Embed Size (px)
Citation preview
1
Step-by-Step Guide: Deploying SSTP Remote Access
Microsoft Corporation
Published: September 2007
Modifier : Dongchul Lee ([email protected])
Modified : Nov 2007
Abstract
Secure Socket Tunneling Protocol (SSTP) 는 PPTP 및 L2TP 트래픽을 통제하는 방화벽을 통과할
수 있는 VPN 터널의 새로운 형태이다. SSTP 는 HTTPS 프로토콜의 SSL 찿널 위에서 PPP
트래픽을 보호(encapsulate)하는 방법을 제공한다. PPP 는 EAP-TLS 와 같은 강력한 인증 방식을
사용할 수 있다. HTTPS 사용은 일반적인 웹 접근을 위해 사용되는 TCP 443 포트를 사용하는
것을 의미한다. Secure Sockets Layer (SSL) 은 향상된 키 협상, 암호화, 무결성 점검을
트랜스포트 단계 에서 제공한다.
이 문서는 Windows Server® 2008 및 Windows Vista® with Service Pack 1 (SP1) 을 이용하여
VPN 원격 접근을 구성 및 테스트하는 구체적인 방법을 제공한다. 이 문서의 각 단계는 SSTP
연결 구성을 위해 요구되는 step-by-step 젃차를 설명한다.
2
Copyright Information
This document supports a preliminary release of a software product that may be changed
substantially prior to final commercial release, and is the confidential and proprietary information
of Microsoft Corporation. It is disclosed pursuant to a non-disclosure agreement between the
recipient and Microsoft. This document is provided for informational purposes only and Microsoft
makes no warranties, either express or implied, in this document. Information in this document,
including URL and other Internet Web site references, is subject to change without notice. The
entire risk of the use or the results from the use of this document remains with the user. Unless
otherwise noted, the example companies, organizations, products, domain names, e-mail
addresses, logos, people, places, and events depicted herein are fictitious, and no association
with any real company, organization, product, domain name, e-mail address, logo, person, place,
or event is intended or should be inferred. Complying with all applicable copyright laws is the
responsibility of the user. Without limiting the rights under copyright, no part of this document may
be reproduced, stored in or introduced into a retrieval system, or transmitted in any form or by
any means (electronic, mechanical, photocopying, recording, or otherwise), or for any purpose,
without the express written permission of Microsoft Corporation.
Microsoft may have patents, patent applications, trademarks, copyrights, or other intellectual
property rights covering subject matter in this document. Except as expressly provided in any
written license agreement from Microsoft, the furnishing of this document does not give you any
license to these patents, trademarks, copyrights, or other intellectual property.
© 2007 Microsoft Corporation. All rights reserved.
Microsoft, MS-DOS, Windows, Windows NT, and Windows Server are either registered
trademarks or trademarks of Microsoft Corporation in the United States and/or other countries.
All other trademarks are property of their respective owners.
3
Contents
Step-by-Step Guide: Deploying SSTP Remote Access .................................................................. 5
Secure Socket Tunneling Protocol ............................................................................................... 5
Setting up the test lab for SSTP remote access VPN connections ............................................. 7
Configuring DC1 ........................................................................................................................... 8
Configuring VPN1....................................................................................................................... 12
Configuring CLIENT1 ................................................................................................................. 39
Simulating a PPTP-based connection failure ............................................................................. 42
Configuring an SSTP-based connection .................................................................................... 49
Additional Resources ................................................................................................................. 54
5
Step-by-Step Guide: Deploying SSTP Remote Access
이 가이드는 Windows Server® 2008 및 Windows Vista® with Service Pack 1 (SP1) 를
이용하여 VPN 원격 접근을 구성 및 테스트하는 테스트 랩을 만들기 위한 step-by-step 단계를
포함한다. 또한, SSTP(Secure Socket Tunneling Protocol) 연결을 위해 요구되는 각 단계의
상세한 설명을 포함하고 있다.
Note
이 가이드의 설명은 테스트 랩을 구성하기 위한 최소의 컴퓨터 및 젃차만을 포함한다.
설치 시갂 및 복잡도를 최소화하기 위해, 각 서비스를 분리하기 위해 여러 대의 컴퓨터를
사용하기 보다는 한 대의 컴퓨터에 각종 서비스를 같이 설치하기도 했다. 이러한 구성은
실제 최고 및 실제 홖경에서는 권장되지 않는다.
Consider using Virtual PC or Virtual Server
이 랩 홖경을 위해, Microsoft Virtual PC 또는 Virtual Server 를 사용하였다. 총 3 대의 컴퓨터를
구성하였고, Microsoft Virtual PC 또는 Virtual Server 사용을 위한 방법은 아래 링크를 참조하기
바란다:
Virtual PC 2007 Product Information (http://go.microsoft.com/fwlink/?LinkId=69217)
Virtual Server Product Information (http://go.microsoft.com/fwlink/?LinkId=69220)
Do More With Less: Exploring Virtual Server 2005
(http://go.microsoft.com/fwlink/?LinkId=69221)
TechNet Webcast: Virtual Server 2005 - Setting Up a Virtual Test and Development
Environment—Level 200 (http://go.microsoft.com/fwlink/?LinkId=69222)
Secure Socket Tunneling Protocol Secure Socket Tunneling Protocol (SSTP) 는 PPTP 및 L2TP 트래픽을 통제하는 방화벽을 통과할
수 있는 VPN 터널의 새로운 형태이다. SSTP 는 HTTPS 프로토콜의 SSL 찿널 위에서 PPP
트래픽을 보호(encapsulate)하는 방법을 제공한다. PPP 는 EAP-TLS 와 같은 강력한 인증 방식을
사용할 수 있다. HTTPS 사용은 일반적인 웹 접근을 위해 사용되는 TCP 443 포트를 사용하는
것을 의미한다. Secure Sockets Layer (SSL) 은 향상된 키 협상, 암호화, 무결성 점검을
트랜스포트 단계 에서 제공한다.
SSTP-based VPN connection process
SSTP 기반 VPN 연결을 위한 데이터 흐름은 아래와 같다:
6
Windows Server 2008 또는 Windows Vista with SP1 를 사용하는 사용자 컴퓨터가 SSTP 기반의
연결을 시작하면, 아래와 같은 젃차가 수행된다:
1. SSTP 클라이언트는 SSTP 클라이언트에 동적으로 할당된 TCP 포트와 SSTP 서버상의 TCP
포트 443 갂의 TCP 연결을 설정한다.
2. SSTP 클라이언트는 SSL 클라이언트 – Hello 메세지를 보내는데, 이것은 SSTP 클라이언트는
SSTP 서버와 SSL 세션을 생성하기를 원한다는 것을 의미한다.
3. SSTP 서버는 SSTP 클라이언트에게 자싞의 컴퓨터 인증서를 보낸다.
4. SSTP 클라이언트는 컴퓨터 인증서를 검증하고, SSL 세션에 대한 암호화 방법을 결정하고,
하나의 SSL 세션을 만들어 SSTP 서버의 인증서의 공개키값과 함께 이를 암호화한뒤,SSTP
서버로 SSL 세션키의 암호화된 폼을 보낸다.
5. SSTP 서버는 자싞의 컴퓨터 인증서의 사설키로 암호화된 SSL 세션키를 복호화한다.
SSTP 클라이언트와 SSTP 서버갂의 추후의 모든 통싞은 협상된 암호화와 SSL 세션키로
암호화된다.
6. SSTP 클라이언트는 HTTP over SSL 요청 메세지를 SSTP 서버로 보낸다.
7. SSTP 클라이언트는 SSTP 서버와 SSTP 터널을 협상한다.
8. SSTP 클라이언트는 SSTP 서버와의 PPP 연결을 협상한다. 이 협상은 PPP 인증과 함께
사용자의 Credentials 을 인증하는것과 IPv4 또는 IPv6 트래픽에 설정사항을 구성하는것을
포함한다.
9. SSTP 클라이언트는 PPP 링크를 통해 IPv4 또는 IPv6 트래픽을 보내기 시작한다.
Figure 1. Protocol level view of SSTP system architecture.
7
Setting up the test lab for SSTP remote access VPN connections VPN 테스트 랩 네트워크를 위해 필요한 서버는 총 3 대이다. 각 컴퓨터의 역할은 아래와 같다:
DC1(Windows Server 2003) : Domain controller, Domain Name System (DNS) server, 내부
네트워크를 위한 파일 서버.
VPN1(Windows Server 2008) : Routing and Remote Access, Active Directory Certificate
Services, Internet Information Services (IIS : SSTP 기반 VPNM 연결을 위해 필요한 컴퓨터
인증서를 웹 상에 발급하기 위해 요소). VPN1 는 총 2 개의 네트워크 어댑터가 필요하다.
CLIENT1 (Windows Vista with SP1) : 외부(Internet) 네트워크에 연결됨. 그리고, SSTP
프로토콜은 꼭 SP1 이 설치되어 있어야 한다. 기본 SP1 이 아닌 Vista 클라이언트는 SSTP 를
지원하지 않는다.
VPN 테스트 랩의 구성은 아래 그림과 같다.
Figure 2. Configuration of the SSTP connection test lab.
8
Configuring DC1 DC1 은 다음 역할을 수행하기 위해 Windows Server 2003 SP1 또는 R2 를 설치한다:
A domain controller for the Contoso.com Active Directory® domain.
A DNS server for the Contoso.com DNS domain.
A file server.
DC1 의 구성은 아래 단계로 구성된다:
Install the operating system.
Configure TCP/IP.
Install Active Directory and DNS.
Create a user account with remote access permission.
Create a shared folder and file.
다음 부분은 각 단계의 상세 설명을 포함한다.
Install the operating system
Install Windows Server 2003 (on DC1)
1. Windows Server 2003 제품 CD를 사용하여 컴퓨터를 시작한다. (도메인을 구성하기 위
해, Windows Server 2003 Web Edition을 제외하고 임의의 버젂을 사용할 수 있다)
2. 컴퓨터 이름 부분에서 DC1 를 입력하고, 그 외의 설치 과정은 기본 설치로 짂행한다.
3. 관리자 계정의 암호를 “P@ssword” 로 구성한다.
Configure TCP/IP
다음 단계에서는, DC1 컴퓨터에 정적 IP 주소를 192.168.0.1 로 설정한다. 서브넷 마스크는
255.255.255.0 으로 설정하고, 기본 게이트웨이는 192.168.0.2 설정한다.
Configure TCP/IP properties (on DC1)
1. DC1\Administrator 계정 또는 로컬 관리자그룹의 다른 계정으로 DC1 컴퓨터를 로그온
한다.
2. Start -> Control Panel -> Network Connections -> Local Area Connection ->
9
Properties 순서로 클릭한다.
3. General 탭에서 Internet Protocol (TCP/IP) 를 클릭 한 후, Properties를 선택한다.
4. Use the following IP address 옵션을 선택한다. IP address부분에 192.168.0.1 를 입력
하고, Subnet mask부분에 255.255.255.0를 입력한다. 그리고, Default Gateway 부분에
192.168.0.2 를 입력하고, Preferred DNS Server 부분에 192.168.0.1 을 입력한다.
5. OK를 클릭하고 Local Area Connection Properties 다이얼로그 상자를 닫기 위하여
Close 를 클릭한다.
Install Active Directory and DNS
Contoso.com 도메인을 위한 도메인 컨트롤러를 생성하고 구성한다.
Configure DC1 as a domain controller (on DC1)
1. Start -> Run 순서로 클릭한다. dcpromo 를 입력하고, OK 를 클릭한다.
2. Active Directory Installation Wizard의 Welcome 단계에서, Next를 클릭한다.
3. Next 를 클릭하고, Domain controller for a new domain 옵션을 선택하고, Next 를 클
릭한다.
4. Domain in a new forest 옵션을 선택하고, Next를 클릭한다.
5. Full DNS name for new domain 부분에서, contoso.com 을 입력하고, Next 를 클릭한
다.
6. Domain NetBIOS name 부분에서 CONTOSO 를 입력하고, Next 를 세 번 연속 클릭한
다.
7. Install and configure the DNS server on this computer and set this computer to
use this DNS server as its preferred DNS server 옵션을 선택하고, Next를 클릭한다.
8. Permissions compatible only with Windows 2000 or Windows Server 2003
operating systems 옵션을 선택하고, Next를 클릭한다.
9. Restore Mode Password 및 Confirm Password 부분에서, 적젃한 암호를 입력하고
Next 를 클릭한다.
10. Next 를 클릭한다.
11. Active Directory Installation Wizard 수행이 완료되면, Finish를 클릭한다.
12. Restart Now 를 클릭한다.
Note
10
이 과정을 마무리 한 후, 컴퓨터를 반드시 재 시작해야 한다.
Create a user account with remote access permission
사용자 계정을 생성하고, 생성된 사용자 계정에 원격 접근 권한을 부여한다.
Create and grant permission to a user account in Active Directory (on DC1)
1. DC1\Administrator 계정 또는 로컬 관리자그룹의 다른 계정으로 DC1 컴퓨터를 로그온
한다.
2. Start -> Administrative Tools -> Active Directory Users and Computers 순서로 클
릭한다. Active Directory Users and Computers 콘솔이 수행된다.
3. 콘솔 트리에서, contoso.com 를 확장한다.
4. Users 를 오른쪽 마우스 클릭하고, New -> User 순서로 클릭한다.
5. New Object – User 다이얼로그 상자의, Full name 및 User logon name 부분에 user1
을 입력하고, Next 를 클릭한다.
6. New Object – User 다이얼로그 상자의 Password 및 Confirm password 상자에서 적젃
한 암호(P@ssword)를 설정한다. User must change password at next logon 체크 상자를
선택하지 않고, Next 를 클릭한 후, Finish 를 클릭한다.
11
User1 에게 원격 접근 권한을 부여하기:
1. 왼편 창에서 Users 를 클릭한다. 상세 창에서, user1 를 오른쪽 마우스 클릭하고
Properties 를 클릭한다.
2. Dial-in 탭의, Remote Access Permission (Dial-in or VPN) 부분에서 Allow access 를
클릭하고, OK를 클릭한다.
Note
실제 홖경에서는 원격 접근 정챀을 홗성화하고 구성하는 것은 Network Policy
Server (NPS) 를 사용해야 한다.
3. Active Directory Users and Computers 를 닫는다.
Create a shared folder and file
이 랩 시나리오를 위해서 DC1 서버를 파일 서버로 구성한다. 원격 사용자(CLIENT1)가 VPN1
서버를 통해 DC1 의 특정 폴더를 접근하는 방식으로 테스트한다.
Create a shared folder and file (on DC1)
1. Start -> My Computer 순서로 클릭한다.
2. Local Disk (C:) 를 더블 클릭한다.
3. 윈도우 탐색기 창의 빈 곳에서, 오른쪽 마우스 클릭하고, New -> Folder 순서로 클릭한
12
다.
4. CorpData.로 폴더 이름을 입력한다.
5. CorpData 폴더를 오른쪽 마우스 클릭하고, Sharing and Security 를 클릭한다.
6. Share this folder -> Permissions 순서로 클릭한다.
7. Add 를 클릭한다.
8. Enter the object names to select 부분에, domain users 를 입력하고, Check Names.
을 클릭한다. Contoso.com 도메인 내에서 Domain Users 를 확인해야 한다.
9. OK 를 클릭한다.
10. Permissions for Domain Users 부분의 Allow 부분에서, Full Control 를 클릭한다.
11. Sharing 다이얼로그 상자를 닫기 위하여 OK 를 두 번 클릭한다.
12. CorpData 폴더를 더블클릭하고, 빈 곳에 오른쪽 마우스 클릭한다. New -> Text
Document 순서로 클릭한다.
13. VPNTest.txt 문서 이름을 입력한다.
14. VPNTest.txt 을 오픈하고, 적당히 텍스트를 입력한다.
15. VPNTest.txt 를 저장하고 닫는다.
Configuring VPN1 VPN1 서버는 다음 역할을 수행하기 위한 Windows Server 2008 컴퓨터이다 s:
Active Directory Certificate Services, SSTP 기반 VPN 연결을 위하여 필요한 컴퓨터 인증서를
발급하기 위한 CA(Certificate Authority).
Certification Authority Web Enrollment, 웹 브라우저를 통하여 인증서 발급을 가능하게 하는
서비스
Web Server (IIS), CA 웹 발급을 위하여 필요한 웹 서비스.
Note
“Routing and Remote Access” 는 HTTP.SYS 를 통하여 직접적으로 HTTPS 통싞을 하기
때문에, 꼭 IIS 가 필요한 건 아니다. 이 랩 시나리오에서 IIS 가 필요한 이유는 VPN1
서버로부터 CLIENT1 가 필요한 인증서를 발급받기 위해 웹 사이트
(http://vpn1.contoso.com/certsrv) 를 이용하기 때문이다.
Network Policy and Access Services, 원격 접근 서비스를 통하여 VPN 연결을 지원하기 위한
서비스.
VPN1 구성은 다음 단계로 구성된다:
Install the operating system.
Configure TCP/IP for Internet and intranet networks.
13
Join the Contoso.com domain.
Install the Active Directory Certificate Services and Web Server (IIS) server roles.
Create and install the Server Authentication certificate.
Install the Network Policy and Access Services (Routing and Remote Access) server role.
Configure VPN1 to be a VPN server.
다음 부분은 각 단계를 상세하게 설명한다.
Install the operating system
VPN1 서버에 Windows Server 2008 설치하기:
Install Windows Server 2008 (on VPN1)
1. Windows Server 2008 제품 CD를 사용하여 컴퓨터를 시작한다.
2. 설치 타입에서, Custom Installation 을 선택한다.
3. 컴퓨터 이름에서 VPN1 을 입력한다.
4. 이 후의 설치과정은 기본설정으로 설치를 완료한다.
5. Provide Computer Information 부분 밑의 Initial Configuration Tasks 창에서,
Configure Networking 을 클릭한다.
Note
Initial Configuration Tasks 창이 열려있지 않다면, Start -> Run 순서로
클릭하고, 텍스트 상자 부분에 oobe 를 입력하고 OK 를 클릭한다.
Figure 3. Initial Configuration Tasks window.
14
Configure TCP/IP
다음 단계에서는, VPN1 서버의 외부(Internet) 연결을 위한 정적 IP 주소를 131.107.0.2 로
설정하고, 내부(Intranet) 연결을 위한 정적 IP 주소를 192.168.0.2 로 설정한다.
Configure TCP/IP properties (on VPN1)
1. Start -> Control Panel -> Network Connections -> Local Area Connection ->
Properties 순서로 클릭한다.
2. General 탭에서 Internet Protocol (TCP/IP) 를 클릭 한 후, Properties를 선택한다.
3. Use the following IP address 를 클릭한다.
4. IP 주소 및 서브넷 마스크를 다음 값으로 구성한다:
a. 외부 (Internet) 네트워크 연결된 인터페이스를 아래 화면과 같이 구성한다.
15
b. 내부 (Intranet) 네트워크 연결된 인터페이스를 아래 화면과 같이 구성한다.
5. OK -> Close 순서로 클릭한다.
6. Network connections 의 이름을 변경하기 위하여, Network connection 을 오른쪽 마우
스 클릭하고, Rename 을 클릭한다.
7. 다음 값으로 Network Connections 의 이름을 구성한다:
a. 외부 (Internet) 네트워크 연결된 인터페이스상에서, Public 을 입력한다.
16
b. 내부 (Intranet) 네트워크 연결된 인터페이스상에서, Private 을 입력한다.
8. Network Connections 창을 닫는다.
VPN1 와 DC1 사이의 네트워크 연결을 확인하기 위하여 ping 명령어를 사용한다.
Use the ping command to check network connectivity (on VPN1)
1. Start -> Run 순서로 클릭하고, cmd 를 입력한 후, OK 를 클릭한다. 명령어 창에서,
ping192.168.0.1 를 입력하고 Enter 키를 누른다.
2. Ping DC1 이 성공적임을 확인 할 수 있다.
3. 명령어 창을 닫는다.
Join the Contoso domain
VPN1 서버를 Contoso.com 도메인에 멤버 서버로 구성한다.
Join VPN1 to the Contoso.com domain (on VPN1)
1. Start 를 클릭하고, Computer 를 오른쪽 마우스 클릭한 후, Properties를 클릭한다.
2. Change settings (at the right side under Computer name, domain, and workgroup
17
settings) 를 클릭하고, Change를 클릭한다.
3. Computer Name/Domain Changes 대화 상자에서, Domain 옵션을 선택하고,
contoso.com를 입력한다.
4. More 를 클릭하고 Primary DNS suffix of this computer 상자에 contoso.com 을 입력
한다.
5. OK 를 클릭한 후 다시 OK 를 클릭한다.
6. 관리자 인증을 위한 Computer Name/Domain Changes 다이얼로그 상자가 나타났을
때, CONTOSO\Administrator 의 인증을 제공하고 OK를 클릭한다.
7. contoso.com 도메인 참여 홖영 메시지가 나타나면, OK를 클릭한다.
8. Computer Name/Domain Changes 다이얼로그 상자에서 컴퓨터의 재 시작을 요청하
면, OK 를 클릭하고 Close를 클릭한다.
9. Restart Now 를 클릭한다.
Install Active Directory Certificate Services and Web Server
SSTP 기반의 VPN 연결을 지원하기 위해서는, 먼저 인증서 발급을 위한 CA 서비스를 설치해야
한다. 이 랩에서는 VPN1 서버에 Active Directory Certificate Service 를 설치하고, 또한 컴퓨터
인증서의 웹 사이트 발급을 위해 추가적으로 IIS 를 추가적으로 설치한다.
Install VPN and certificate services roles (on VPN1)
1. [email protected] 계정으로 로그인 한다.
18
2. Initial Configuration Tasks 창의, Customize This Server 부분에서, Add roles 을 클릭
한다.
Note
Initial Configuration Tasks 창이 열려있지 않다면, Start -> Run 순서로
클릭하고, 텍스트 상자 부분에 oobe 를 입력하고 OK 를 클릭한다.
3. Add Roles Wizard 다이얼로그 상자의, Before You Begin 부분에서, Next 를 클릭한다.
4. Active Directory Certificate Services 를 클릭한다.
Figure 4. Select Server Roles window.
5. Next -> Next 순서로 클릭한다.
6. Select Role Services 다이얼로그 상자의, Role services 부분에서, Certification
Authority Web Enrollment 를 클릭한다.
7. Add Roles Wizard 다이얼로그 상자에서, Add Required Role Services 를 클릭한다.
Figure 5. Add Roles Wizard dialog box.
19
8. Next 를 클릭한다.
9. Standalone -> Next 순서로 클릭한다.
10. Root CA (recommended) -> Next 순서로 클릭한다.
11. Create a new private key -> Next 순서로 클릭한다.
12. 기본 cryptographic 설정을 사용하기 위해 Next 를 클릭한다.
13. Configure CA Name 다이얼로그 상자에서, 기본 CA 이름을 사용하기 위하여 Next 를
클릭한다.
Figure 6. Configure CA Name dialog box.
20
14. 기본 설정을 사용하기 위해 Next 를 반복적으로 클릭한다.
15. Confirm Installation Selections 다이얼로그 상자에서, Install 을 클릭한다.
16. Installation Results 다이얼로그 상자에서, Close 를 클릭한다.
Create and install the Server Authentication certificate
앞선 단계에서 CA 서비스의 설치를 완료했다. 이제 실제 SSTP 연결을 위해 사용할 VPN1 서버의
서버 인증서(Server Authentication certificate)를 생성하고, 실제 VPN1 서버에 발급받은 서버
인증서를 설치해야 한다. 인증서를 설치하기 젂에, 먼저 인증서 퍼블리싱을 허용하도록 IE 의
설정을 변경해야 한다.
Configure Internet Explorer (on VPN1)
1. Start 를 클릭하고, Internet Explorer 를 오른쪽 마우스 클릭 한 후, Run as
administrator를 클릭한다.
2. 퍼블리싱 필터 경고가 나타나면, Turn off automatic Phishing Filter 를 클릭 한 후, and
21
OK 를 클릭한다.
3. Tools 메뉴를 클릭하고, Internet Options 를 클릭한다.
4. Internet Options 다이얼로그 상자에서, Security 탭을 클릭한다.
5. Select a zone to view or change security settings 부분의, Local intranet 를 클릭한
다.
6. 현재 Medium-low 로 설정되어 있는 보안 레벨을 Low 로 변경하고, OK 를 클릭한다.
Note
실제 홖경에서는, 보안 레벨을 “Low” 로 하는 것 보다는 Custom level 를
사용하여 각각의 ActiveX 제어 설정을 구성해야만 한다.
Figure 7. Internet Options dialog box.
서버 인증서(Server Authentication certificate)를 요청하기 위하여 IE 를 사용한다.
22
Request a Server Authentication certificate (on VPN1)
1. IE 에서 http://localhost/certsrv 주소를 입력하고, ENTER 를 누른다.
2. Select a task 부분에서, Request a certificate 를 클릭한다.
3. Request a Certificate 부분에서, advanced certificate request 를 클릭한다.
4. Advanced Certificate Request 부분에서, Create and submit a request to this CA 를
클릭한다.
5. ActiveX 컨트롤을 허용하기 위해 Yes 를 클릭한다.
Figure 8. Advanced Certificate Request page.
23
6. Identifying Information, 부분의, Name 필드에서, vpn1.contoso.com 를 입력하고,
Country/Region 필드에는 US 를 입력한다.
Note
여기에서 가장 중요한 부분은 “Name” 이다. 여기 “Name” 에 입력해야 할 것은
실제 외부에서 VPN 서버를 연결하기 위해서 사용할 FQDN 을 입력해야 한다. 이
인증서의 “Name” 부분에 입력한 것과 클라이언트에서 연결할 서버 이름이 다를
경우, 오류가 발생할 수 있다.
7. Type of Certificate Needed 부분에서, Server Authentication Certificate 를 선택한다.
8. Key Options 부분에서, Mark keys as exportable 를 선택하고, Submit 를 클릭한다.
24
9. “Web Access Confirmation” 다이얼로그 상자에서 Yes 를 클릭한다.
25
위 단계를 완료하게 되면, 서버 인증서(Server Authentication certificate) 현재 발급이 보류(pending)
중이다. 이제 이 인증서를 먼저 CA 관리 콘솔에서 발급(issue)해 줘야 한다. 그래야만, 설치가
가능하다.
Issue and install the Server Authentication certificate (on VPN1)
1. Start -> Run 순서로 클릭한다.
2. Open 부분에서, mmc 를 입력하고, OK 를 클릭한다.
3. Console1 스냅 인에서, File -> Add/Remove Snap-in 순서로 클릭한다.
4. Available snap-ins 부분에서, Certification Authority 를 클릭하고, Add 를 클릭한다.
5. Local computer 의 기본 설정을 사용하기 위해 Finish 를 클릭한다.
6. Add or Remove Snap-ins 다이얼로그 상자를 닫기 위해 OK 를 클릭한다.
7. 싞규로 생성된 MMC 콘솔의, 왼편 창에서, Certification Authority (Local) 를 더블 클릭
한다.
8. Double-click contoso-VPN1-CA, 더블 클릭 한 후, and then click Pending Requests.
를 클릭한다.
Figure 9. Certification Authority console.
26
9. 중갂 창의, Pending Request 를 오른쪽 마우스 클릭하고, All Tasks -> Issue 순서로 클
릭한다.
10. IE의, Certificate Pending 페이지에서, Home 을 클릭한다. 이 페이지가 보이면 않는다
면, http://localhost/certsrv 를 IE에서 수행한다.
27
11. Select a task 부분에서, View the status of a pending certificate request 를 클릭한
다.
12. View the Status of a Pending Certificate Request 부분에서, 아래 그림에 보이는 인증
서 링크를 클릭한다.
13. ActiveX 컨트롤을 허용하기 위해 Yes 를 클릭한다.
14. Certificate Issued 부분에서, Install this certificate 를 클릭한다.
28
15. Confirmation 다이얼로그 상자에서 Yes 클릭한다.
위 단계를 완료하면, 서버 인증서는 기본적으로 현재 로그온한 사용자
([email protected]) 의 인증서 저장소(My user account)에 설치되어 있다. 그러나, 이
컴퓨터에서 젂체 사용자가 이 서버 인증서를 사용할 수 있도록, 설치한 인증서를 컴퓨터 인증
저장소(Computer Account) 로 옮기는 작업이 필요하다.
Move the certificate (on VPN1)
1. 앞선 단계에서 기존에 생성된 MMC 콘솔에서, File -> Add/Remove Snap-in 순서로 클
릭한다.
2. Available snap-ins 부분에서, Certificates -> Add 순서로 클릭한다.
Figure 10. Certificates snap-in dialog box.
29
3. My user account 의 기본 설정을 사용하기 위해 Finish 를 클릭한다.
4. Add -> Computer account -> Next 순서로 클릭한다.
5. Select Computer 다이얼로그 상자에서, Local computer 의 기본 설정을 사용하기 위해
Finish 를 클릭한다.
6. Add or Remove Snap-ins 다이얼로그 상자를 닫기 위하여 OK 를 클릭한다.
7. 콘솔 트리 창에서, Certificates - Current User 를 더블 클릭하고, Personal, 더블 클릭
한 후, Certificates 를 클릭한다.
8. 중갂 뷰 창에서, vpn1.contoso.com 인증서를 오른쪽 마우스 클릭하고, All Tasks ->
Export 순서로 클릭한다.
30
9. Welcome 페이지에서, Next 를 클릭한다.
10. Yes, export the private key -> Next 순서로 클릭한다.
11. 기본 파일 형태를 사용하기 위해 Next 를 클릭한다.
12. 텍스트 상자에 P@ssword 를 암호로 입력하고, Next 를 클릭한다.
13. File to Export 페이지에서, Browse 를 클릭한다.
31
14. File name 텍스트 상자에서, vpn1cert 를 입력하고, Browse Folders 를 클릭한다.
15. Favorite Links, 부분에서, Desktop을 클릭하고, 데스크탑에 인증서를 저장하기 위해
Save 를 클릭한다.
16. File to Export 페이지에서, Next 를 클릭한다.
17. Certificate Export Wizard 를 닫기 위하여 Finish 를 클릭하고, OK 를 클릭한다.
18. 콘솔 트리 창에서, Certificates (Local Computer) 를 더블 클릭하고, Personal 를 더블
클릭한다.
19. Certificates 를 오른쪽 마우스 클릭하고, All Tasks -> Import 순서로 클릭한다.
20. Welcome 페이지에서, Next 를 클릭한다.
21. File to Import 페이지에서, Browse 를 클릭한다.
22. Favorite Links 부분에서, Desktop 을 클릭하고, Personal Information Exchange 파일
형식을 선택한다.
Figure 11. Certificate Import Wizard.
32
23. 중갂 창에서, vpn1cert 을 더블 클릭한다.
24. File to Import 페이지에서, Next 를 클릭한다.
25. Password 텍스트 상자에서, P@ssword 를 입력하고, Next 를 클릭한다.
26. Certificate Store 페이지에서, Personal 저장소를 사용하기 위해 Next 를 클릭한다.=
27. Import Export Wizard 를 닫기 위해, Finish 를 클릭하고, OK 를 클릭한다.
Figure 12. Location of Server Authentication certificate.
33
Install Routing and Remote Access
이제 VPN1 서버에 VPN 역할을 수행할 수 있도록 “Routing and Remote Access” 서비스를 설치 및
구성해야 한다.
Install VPN and certificate services roles (on VPN1)
1. Initial Configuration Tasks 창의, Customize This Server 부분에서, Add roles 을 클릭
한다.
Note Initial Configuration Tasks 창이 열려있지 않다면, Start -> Run 순서로 클릭하
고, 텍스트 상자 부분에 oobe 를 입력하고 OK를 클릭한다.
2. Add Roles Wizard 다이얼로그 상자의, Before You Begin 부분에서, Next 를 클릭한다.
3. Network Policy and Access Services -> Next -> Next 순서로 클릭한다.
34
4. Select Role Services 다이얼로그 상자의, Role services 부분에서, Routing and
Remote Access Services 를 클릭한다.
5. Next 를 클릭하고, Install 을 클릭한다.
6. Installation Results 다이얼로그 상자에서, Close 를 클릭한다.
Configure Routing and Remote Access
이 단계는 VPN 서버가 인터넷 기반의 VPN 클라이언트들을 위한 원격 접근을 제공하도록 VPN1
서버를 구성한다.
35
Configure VPN1 to be a VPN server (on VPN1)
1. Start -> Administrative Tools -> Routing and Remote Access 순서로 클릭한다.
2. Routing and Remote Access 콘솔 트리에서, VPN1 를오른쪽 마우스 클릭하고,
Configure and Enable Routing and Remote Access 를 클릭한다.
3. Welcome to the Routing and Remote Access Server Setup Wizard 페이지에서,
Next 를 클릭한다.
4. Configuration 페이지에서, Remote access (dial-up or VPN) 의 기본 설정을 사용하기
위해 Next 를 클릭한다.
36
5. Remote Access 페이지에서, VPN 를 클릭하고, Next 를 클릭한다.
37
6. VPN Connection 페이지의, Network interfaces 부분에서, Public 를 클릭한다. 즉, 이
인터페이스를 사용하여 VPN1 서버는 외부에 연결된다.
7. Enable security on the selected interface by setting up static packet filters 설정을
사용하지 않기 위해 클릭한 후, Next 를 클릭한다.
Note
통상적으로, 외부 인터페이스 상에 보안을 홗성화해야 한다. 단지, 이 랩에서
연결성을 테스트하기 위해, 비홗성화한 것이다.
8. From a specified range of addresses 를 클릭하고, Next 를 클릭한다.
9. New 를 클릭하고, IP 대역을 아래 그림과 같이 설정한다.
38
10. 아래 설정에서 RADIUS를 사용하지 않기 위해 기본 설정을 그대로 인정하고, Next 를 클
릭한다. 이 시나리오에서는, Windows Authentication 를 사용할 것이다.
11. Completing the Routing and Remote Access Server Setup Wizard 페이지에서,
39
Finish 를 클릭한다.
12. 다이얼로그 상자가 나타나면, OK 를 클릭한다.
13. 아래 그림과 같은 DHCP Relay Agent, 에 관렦된 메시지가 나타나면, OK 를 클릭한다.
14. Routing and Remote Access 스냅-인 을 닫는다.
Configuring CLIENT1 CLIENT1 은 Contoso.com 도메인을 위한 원격 접근 VPN 클라이언트 기능을 하는 Windows
Vista with SP1 컴퓨터이다.
CLIENT1 구성은 다음 단계로 구성된다:
Install the operating system
Configure TCP/IP
다음 부분은 각 단계의 상세 설명을 포함하고 있다.
Install the operating system
CLIENT1 상에서 Windows Vista with SP1 을 설치:
Install Windows Vista SP1 (on CLIENT1)
1. Windows Vista제품 CD를 사용하여 컴퓨터를 시작한다.
2. 그 이후의 과정을 커스텀 설치(Custom Installation)를 짂행하고, 사용자 이름 부분에서
user1 을 입력하고, 컴퓨터 이름에서 CLIENT1 을 입력한다.
Configure TCP/IP
이번 단계에서는, CLIENT1 컴퓨터에 정적 IP 주소를 131.107.0.3 로 설정한다.
Configure TCP/IP properties (on CLIENT1)
1. CLIENT1\Administrator 계정 또는 로컬 관리자그룹의 다른 계정으로 CLIENT1 컴퓨터를
40
로그온한다.
2. Start -> Control Panel -> Network and Internet 순서로 클릭하고, Network and
Sharing Center 를 더블 클릭한다. 그 다음 Manage Network Connections 를 선택하고
Local Area Connection 을 오른쪽 마우스 클릭하고 Properties를 선택한다.
3. Networking 탭에서 Internet Protocol Version 4 (TCP/IPv4) 를 클릭 한 후, Properties
를 선택한다.
4. Use the following IP address 옵션을 선택한다. IP address부분에 131.107.0.3 를 입력
하고 Subnet mask부분에 255.255.0.0를 입력한다.
5. OK를 클릭하고 Local Area Connection Properties 다이얼로그 상자를 닫기 위하여
Close 를 클릭한다.
CLIENT1 컴퓨터의 hosts 파일에 VPN1 서버 항목을 추가한다. 실제 상황에서는 VPN 서버의 IP 를
공개적으로 알 수 있도록 사젂에 DNS 서버에 VPN 서버 레코드를 추가하는 작업이 필요할 수도
있다.
Configure the hosts file (on CLIENT1)
1. Start -> All Programs -> Accessories 순서로 클릭하고, Command Prompt 을 오른쪽
마우스 클릭하고, Run as administrator 를 클릭한다.
2. User Account Control 다이얼로그 상자에서, Continue 를 클릭한다.
3. 명령어 창에서 아래 명령을 입력하고, ENTER 를 누른다.:
notepad %windir%\system32\drivers\etc\hosts
4. 문서의 끝 부분에 아래 항목을 추가한다:
131.107.0.2 vpn1.contoso.com
5. hosts 파일을 저장하고 닫는다.
CLIENT1 과 VPN1 사이의 네트워크 연결을 확인하기 위하여 ping 명령을 수행한다. 그러나,
VPN1 서버의 기본적인 방화벽 설정이 ping 명령어를 차단하기 때문에, 아래 단계에서 ping
명령어를 허용할 수 있도록 방화벽 설정을 변경한다.
Use the ping command to check network connectivity (on VPN1)
1. Start -> Administrative Tools -> Windows Firewall with Advanced Security 순서로
클릭한다.
2. 콘솔 트리에서, Inbound Rules 를 클릭한다.
Figure 13. Windows Firewall with Advanced Security snap-in.
41
3. 상세 창에서, File and Printer Sharing (Echo Request - ICMPv4-In) for the Public
profile 항목을 찾아서, 더블 클릭한다. 이 항목이 홗성화 되어 있음을 알 수 있다.
Figure 14. File and Printer Sharing (Echo Request - ICMPv4-In) Properties dialog box.
42
4. General 부분에서, Enabled 선택하고, OK 를 클릭한다.
5. (On CLIENT1) 명령어 창에서, ping vpn1.contoso.com 를 입력하고, ENTER 를 누른다.
6. Ping VPN1 명령이 정상적으로 성공함을 알 수 있다.
이 테스트 랩의 목적을 위하여, 이 연결 테스트는 중요하다. 즉, 원격 사용자가 외부
네트워크에서 사무실 내의 VPN 서버로의 연결이 가능함을 확인할 수 있는 방법이다.
7. 명령어 창을 닫는다.
Simulating a PPTP-based connection failure 지금까지의 단계를 완료했다면, 랩을 위한 인프라는 구축되었다. 이 부분에서는 PPTP 기반의
VPN 연결이 실패하도록 랩을 구성할 것이다. 이러한 랩 구성은 실제 홖경에서 PPTP 연결을
허용하지 않는 방화벽을 시뮬레이션하는 것이다. 이 랩에서는 DMZ(Perimeter) 방화벽 역할을
43
수행하도록 VPN1 서버에서 “Windows Firewall with Advanced Security” 관리 도구를 사용할
것이다.
Configure PPTP-based VPN connection
이 단계에서는 PPTP 연결을 생성할 것이다.
Configure PPTP-based VPN connection (on CLIENT1)
1. Start -> Control Panel 순서로 클릭한다.
2. Network and Internet -> Network and Sharing Center -> Set up a connection or
network 순서로 클릭한다.
Figure 15. Set up a connection or network dialog box.
3. Connect to a workplace 클릭하고, Next 를 클릭한다.
4. Use my Internet connection (VPN) 를 클릭한다.
44
5. I'll set up an Internet connection later 를 클릭한다.
6. Internet address 부분에서, vpn1.contoso.com 를 입력하고, Next 를 클릭한다.
45
Note
여기에서 입력한 인터넷 주소는 앞선 VPN1 서버가 발급받았던 인증서의 “Name
(vpn1.contoso.com)” 부분에 입력했던 내용과 정확하게 일치해야 한다.
7. Type your user name and password 다이얼로그 상자에서, 다음 정보를 입력한다:
a. User name 부분에서, user1 를 입력한다.
b. Password 부분에서, P@ssword 를 입력한다.
c. Remember this password 를 클릭한다.
d. Domain 부분에서, contoso 를 입력한다.
8. Create 를 클릭하고, Close 를 클릭한다.
Test PPTP-based connection
이번 단계에서는 PPTP 연결을 테스트한다. CLIENT1 에서 생성된 PPTP 기반의 VPN 연결은
VPN1 서버로 성공할 것이다.
Test PPTP-based connection (on CLIENT1)
1. Network and Sharing Center -> Manage network connections 순서로 클릭한다.
2. VPN Connection 를 더블 클릭하고, Connect 를 클릭한다.
46
Figure 16. VPN Connection dialog box.
3. VPN Connection 을 오른쪽 마우스 클릭하고, Status 를 클릭한다. Media State 가
"Connected" 임을 확인 할 수 있다. 즉, 정상적으로 PPTP 기반의 VPN 연결이 되었음을 알 수
있다.
4. VPN Connection Status 다이얼로그 상자에서, Disconnect 를 클릭한다.
47
Configure Windows Firewall with Advanced Security
PPTP 트래픽은 기본적으로 터널 관리를 위한 “TCP 포트 1723” 과 터널 데이터를 위한
“GRE(Generic Routing Encapsulation) IP 프로토콜 47” 등 2 개로 구성되어 있다. 이제 VPN1
서버에서 “Windows Firewall with Advanced Security” 관리 도구를 사용하여 인바운드 GRE
트래픽을 차단할 것이다. 즉, 이것은 PPTP 연결을 차단하는 것을 시뮬레이션한다.
Configure Windows Firewall with Advanced Security to block PPTP-based connections (on CLIENT1)
1. Start -> Administrative Tools -> Windows Firewall with Advanced Security. 순서로
클릭한다.
2. 콘솔 트리에서, Inbound Rules 를 클릭한다.
3. 상세 창에서, Routing and Remote Access (GRE-In) 항목을 찾아서, 더블 클릭한다.
4. Action 부분에서, Block the connections 를 선택하고, OK 를 클릭한다.
Figure 17. Routing and Remote Access (GRE-In) Properties dialog box.
48
Test PPTP-based connection
이제 VPN1 서버로의 PPTP 기반의 연결은 차단될 것이다. 아래 단계를 수행하면 이제 더 이상
PPTP 기반의 원격 접근은 허용되지 않음을 확인할 수 있다.
Test PPTP-based connection (on CLIENT1)
1. Network and Sharing Center -> Manage network connections 순서로 클릭한다.
2. VPN Connection 를 더블 클릭하고, Connect 를 클릭한다.
3. 연결이 성공되지 못 했음을 아래 오류 메시지를 통해서 확인 할 수 있다:
Figure 18. PPTP-based VPN connection fails.
4. Close 를 클릭한다.
49
Configuring an SSTP-based connection SSTP 연결을 사용하는 VPN 클라이언트는 먼저, VPN 서버 컴퓨터 인증서를 발급한 루트 CA
인증서(contoso-VPN1-CA)를 설치해야만 한다. SSL 인증 단계 동안에, VPN 클라이언트에 설치된
루트 CA 인증서를 사용하여 VPN1 서버의 서버 인증서(Server Authentication certificate)를 검증할
수 있다.
Obtain a trusted root CA certificate
클라이언트가 AD 도메인에 합류되어 있다면, 루트 CA 인증서는 자동 발급(auto-enrollment)을
통하여 얻을 수 있다. 또는, CA 서버의 인증서 발급 웹사이트를 통하여 얻을 수 있다. 이
단계에서는, CLIENT1 은 VPN1 서버의 인증서 발급 웹 사이트를 통하여 루트 CA 인증서를 얻을
것이다.
Obtain a computer certificate from VPN1 (on CLIENT1)
1. Start -> Internet Explorer 순서로 클릭한다.
2. Internet Explorer 에서, http://vpn1.contoso.com/certsrv 주소를 입력하고, ENTER 를
누른다.
3. Welcome 페이지의, Select a task 부분에서, Download a CA certificate, certificate
chain, or CRL 를 클릭한다.
4. Information Bar 에 관한 경고가 수행되면, Close 를 클릭한다.
5. Download CA certificate 를 클릭한다.
50
6. File Download 다이얼로그 상자에서, Open 을 클릭한다.
Figure 19. File Download dialog box for the security certificate.
7. Security alert 다이얼로그 상자에서, Allow 를 클릭한다.
8. Install Certificate 를 클릭한다.
Figure 20. Certificate dialog box.
51
9. Certificate Import Wizard 부분에서, Next 를 클릭한다.
10. Certificate Store 다이얼로그 상자에서, 기본 자동 저장소 위치를 사용하기 위해 Next
를 클릭한다.
11. Click Finish. 를 클릭한다.
12. Confirmation 다이얼로그 상자에서, OK 를 클릭한다.
13. Certificate 다이얼로그 상자를 닫기 위하여, OK 를 클릭한다.
이제 루트 CA 인증서는 정상적으로 import 되었고, 설치되었을 것이다. 현재 설치된 인증서를
위한 기본 저장소 위치는 “Current User -> Intermediate Certification Authority” 저장소 일
것이다. 이 인증서를 CLIENT1 컴퓨터의 “Local Computer -> Trusted Root Certification
Authority” 저장소로 이동시켜야 한다. 이 작업은 “사용자 및 컴퓨터 인증서” 스냅-인을 통하여
수행한다.
Configure an MMC (on CLIENT1)
1. Start -> All Programs -> Accessories -> Run 순서로 클릭한다.
2. Open 부분에서, mmc 를 입력하고 OK 를 클릭한다.
3. User Account Control 다이얼로그 상자에서, Continue 를 클릭한다.
4. Console1 스냅-인에서, File -> Add/Remove Snap-in 순서로 클릭한다.
5. Available snap-ins 부분에서, Certificates -> Add 순서로 클릭한다.
6. My user account. 의 기본 설정을 사용하기 위해 Finish 를 클릭한다.
7. Add -> Computer account -> Next 순서로 클릭한다.
8. Select Computer 다이얼로그 상자에서, Local computer 의 기본 설정을 사용하기 위해
Finish 를 클릭한다.
9. Add or Remove Snap-ins 다이얼로그 상자를 닫기 위하여, OK 를 클릭한다.
기본 저장소에 설치된 루트 CA 인증서를 이동해야 한다. 루트 CA 인증서는 개인 키 바인딩을
사용하지 않기 때문에, 이 인증서를 갂단하게 새로운 인증서 저장소에 “복사 및 붙여넣기” 를
수행하면 된다.
52
Move the certificate (on CLIENT1)
1. 싞규 생성된 MMC 콘솔의, 콘솔 트리 창에서, Certificates - Current User ->
Intermediate Certification Authorities 순서로 더블 클릭하고, Certificates 를 클릭한다.
2. 중갂 창에서, contoso-VPN1-CA 인증서를 오른쪽 마우스 클릭하고, Copy 를 클릭한다.
3. 콘솔 트리 창에서, Certificates (Local Computer) -> Trusted Root Certification
Authorities 순서로 더블클릭하고, Certificates 를 클릭한다.
4. 중갂 창에서, 빈 곳에 오른쪽 마우스 클릭하고, Paste 를 클릭한다.
5. 아래 그림과 같이 “contoso-VPN1-CA” 인증서가 “Local Computer -> Trusted Root Certi
fication Authority” 저장소에 위치해 있음을 알 수 있다.
Figure 21. New location for downloaded certificate.
53
Configure and test an SSTP-based VPN connection
VPN 서버의 컴퓨터 인증서의 루트 CA 인증서가 CLIENT1 컴퓨터의 “Trusted Root Certification
Authorities certificate” 저장소에 설치되어 있다. 이제 SSTP 연결을 생성하고 구성한다.
Configure and test an SSTP connection (on CLIENT1)
1. Network and Sharing Center -> Manage network connections 순서로 클릭한다..
2. VPN Connection 를 더블 클릭하고, Connect 를 클릭한다..
3. Networking 탭을 클릭한다.
4. Type of VPN 드롭-다운 항목에서, Secure Socket Tunneling Protocol (SSTP) 를 선택
하고, OK 를 클릭한다.
Figure 22. VPN Connection Properties dialog box.
54
5. Connect VPN Connection 다이얼로그 상자에서, Connect 를 클릭한다.
CLIENT1 가 SSTP 연결을 사용하여 VPN1 에 성공적으로 연결되었음을 알 수 있다.
6. Start -> All Programs -> Accessories -> Run 순서로 클릭한다.
7. Open 부분에서, \\192.168.0.1\corpdata 를 입력하고, OK 를 클릭한다.
8. VPNTest 를 열기 위해 더블 클릭하고, 약갂의 텍스트를 추가한다.
9. File -> Save As 순서로 클릭하고, 파일 이름을 VPNTest2 로 입력 한 후, Save 를 클릭한
다.
10. VPNTest2 를 닫는다.
Additional Resources Routing and Remote Access Blog (http://go.microsoft.com/fwlink/?LinkId=82954)
55
New Networking Features in Windows Server 2008 and Windows Vista
(http://go.microsoft.com/fwlink/?LinkId=71606)
