01. VPN의 개요 VPN(가상 사설 망)은 개인 네트워크를 확장한 네트워크로 인터넷 같은 공용 네트워크를 통한 연결을 지원 조직의 외부에 있는 조직원이 조직 내부의 네트워크 자원을 마치 내부에 있는 것처럼 사용
02. VPN 관련 프로토콜 VPN 프로토콜은 LAN 프로토콜인 TCP/IP, IPX/SPX, NetBEUI 등의 데이터 패킷을 포함한 PPP 데이터 패킷을 캡슐화하여 클라이언트와 원격 액세스 서버 사이에서 전송되는 데이터 패킷이 외부로 유출되지 않도록 보안성과 유효성을 강화하는 역할을 수행 이러한 캡슐화 과정 전체를 터널링이라고도 한다 대표적인 프로토콜로 PPTP와 L2TP가 있다
PPP PPP(지점간 프로토콜)는 서로 다른 공급업체의 원격 액세스 소프트웨어들이 상호 운영될 수 있도록 해주는 표준 프로토콜 집합 PPP 표준은 SLIP과 같은 이전 표준에는 없는 고급 기능을 허용 데이터 압축과 암호화 등 여러 LAN 프로토콜을 지원 TCP/IP나 IPX를 네트워크 프로토콜로 사용할 수 있다. PPTP(지점간 터널링 프로토콜)와 L2TP(계층 2 터널링 프로토콜) 프로토콜의 기초
PPTP PPTP(지점간 터널링 프로토콜)은 Windows NT 4.0과 Windows 98에서 처음 지원된 터널링 프로토콜 PPP의 확장 버전으로 PPP의 인증, 압축 및 암호화 메커니즘을 활용 VPN 서버의 PPTP 지원은 Windows Server 2003에 기본으로 제공 - TCP/IP 프로토콜과 함께 설치 PPTP는 TCP/IP 기반의 네트워크에서 VPN 연결을 만들어 원격 컴퓨터로부터 개인 서버로 보안된 데이터 전송이 이루어지게 한다. PPTP는 PPP 데이터그램 내에서 IP나 IPX 패킷을 캡슐화한다. 즉, 특정 네트워크 프로토콜에 기반으로 하는 응용 프로그램을 원격으로 실행할 수 있다.
L2TP RFC에 제안된 터널링 프로토콜 L2TP는 암호화 서비스를 위해 IPSec(인터넷 프로토콜 보안)를 사용 주요 VPN 서비스인 개인 데이터의 캡슐화와 암호화를 제공 L2TP와 IPSec은 VPN 클라이언트와 VPN 서버 양측에서 모두 지원되어야 한다.
IPSec 외부의 보안 공격으로부터 개인 네트워크를 방어하는 정책 IETF IPSec 작업 그룹에서 개발한 산업 표준을 기반으로 한다. IPSec은 개인 네트워크, 도메인, 사이트, 원격 사이트, 엑스트라넷, 전화 접속 클라이언트 사이의 통신을 보호 또한 특정 트래픽 유형의 확인 또는 전송의 차단에도 사용할 수 있다. LAN에서 클라이언트/서버 혹은 피어 투 피어로, WAN에서 라우터 간 혹은 게이트웨이 간에, 개인 네트워크에서 인터넷이나 전화 접속을 통하여 연결하는 클라이언트에 모두 적용될 수 있다.
03. VPN의 구성 방법 Windows Server 2003에서 실제로 원격 액세스 서비스를 제공하도록 구성하고 클라이언트가 이 원격 액세스 서버로 접근하여 내부 네트워크로 연결할 수 있도록 하기 위해서는 네트워크의 관리자가 네트워크 구성, 원격 액세스 정책 구성, 도메인 구성, 보안 구성에까지의 포괄적인 설계 과정을 거쳐야 한다. 여기에는 다음의 네가지 주요 단계를 포함한다. 이 작업들은 네트워크의 관리자만이 가능하다. 1. VPN 서버에 하드웨어를 설치한다. 2. LAN 및 WAN 어댑터에 TCP/IP를 구성한다. 3. 라우팅 및 원격 액세스 서비스를 설치한다. 4. VPN 서버에서 인트러넷 및 인터넷으로의 접근 경로를 구성한다.
라우팅 및 원격 액세스 서비스를 설치하기 1. [시작] → [모든 프로그램] → [관리 도구] → [라우팅 및 원격 액세스]를 실행한다. [라우팅 및 원격 액세스] 관리 콘솔에 서버 개체가 아래 방향을 가리키는 빨간 화살표가 있음을 볼 수 있다. 빨간 화살표는 서버가 구성되지 않았음을 나타나는 것으로 설정이 완료되고 서비스가 실행되면 위쪽을 가리키는 녹색 화살표로 바뀐다. 서버 개체를 선택하고 마우스의 오른쪽 버튼을 누른 다음 [라우팅 및 원격 액세스 구성 및 사용]을 선택하여 라우팅 및 원격 액세스 서버 설치 마법사를 실행한다.
라우팅 및 원격 액세스 서비스를 설치하기 2. ‘라우팅 및 원격 액세스 서버 설치 마법사’가 나타나면 ‘다음’ 버튼을 누른다.
라우팅 및 원격 액세스 서비스를 설치하기 3. ‘구성’ 창에서는 서버가 선택할 수 있는 서비스가 옵션으로 제공된다. 여기서 ‘원격 액세스(전화 접속 또는 VPN)(R)’ 옵션을 선택하고 ‘다음’ 버튼을 누른다.
라우팅 및 원격 액세스 서비스를 설치하기 4. 다음 단계인 ‘원격 액세스’ 화면에서는 VPN과 전화접속 연결의 선택 여부를 물어보고 있다. 이때 둘 모두를 선택할 수도 있다. 여기서는 VPN을 선택하도록 한다.
라우팅 및 원격 액세스 서비스를 설치하기 5. 인터넷에 연결된 네트워크 인터페이스를 선택한다. 아래의 체크 상자를 선택하면 네트워크 인터페이스로 들어오는 연결 시도 중 VPN 연결을 제외한 나머지는 모두 거부하게 된다. ‘다음’ 버튼을 누른다.
라우팅 및 원격 액세스 서비스를 설치하기 6. 다음 단계로 넘어가면 아래와 같은 화면을 볼 수 있다. 원격에 위치한 VPN 클라이언트가 VPN 서버로 연결하는 것은 어려운 일이 아니다. 하지만 VPN 서버를 거쳐 내부 네트워크의 서버나 자원으로 접근하기 위해서는 해당 서브넷에서 사용할 수 있는 주소를 가져야 한다. 이때 사용할 수 있는 방법이 다음 두 가지 옵션이다. ‘자동으로’ 옵션은 DHCP 서버로부터 주소를 받아와서 할당하겠다는 의미로 사전에 DHCP 서버가 구성되어 있어야 한다.
라우팅 및 원격 액세스 서비스를 설치하기 7. ‘지정한 주소 범위에서’를 선택하면 클라이언트에게 VPN 서버가 할당할 주소를 미리 부여할 수 있다. 여기서는 시작 IP 주소가 172.31.255.1이고 종료 IP 주소가 172.31.255.254인 고정 IP 주소 풀을 구성한다.
라우팅 및 원격 액세스 서비스를 설치하기 8. 주소 할당에 관한 설정을 마치고 나면 다중 원격 액세스 서버 관리를 위한 옵션의 선택 여부를 물어본다. 다수의 원격 액세스 서버를 구축해 놓은 경우, 관리의 일원화와 인증의 중앙 집중 처리를 위해 IAS(Internet Authentication Service)를 설치 및 구성하게 되는데, 이 IAS가 구동되는 서버를 RADIUS 서버라 한다. 둘 중 하나의 옵션을 선택하고 ‘다음’ 버튼을 누른다.
라우팅 및 원격 액세스 서비스를 설치하기 9. 지금까지의 설정 사항을 확인시켜 주는 창에서 ‘마침’ 버튼을 누른다.