Partager via


[Dongclee 의 11월 4번째 포스팅] DirectAccess 클라이언트가 외부에 있으면 보안에 불안하지 않나요?

이동철입니다.

앞서 Genious VPN 이라고 해서 Windows Server 2008 의 DirectAccess 및 Forefront UAG 의 DirectAccess 에 대해서 소개를 드렸지요.

그런데,외부 검증되지 않은 네트워크에서 회사의 DirectAccess 서버를 연결한 뒤, 회사의 인트라넷을 사용하게 되면, 회사의 보안 관리자 입장에서 좀 불안하지 않나요?

당근 불안하겠지요....

그래서, 다소나마 불안감을 해소하기 위해, 회사의 보안 compliance를 DirectAccess 클라이언트들에게 강제적으로 적용하는 방안에 대해서 소개드리고자 합니다.

아 이쯤 얘기하면, 벌써 NAP(Network Access Protection)에 대해서 얘기를 할려고 하는 구나 하고 생각하시겠지요....

맞습니다. Forefront UAG DirectAccess 와 NAP을 연동하게 되면, 아무리 DirectAccess 클라이언트라고 할지라도, 회사의 보안 compliance에 위배되면, 회사 내부 네트워크에 연결할 수 없도록 차단됩니다.

예를 들어,

DirectAccess 클라이언트에 반드시 바이러스 백신 프로그램이 설치되어야 하고,

DirectAccess 클라이언트에 반드시 개인 방화벽이 enable 되어 있어야 하고 등등 기타 여러 가지 compliance를 설정하여 외부 네트워크에 존재하는 DirectAccess 클라이언트들을 보호하도록 강제하는 시스템이 바로 NAP 과 Forefront UAG DirectAccess 의 연동입니다.

간단한 구조도는 아래와 같습니다.

NAP 과 Forefront UAG DirectAccess를 연동하기 위해서는 아래 여러 가지 component가 설치 및 구성되어야 합니다.

  1. Certificate Authority
  2. Network Policy Server
  3. Health Registration Authority

첨부 문서에는 위의 구성 요소에 대한 설치 및 구성에 대한 내용도 포함되어 있습니다.

추후에, NAP의 다른 활용에 대한 포스팅도 하도록 하겠습니다.

11월 마무리 잘 하세요,, 여러분들 모두

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Forefront UAG DirectAccess 설치 및 구성 v2.0.pdf

Comments

  • Anonymous
    January 01, 2003
    송재근님,,, 올 초에 질문을 하셨는데, 제가 제 블로그에 대해서 RSS 설정을 하지 않아서 제가 송재근님의 질문을 못 챙겼네요. 일단 NPS만으로 보안을 강화하기 위해서는 결국 NAP(Network Access Protection) 을 구축하는 방법이 있을 수 있습니다. NAP 구축 가이드 역시 제 블로그에 있습니다. 참조하세요

  • Anonymous
    January 18, 2012
    부장님이 올린 글 보고 다이렉트 엑세스 구성에 도움이 많이 되었습니다. 테스트 중이지만 보안적인 측면에서 우려가 깊었는데... UAG를 이용한 DA구성을 고려해 봐야 겠네요... DA서버 트러블 슈팅 하느라 엄청 고생했는데..... 막막하지만 부장님 블로그에서 도움 많이 받고 있습니다...

  • Anonymous
    January 18, 2012
    만약에 UAG를 구현할만한 상황이 아닌 경우  NPS만으로도 보안에 대한 불안을 씻을수 있을까요????