우키의 보안이야기

ISA 서버 운영에 큰 도움이 되는 LAB메뉴얼 입니다. 
영문버전은 보는데 시간이 많이 걸려서  한글버전을 구하였습니다. 파일이 좀 큽니다.
예전에 웹타임에서 3일짜리 ISA server 교육을 받은적이 있는데 이땐 영문 메뉴얼을 받았었죠..  ^^

문서포맷: Microsoft 2003
페이지분량: 542
용량:  25.6 Mb
원저자: Ronald Beekelaar     v-ronb@microsoft.com
역자: Young Hee Kong  ,  Dong Chul Lee

<< 다운로드 : ISA 2006 LAB 메뉴얼 한글버전 >>


Hands-on LAB을 사용하기 위해서는 PC의 메모리가 충분해야 합니다. (최소 2G)
실습을 위해선 3대 이상의 가상 PC를 구동해야만 합니다. (윈도우2003 서버 이미지…)
환경: virtualPC (Virtual Server)

<< 다운로드 페이지: ISA 2006 Hands-on LAB >>

모듈:
Module A: Introduction to ISA Server
Module B: Configuring Outbound Internet Access
Module C: Publishing Web Servers and Other Servers
Module D: Publishing an Exchange Server
Module E: Enabling VPN Connections
Module F: ISA Server 2006 as Branch Office Gateway
Module G: Enterprise Management of ISA Servers
Module H: Configuring Load Balancing
Module I: Using Monitoring, Alerting and Logging

Virtual Image:
1. ISA Server 2006 Standard Edition (RTM)
2. ISA Server 2006 Enterprise Edition (RTM)
3. SharePoint Services 2.0
4. Exchange Server 2003 SP2
5. Outlook 2003

ISA2006서버에 VPN접속을 하기위해 꼭 필요한 것이 있습니다. ISA서버에  VPN연결이 되지 않을 때 다음의 사항을 점검해 보아야 합니다.

1. 인터넷에 이미 연결되어 있어야 합니다.
  1) 일단 인터넷이 되는 상황에서 시도해야 겠죠?  ㅋㅋ    넘 당연한 말이지만..   인터넷이 되지않는 상황에서  접속을 시도하시는 분도 있으니
  2) 모뎀의 설치된 PC나 노트북의 경우에 반드시 먼저 확인할 것이 있습니다. 
윈도우는 기본적으로 모뎀을 이용해서 VPN서버에 접속하려고 시도하게 됩니다.  사전에 모뎀설정이 안되어 있으면 VPN 연결이 되지않습니다.  VPN접속 프로그램에서 [속성]버튼을 눌러서 [인터넷에 항상 연결되어있음]을 선택해주세요.   이때 나오는 대화상자에서 모뎀설정을 해주시고 난후  VPN연결을 하시면 접속이 잘 될것입니다.
2. PPTP 포트 (TCP 1723)
  TCP 1723포트가 열려있어야 합니다. ISA서버는 내부적으로 IPsec과 PPTP를 둘다 사용하지만  IPSec은 지점간 (ISA서버간) 연결시 사용하고 PPTP는 일반 클라이언트 연결시 사용하게 됩니다.  따라서 노트북을 가지고 이동할 시 해당 지역에서 PPTP포트가 지원이 되어야 합니다. (대부분 지원이 되나   구형 공유기가 사용되고 있거나 방화벽에서 의도적으로 block한 경우 접속할수 없게 됩니다.)
3. GRE 프로토콜 (Protocal 47)
  GRE(Generic Route Encapsulation) 프로토콜은 클라이언트와 서버 간에 VPN을 만들기 위해 PPTP와 함께 사용되어집니다. PPTP 제어 세션을 설정되고 나면  GRE를 이용하여 데이터나 페이로드를 암호화합니다.  이 GRE 연결에 문제가 생기면 Error 721 이라는 값이 반환됩니다.
GRE에 대해 더 알아볼수 있는 링크
http://support.microsoft.com/kb/241251/

ISA server 2006은 VPN서버용도로 훌륭합니다.
   AD를 사용하는 기업에 ISA는 매우 훌륭한 VPN솔루션이 됩니다.  그동안 Nortel Contivity를 사용해왔는데  ISA2006로 이전하는 중이랍니다.  ISA 서버를 vpn서버로 운영하면서 느낀 좋은 점을 정리해보았습니다.  보안이라는 목적을 달성하기에 가장 최적의 VPN 솔루션인듯합니다. 물론 IAG가 있긴하지만  SSL VPN이라서 사용상 제한이 따릅니다. 

▶ VPN서버로서의 ISA server가 좋은점
1. AD사용하는 기업은 ISA 서버로  매우 손쉽게 vpn유저관리를 할수있습니다.
   Nortel의 경우 사용자계정관리가 너무 힘들죠.. 시간이 많이 필요합니다. 거의 관리할수 없는 지경입니다.     퇴사자 계정이 삭제되지않고 남겨질수있습니다.
2. 특정 그룹의 유저들에게 특정 프로토콜,특정서버만 접속하게 할수있습니다.
    터널 구성시 매우 제한적인 통신만 허용함으로서 보안의 목적을 좀더 쉽게 달성하게 해줍니다.  정책을 쉽게 만들수 있고   기존정책을 복사하여 새로운 정책으로 만들수 있어서 정책관리에 용이합니다. 기본적으로 All Deny정책이 적용되어  허용하지 않는 모든 트래픽을 막을수 있습니다.
3. 효과적으로 로드를 분산시킬수있습니다. (Active-Active방식 구성)
   다수의 ISA 서버를 하나의 Array로 묶어서   로드를 효과적으로 분산시킬수있습니다. L4스위치아래 구성하는것을 MS에서도 권장한다고 하지만  별도의 L4가 없어도 ISA만으로 같은 효과를 거둘수있습니다.
4. 클라이언트의 Health상태를 체크하여 문제가 있을 경우 거부할수있습니다.
   쿼런틴 기능을 사용하면 클라이언트의 Health를 체크함으로  비정상적인 것들을 거부함으로  내부 네트웍을 보호할수있습니다. 예를 들자면 AD에 소속되지않는 클라이언트를 거부한단다던지 하는 것을 할수있죠..  이렇게 되면 PC방에서 VPN접속을 못하게 됩니다 .안전한 회사노트북을 통해서만 본사 VPN로그인을 허용하게 할수있는것이죠.. 한단계 나아가서  PC에  특정보안프로그램이 설치되어있지않으면 접속을 불허하게 할수도 있습니다.  또 웜에 걸려서 세션을 동시에 많이 여는 컴퓨터의 경우에도 접속을 자동으로 거부하게 됩니다. 
5. VPN서버의 사용상황에 대한 리포트를 얻을 수 있습니다.
  기본적으로 생성되는 Report는 ISA 서버의 사용상황에 대해 많은 것을 알려줍니다. 일단 DB에 로그가 남겨지고 있기 때문에 추가적인 로그도 확인이 가능할것으로 보입니다. 세부적인…것은 좀더 연구가 필요한듯합니다.

▶ VPN서버로서의 ISA server가 불편한 점
1. PPTP VPN이라는 점은 약점으로 보입니다.
   Nortel의 경우 IPSec방식의 VPN이라서 거의 제한을 받지않고 VPN연결이 가능합니다 .하지만 ISA는 PPTP방식이라서  포트와 프로토콜에서 허용이 되지않은 지역에 있을 경우  VPN연결을 할수 없습니다.  해당 지역의 IT관리자에 요청해서 열어달라고 해야하는 불편이 있습니다.  구형 공유기의 경우 PPTP VPN through를  지원하지 않는 경우도 있습니다.