ISA server 2006은 VPN서버용도로 훌륭합니다.
AD를 사용하는 기업에 ISA는 매우 훌륭한 VPN솔루션이 됩니다. 그동안 Nortel Contivity를 사용해왔는데 ISA2006로 이전하는 중이랍니다. ISA 서버를 vpn서버로 운영하면서 느낀 좋은 점을 정리해보았습니다. 보안이라는 목적을 달성하기에 가장 최적의 VPN 솔루션인듯합니다. 물론 IAG가 있긴하지만 SSL VPN이라서 사용상 제한이 따릅니다.
▶ VPN서버로서의 ISA server가 좋은점
1. AD사용하는 기업은 ISA 서버로 매우 손쉽게 vpn유저관리를 할수있습니다.
Nortel의 경우 사용자계정관리가 너무 힘들죠.. 시간이 많이 필요합니다. 거의 관리할수 없는 지경입니다. 퇴사자 계정이 삭제되지않고 남겨질수있습니다.
2. 특정 그룹의 유저들에게 특정 프로토콜,특정서버만 접속하게 할수있습니다.
터널 구성시 매우 제한적인 통신만 허용함으로서 보안의 목적을 좀더 쉽게 달성하게 해줍니다. 정책을 쉽게 만들수 있고 기존정책을 복사하여 새로운 정책으로 만들수 있어서 정책관리에 용이합니다. 기본적으로 All Deny정책이 적용되어 허용하지 않는 모든 트래픽을 막을수 있습니다.
3. 효과적으로 로드를 분산시킬수있습니다. (Active-Active방식 구성)
다수의 ISA 서버를 하나의 Array로 묶어서 로드를 효과적으로 분산시킬수있습니다. L4스위치아래 구성하는것을 MS에서도 권장한다고 하지만 별도의 L4가 없어도 ISA만으로 같은 효과를 거둘수있습니다.
4. 클라이언트의 Health상태를 체크하여 문제가 있을 경우 거부할수있습니다.
쿼런틴 기능을 사용하면 클라이언트의 Health를 체크함으로 비정상적인 것들을 거부함으로 내부 네트웍을 보호할수있습니다. 예를 들자면 AD에 소속되지않는 클라이언트를 거부한단다던지 하는 것을 할수있죠.. 이렇게 되면 PC방에서 VPN접속을 못하게 됩니다 .안전한 회사노트북을 통해서만 본사 VPN로그인을 허용하게 할수있는것이죠.. 한단계 나아가서 PC에 특정보안프로그램이 설치되어있지않으면 접속을 불허하게 할수도 있습니다. 또 웜에 걸려서 세션을 동시에 많이 여는 컴퓨터의 경우에도 접속을 자동으로 거부하게 됩니다.
5. VPN서버의 사용상황에 대한 리포트를 얻을 수 있습니다.
기본적으로 생성되는 Report는 ISA 서버의 사용상황에 대해 많은 것을 알려줍니다. 일단 DB에 로그가 남겨지고 있기 때문에 추가적인 로그도 확인이 가능할것으로 보입니다. 세부적인…것은 좀더 연구가 필요한듯합니다.
▶ VPN서버로서의 ISA server가 불편한 점
1. PPTP VPN이라는 점은 약점으로 보입니다.
Nortel의 경우 IPSec방식의 VPN이라서 거의 제한을 받지않고 VPN연결이 가능합니다 .하지만 ISA는 PPTP방식이라서 포트와 프로토콜에서 허용이 되지않은 지역에 있을 경우 VPN연결을 할수 없습니다. 해당 지역의 IT관리자에 요청해서 열어달라고 해야하는 불편이 있습니다. 구형 공유기의 경우 PPTP VPN through를 지원하지 않는 경우도 있습니다.
PPTP 쪽의 보안을 염려하신다면,
IAG를 한번 고려해 보시는 것은 어떤지요? ㅎㅎ.
^^ 고려했었는데요…
회사의 어플리케이션 환경이 터널이 필요한 환경이라서
IAG로는 가지 못했습니다. 어플리케이션변경이 필요..ㅠㅠ
현재 L2TP with IPsec을 검토하고 있습니다.