VPN 선택 및 설정
VPN을 계획할 때 Contoso는 적절한 터널링 프로토콜 및 인증 방법을 포함하여 여러 가지 요소를 고려해야 합니다. 또한 사용자의 원격 액세스 요구 사항을 지원하기 위해 VPN 서버를 설정하는 가장 좋은 방법도 고려해야 합니다.
터널링 프로토콜 선택
Contoso는 여러 터널링 프로토콜 및 인증 방법 중 하나를 사용하여 VPN을 구현하도록 선택할 수 있습니다. VPN 연결은 다음 터널링 프로토콜 중 하나를 사용할 수 있습니다.
- PPTP(지점 간 터널링 프로토콜)
- L2TP/IPsec(인터넷 프로토콜 보안)을 사용하여 계층 2 터널링 프로토콜
- SSTP(Secure Socket Tunneling Protocol)
- IKEv2(Internet Key Exchange version 2)
모든 VPN 터널링 프로토콜은 다음 세 가지 기능을 공유합니다.
- 캡슐화. VPN 기술은 데이터가 전송 네트워크를 트래버스할 수 있도록 라우팅 정보를 포함하는 헤더로 개인 데이터를 캡슐화합니다.
- 인증. 다음을 포함하여 VPN 연결에 대한 세 가지 인증 유형이 있습니다.
- PPP(지점 간 프로토콜) 인증을 사용하여 사용자 수준 인증
- IKE(인터넷 키 교환)를 사용하여 컴퓨터 수준 인증
- 데이터 원본 인증 및 데이터 무결성.
- 데이터 암호화. 공유 또는 대중 교통 네트워크를 트래버스할 때 데이터 기밀성을 보장하기 위해 발신자는 데이터를 암호화하고 수신자는 암호를 해독합니다.
다음 표에서는 지원되는 터널링 프로토콜에 대해 설명합니다.
| 프로토콜 | 설명 |
|---|---|
| PPTP | 원격 액세스 및 사이트간 VPN(가상 사설망) 연결에 PPTP를 사용할 수 있습니다. 인터넷을 VPN 공용 네트워크로 사용하는 경우 PPTP 서버는 인터넷에 하나의 인터페이스와 인트라넷에 인터페이스가 하나씩 있는 PPTP 지원 VPN 서버입니다. |
| L2TP/IPsec | L2TP를 사용하면 IP 또는 ATM(비동기 전송 모드)과 같은 지점 및 지점간 데이터그램 배달을 지원하는 모든 매체를 통해 전송되는 다중 프로토콜 트래픽을 암호화할 수 있습니다. L2TP는 PPTP와 L2F(계층 2 전달)의 조합입니다. L2TP는 PPTP 및 L2F의 최상의 기능을 나타냅니다. |
| SSTP | SSTP는 TCP 포트 443을 통해 HTTPS 프로토콜을 사용하여 방화벽 및 웹 프록시를 통해 트래픽을 전달하는 터널링 프로토콜이며, 그렇지 않으면 PPTP 및 L2TP/IPsec 트래픽을 차단할 수 있습니다. SSTP는 HTTPS 프로토콜의 SSL 채널을 통해 PPP 트래픽을 캡슐화하는 메커니즘을 제공합니다. PPP를 사용하면 EAP-TLS와 같은 강력한 인증 방법을 지원할 수 있습니다. SSL은 향상된 키 협상, 암호화 및 무결성 검사를 통해 전송 수준 보안을 제공합니다. |
| IKEv2 | IKEv2는 UDP 포트 500을 통해 IPsec 터널 모드 프로토콜을 사용합니다. IKEv2는 이동성을 지원하므로 모바일 작업자가 적합한 프로토콜을 선택할 수 있습니다. IKEv2 기반 VPN을 사용하면 사용자가 무선 핫스팟 간 또는 무선 및 유선 연결 간에 쉽게 이동할 수 있습니다. |
주의
보안 취약성으로 인해 PPTP를 사용하면 안 됩니다. 대신, L2TP보다 더 안전하고 이점을 제공하므로 가능한 경우 IKEv2를 사용합니다.
인증 옵션 선택
액세스 클라이언트의 인증은 중요한 보안 문제입니다. 인증 방법은 일반적으로 연결 설정 프로세스 중에 협상되는 인증 프로토콜을 사용합니다. 원격 액세스 서버 역할은 다음 표에서 설명하는 메서드를 지원합니다.
| 메서드 | 설명 |
|---|---|
| PAP | PAP(암호 인증 프로토콜)는 일반 텍스트 암호를 사용하며 보안이 가장 낮은 인증 프로토콜입니다. 일반적으로 원격 액세스 클라이언트와 원격 액세스 서버가 보다 안전한 형식의 유효성 검사를 협상할 수 없는 경우 협상됩니다. Windows Server에는 다른 인증 방법을 지원하지 않는 이전 클라이언트 운영 체제를 지원하는 PAP가 포함되어 있습니다. |
| 챕 | CHAP(Challenge Handshake Authentication Protocol)는 업계 표준 MD5 해시 체계를 사용하여 응답을 암호화하는 챌린지 응답 인증 프로토콜입니다. 네트워크 액세스 서버 및 클라이언트의 다양한 공급업체는 CHAP를 사용합니다. 그러나 CHAP는 역방향으로 암호화된 암호를 사용해야 하므로 MS-CHAPv2와 같은 다른 인증 프로토콜을 사용하는 것이 좋습니다. |
| MS-CHAPv2 | Microsoft Challenge 핸드셰이크 인증 프로토콜 버전 2(MS-CHAPv2)는 단방향 암호화 암호, 상호 인증 프로토콜이며 CHAP를 통해 향상된 기능을 제공합니다. |
| 이애프터서비스 | EAP(Extensible Authentication Protocol)를 사용하는 경우 임의 인증 메커니즘이 원격 액세스 연결을 인증합니다. 원격 액세스 서버 또는 RADIUS(원격 인증 전화 접속 사용자 서비스) 서버인 원격 액세스 클라이언트 및 인증자는 사용할 정확한 인증 체계를 협상합니다. 라우팅 및 원격 액세스에는 기본적으로 확장 가능한 인증 Protocol-Transport 계층 보안(EAP-TLS)에 대한 지원이 포함됩니다. 라우팅 및 원격 액세스를 실행하는 서버에 다른 EAP 모듈을 연결하여 다른 EAP 메서드를 제공할 수 있습니다. |
추가 고려 사항
터널링 프로토콜 및 인증 방법 외에도 조직의 VPN 솔루션을 배포하기 전에 다음을 고려해야 합니다.
- VPN 서버에 두 개의 네트워크 인터페이스가 있는지 확인합니다. 인터넷에 연결할 네트워크 인터페이스와 개인 네트워크에 연결할 네트워크 인터페이스를 결정해야 합니다. 구성 중에 인터넷에 연결할 네트워크 인터페이스를 선택해야 합니다. 잘못된 네트워크 인터페이스를 지정하면 원격 액세스 VPN 서버가 제대로 작동하지 않습니다.
- 원격 클라이언트가 개인 네트워크의 DHCP 서버 또는 구성 중인 원격 액세스 VPN 서버에서 IP 주소를 수신하는지 여부를 결정합니다. 개인 네트워크에 DHCP 서버가 있는 경우 원격 액세스 VPN 서버는 DHCP 서버에서 한 번에 10개의 주소를 임대한 다음 해당 주소를 원격 클라이언트에 할당할 수 있습니다. 개인 네트워크에 DHCP 서버가 없는 경우 원격 액세스 VPN 서버는 원격 클라이언트에 IP 주소를 자동으로 생성하고 할당할 수 있습니다. 원격 액세스 VPN 서버가 지정한 범위에서 IP 주소를 할당하려면 해당 범위를 결정해야 합니다.
- RADIUS(원격 인증 전화 접속 사용자 서비스) 서버 또는 VPN 클라이언트의 연결 요청을 인증하도록 구성하는 원격 액세스 VPN 서버를 사용할지 여부를 결정합니다. RADIUS 서버를 추가하는 것은 여러 원격 액세스 VPN 서버, 무선 액세스 지점 또는 기타 RADIUS 클라이언트를 프라이빗 네트워크에 설치하려는 경우에 유용합니다.