우키의 보안이야기 » vpn

[ISA] L2TP VPN 세팅하기

wookielee — Thu, 05 Jun 2008 02:54:52 +0000

ISA VPN의 지원 VPN 터널엔 세가지 형태가 있습니다
1. PPTP: 가장 일반적인 형태로 좀더 가볍고 빠릅니다. 하지만 연결되지않는곳이 있다는것이 단점입니다.
2. L2TP/IPSec: 인증방법으로 certificate 또는 pre-shared key 사용

PPTP가 되지않는 곳에서 이용해볼수 있습니다. 인증서를 사용할 경우 좀더 수준높은 보안이 가능하지만 관리상의 어려움이 있습니다.
인증서: 인증에 필요한 인증서를 클라이언트와 서버에 각각 설치

Pre-shared key: 255 이하의 문자를 ISA서버와 클라이언트에서 사용
3. IPSEC tunneling: 사이트간 연결시 사용

PPTP형태로 회사에서 ISA VPN을 운용중인데 막히는 곳이 이따금 있더군여

ISA VPN의 L2TP/IPSEC 을 추가 설정하기로 했습니다.
다음의 방법을 따르시면 됩니다.

1. ISA서버 설정

1) ISA Management console를 실행

2) Virtual Private Networks(VPN) 을 클릭

3) Configure VPN Client Access 창에서 Verify VPN Properties 메뉴를 클릭하고, Protocols 탭에서 “Enable L2TP/IPsec” 옵션을 체크하고 확인합니다

4) Remote Access Configuration 메뉴를 클릭하여 Authentication 탭을 클릭하고, 아래의 “Allow custom IPSec policy for L2TP connection” 란에 체크합니다.

5) Pre-shared key 란에 사용 할 키를 입력합니다
6) 수정한 내용을 Apply 버튼 클릭하여 적용합니다.

2. 클라이언트에서의 설정
1) 제어판의 네트워크 연결을 클릭합니다.

2) 새 연결 만들기 클릭하고, 새 연결 마법사에서 다음 클릭하여 [회사 네트워크에 연결] 선택하고 다음 클릭합니다.

3) [가상 사설망 연결] 선택하고 다음 클릭합니다

4) 회사 이름에 표시 이름을 입력하고 다음 클릭합니다

5) VPN서버의 호스트 이름 및 IP주소를 입력하고 다음 클릭합니다.

6) 사용자 옵션 선택하고 다음 클릭합니다.

7) 마침 클릭하면 VPN 연결 아이콘이 생성됩니다.

8) 생성한 아이콘에서 오른쪽 마우스 클릭하여 속성 정보 클릭합니다

9) [보안]탭의 [IPSec 설정] 버튼을 클릭하고 [인증에 미리 공유한 키 사용] 옵션에 체크하고 ,ISA서버에서 사용한 동일한 키 를 입력하고 확인합니다.

10) [네트워킹]탭을 클릭하여, VPN 종류를 [L2TP IPSec VPN]으로 설정하고 확인합니다.

11) 클라이언트에서 해당 VPN서버로 L2TP/Ipsec으로 연결되는지 테스트 합니다.

ISA VPN 사용시 접속 에러 해결하기

wookielee — Tue, 15 Apr 2008 08:06:13 +0000

ISA2006서버에 VPN접속을 하기위해 꼭 필요한 것이 있습니다. ISA서버에 VPN연결이 되지 않을 때 다음의 사항을 점검해 보아야 합니다.

1. 인터넷에 이미 연결되어 있어야 합니다.
1) 일단 인터넷이 되는 상황에서 시도해야 겠죠? ㅋㅋ 넘 당연한 말이지만.. 인터넷이 되지않는 상황에서 접속을 시도하시는 분도 있으니
2) 모뎀의 설치된 PC나 노트북의 경우에 반드시 먼저 확인할 것이 있습니다.
윈도우는 기본적으로 모뎀을 이용해서 VPN서버에 접속하려고 시도하게 됩니다. 사전에 모뎀설정이 안되어 있으면 VPN 연결이 되지않습니다. VPN접속 프로그램에서 [속성]버튼을 눌러서 [인터넷에 항상 연결되어있음]을 선택해주세요. 이때 나오는 대화상자에서 모뎀설정을 해주시고 난후 VPN연결을 하시면 접속이 잘 될것입니다.
2. PPTP 포트 (TCP 1723)
TCP 1723포트가 열려있어야 합니다. ISA서버는 내부적으로 IPsec과 PPTP를 둘다 사용하지만 IPSec은 지점간 (ISA서버간) 연결시 사용하고 PPTP는 일반 클라이언트 연결시 사용하게 됩니다. 따라서 노트북을 가지고 이동할 시 해당 지역에서 PPTP포트가 지원이 되어야 합니다. (대부분 지원이 되나 구형 공유기가 사용되고 있거나 방화벽에서 의도적으로 block한 경우 접속할수 없게 됩니다.)
3. GRE 프로토콜 (Protocal 47)
GRE(Generic Route Encapsulation) 프로토콜은 클라이언트와 서버 간에 VPN을 만들기 위해 PPTP와 함께 사용되어집니다. PPTP 제어 세션을 설정되고 나면 GRE를 이용하여 데이터나 페이로드를 암호화합니다. 이 GRE 연결에 문제가 생기면 Error 721 이라는 값이 반환됩니다.
GRE에 대해 더 알아볼수 있는 링크
http://support.microsoft.com/kb/241251/

ISA서버를 VPN서버로 사용할때의 장단점

wookielee — Tue, 15 Apr 2008 07:28:47 +0000

ISA server 2006은 VPN서버용도로 훌륭합니다.
AD를 사용하는 기업에 ISA는 매우 훌륭한 VPN솔루션이 됩니다. 그동안 Nortel Contivity를 사용해왔는데 ISA2006로 이전하는 중이랍니다. ISA 서버를 vpn서버로 운영하면서 느낀 좋은 점을 정리해보았습니다. 보안이라는 목적을 달성하기에 가장 최적의 VPN 솔루션인듯합니다. 물론 IAG가 있긴하지만 SSL VPN이라서 사용상 제한이 따릅니다.

▶ VPN서버로서의 ISA server가 좋은점
1. AD사용하는 기업은 ISA 서버로 매우 손쉽게 vpn유저관리를 할수있습니다.
Nortel의 경우 사용자계정관리가 너무 힘들죠.. 시간이 많이 필요합니다. 거의 관리할수 없는 지경입니다. 퇴사자 계정이 삭제되지않고 남겨질수있습니다.
2. 특정 그룹의 유저들에게 특정 프로토콜,특정서버만 접속하게 할수있습니다.
터널 구성시 매우 제한적인 통신만 허용함으로서 보안의 목적을 좀더 쉽게 달성하게 해줍니다. 정책을 쉽게 만들수 있고 기존정책을 복사하여 새로운 정책으로 만들수 있어서 정책관리에 용이합니다. 기본적으로 All Deny정책이 적용되어 허용하지 않는 모든 트래픽을 막을수 있습니다.
3. 효과적으로 로드를 분산시킬수있습니다. (Active-Active방식 구성)
다수의 ISA 서버를 하나의 Array로 묶어서 로드를 효과적으로 분산시킬수있습니다. L4스위치아래 구성하는것을 MS에서도 권장한다고 하지만 별도의 L4가 없어도 ISA만으로 같은 효과를 거둘수있습니다.
4. 클라이언트의 Health상태를 체크하여 문제가 있을 경우 거부할수있습니다.
쿼런틴 기능을 사용하면 클라이언트의 Health를 체크함으로 비정상적인 것들을 거부함으로 내부 네트웍을 보호할수있습니다. 예를 들자면 AD에 소속되지않는 클라이언트를 거부한단다던지 하는 것을 할수있죠.. 이렇게 되면 PC방에서 VPN접속을 못하게 됩니다 .안전한 회사노트북을 통해서만 본사 VPN로그인을 허용하게 할수있는것이죠.. 한단계 나아가서 PC에 특정보안프로그램이 설치되어있지않으면 접속을 불허하게 할수도 있습니다. 또 웜에 걸려서 세션을 동시에 많이 여는 컴퓨터의 경우에도 접속을 자동으로 거부하게 됩니다.
5. VPN서버의 사용상황에 대한 리포트를 얻을 수 있습니다.
기본적으로 생성되는 Report는 ISA 서버의 사용상황에 대해 많은 것을 알려줍니다. 일단 DB에 로그가 남겨지고 있기 때문에 추가적인 로그도 확인이 가능할것으로 보입니다. 세부적인…것은 좀더 연구가 필요한듯합니다.

▶ VPN서버로서의 ISA server가 불편한 점
1. PPTP VPN이라는 점은 약점으로 보입니다.
Nortel의 경우 IPSec방식의 VPN이라서 거의 제한을 받지않고 VPN연결이 가능합니다 .하지만 ISA는 PPTP방식이라서 포트와 프로토콜에서 허용이 되지않은 지역에 있을 경우 VPN연결을 할수 없습니다. 해당 지역의 IT관리자에 요청해서 열어달라고 해야하는 불편이 있습니다. 구형 공유기의 경우 PPTP VPN through를 지원하지 않는 경우도 있습니다.