다이렉트액세스의 향상된 기능 소개 - UAG 2010 SP1
2010. 11. 16. 15:03다이렉트액세스(DirectAccess)는 윈도우 2008 서버 R2 버전에서부터 새롭게 제공되는 기능으로 간단히 설명하자면 VPN이라고 보면 적당하리라 생각됩니다.
예를 들어, 기업의 내부에서는 사용자들이 있고, 파일이나 프린터 등과 같이 공유할 수 있는 자원들이 산재해 있습니다. 또한, 인터넷과 연결되는 종점에는 방화벽과 같이 보안 장비가 위치해 있습니다. 사용자들이 네트워크 내에서 사용할 때에는 아무런 문제없이 사용할 수 있지만, 만약 외부로 나가서 사용하려고 할 때에 사용되는 기술이 바로 VPN입니다.
하지만. VPN을 구축하기 위해서는 VPN 장비를 구입하거나 MS의 ISA(Internet Security & Acceleration) 서버를 구입해야 합니다.
이런 점을 저렴하게 그리고 손쉽게 구현한 것이 바로 다이렉트 액세스입니다.
즉, 인터넷에 연결된 모바일 사용자가 기업 내의 인트라넷을 손쉽게 이용할 수 있도록 구현한 기능으로 다음과 같은 제한 사항이 있습니다.
* 서버: 윈도우 2008 R2
* 접속 클라이언트: 윈도우 7(얼티밋 및 엔터프라이즈 에디션)
다이렉트 액세스를 구현하는 방법에 대한 자세한 사항은 아래 PDF 문서를 참고하십시오.
다이렉트액세스는 윈도우 2008 R2 버전뿐만 아니라 UAG 2010 제품에서도 사용할 수 있으며, 최근에 발표된 SP1에서 향상된 기능은 아래 링크를 참고하십시오.
오늘 소개할 부분은 바로 UAG 2010 SP1에서 새롭게 추가거나 개선된 다이렉트 액세스 기능을 보다 자세하게 소개합니다. 특히, 기존 UAG 2010에서 제공했던 다이렉트 액세스에서 부족하거나 고객사에서 요구한 기능들을 선별하여 추가한 것이 특징입니다.
1. 일회성 비밀번호(One-Time Password) 지원
UAG는 스마트카드와 OTP와 같이 일회성 비밀번호를 생성하는 방식을 지원합니다. UAG 관리 콘솔의 UAG DA 옵션 설정화면에서 OTP를 지원하도록 설정할 수 있습니다. 또한, UAG는 자체적으로 RSA SecureID 에이전트를 탑재하고 있으며 스마트카드 토큰을 별다른 설정없이 즉시 사용할 수 있습니다.
<그림 1. UAG 다이렉트 액세스 서버 설정에서 OTP를 지원하도록 설정하는 화면>
다른 대안으로는 라디우스(RADIUS) 기반의 서드 파티 벤더가 지원하는 OTP 솔루션도 사용할 수 있습니다.
클라이언트에서는 스마트카즈 인증 팝업창과 동일한 형태로 보이게 되며, 접속하는 방식도 동일합니다. 아래와 그림과 같이 OTP를 사용하도록 설정된 경우에는 시스템 트레이에 관련된 내용을 사용자에게 알립니다.
<그림 2. OTP를 사용하여 다이렉트액세스를 접속해야 한다고 알리는 클라이언트의 트레이 메시지>
<그림 3. 클라이언트의 OTP 인증 화면>
OTP를 이용하여 로그온하게 하려면 UAG에 있는 기존 인증 서버(CA, Certificate Authority)를 사용할 수 없으며 새로 인증 서버 서버를 구축해야 합니다.
2. NAP(Network Access Protection)과 통합
NAP은 윈도우 2008 서버가 출시되면서 새롭게 나타낸 용어(기술)로서 보안 정책 상 일관성을 가지고 유지할 수 있게 해주는 기능으로, 클라이언트 컴퓨터의 보안 상태를 지속적으로 점검함으로써 수정할 수 있도록 하는 새로운 형태의 보안 기술입니다.
UAG 2010에서는 NAP 설정이 아주 편리하게 구성되어 있습니다. 하지만, 예를 들어 누군가 NPS, HRA, CA를 설치하고 구성하려고 한다면 가정해 보면 이 부분은 꽤 머리가 아픈 작업임에는 틀림없습니다. UAG 2010 SP1에서는 몇가지 기능을 자동으로 설치하여 설정할 수 있게 해주는 기능이 추가되어 있습니다. 즉, UAG 서버에 NAP 롤을 설정하고 나서 클라이언트 GPO에 NAP 설정을 추가합니다. 그리고, 관리자가 CA 서버와 헬쓰 템플릿을 직접 설정하고, UAG 콘솔에서 지정합니다.
마법사에서는 헬쓰의 강제 적용(Enforce)과 모니터링 둘 중에 선택할 수 있습니다. 만약 강제 적용을 선택한 경우에는 클라이언트 컴퓨터에서 헬스 인증서를 받을 때까지는 이차(인트라넷) 터널을 생성할 수 없습니다. 모니터링을 선택한 경우에는 클라이언트의 헬쓰를 확인하고 보고하지만 차단하지는 않습니다.
2.1 NAP 클라이언트의 헬쓰 문제 해결
간혹가다가 발생하는 문제가 바로 NAP 클라이언트에서 헬쓰 상태가 좋지 않다록 알려주느데 그 이유를 알기가 어려운 경우가 있습니다. 즉, 윈도우 이벤트 로그에는 남아 있지만 실제로는 명확한 이벤트가 발생하지 않기 때문으로 이러한 문제점을 해결하기 위해 UAG DA 콘솔의 웹 모니터 부분에 NAP의 문제해결을 위한 부분을 추가하였습니다. 관리자는 특정한 클라이언트에서 발생한 최근의 이벤트를 검색할 수 있으며, 날짜를 지정할 수도 있습니다.
2.2. 기존 NAP 환경과의 연동
기업에 이미 NAP이 구축되어 있는 경우 또는 UAG와 NAP을 분리하여 구축하려는 경우에는 (UAG의) 내부 NAP 서버를 선택하면 당연히 안됍니다. 따라서, 다음과 같이 복잡한 과정을 거쳐 진행해야 합니다.
- NPS, HRA, CA 서버 추가
- NAP 클라이언트 설정을 사용하도록 클라이언트의 GPO에 추가.
- 클라이언트 헬쓰에 대한 문제를 해결하기 위해서는 NPS 서버에서 이벤트 뷰어를 사용.
- 하나 이상의 NPS 서버를 구축한 경우에는 NPS 설정을 복제.
2.3 멀티 도메인 지원
기업에서는 하나 이상의 도메인을 가지고 있는 경우가 많습니다. 다이렉트 액세스에서 여러 개의 도메인을 지원할 수 있도록 기능을 추가하였습니다.
먼저 UAG DA 콘솔에서는 다이렉트액세스 GPO에서 어떤 도메인을 사용할지 지정할 수 있습니다. 또한, UAG가 사용할 GPO도 지정할 수 있습니다. UAG 관리자와 다이렉트액세스 관리자와의 역할도 분리할 수 있습니다. 또한, GPO를 도메인이 아닌 OU에 직접 연결할 수도 있습니다.
<그림 4. GPO와 도메인의 연결> <그림 5. GPO를 특정 OU에 연결>
<그림 6. GPO를 선택하는 화면>
3. 항상 관리(Always Managed)
일부의 경우이기는 하지만, 어떤 상황에서는 내부의 사용자들은 예외로 하고, 원격 클라이언트를 관리하기 위한 목적으로 다이렉트액세스를 구현하고자 하는 경우도 있습니다. 클라이언트 마법사 화면에서는 1차 터널(외부 인프라스트럭쳐)만 켜고, 2차 터널(내부 인트라넷)을 끌 수 있도록 설정이 변경되었습니다.
4. 터널링 적용(Force tunneling)
어떤 경우에는 다이렉트액세스를 통해 클라이언트가 연결되도록 하지 않게 하지만, 한편으로 다른 네트워크에 전혀 연결할 수 없도록 격리하고자 하는 경우가 있습니다. 보통 스프릿 터널링(split tunneling)이라고 하며, UAG에서는 다음과 같이 두가지 형태를 지원합니다.
- 인트라넷 웹프록시를 통해서만 인터넷(웹) 연결
- DNS에 저장된 모든 IP 주소를 변환하기 위해 DNS64와 NAT64를 이용하여 모든 트래픽을 제한.
이 기능에 대한 보다 자세한 사항은 아래 링크를 참고하십시오.
5. 모니터링 및 문제해결 기능 향상
5.1 서버
UAG 콘솔의 DA 부분에서는 Web Monitor라는 탭을 통해 모니터링 기능을 제공합니다. 로그 정보는 내부에 있는 SQL 데이터베이스에 저장되며, 관리자는 현재 로그온한 사용자의 현황, 액세스 레벨, NAP 헬쓰, 시스템 계정 및 기타 정보를 손쉽게 모니터링할 수있습니다.
만약 어레이(array) 레벨에서는 각각의 UAG 어레이 구성원들의 헬쓰 정보인 "SCOM-like" 정보를 볼 수 있습니다. 어레이 레벨에서 보여 주는 모든 정보들은 시스템 관리자가 볼 수 있습니다.
사용자 모니터링 파워셀 스냅인에서는 보안 감사 이벤트 로그를 켜지 않더라도 사용자 및 서버의 모니터링 정보를 볼 수 있습니다.
5.2 클라이언트
DCA(DirectAccess Connectivity Assistant)는 다이렉트 액세스 클라이언트에서 실행되는 애플리케이션으로 기업의 인트라넷과 같은 자원에 연결하려고 하는 다이렉트 액세스 연결의 상태를 손쉽게 확인할 수 있습니다. 또한, 연결상의 문제가 발생할 경우 손쉽게 해결할 수 있는 단초를 제공합니다.
UAG 2010 SP1에서는 UAG DA 콘솔에서 DCA를 구성할 수 있습니다. 이 구성 정보는 GPO를 통해 클라이언트에게 전파됩니다. DCA 실행 배포는 UAG에서 이뤄지지 않고, GPO, SCCM 및 기타 수단을 통해 자동화하여 배포하거나, 관리자가 수동으로 배포해야 합니다.
또한, DCA에서는 아래 화면과 같이 모두 7가지의 네트워크 명령어를 추가했습니다.
<그림 7. 문제해결을 위해 사용할 수 있는 7가지 새로운 진단 기능>
지금까지 UAG 2010 SP1에서 향상되거나 개선된 다이렉트액세스 기능에 대해 정리했습니다.
감사합니다.