속 액세스 권한을 활성화합니다.

도메인 컨트롤러에서 콘솔을 엽니다. Active Directory 사용자 및 컴퓨터메뉴에서.
콘솔의 왼쪽 창에서 도메인 이름을 확장하고 탭을 클릭합니다. 사용자. 계정을 두 번 클릭하세요. 관리자.
탭으로 이동 전화 접속. 기본 설정은 다음과 같습니다. NPS 네트워크 정책을 통한 액세스 제어. 이 시나리오에는 NPS 서버가 없으므로 설정을 다음으로 변경하겠습니다. 액세스 허용, 아래 그림 1과 같이 좋아요.

그림 1

CRL 디렉터리에 대한 HTTP 연결을 허용하도록 인증서 서버에서 IIS 구성

어떤 이유로 설치 마법사는 인증서 서비스 웹 사이트를 설치할 때 SSL 연결을 요청하도록 CRL 디렉터리를 구성합니다. 보안 관점에서는 꽤 좋은 생각인 것처럼 보이지만 문제는 인증서의 URI(Uniform Resource Identifier)가 SSL을 사용하도록 구성되어 있지 않다는 것입니다. SSL을 사용할 수 있도록 인증서에 대한 CDP 레코드를 직접 만들 수 있을 것 같지만 Microsoft는 이 문제를 어디에도 언급하지 않았을 것입니다. 이 문서에서는 CDP에 대한 표준 설정을 사용하므로 CA 웹 사이트에서 디렉터리 CRL 경로에 대한 SSL 요구 사항을 비활성화해야 합니다.

CRL 디렉터리에 대한 SSL 요구 사항을 비활성화하려면 다음 단계를 수행하십시오.

메뉴에 관리 도구오픈 매니저 인터넷 정보 서비스(IIS) 관리자.
IIS 콘솔의 왼쪽 창에서 서버 이름을 확장한 다음 웹사이트. 탭 확장 기본 웹사이트그리고 탭을 클릭해주세요 인증서등록, 그림 2와 같이.

그림 2

콘솔의 중앙 패널을 보면 다음과 같이 표시됩니다. CRL아래 그림과 같이 이 가상 디렉터리에 있습니다. 이 가상 디렉터리의 내용을 보려면 버튼을 클릭해야 합니다. 콘텐츠 보기중앙 패널 하단에 있습니다.

그림 3

버튼을 클릭하세요 옵션 보기중앙 패널 하단에 있습니다. 중간 패널 하단에서 아이콘을 두 번 클릭합니다. SSL 설정.

그림 4

중간 패널에 페이지가 나타납니다. SSL 설정. 확인란을 선택 취소하세요. SSL 필요. 딸깍 하는 소리 적용하다콘솔의 오른쪽 창에서

그림 5

알림이 표시된 후 IIS 콘솔을 닫습니다. 변경사항이 성공적으로 저장되었습니다..

그림 6

VPN 클라이언트용 HOSTS 파일 설정

이제 VPN 클라이언트에 전적으로 집중할 수 있습니다. 클라이언트와 관련하여 가장 먼저 해야 할 일은 공용 DNS 인프라를 시뮬레이션할 수 있도록 HOSTS 파일을 설정하는 것입니다. HOSTS 파일에 입력해야 하는 두 가지 이름이 있습니다(공개 파일에도 동일하게 입력해야 함). DNS 서버 a, 프로덕션 네트워크에서 사용할 것입니다). 첫 번째 이름은 SSL VPN 서버와 연결한 인증서의 일반/주체 이름에 따라 결정되는 VPN 서버의 이름입니다. HOSTS 파일(및 공용 DNS 서버)에 입력해야 하는 두 번째 이름은 인증서에 있는 CDP URL 이름입니다. 이번 시리즈 Part 2에서 CDP 정보의 위치를 살펴보았습니다.

이 예에서 HOSTS 파일에 입력해야 하는 두 개의 이름은 다음과 같습니다.

192.168.1.73 sstp.msfirewall.org

192.168.1.73 win2008rc0-dc.msfirewall.org

Vista SP1 VPN 클라이언트용 HOSTS 파일을 구성하려면 다음 절차를 따르십시오.

메뉴에 시작입력하다 c:\windows\system32\drivers\etc\hosts검색창으로 이동하여 Enter 키를 누릅니다.
대화 상자에서 다음으로 열려면선택하다 공책.
아래 이미지에 표시된 형식으로 HOSTS 파일에 항목을 입력합니다. 커서가 그 아래에 오도록 마지막 줄 다음에 Enter를 누르십시오.

그림 7

파일을 닫고 옵션을 선택하세요 변경 사항을 저장하다.

PPTP를 사용하여 VPN 서버에 연결

SSL VPN 연결 생성에 점차 가까워지고 있습니다! 다음 단계는 Vista SP1 클라이언트에 VPN 커넥터를 만드는 것입니다. 이를 통해 VPN 서버에 대한 초기 VPN 연결을 만들 수 있습니다. 우리의 경우 클라이언트 컴퓨터가 도메인의 구성원이 아니기 때문에 이 작업을 수행해야 합니다. 머신이 도메인의 구성원이 아니기 때문에 CA 인증서는 신뢰할 수 있는 루트 인증 기관 저장소에 자동으로 설치되지 않습니다. 머신이 도메인의 일부였다면 Enterprise CA를 설치한 이후 자동 등록을 통해 이 문제가 해결되었을 것입니다.

이 단계를 완료하는 가장 쉬운 방법은 Vista SP1 VPN 클라이언트에서 Windows Server 2008 VPN 서버로 PPTP 연결을 만드는 것입니다. 기본적으로 VPN 서버는 PPTP 연결을 지원하며 클라이언트는 L2TP/IPSec 및 SSTP를 시도하기 전에 먼저 PPTP를 시도합니다. 이렇게 하려면 VPN 커넥터 또는 연결 개체를 만들어야 합니다.

VPN 클라이언트에서 커넥터를 만들려면 다음 단계를 따르세요.

VPN 클라이언트에서 네트워크 아이콘을 마우스 오른쪽 버튼으로 클릭하고 네트워크 및 교환센터(공유센터).
스위칭 센터 네트워크 창에서 링크를 클릭합니다. 연결 또는 네트워크 만들기창문 왼쪽에.
페이지에서 연결 옵션 선택항목을 클릭하세요 직장에 연결을 클릭한 다음 더 나아가.

그림 8

페이지에서 어떻게 연결하시겠습니까?옵션을 선택하세요 내 인터넷 연결(VPN) 사용.

그림 9

페이지에서 연결할 인터넷 주소를 입력하세요 SSL VPN 서버의 이름을 입력하세요. 이 이름과 SSL VPN 서버에서 사용하는 인증서의 일반 이름이 동일한지 확인하세요. 이 예에서 이름은 다음과 같습니다. sstp.msfirewall.org. 입력하다 수령인의 이름. 이 예에서는 수신자의 이름을 사용합니다. SSL VPN. 딸깍 하는 소리 더 나아가.

그림 14

창문에서 네트워크 및 스위칭 센터, 링크를 클릭하세요 상태 표시장에서 SSL VPN, 아래 그림과 같습니다. 대화 상자에서 SSL VPN 상태 VPN 연결 유형이 PPTP임을 알 수 있습니다. 딸깍 하는 소리 닫다대화 상자에서 SSL VPN 상태.

그림 15

명령 프롬프트 창을 열고 도메인 컨트롤러에 ping 명령을 보냅니다. 이 예에서 도메인 컨트롤러의 IP 주소는 다음과 같습니다. 10.0.0.2 . VPN 연결이 성공하면 도메인 컨트롤러로부터 ping 응답을 받게 됩니다.

그림 16

엔터프라이즈 CA에서 CA 인증서 받기

SSL VPN 클라이언트는 VPN 서버에서 사용하는 인증서를 발급한 CA를 신뢰해야 합니다. 이 신뢰를 생성하려면 VPN 서버에 대한 인증서를 발급한 CA에 CA 인증서를 설치해야 합니다. 내부 네트워크의 CA 등록 웹사이트에 연결하고 VPN 클라이언트의 인증서를 신뢰할 수 있는 루트 인증 기관 저장소에 설치하면 됩니다.

등록 사이트에서 인증서를 얻으려면 다음 단계를 따르십시오.

PPTP 연결을 통해 VPN 서버에 연결된 VPN 클라이언트에서 다음을 입력합니다. http://10.0.0.2/certsrv Internet Explorer의 주소 표시줄에 입력하고 Enter 키를 누릅니다.
자격 증명 대화 상자에 사용된 사용자 이름과 비밀번호를 입력합니다. 이 예에서는 기본 도메인 관리자 계정 사용자 이름과 비밀번호를 사용합니다.
페이지에서 인사말등록 사이트 링크를 따라가세요 CA 인증서, 인증서 체인 또는 CRL 업로드.

그림 17

다음을 경고하는 대화 상자가 나타납니다. 웹사이트에서 컴퓨터에 있는 이 프로그램을 사용하여 웹 콘텐츠를 열려고 합니다., 누르다 허용하다. 그런 다음 클릭 닫다대화 상자에서 정보창을 보셨나요?가 나타나면 다운로드가 완료됩니다.
폐쇄 인터넷 익스플로러.

이제 VPN 클라이언트 시스템의 신뢰할 수 있는 루트 인증 기관 인증서 저장소에 CA 인증서를 설치해야 합니다. 이렇게 하려면 다음을 수행해야 합니다.

딸깍 하는 소리 시작을 입력한 다음 입력하세요. mmc검색창에서 Enter 키를 누릅니다.
딸깍 하는 소리 계속하다 UAC 대화 상자에서.
창문에서 콘솔1메뉴 클릭 파일을 클릭한 다음 스냅인 추가/제거.
대화 상자에서 스냅인 추가 또는 제거선택하다 인증서목록에 사용 가능한 액세서리을 누른 다음 추가하다.
페이지에서 인증서 스냅인옵션을 선택하세요 컴퓨터 계정그리고 클릭 마치다.
페이지에서 컴퓨터 선택옵션을 선택하세요 로컬 컴퓨터 그리고 클릭 마치다.
딸깍 하는 소리 좋아요대화 상자에서 스냅인 추가 또는 제거.
콘솔의 왼쪽 패널에서 탭을 확장합니다. 인증서(로컬 컴퓨터)그런 다음 탭을 확장합니다. 마치다페이지에서 인증서 가져오기 완료.
딸깍 하는 소리 좋아요가져오기가 성공했음을 알리는 대화 상자에서
이제 아래 이미지와 같이 인증서가 콘솔에 표시됩니다.

그림 24

MMC 콘솔을 닫습니다.

SSTP를 사용하도록 클라이언트 구성 및 SSTP를 통해 VPN 서버에 연결

이제 모든 것이 거의 준비되었습니다! 이제 VPN 연결을 끊고 VPN 프로토콜에 SSTP를 사용하도록 VPN 클라이언트를 구성해야 합니다. 프로덕션 환경에서는 연결 관리자 관리 키트를 사용하여 SSTP를 사용하는 클라이언트를 포함할 사용자를 위한 VPN 연결 개체를 만들거나 SSTP 포트만 구성하므로 사용자에 대해 이 단계를 사용할 필요가 없습니다. VPN 서버에서.

인증서를 설치하는 동안 사용자가 PPTP를 사용할 수 있도록 시간을 예약해야 하므로 이는 모두 환경 구성에 따라 다릅니다. 물론 CA 인증서를 오프라인으로 설치할 수도 있습니다. 즉, 웹사이트에서 다운로드하거나 이메일, 이 경우 PPTP 사용자를 허용할 필요가 없습니다. 그러나 일부 클라이언트가 SSTP를 지원하지 않는 경우 PPTP 또는 L2TP/IPSec를 활성화해야 하며 SSTP가 아닌 모든 포트를 비활성화할 수는 없습니다. 그런 경우에는 의존해야 할 것입니다. 수동 설정또는 업데이트된 CMAK 패키지.

여기서 또 다른 옵션은 SSTP 클라이언트를 RRAS 서버의 특정 IP 주소에 바인딩하는 것입니다. 이 경우 들어오는 SSTP 연결에 대해 네트워크를 수신하는 SSL VPN 서버의 IP 주소만 참조하는 사용자 지정 CMAK 패킷을 만들 수 있습니다. SSTP VPN 서버의 다른 주소는 네트워크에서 PPTP 및/또는 L2TP/IPSec 연결을 수신합니다.

PPTP 세션을 비활성화하고 SSTP를 사용하도록 VPN 클라이언트 연결 개체를 구성하려면 다음 단계를 따르십시오.

VPN 클라이언트 컴퓨터에서 창을 엽니다. 네트워크 및 스위칭 센터, 이전에 그랬던 것처럼.
창문에서 네트워크 및 스위칭 센터링크를 클릭하세요 연결 끊기, 링크 바로 아래에 위치 상태 표시. 장 SSL VPN창문에서 사라질거야 네트워크 및 스위칭 센터.
창문에서 네트워크 및 스위칭 센터링크를 클릭하세요 네트워크 연결 관리.
링크를 마우스 오른쪽 버튼으로 클릭하세요. SSL VPN그리고 탭을 선택하세요 속성.

그림 25

대화 상자에서 SSL VPN 속성탭으로 이동 그물. 창문에서 VPN 유형아래쪽 화살표를 클릭하고 옵션을 선택하세요. 보안 소켓 터널링 프로토콜(SSTP)을 클릭한 다음

그림 29

토마스 신더

이 기사 시리즈의 첫 번째 부분에서는 윈도우 설정 SSL VPN 서버로서의 Server 2008, 몇 가지 역사적 사실에 대해 이야기했습니다. 마이크로소프트 서버 VPN 및 VPN 프로토콜. 우리는 이번 시리즈와 후속 시리즈에서 사용할 예제 네트워크를 설명하면서 이전 기사를 마무리했습니다. VPN 설정 Vista SP1 클라이언트와의 SSTP 연결을 지원하는 게이트웨이.

시작하기 전에 나는 존재를 알고 있음을 고백해야 합니다. 단계별 가이드 www.microsoft.com 웹사이트에 있는 Windows Server 2008용 SSTP 연결 생성에 대해 알아보세요. 제가 보기에는 이 기사가 조직에서 인증서를 할당하는 데 사용하는 실제 환경을 반영하지 않는 것 같습니다. 이것이 바로 제가 Microsoft 매뉴얼에서 다루지 않은 몇 가지 문제적인 문제 때문에 이 글을 쓰기로 결정한 이유입니다. 이 기사를 통해 나를 따라간다면 조금 새로운 것을 배우게 될 것이라고 믿습니다.

솔루션이 작동하려면 다음 절차를 따라야 합니다.

VPN 서버에 IIS 설치
IIS 인증서 요청 마법사를 사용하여 VPN 서버에 대한 시스템 인증서를 요청합니다.
VPN 서버에 RRAS 역할 설치
RRAS 서버를 활성화하고 VPN 및 NAT 서버로 작동하도록 구성합니다.
CRL을 게시하도록 NAT 서버 구성
전화 접속 연결을 사용하려면 사용자 계정을 설정하세요.
CRL 디렉터리에 대한 HTTP 연결을 허용하도록 인증서 서버에서 IIS를 구성합니다.
VPN 클라이언트용 HOSTS 파일 구성
PPTP를 사용하여 VPN 서버와 통신
Enterprise CA에서 CA 인증서 받기
SSTP를 사용하도록 클라이언트를 구성하고 SSTP를 사용하여 VPN 서버에 연결합니다.

VPN 서버에 IIS 설치

네트워크 보안 어플라이언스에 웹 서버를 설치하지 말 것을 권장하므로 이 절차부터 시작하는 것이 이상하다고 생각할 수도 있습니다. 좋은 소식은 VPN 서버에 웹 서버를 저장할 필요가 없으며 잠시 동안만 필요하다는 것입니다. 그 이유는 Windows Server 2008 인증서 서버에 포함된 등록 사이트가 더 이상 컴퓨터 인증서를 요청하는 데 유용하지 않기 때문입니다. 사실, 그것은 전혀 쓸모가 없습니다. 흥미로운 점은 컴퓨터 인증서를 얻기 위해 등록 사이트를 사용하기로 결정한 경우 인증서가 수신되어 설치된 것처럼 보이지만 실제로는 그렇지 않고 인증서가 설치되지 않았다는 것입니다.

이 문제를 해결하기 위해 우리는 엔터프라이즈 CA를 사용하고 있다는 점을 활용하겠습니다. Enterprise CA를 사용하면 온라인 인증서 서버에 요청을 보낼 수 있습니다. IIS 인증서 요청 마법사를 사용하여 현재 '도메인 인증서'라고 불리는 인증서를 요청하면 컴퓨터 인증서에 대한 대화형 요청이 가능합니다. 이는 요청 시스템이 Enterprise CA와 동일한 도메인에 속하는 경우에만 가능합니다.
VPN 서버에 IIS 웹 서버 역할을 설치하려면 다음 단계를 따르세요.

윈도우 2008을 엽니다 서버 매니저.
콘솔의 왼쪽 패널에서 탭을 클릭합니다. 역할.

메뉴를 클릭하세요 역할 추가오른쪽 패널의 오른쪽에 있습니다.
딸깍 하는 소리 더 나아가페이지에서 시작하기 전에.
해당 라인 옆에 체크 표시를 하세요. 웹 서버(IIS)페이지에서 서버 역할 선택. 딸깍 하는 소리 더 나아가.

페이지에서 정보를 읽을 수 있습니다. 웹 서버(IIS), 당신이 원하는 경우. 이것은 IIS 7을 웹 서버로 사용하는 것에 대한 매우 유용한 일반 정보이지만 VPN 서버에서 IIS 웹 서버를 사용하지 않을 것이므로 이 정보가 우리 상황에 완전히 적용되지는 않습니다. 딸깍 하는 소리 더 나아가.
페이지에서 역할 서비스 선택여러 옵션이 이미 선택되어 있습니다. 그러나 기본 옵션을 사용하면 인증서 요청 마법사를 사용할 수 없습니다. 적어도 제가 시스템을 테스트할 때는 그랬습니다. 인증서 요청 마법사에 대한 역할 서비스가 없으므로 각 옵션 옆의 확인란을 선택해 보았습니다. 안전, 효과가 있었던 것 같습니다. 여러분도 똑같이 해보고 클릭하세요 더 나아가.

페이지의 정보를 검토하세요. 설정 선택 확인그리고 누르세요 설치하다.
딸깍 하는 소리 닫다페이지에서 설치 결과.

IIS 인증서 요청 마법사를 사용하여 VPN 서버에 대한 시스템 인증서 요청

SSL VPN 서버에 대한 시스템 인증서를 요청하려면 다음 단계를 따르세요.

안에 서버 매니저, 탭을 확장하세요 역할왼쪽 창에서 탭을 확장합니다. 웹 서버(IIS). 누르다 .

콘솔에서 인터넷 정보 서비스(IIS) 관리자왼쪽 패널 오른쪽에 나타나는 서버 이름을 클릭합니다. 이 예에서 서버 이름은 다음과 같습니다. W2008RC0-VPNGW. 아이콘을 클릭하세요 서버 인증서 IIS 콘솔의 오른쪽 창에 있습니다.

콘솔의 오른쪽 패널에서 링크를 클릭하십시오. 도메인 인증서 만들기.

페이지에 정보를 입력하세요 정의된 이름 속성. 여기서 가장 중요한 개체는 다음과 같습니다. 일반 이름. VPN 클라이언트가 VPN 서버에 연결하는 데 사용할 이름입니다. VPN 서버의 외부 인터페이스 또는 VPN 서버 앞에 있는 장치의 공용 NAT 주소를 인식하려면 이 이름에 대한 공용 DNS 레코드도 필요합니다. 이 예에서는 일반 이름을 사용합니다. sstp.msfirewall.org. 나중에 VPN 클라이언트 컴퓨터에서 이 이름을 인식할 수 있도록 HOSTS 파일 항목을 생성하겠습니다. 딸깍 하는 소리 더 나아가.

페이지의 버튼을 클릭하세요. 선택하다. 대화 상자에서 인증서 소스 선택에서 Enterprise CA 이름을 클릭하고 좋아요. 해당 줄에 친숙한 이름을 입력하세요. 친근감있는 이름. 이 예에서는 이름을 사용했습니다. SSTP 인증서 SSTP VPN 게이트웨이에 사용된다는 것을 알고 있습니다.

딸깍 하는 소리 마치다페이지에서 온라인 인증서 소스.

마법사가 시작된 다음 사라집니다. 그러면 IIS 콘솔에 인증서가 나타나는 것을 볼 수 있습니다. 인증서를 두 번 클릭하고 섹션에서 일반 이름을 확인하세요. 임명, 이제 인증서에 해당하는 개인 키가 있습니다. 딸깍 하는 소리 좋아요대화 상자를 닫으려면 자격증.

이제 인증서가 있으므로 RRAS 서버 역할을 설치할 수 있습니다. 매우 중요한 점 참고해주세요 인증서 설치 RRAS 서버 역할을 설치하기 전에. 이렇게 하지 않으면 인증서를 SSL VPN 클라이언트와 연결하기 위해 상당히 복잡한 명령줄 루틴을 사용해야 하므로 큰 골칫거리가 될 것입니다.

VPN 서버에 RRAS 서버 역할 설치

RRAS 서버 역할을 설치하려면 다음 단계를 완료해야 합니다.

안에 서버 매니저, 탭을 클릭하세요 역할콘솔의 왼쪽 패널에 있습니다.
섹션에서 역할 개요링크를 클릭하세요 역할 추가.
딸깍 하는 소리 더 나아가페이지에서 시작하기 전에.
페이지에서 서버 역할 선택해당 줄 옆의 확인란을 선택하세요. 딸깍 하는 소리 더 나아가.

페이지의 정보를 읽어보세요. 네트워크 정책 및 액세스 서비스. 대부분은 네트워크 정책 서버(이전에는 인터넷 인증 서버라고 불렸으며 본질적으로 RADIUS 서버였습니다) 및 NAP와 관련되어 있으며 우리의 경우에는 어떤 요소도 적용할 수 없습니다. 딸깍 하는 소리 더 나아가.
페이지에서 역할 서비스 선택해당 줄 옆에 체크 표시를 하세요. 라우팅 및 원격 액세스 서비스. 결과적으로 항목이 선택됩니다. 원격 액세스 서비스그리고 라우팅. 딸깍 하는 소리 더 나아가.

딸깍 하는 소리 설치하다창문에서 선택한 설정 확인.
딸깍 하는 소리 닫다페이지에서 설치 결과.

RRAS 서버를 활성화하고 VPN 및 NAT 서버로 구성

이제 RRAS 역할이 설치되었으므로 이전 버전의 Windows에서 했던 것처럼 RRAS 서비스를 활성화해야 합니다. VPN 서버 기능과 NAT 서비스를 활성화해야 합니다. VPN 서버 구성 요소를 활성화하는 것은 모두 명확하지만 NAT 서버를 활성화해야 하는 이유가 궁금할 수 있습니다. NAT 서버를 활성화하는 이유는 외부 클라이언트가 인증서 서버에 접근하여 CRL에 연결할 수 있도록 하기 위함입니다. SSTP VPN 클라이언트가 CRL을 다운로드하지 못하면 SSTP VPN 연결이 작동하지 않습니다.

CRL에 대한 액세스를 열기 위해 VPN 서버를 NAT 서버로 구성하고 가역 NAT를 사용하여 CRL을 게시합니다. 기업 네트워크 환경에서는 인증서 서버 앞에 ISA 방화벽과 같은 방화벽이 있을 가능성이 높으므로 방화벽을 사용하여 CRL을 게시할 수 있습니다. 그러나 이 예에서 우리가 사용할 유일한 방화벽은 VPN 서버의 Windows 방화벽이므로 이 예에서는 VPN 서버를 NAT 서버로 구성해야 합니다.

RRAS 서비스를 활성화하려면 다음 단계를 따르세요.

안에 서버 매니저탭을 확장하세요 역할콘솔의 왼쪽 패널에 있습니다. 탭 확장 네트워크 정책 및 액세스 서비스탭을 클릭하세요. 탭을 마우스 오른쪽 버튼으로 클릭하고 라우팅 및 원격 액세스 구성 및 활성화.

딸깍 하는 소리 더 나아가창문에서 라우팅 및 원격 액세스 서버 설정 마법사에 오신 것을 환영합니다..
페이지에서 구성옵션을 선택하세요 가상 사설망 및 NAT에 대한 액세스그리고 누르세요 더 나아가.

페이지에서 VPN 연결섹션에서 NIC를 선택하세요 네트워크 인터페이스, VPN 서버의 외부 인터페이스를 나타냅니다. 그런 다음 클릭 더 나아가.

페이지에서 IP 주소 할당옵션을 선택하세요 자동으로. VPN 서버 뒤의 도메인 컨트롤러에 DHCP 서버가 설치되어 있기 때문에 이 옵션을 선택할 수 있습니다. DHCP 서버가 없으면 옵션을 선택해야 합니다. 특정 주소 목록에서을 클릭한 다음 VPN 클라이언트가 VPN 게이트웨이를 통해 네트워크에 연결할 때 사용할 수 있는 주소 목록을 입력합니다. 딸깍 하는 소리 더 나아가.

페이지에서 여러 서버의 원격 액세스 관리선택하다 아니요, 라우팅 및 원격 액세스를 사용하여 연결 요청을 인증합니다.. NPS 또는 RADIUS 서버를 사용할 수 없을 때 이 옵션을 사용합니다. VPN 서버는 도메인의 구성원이므로 도메인 계정을 사용하여 사용자를 인증할 수 있습니다. VPN 서버가 도메인의 일부가 아닌 경우 NPS 서버를 사용하도록 선택하지 않는 한 로컬 VPN 서버 계정만 사용할 수 있습니다. 앞으로는 NPS 서버 활용에 대한 글을 쓰겠습니다. 딸깍 하는 소리 더 나아가.

페이지의 일반 정보를 읽어보세요. 라우팅 및 원격 액세스 구성 마법사 완료그리고 누르세요 마치다.
딸깍 하는 소리 좋아요대화 상자에서 라우팅 및 원격 액세스이는 DHCP 메시지 배포에는 DHCP 배포 에이전트가 필요함을 알려줍니다.
콘솔의 왼쪽 창에서 탭을 확장합니다. 라우팅 및 원격 액세스그리고 탭을 클릭하세요 포트. 가운데 창에는 이제 SSTP용 WAN 미니포트 연결을 사용할 수 있음이 표시됩니다.

CRL 게시를 위한 NAT 서버 구성

앞서 말했듯이 SSL VPN 클라이언트는 CRL을 다운로드하여 VPN 서버의 서버 인증서가 손상되거나 취소되지 않았는지 확인할 수 있어야 합니다. 이렇게 하려면 CRL 위치에 대한 HTTP 요청을 인증서 서버로 보내도록 인증 서버 앞의 장치를 구성해야 합니다.

http://win2008rc0-dc.msfirewall.org/CertEnroll/WIN2008RC0-DC.msfirewall.org.crl

기본 사이트 CRL 이름을 사용하면 컴퓨터의 개인 이름이 인터넷에 노출되므로 보안 수준이 낮을 수 있습니다. 공용 DNS 레코드에 CA의 개인 이름을 공개하면 보안 위험이 발생할 수 있다고 생각되는 경우 사용자 지정 CDP(CRL 배포 지점)를 생성하여 이를 방지할 수 있습니다.

HTTP 요청을 인증서 서버로 라우팅하도록 RRAS NAT를 구성하려면 다음 단계를 따르세요.

왼쪽 패널에서 서버 매니저탭을 확장하세요 라우팅 및 원격 액세스을 클릭한 다음 탭을 확장합니다. IPv4. 탭을 클릭하세요 NAT.
탭에서 NAT콘솔 중앙 패널의 외부 인터페이스를 마우스 오른쪽 버튼으로 클릭합니다. 이 예에서 외부 인터페이스의 이름은 다음과 같습니다. 로컬 영역 연결. 누르다 속성.

대화 상자에서 옆의 확인란을 선택하십시오. 웹 서버(HTTP). 그러면 대화 상자가 나타납니다. 편집 서비스. 텍스트 줄에서 개인 주소내부 네트워크에 있는 인증서버의 IP 주소를 입력하세요. 딸깍 하는 소리 좋아요.

딸깍 하는 소리 좋아요대화 상자에서 로컬 영역 연결 속성.

이제 NAT 서버가 설치 및 구성되었으므로 CA 서버 및 SSTP VPN 클라이언트 구성에 집중할 수 있습니다.

결론

이 기사에서는 Windows Server 2008을 사용하여 SSL VPN 서버를 설정하는 방법에 대한 대화를 계속했습니다. VPN 서버에 IIS를 설치하고, 서버 인증서를 요청 및 설치하고, VPN 서버에 RRAS 및 NAT 서비스를 설치 및 구성하는 방법을 살펴보았습니다. 다음 기사에서는 CA 서버 및 SSTP VPN 클라이언트 설정에 대해 살펴보겠습니다. 또 봐요! 용량.

게시자: 2009년 2월 3일 · 댓글 없음

이 기사 시리즈의 이전 부분을 놓친 경우 다음을 읽어 보십시오.

Windows Server 2008에서 SSL VPN 서버를 구축하는 방법에 대한 이 시리즈의 처음 두 부분에서는 VPN 네트워크 구축의 기본 사항 중 일부를 다룬 다음 서버 설정에 대해 논의했습니다. 이제 Active Directory 구성 및 CA 웹 사이트에 대한 몇 가지 사소한 변경을 완료할 준비가 되었습니다. 이러한 변경을 수행한 후에는 VPN 클라이언트 구성에 중점을 두고 마지막으로 SSL VPN 연결을 생성하겠습니다.

전화 접속 연결을 사용하도록 사용자 계정 구성

사용자 계정이 Active Directory 도메인의 일부인 Windows VPN 서버에 연결하려면 전화 접속 액세스 권한이 필요합니다. 이를 수행하는 가장 좋은 방법은 NPS(네트워크 정책 서버)와 NPS 정책을 기반으로 원격 액세스를 허용하는 기본 사용자 계정 권한을 사용하는 것입니다. 하지만 우리의 경우에는 NPS 서버를 설치하지 않았으므로 사용자의 전화 접속 액세스 권한을 수동으로 구성해야 합니다.

다음 기사에서는 NPS 서버 및 EAP 사용자 인증서 인증을 사용하여 SSL VPN 서버와의 연결을 만드는 방법에 중점을 둘 것입니다.

CRL 디렉터리에 대한 HTTP 연결을 허용하도록 인증서 서버에서 IIS 구성

CRL 디렉터리에 대한 SSL 요구 사항을 비활성화하려면 다음 단계를 수행하십시오.

VPN 클라이언트용 HOSTS 파일 설정

이제 VPN 클라이언트에 전적으로 집중할 수 있습니다. 클라이언트와 관련하여 가장 먼저 해야 할 일은 공용 DNS 인프라를 시뮬레이션할 수 있도록 HOSTS 파일을 설정하는 것입니다. HOSTS 파일에 입력해야 하는 이름은 두 가지입니다(프로덕션 네트워크에서 사용할 공용 DNS 서버에도 동일한 작업을 수행해야 함). 첫 번째 이름은 SSL VPN 서버와 연결한 인증서의 일반/주체 이름에 따라 결정되는 VPN 서버의 이름입니다. HOSTS 파일(및 공용 DNS 서버)에 입력해야 하는 두 번째 이름은 인증서에 있는 CDP URL 이름입니다. 이번 시리즈 Part 2에서 CDP 정보의 위치를 살펴보았습니다.

이 예에서 HOSTS 파일에 입력해야 하는 두 개의 이름은 다음과 같습니다.

192.168.1.73 sstp.msfirewall.org

192.168.1.73 win2008rc0-dc.msfirewall.org

Vista SP1 VPN 클라이언트용 HOSTS 파일을 구성하려면 다음 절차를 따르십시오.

파일을 닫고 옵션을 선택하세요 변경 사항을 저장하다.

PPTP를 사용하여 VPN 서버에 연결

VPN 클라이언트에서 커넥터를 만들려면 다음 단계를 따르세요.

엔터프라이즈 CA에서 CA 인증서 받기

등록 사이트에서 인증서를 얻으려면 다음 단계를 따르십시오.

딸깍 하는 소리 닫다대화 상자에서.
폐쇄 인터넷 익스플로러.

이제 VPN 클라이언트 시스템의 신뢰할 수 있는 루트 인증 기관 인증서 저장소에 CA 인증서를 설치해야 합니다. 이렇게 하려면 다음을 수행해야 합니다.

MMC 콘솔을 닫습니다.

SSTP를 사용하도록 클라이언트 구성 및 SSTP를 통해 VPN 서버에 연결

인증서를 설치하는 동안 사용자가 PPTP를 사용할 수 있도록 시간을 예약해야 하므로 이는 모두 환경 구성에 따라 다릅니다. 물론 CA 인증서를 오프라인으로 설치할 수 있습니다. 즉, 웹사이트나 이메일을 통해 다운로드하면 PPTP 사용자를 허용할 필요가 없습니다. 그러나 일부 클라이언트가 SSTP를 지원하지 않는 경우 PPTP 또는 L2TP/IPSec를 활성화해야 하며 SSTP가 아닌 모든 포트를 비활성화할 수는 없습니다. 이 경우 수동 구성이나 업데이트된 CMAK 패키지를 사용해야 합니다.

PPTP 세션을 비활성화하고 SSTP를 사용하도록 VPN 클라이언트 연결 개체를 구성하려면 다음 단계를 따르십시오.

그림 29

결론

Windows Server 2008을 사용하여 SSL VPN 서버를 구성하는 방법에 대한 시리즈의 마지막 부분에서는 사용자 계정, 웹 사이트 CRL 및 SSL VPN 클라이언트 설정을 완료했습니다. 또한 SSTP 연결 생성을 완료하고 성공했음을 확인했습니다. 감사합니다

출처 www.windowsecurity.com

또한보십시오:

독자 코멘트 (코멘트 없음)

교환 2007

이 기사 시리즈의 이전 부분을 읽으려면 다음 링크를 따르십시오. System Manager를 사용하여 Exchange 2007 모니터링...

소개 여러 부분으로 구성된 이 기사에서는 최근에 기존 Exchange 2003 환경에서 마이그레이션하는 데 사용한 프로세스를 보여 드리고자 합니다.

이 시리즈의 첫 번째 부분을 놓치셨다면 도구 사용하기에서 읽어보세요. Exchange 서버원격 연결 분석 도구(부품...

| 출판물 목록으로

SSL VPN을 통한 안전한 원격 액세스

보리스 보리센코, 전문가

기술 VPN은 직원이 물리적으로 멀리 떨어진 지점에서 기업의 로컬 네트워크에 안전하게 액세스할 수 있도록 하는 수단으로 널리 보급되었습니다. SSL 기반 VPN은 IPsec VPN을 통한 원격 액세스를 위한 보완 및 대체 기술로 개발되었습니다. 그러나 보안 통신 채널을 구성하는 데 드는 비용과 안정성으로 인해 SSL VPN은 매우 매력적인 기술이 되었습니다. SSL VPN 집중 장치에는 기존 VPN 장치와 비교하여 추가 기능이 있습니다. 대부분의 방화벽은 포트, 브로드캐스트를 통해 인터넷에 웹 애플리케이션 게시를 제공합니다. 네트워크 주소(NAT) 및 네트워크 라우팅, 그러나 애플리케이션에서 제공하는 수준 이상의 암호화 데이터 보호를 제공하지 마십시오. IPsec VPN 사용자는 로컬 네트워크에 직접 연결하는 것과 유사하게 회사 네트워크에 대한 연결을 설정할 수 있습니다. 이는 VPN 서버와 클라이언트 간에 전송되는 모든 데이터를 암호화합니다. 그러나 대부분의 VPN 장치에는 특별한 클라이언트 프로그램이 필요합니다. SSL VPN 집중 장치는 브라우저를 사용하여 원격 작업자가 내부 웹 사이트뿐만 아니라 응용 프로그램 및 파일 서버에도 액세스할 수 있도록 합니다. SSL VPN을 사용하여 원격 액세스를 구성하는 가장 흥미로운 솔루션 중 일부를 살펴보겠습니다.

ZyWALL SSL 10

이는 SSL 암호화를 지원하는 가상 사설망 게이트웨이로, 클라이언트 부분을 먼저 설치하지 않고도 VPN 연결을 통해 네트워크 및 애플리케이션에 대한 보안 원격 액세스를 구성할 수 있습니다. 이 장치는 중소기업 네트워크용으로 제공됩니다.

인터넷이나 DMZ에 연결하기 위해 WAN 인터페이스, 4개의 LAN 포트가 있는 스위치, 콘솔을 통한 제어를 위한 RS 232 DB9 포트가 있습니다(이 장치는 동일한 ZyWALL 1050보다 적은 기능을 제공합니다). ZyWALL SSL 10은 다음을 지원할 뿐만 아니라 직접 항소인트라넷 사용자 데이터베이스뿐만 아니라 Microsoft Active Directory, LDAP 및 RADIUS에서도 작동합니다. 또한, 이중 인증(ZyWALL OTP 전자열쇠 사용)

회사 네트워크 리소스에 대한 직접 액세스는 원격 사용자의 컴퓨터에 다운로드되는 SecuExtender 클라이언트를 통해 제공됩니다. 그런 다음 관리자의 허가를 받아 특정 범주의 사용자가 IPsec을 사용하여 네트워크 터널을 쉽게 구성할 수 있습니다. 관리자는 사용자 그룹, 네트워크 주소 범위 또는 다양한 애플리케이션에 대한 보안 정책을 구성할 수도 있습니다.

ZyWALL SSL 10은 10개의 동시 보안 세션을 지원하며 25개의 SSL 세션으로 확장 가능합니다. 네트워크에서 장치는 기존 게이트웨이 뒤에서(그림 2) 또는 새 게이트웨이(그림 3)로 사용될 수 있습니다. 첫 번째 경우에는 ZyWALL SSL 10을 DMZ 포트에 연결하여 보안을 강화할 수 있습니다. 두 번째 - 모뎀 및 웹 서버 - ZyWALL. 웹 서버에서 원격 사용자로의 트래픽은 VPN 터널을 통과합니다.

지원되는 옵션에는 TLS 프로토콜, 암호화, 인증서(256비트 AES, IDEA, RSA), 해싱(MD5, SHA-1)이 포함됩니다. 흥미로운 기능전원 플러그(모든 소켓 및 네트워크용)용 부착 장치는 상당히 다양합니다.

Netgear ProSafe SSL VPN 집중 장치 SSL312

이 장치를 사용하면 최대 25명의 원격 클라이언트로 구성된 기업 네트워크에서 동시에 작업할 수 있습니다. 연결은 장치에서 직접 다운로드하여 설치할 수 있는 ActiveX 구성 요소를 사용하여 이루어집니다.

그러나 적절한 ActiveX 구성 요소를 설치하려면 클라이언트에 시스템에 대한 관리 액세스 권한이 있어야 합니다. 또한 ActiveX 구성 요소를 사용할 수 있도록 브라우저를 구성해야 합니다. 설치해야 할 수도 있습니다. 윈도우 업데이트. 하드웨어 LAN 포트 2개와 직렬 포트 1개가 포함되어 있습니다. 로그인 시 인증 옵션이 선택됩니다: 사용자 데이터베이스, Windows 도메인 NT, LDAP, Microsoft Active Directory, RADIUS(PAP, CHAP, MSCHAP, MSCHAPv2). 다음을 통해 액세스할 때 원격 서버후자는 액세스 가능해야 하며 트래픽 라우팅이 이에 구성되어야 합니다.

Netgear SSL312와 ZyWALL SSL 10의 DRAM 메모리 양이 동일하다면 Netgear 플래시 메모리는 분명히 열등합니다(16MB 대 128MB). Net-gear SSL312 프로세서도 ZyWALL에 패합니다(암호화 가속기 사용 시 200 대 266). Netgear SSL312와 달리 ZyWALL은 SSL 프로토콜 버전 2.0을 지원합니다.

장치 사용에는 두 가지 옵션이 있습니다. 첫 번째 경우에는 두 개의 Netgear SSL312 이더넷 포트 중 하나만 사용됩니다. 게이트웨이는 HTTPS를 통해 Netgear SSL312에 액세스해야 합니다. 또 다른 사용 사례에서는 SSL 트래픽이 방화벽을 통과하지 않고 Netgear SSL312 이더넷 포트를 모두 사용합니다. 장치의 이더넷 포트 중 하나에는 공용 IP 주소가 할당되고 두 번째 이더넷 포트에는 내부 네트워크의 개인 IP 주소가 할당됩니다. Netgear SSL312는 수행하지 않습니다. NAT 기능및 ITU는 이를 대체하지 않습니다.

원격 로컬 네트워크에서 네트워크 서비스를 사용하려면 사용자와 장치 사이에 설정되는 VPN 터널 또는 포트 전달이라는 두 가지 옵션이 있습니다. 두 방법 모두 장점과 단점이 있습니다. VPN 터널을 사용하면 원격지와의 완전한 통신을 구성할 수 있습니다. 지역 네트워크, 단, 서비스별로 별도의 설정을 할 수는 없습니다. 포트 전달을 사용하면 TCP 연결로만 작업할 수 있으며(UDP 및 기타 IP 프로토콜은 지원되지 않음) 각 응용 프로그램에 대한 규칙은 별도로 설정됩니다.
Netgear SSL312에서는 동적 DNS가 지원되지 않는 것도 단점입니다.

SSL VPN 주니퍼 네트웍스 Secure Access 700

SSL VPN을 사용하는 원격 액세스 솔루션은 중소기업을 위해 설계되었습니다. 사용자와 관리자 모두를 위한 인터페이스가 웹 브라우저 형태로 구성되어 있습니다. 원격 컴퓨터에 VPN 클라이언트를 설치할 필요가 없습니다. RJ-45 이더넷 포트 2개와 직렬 포트 1개가 있습니다. Juniper SA 700은 원격 컴퓨터를 자동으로 확인하고, 설치된 결과에 따라 소프트웨어, 다양한 접근 권한을 할당합니다.

최대 25명의 동시 사용자를 지원할 수 있습니다. 인증 및 권한 부여 중에서 Microsoft Active Directory/Windows NT, LDAP, NIS, RADIUS, RSA, SAML, 인증서 서버 옵션이 가능합니다. 이 장치는 Windows/SMB, Unix/NFS, JavaScript, XML, Flash를 사용하는 웹 애플리케이션을 포함한 파일 리소스에 대한 액세스를 제공합니다. Telnet 및 SSH 프로토콜이 지원됩니다. 회사 이메일에 대한 액세스는 정기적인 액세스를 기반으로 구성됩니다. 메일 클라이언트, 이는 SSL을 통해 Juniper SA 700에 안전하게 연결하도록 구성됩니다. 그러나 이를 위해서는 "핵심 클라이언트리스 웹 액세스" 라이센스가 필요합니다.

주니퍼 SA 700은 다음을 제공합니다. 자동 확인 원격 컴퓨터, 바이러스 백신 소프트웨어, 개인 방화벽, 기타 보안 프로그램이 설치되어 있는 경우. 세션 중에 필요한 모든 프록시 다운로드 및 임시 파일은 세션 종료 후 삭제됩니다.

작업을 시작한 지 1년이 넘었습니다. . 설명된 구성을 사용하면서 어느 정도 경험이 축적되었고, 그 장단점이 확인되었으며, 특정 결론이 도출되었습니다. 이러한 결론을 바탕으로 이 노트에서는 보안 VPN 연결 설정 주제를 계속 개발하고 프로토콜을 사용하여 작업할 수 있는 기능을 구성하는 데 필요한 단계를 고려할 것입니다. SSTP (보안 소켓 터널링 프로토콜).

사용 경험 L2TP/IPsec VPN은 연결에 대한 명확한 단계별 지침이 있는 경우 대부분의 사용자가 문제 없이 스스로 VPN 연결을 설정할 수 있음을 보여주었습니다. 그러나 여전히 그러한 상황에서도 실수를 저지르는 개인이 항상 있으므로 VPN 연결 생성 프로세스를 단순화해야한다는 아이디어가 항상 어딘가에서 번쩍였습니다. 배경. 또한, 인터넷 제공업체 수준에서 감지된 L2TP/IPsec VPN에 필요한 일부 포트를 차단하는 문제가 여러 상황에서 발생했습니다. 더욱이, 동일한 인터넷 제공업체가 도시 한쪽 끝에서는 L2TP/IPsec 트래픽을 아무런 방해 없이 전송했지만, 도시 반대쪽 끝에서는 이를 차단하는 황당한 상황이 발생하기도 했습니다. 우리는 서로 다른 인터넷 공급자의 영역을 L2TP/IPsec VPN이 완벽하게 작동하는 세그먼트와 확실히 문제가 있는 영역으로 정신적으로 나누어 로컬 회사 네트워크의 리소스에 액세스하기 위한 대체 옵션을 생각해야 합니다. . 또한 출장객이나 휴가객이 '호텔 인터넷'을 통해 원격으로 연결을 시도하는 경우에도 필요한 포트를 차단하는 것과 동일한 문제로 인해 문제가 발생한 경우가 있었습니다. 물론 L2TP/IPsec VPN을 도입하기 전에 우리는 이러한 모든 위험을 이해했으며 대부분의 문제 상황에는 일종의 해결 방법이 있었지만 그러한 각 상황의 "뒷맛"은 여전히 불쾌했습니다.

나는 왜 이전에 L2TP/IPsec을 선택했는지 기억하기 시작했습니다. 허용 가능한 수준의 보안과 광범위한 클라이언트 운영 체제에 대한 지원이라는 두 가지 결정 요소가 있습니다. 당시 프로토콜에 관심이 많았던 기억이 나네요 SSTP, 하지만 제가 이 기술과 거리를 두게 만드는 몇 가지 요인이 있었습니다. 첫째, 당시 우리는 여전히 충분한 수의 고객을 보유하고 있었습니다. 마이크로소프트 윈도우 XP 및 이 OS에서는 아시다시피 SSTP 프로토콜이 지원되지 않습니다. 둘째, 공인인증서를 기업에서 사용할 수 없었습니다. 도메인 이름 SSTP 연결을 보호하기 위해 내부 전용 CA의 인증서로 교체하고 싶지 않았습니다. 루트 인증서를 인터넷 클라이언트에 배포하고 인증서 해지 목록을 게시하는 것과 관련된 문제가 발생했기 때문입니다( 인증서 해지 목록 – CRL) 인터넷에서.

그러나 시간이 흐르면서 Windows XP를 사용하는 클라이언트 수가 훨씬 줄어들었고(기업 정보 보안 정책 강화 및 OS 업데이트에 대한 공격적인 Microsoft 광고 캠페인이 제 역할을 했습니다), 저는 공인 인증서를 사용하여 작업할 기회를 얻었습니다. 또한 Linux 및 Apple Mac OS X와 같은 운영 체제에서는 한때 이 프로토콜이 "Win-isolation"으로 예측되었음에도 불구하고 SSTP 연결을 지원하는 클라이언트 소프트웨어가 오랫동안 꽤 성공적으로 사용되었다는 정보를 접했습니다. "라는 고유한 성격을 갖고 있기 때문입니다.

따라서 SSTP의 모든 장점, 특히 HTTPS 프로토콜(TCP 443)을 통해 표준 인터넷 연결을 사용할 수 있는 거의 모든 환경에서 작업할 수 있는 능력을 실제로 경험해야 할 때입니다. 즉, SSTP를 사용할 때 이론적으로 집이 아닌 어디에서나 VPN 연결에 문제가 없어야합니다 (모든 종류의 NAT 및 모든 종류의 비뚤어진 로컬 설정을 사용하더라도) 네트워크 장비인터넷 제공업체), 호텔(프록시를 사용하는 경우에도) 또는 다른 곳이 아닌 곳에서. 또한 클라이언트 시스템에서 SSTP를 사용하여 VPN 연결을 설정하는 절차는 매우 간단하며 디지털 인증서 조작이 포함되지 않습니다(공용 인증서가 서버 측에서 사용되는 경우).

기본 요구사항 클라이언트 및 해당 설정에

OS 기반 클라이언트 시스템에 대해 이야기하는 경우 마이크로소프트 윈도우, 그런 다음 SSTP가 다음에서 시작하는 시스템에서 작동한다는 점을 고려해야 합니다. 윈도우 비스타 SP1그리고 나중에. Windows Vista SP1 이하 클라이언트 시스템의 경우(아직 "살아있는 매머드" 형식 포함) 윈도우 XP, 이전과 마찬가지로 프로토콜이 사용되는 것으로 가정됩니다. L2TP/IPsec위에서 언급한 모든 후속 상황과 함께. 프로토콜 사용에서 PPTP, 오랫동안 타협되어 왔기 때문에 완전히 포기하는 것이 제안되었습니다. Windows 클라이언트 운영 체제에서 SSTP 연결을 설정하기 위한 업데이트된 지침에 대한 링크는 이 문서의 끝 부분에서 찾을 수 있습니다.

OS 기반 클라이언트 시스템의 경우 리눅스공개된 프로젝트 소스 코드. 특별히 경험이 없는 Linux 시스템 사용자를 위해 설정 예를 사용하여 단계별 지침을 이미 준비했습니다.우분투 리눅스 14.04그리고 15.04 /15.10 .

OS 기반 클라이언트 시스템 관련 애플 맥OS아직 이해하기 쉬운 말을 할 수 없습니다. 손에 쥐고 있지 않기 때문입니다. 사용 가능한 표면적 정보를 기반으로 다음을 사용할 수 있습니다. (콘솔 옵션으로) 또는 기본적으로 생성된 패키지를 사용할 수 있습니다.iSSTP 그래픽 인터페이스를 통해 제어됩니다. 가까운 시일 내에 Vitaly Jacob이 적절한 사용자 지침을 제공해 주시기를 바랍니다.

모든 클라이언트에 대한 공통 요구 사항은 SSTP VPN 클라이언트가 CRL(인증서 해지 목록)을 확인하여 VPN 서버에서 제공한 인증서가 해지되지 않았는지 확인할 수 있어야 한다는 것입니다. 이러한 종류의 검사는 클라이언트 측에서 비활성화할 수 있지만 이는 보안 관점에서 볼 때 최선의 솔루션은 아니며 최후의 수단으로만 사용해야 합니다.

VPN 서버 및 해당 구성에 대한 기본 요구 사항

우리의 경우 VPN 연결의 서버 부분은 VPN 서버 기반 윈도우 서버 2012 R2역할과 함께 원격 액세스.

위의 모든 내용에서 알 수 있듯이 VPN 서버의 주요 요구 사항 중 하나는 설치된 인증서가 있다는 것입니다. 이러한 인증서는 공용 CA에서 얻을 수 있으며 일반적으로 이러한 인증서에는 많은 비용이 듭니다. 그러나 예를 들어 무료 옵션도 있습니다. WoSign 무료 SSL 인증서 . 나 자신은 아직 그러한 CA와 통신한 경험이 없으므로 이 문제에 대한 귀하의 의견을 듣는 것이 흥미로울 것입니다.

VPN 서버 인증서 요구 사항

SSTP에서 중요한 점은 타사 공용 CA로부터 인증서를 얻기 위한 요청을 생성할 때 요청된 인증서에 애플리케이션 정책( 확장된 키 사용, EKU) - 서버 인증 (1.3.6.1.5.5.7.3.1 ). 물론, 예를 들어 클러스터 구성이 사용되는 경우 여러 VPN 서버에 인증서를 설치해야 할 수 있으므로 이러한 인증서에 대해 개인 키 내보내기를 허용해야 합니다.

결과 인증서에 대한 필수 요구 사항은 인증서 해지 목록( CRL)는 인증서에 지정된 인증서를 인터넷에서 사용할 수 있어야 합니다. SSTP 연결 생성 초기에 클라이언트 컴퓨터는 VPN 서버에서 제공한 인증서가 해지되었는지 확인하려고 시도하기 때문입니다. 사용 가능한 CRL이 없습니다. SSTP 연결이 없습니다.

결과 인증서는 VPN 서버의 인증서 저장소에 설치됩니다. 로컬 컴퓨터\개인의이 인증서의 개인 키에 바인딩되어야 합니다.

또한 인증서를 발급한 CA는 VPN 서버뿐만 아니라 SSTP 프로토콜을 사용하여 이러한 서버에 연결하는 모든 외부 인터넷 클라이언트로부터도 신뢰를 받아야 합니다. 즉, 루트 인증서(여러 개가 있을 수 있음)가 인증서 저장소의 모든 컴퓨터에 있어야 합니다. 로컬 컴퓨터\신뢰할 수있는 인증 기관. 이러한 요구 사항에 대한 정보는 기사에서 찾을 수 있습니다.TechNet 라이브러리 - 컴퓨터 인증 인증서로 RRAS 구성 . 대부분의 최신 클라이언트 운영 체제에서는 인터넷에 지속적으로 연결되어 있으면 공개 루트 인증서 컬렉션이 자동으로 업데이트됩니다.

원격 액세스 역할 설정

VPN 서버에 인증서를 설치한 후 스냅인을 엽니다. 라우팅 및 원격 액세스탭의 VPN 서버 속성에서 보안섹션에서 SSTP에 대해 이 인증서를 선택하세요. SSL 인증서 바인딩

이 옵션을 변경하면 RRAS 서비스를 자동으로 다시 시작하라는 메시지가 표시됩니다. 서비스를 다시 시작하는 데 동의합니다.

추가 섹션에서 포트포트 추가 SSTP. 이 예에서는 대부분의 포트가 SSTP 연결에 할당되고 포트 중 일부는 SSTP를 지원하지 않는 클라이언트(예: Windows XP)에 할당됩니다. PPTP를 통한 연결 기능을 완전히 비활성화합니다.

PPTP 연결을 올바르게 비활성화하는 방법에 대한 정보는 기사에서 찾을 수 있습니다.라우팅 방법...PPTP 또는 L2TP 포트 추가 . 스크린샷의 예:

변경이 완료되면 VPN 서버에서 실행 중인 TCP 수신기를 확인하겠습니다. 그 중 VPN 서버가 SSTP 프로토콜을 통해 클라이언트 연결을 허용하는 포트 443에 대한 수신기가 나타나야 합니다.

netstat -na | 찾기 문자열 443

원격 액세스 역할을 설치하고 구성한 후에는 이미 존재하는 규칙을 활성화하여 방화벽을 구성하는 것을 잊지 마세요. 보안 소켓 터널링 프로토콜(SSTP-In)

또한 수신에 대한 허용 규칙을 비활성화할 수 있습니다. PPTP- 포트당 연결 TCP 1723(기본 구성에서는 이 규칙을 " 라우팅 및 원격 액세스(PPTP-In)")

VPN 서버가 회원이므로 NLB-클러스터, 포트 밸런싱을 허용하는 규칙을 추가로 생성해야 합니다. TCP 443.

VPN 서버가 SSTP 연결을 성공적으로 수락할 수 있도록 설정된 설정이 충분합니다.

VPN 클라이언트 연결 확인 중

포트 443을 통해 인터넷에 직접 액세스할 수 있는 클라이언트 시스템에서 테스트 VPN 연결을 설정하고 연결합니다.

서버 측에서는 클라이언트가 이전에 만든 무료 SSTP 포트 중 하나를 사용하고 있는지 확인합니다.

사용자를 위한 지침

앞서 언급한 것처럼 인터넷에서 회사 VPN 서버에 연결하는 사용자를 위한 명확한 단계별 지침을 개발해야 합니다. 다음 운영 체제의 일부로 VPN 연결을 테스트하고 동시에 사용자를 위한 단계별 지침을 개발할 수 있었습니다.

윈도우 XP 32비트 RU SP3
(L2TP/IPsec 사용을 고려하여 지침이 다시 작성되었지만 작동하는 PPTP가 없습니다. 인증서 요청 및 설치는 서로 다른 스크립트를 사용하여 두 단계로 수행됩니다.)
윈도우 비스타 사업 32비트 RU SP2(SSTP)
윈도우 7 찬성 32비트 RU SP1(SSTP)
윈도우 8.1 프로 64비트 RU(SSTP)
우분투 데스크탑 리눅스 14.04 64비트(SSTP)
우분투 데스크탑 리눅스 15.04 64비트(SSTP)
우분투 데스크탑 리눅스 14.10 64비트(SSTP)

원하는 경우 환경에 맞게 조정할 수 있는 DOCX 형식의 지침(필요한 실행 파일 포함)은 다음에서 다운로드할 수 있습니다.링크 . 지침의 일부는 온라인으로 보고 토론할 수 있습니다. .