Note
Access to this page requires authorization. You can try signing in or changing directories.
Access to this page requires authorization. You can try changing directories.
Windows 기반의 VPN 서버에 대해서 2번째 포스팅을 하네요, 지난 번 포스팅에서는 SSTP VPN 서버 구성에 대한 얘기를 나누어 보았지요....
여러분들 SSTP의 제 포스팅을 어떠셨는지요???? 블로깅을 처음 하는 거라 여러분들의 반응이 무척 궁금합니다. 도움이 되기를 마음이 간절합니다.
제가 올 초에 모 회사의 부탁으로 인증서 기반의 인증을 사용한 VPN 서버 구축에 관한 지원을 요청 받았습니다. 그래서, 데모 환경을 구축하여 고객의 요구 사항을 구현해 보았습니다.
Windows 서버의 VPN은 아래와 같이 총 3개 인증(Authentication) 프로토콜을 아래와 같이 제공하고, 각 프로토콜 별로 인증을 하기 위해 구성 요소가 다릅니다. 앗 혹시나 해서 오늘 포스팅에서 다루는 프로토콜은 VPN 서버를 접근할 때 사용자 및 컴퓨터를 인증하기 위한 "인증" 프로토콜입니다. VPN 데이터 전송 프로토콜인 PPTP, L2TP, SSTP 와는 다릅니다.
Authentication Type |
Certificates on Wired client |
Certificates on IAS Server |
PEAP-MS-CHAP v2 |
Root CA certificates for issuers of IAS server computer certificates |
Computer certificates |
EAP-TLS |
Computer certificates User certificates Root CA certificates for issuers of IAS server computer certificates |
Computer certificates Root CA certificates for issuers of wired client computer and user certificates |
EAP-MD5 CHAP |
None |
None |
우리가 Windows 클라이언트에서 제공하는 원격 액세스 클라이언트에서 기본적으로 사용하는 "인증" 프로토콜은 바로 "EAP-MD5-CHAP" 입니다. 즉, 단순히 VPN 서버에 접근하기 위해 "사용자 ID" 와 "사용자 암호" 만을 사용합니다. 좀 더 보안이 강한 "인증" 프로토콜은 "PEAP-MS-CHAP v2" 와 "EAP-TLS" 입니다. 이 2가지 "인증" 프로토콜은 바로 "인증서" 를 사용하기 때문에 좀 더 강한 보안을 할 수 있습니다. 위 표를 자세히 보시면, EAP-TLS 인증 프로톨콜은 "사용자 인증서"도 필요함을 알 수 있습니다. 즉, 최고의 강한 보안의 인증 프로토콜은 바로 "EAP-TLS" 입니다.
혹시나 해서, 위 표에 보시면 IAS 라는 용어가 생소하신 분들도 있을 겁니다. IAS(Internet Authentication Service) 는 Windows 2003 Server 에서 제공하는 RADIUS 서버입니다. 즉 VPN 서버의 인증을 대행 해 주는 역할을 하는 서버입니다. 이 포스팅에서 RADIUS의 필요성에 대해서 언급할려면 글이 너무 길어질 것 같아 일단 생략하구, 다음 기회에 한 번 RAIDUS에 대해서도 소개해 드리도록 하겠습니다.
Windows 2003 Server의 IAS는 Windows Server 2008 에서는 NPS(Network Policy Server) 로 제품 명이 변경되었음도 추가적으로 알려 드립니다.
본 문서의 목적은 EAP-TLS 인증 프로토콜을 사용할 수 있도록 Windows 2003 서버의 VPN 을 구성하는 것입니다. 그러나, 그 외에 VPN 서버의 인증을 대행하기 위한 IAS 서버 및 IAS Proxy 서버 구성에 대한 내용도 포함되어 있습니다. 또한, "인증서"를 발급하기 위해, Windows 2003 Enterprise CA 및 Windows 2003 Enterprise Subordinate CA 의 설치 및 구성에 대한 내용도 포함되어 있습니다. 요약하면,,,,
- Windows 2003 IAS 및 IAS Proxy 설치 및 구성
- Windows 2003 Enterprise CA 및 Windows 2003 Enterprise Subordinate CA 의 설치 및 구성
위 2가지가 보너스 형식으로 제공됩니다. ^-^
그러나, 본 포스팅의 가장 중요한 목적은 EAP-TLS 구성임을 다시 한 번 알려 드립니다.
데모 환경을 간단히 소개드리면 아래와 같습니다.
위와 같이 가상 환경의 서버들을 구성하고 아래 제가 첨부한 Step-by-Step 가이드를 이용하면, VPN, IAS, IAS Proxy, Enterprise CA, Enterprise Subordinate CA 이러한 내용들을 손 쉽게 구성해 보실 수 있을 것 같습니다.
또한, 이 환경을 이용하여 Wireless 클라이언트의 무선 AP 접근 시에 EAP-TLS 기반의 무선 포트 제한 (Step-by-Step Guide for Setting Up Secure Wireless Access in a Test Lab : https://www.microsoft.com/downloads/en/details.aspx?FamilyID=0f7fa9a2-e113-415b-b2a9-b6a3d64c48f5) 도 가능합니다.
한 가지 아쉬운 점은 Windows Server 2008 기반으로 문서를 작성해 보지 못한 점입니다. 이 부분은 다른 어떠한 블로거가 할 거라고 믿습니다.
오늘은 주저리 주저리 얘기가 많았네요,,,, 혹시라도 제가 헛소리하고 있으면 가차없이 바로 지적해 주세용