목차/03. 시작하기

03시작하기시작하기

직원에게 원격 접속을 열어 주는 일은 막연해 보여도, 큰 줄기를 잡고 보면 정해진 순서를 차례로 밟는 작업 입니다. 이 장은 그 전체 흐름을 처음부터 끝까지 따라가며, 게이트웨이에서 IPsec VPN을 켜는 일부터, 사용자를 커뮤니티에 넣고, 인증과 접근 규칙을 세워, 정책을 설치하고, 클라이언트를 배포하기까지 빠짐없이 풀어 씁니다. 끝부분에서는 VPN Domain을 직접 지정하는 고급 구성도 다룹니다.

Remote Access 작업 흐름 한눈에 보기

원격 사용자에게 VPN Security Gateway 접속을 열어 주는 전체 작업은 다음 여덟 단계로 이루어집니다.

  1. Security Gateway에서 IPsec VPN Software Blade 를 켜고 기본 Security Gateway 구성 을 합니다(아래 "기본 Security Gateway 구성").
  2. Security Gateway를 Remote Access VPN Community 에 추가합니다.
  3. 사용자를 Remote Access VPN Community에 포함 합니다(아래 "Remote Access Community에 사용자 포함하기").
  4. 사용자 인증 을 구성합니다(아래 "사용자 인증 구성하기").
  5. 보안 정책에 VPN 접근 규칙 을 구성합니다(아래 "Remote Access용 VPN 접근 규칙 구성하기").
  6. 필요하면 Desktop Policy 를 정의합니다(Desktop Security).
  7. Security Gateway에 정책을 설치(Install) 합니다.
  8. 원격 접속 클라이언트를 사용자에게 배포 합니다(아래 "원격 접속 클라이언트 배포하기").

기본 Security Gateway 구성

아래 절차는 기본으로 제공되는 Remote Access VPN Community인 RemoteAccess 를 사용합니다. 원한다면 다른 이름의 새 Remote Access VPN Community를 만들 어도 됩니다.

Security Gateway를 원격 접속용으로 구성하려면 다음과 같이 합니다.

  1. SmartConsole에서 Security Gateway(또는 Cluster) 객체를 마우스 오른쪽 클릭하고 Edit 를 선택합니다.
  2. Network Security 탭에서 IPsec VPN 을 선택해 Software Blade를 켭니다. > 참고 — 일부 클라이언트는 Mobile Access Software Blade 도 함께 필요로 합니다. 필요한 라이선스는 "Check Point Remote Access Solutions"의 "Required Licenses" 절을 참고하세요.
  3. Security Gateway를 Remote Access VPN Community 에 추가합니다.
    • a. Check Point Gateway 트리에서 IPsec VPN 을 클릭합니다.
    • b. This Security Gateway participates in the following VPN Communities 에서 해당 Security Gateway가 보이는지 확인하거나, Add 를 클릭해 추가합니다.
    • c. RemoteAccess 커뮤니티를 클릭합니다.
    • d. OK 를 클릭합니다.
    • 이렇게 하면 ICA가 Security Gateway용 인증서를 자동으로 생성 합니다.
  4. Remote Access 커뮤니티의 VPN Domain 을 설정합니다.
    • 기본값은 All IP Addresses behind Gateway are based on Topology information(토폴로지 정보를 바탕으로 게이트웨이 뒤의 모든 IP 주소를 도메인으로 삼음)입니다. VPN 도메인을 수동으로 구성하려면 아래 "고급 VPN Domain 구성"을 참고하세요.
  5. Visitor Mode 를 구성합니다.
    • a. IPsec VPN > VPN Clients > Remote Access 를 선택합니다.
    • b. Support Visitor Mode 를 선택하고 All Interfaces 가 선택된 상태를 유지합니다.
    • c. (선택) Visitor Mode Service 를 선택합니다. 이는 클라이언트가 Security Gateway에 연결할 때 쓰는 프로토콜과 포트 를 정의합니다.
  6. Office Mode 를 구성합니다.
    • a. Check Point Gateway 트리에서 VPN Clients > Office Mode 를 선택합니다.
    • b. 기본값은 Allow Office Mode to all users(모든 사용자에게 Office Mode 허용)입니다.
    • c. (선택) Offer Office Mode to group 을 선택하고 그룹을 고릅니다.
    • d. Office Mode 방식 을 하나 선택합니다(Office Mode).
  7. OK 를 클릭합니다.
  8. Access Control Policy 를 설치합니다.

Remote Access Community에 사용자 포함하기

기본적으로 Remote Access VPN Community에는 정의된 모든 사용자를 담은 All Users 라는 사용자 그룹 이 들어 있습니다. 이 그룹을 그대로 써도 되고, 다른 사용자 그룹을 Remote Access VPN Community에 추가해도 됩니다. 이 커뮤니티는 Active Directory를 포함한 LDAP에 정의된 사용자 든, Security Management Server에 정의된 사용자 든 모두 담을 수 있습니다.

SmartConsole에서 Remote Access VPN Community에 사용자 그룹을 추가하려면 다음과 같이 합니다.

  1. 왼쪽 탐색 패널에서 Security Policies 를 클릭합니다.
  2. 위쪽 섹션에서 Access Control 을 클릭합니다.
  3. 아래쪽 Access Tools 섹션에서 VPN Communities 를 클릭합니다.
  4. Remote Access Community 객체를 마우스 오른쪽 클릭하고 Edit 를 클릭합니다.
  5. Participant User Groups 를 클릭합니다.
  6. 그룹을 추가하거나 제거합니다.
  7. OK 를 클릭합니다.

사용자 인증 구성하기

사용자는 지원되는 인증 방법으로 VPN Security Gateway에 인증 해야 합니다. 원격 접속 Security Gateway의 인증 방법은 다음 위치에서 구성할 수 있습니다.

  • Gateway Properties > VPN Clients > Authentication
  • SmartDashboard > Mobile Access 탭 > Authentication
  • Gateway Properties > Mobile Access > Authentication

만약 Security Gateway에 정의된 인증 방법이 하나도 없으면, 사용자가 클라이언트에서 직접 인증 방법을 고르 게 됩니다. 자세한 내용은 사용자·클라이언트 인증("User and Client Authentication for Remote Access")을 참고하세요.

Remote Access용 VPN 접근 규칙 구성하기

Remote Access VPN Community의 사용자가 LAN에 접근하도록 하려면 반드시 규칙을 구성 해야 합니다. 접근 범위는 특정 서비스나 특정 클라이언트로 제한 할 수도 있습니다. 규칙은 SmartConsole > Security Policies > Access Control 에서 만듭니다.

규칙이 어떤 VPN Community에 적용되게 하려면, Rule Base의 VPN 열에 다음 중 하나가 들어 있어야 합니다.

  • Any — 규칙이 모든 VPN Community에 적용 됩니다. 규칙을 만든 뒤에 새 VPN Community를 구성하더라도, 그 새 커뮤니티에도 규칙이 적용됩니다.
  • 하나 이상의 특정 VPN Community — 예를 들어 RemoteAccess 입니다. 규칙의 VPN 열에서 마우스 오른쪽 클릭 후 Specific VPN Communities 를 선택합니다. 그러면 VPN 열에 표시된 커뮤니티에만 규칙이 적용됩니다.

다음은 대표적인 예시입니다.

이 규칙은 모든 VPN Community에서 내부망으로 가는 모든 서비스 트래픽 을 허용합니다.

NameSourceDestinationVPNServices & Applications
Allow all remote access* AnyInternal_Network* Any* Any

이 규칙은 RemoteAccess VPN Community에서 내부망으로 가는 HTTP·HTTPS 트래픽 을 허용합니다.

NameSourceDestinationVPNServices & Applications
Allow RemoteAccess community* AnyInternal_NetworkRemoteAccessHTTP, HTTPS

이 규칙은 트래픽이 Endpoint Security VPN 클라이언트에서 시작될 때 RemoteAccess VPN Community에서 내부망으로 가는 모든 서비스 트래픽을 허용합니다.

NameSourceDestinationVPNServices & Applications
Allow all from Endpoint Security VPNEndpoint Security VPN Access RoleInternal_NetworkRemoteAccess* Any

Remote Access 및 VPN Clients용 Access Role 을 만들어 Access Control Rule Base의 규칙에 포함하는 방법은 정책 구성("Configuring Policy for Remote Access VPN")에서 자세히 다룹니다.

원격 접속 클라이언트 배포하기

배포 방법은 사용하는 원격 접속 클라이언트의 문서를 참고하세요. 사용자가 다음을 갖추고 있는지 반드시 확인합니다.

  • 사이트 이름 또는 URL.
  • 인증에 필요한 자격 증명(credentials)이나 하드웨어.

고급 VPN Domain 구성

SmartConsole에서는 Security Gateway의 특정 VPN Domain 을 다음 두 객체에서 구성할 수 있습니다.

  • Security Gateway 객체 에서 — VPN Community의 구성을 재정의(override) 할 때.
  • VPN Community 객체 에서 — Security Gateway 객체의 구성을 재정의 할 때.

Security Gateway 객체에서 특정 VPN Domain 구성하기

  1. 왼쪽 탐색 패널에서 Gateways & Servers 를 클릭합니다.
  2. Security Gateway / Cluster 객체를 더블 클릭합니다.
  3. 왼쪽 트리에서 Network Management 를 펼치고 VPN Domain 을 클릭합니다.
  4. Advanced 섹션의 Set Specific Domain for Gateway Communities 줄에서 Set 를 클릭합니다. > 참고 — 이 옵션은 VPN Domain 섹션에서 User-defined 를 선택한 경우에만 사용할 수 있습니다.
  5. VPN Domain을 재정의할 VPN Community 를 선택하고 Set 를 클릭합니다.
  6. 알맞은 옵션을 선택합니다.
    • Based on the Security Gateway object configurationSecurity Gateway 객체 > Network Management 폴더 > VPN Domain 페이지 > VPN Domain 섹션 에 구성된 VPN Domain을 사용합니다.
    • Override — 알맞은 Network 또는 Network Group 객체를 선택합니다(이 선택 창에서 새 객체를 만들 수도 있습니다). 이 옵션은 다음 세 가지를 재정의 합니다.
      • Security Gateway 객체 > Network Management 폴더 > VPN Domain 페이지 > VPN Domain 섹션에 구성된 VPN Domain.
      • Meshed VPN Community / Star VPN Community 객체 > Gateways 페이지에 구성된 VPN Domain.
      • Remote Access VPN Community 객체 > Participating Gateways 페이지에 구성된 VPN Domain.
  7. OK 를 클릭해 Set Specific VPN Domain for Gateway Communities 창을 닫습니다.
  8. OK 를 클릭해 Communities Specific VPN Domain 창을 닫습니다.
  9. OK 를 클릭해 Security Gateway / Cluster 객체를 닫습니다.
  10. 이 Security Gateway / Cluster 객체와 같은 VPN Community에 참여하는 모든 Security Gateway 에 Access Control 정책을 설치합니다.

VPN Community 객체에서 특정 VPN Domain 구성하기

  1. 오른쪽 위 Objects 창에서 VPN Communities 를 클릭합니다.
  2. 해당 VPN Community 객체를 더블 클릭합니다.
  3. Gateways 창에서 관련 Security Gateway 객체를 더블 클릭합니다(또는 새 객체를 만듭니다).
  4. VPN Domain 섹션에서 알맞은 옵션을 선택합니다.
    • Based on the Security Gateway object configurationSecurity Gateway 객체 > Network Management 폴더 > VPN Domain 페이지 > VPN Domain 섹션 에 구성된 VPN Domain을 사용합니다.
    • Override — 알맞은 Network 또는 Network Group 객체를 선택합니다(이 선택 창에서 새 객체를 만들 수도 있습니다). 이 옵션은 다음 세 가지를 재정의 합니다.
      • Security Gateway 객체 > Network Management 폴더 > VPN Domain 페이지 > VPN Domain 섹션에 구성된 VPN Domain.
      • Meshed VPN Community / Star VPN Community 객체 > Gateways 페이지에 구성된 VPN Domain.
      • Remote Access VPN Community 객체 > Participating Gateways 페이지에 구성된 VPN Domain.
  5. OK 를 클릭해 VPN Domain 구성 창을 닫습니다.
  6. OK 를 클릭해 VPN Community 구성 창을 닫습니다.
  7. VPN Community에 참여하는 모든 Security Gateway 에 Access Control 정책을 설치합니다.