목차/11. VPN Routing·고급 구성

11VPN Routing·고급 구성VPN Routing·고급 구성

이 장은 원격 접속의 VPN 라우팅(Hub Mode 등)그 밖의 세밀한 고급 구성 을 묶어 다룹니다. 앞부분은 직접 연결이 안 되는 클라이언트·게이트웨이를 중앙 허브를 거쳐 잇는 VPN Routing, Hub Mode, Link Selection, Directional VPN 을 다루고, 뒷부분은 도메인 컨트롤러 이름 해석, 재인증·암호 캐싱, Secure Domain Logon(SDL), 동시 로그인 제한, PFS, 비(非)Check Point 방화벽 통과, Split DNS 같은 고급 설정을 빠짐없이 정리합니다.

VPN Routing

VPN Routing가 필요한 이유

원격 클라이언트나 게이트웨이가 서로 직접 연결하지 못하는 상황이 여럿 있습니다. 어떤 게이트웨이나 클라이언트가 요구되는 수준의 보안을 스스로 제공하지 못하는 경우도 마찬가지입니다. 대표적으로 이런 경우입니다.

  • 두 개의 DAIP 게이트웨이(동적 IP 게이트웨이) — 각 게이트웨이 뒤의 호스트끼리 통신해야 하지만, IP 주소가 계속 바뀌므로 두 DAIP 게이트웨이는 서로 VPN 터널을 열지 못합 니다. 터널을 만들려는 순간에 상대편의 정확한 IP 주소를 알 수 없기 때문입니다.
  • 원격 접속 클라이언트끼리의 통신 — 사용자들이 VoIP 소프트웨어로 사적인 통화를 하거나 Microsoft NetMeeting 같은 클라이언트 대 클라이언트(client-to-client) 소프트웨어를 쓰려는 경우입니다. 원격 접속 클라이언트는 서로 직접 연결을 열 수 없고, 구성된 게이트웨이와만 연결할 수 있습니다.

이 모든 경우에 연결성과 보안을 함께 끌어올릴 방법 이 필요하며, 그 답이 VPN Routing입니다.

더 나은 연결성과 보안을 위한 Check Point의 해법

VPN routingVPN 트래픽이 어디로 흐를지를 제어 하는 방법입니다. 게이트웨이 모듈과 원격 접속 클라이언트 모두에 적용할 수 있습니다. 구성은 간단한 경우 SmartConsole에서 직접 하고, 더 복잡한 시나리오에서는 게이트웨이의 VPN routing 구성 파일을 편집 해서 합니다.

p.138
p.138

그림의 구성을 보면, Security Gateway A 뒤의 호스트가 Security Gateway B 뒤의 호스트와 연결해야 합니다. 기술적 이유든 정책적 이유든 A는 B와 직접 VPN 터널을 열 수 없습니다. 하지만 A와 B 모두 Security Gateway C 와는 터널을 열 수 있으므로, 연결을 C를 거쳐 라우팅 합니다.

VPN routing은 연결성과 보안을 높여 줄 뿐 아니라, 여러 게이트웨이로 이뤄진 복잡한 망을 하나의 허브(Hub) 뒤에 감춰 네트워크 관리를 한결 수월하게 해 줍니다.

Hub Mode — 원격 클라이언트를 위한 VPN Routing

원격 접속 클라이언트의 VPN routing은 Hub Mode 로 켭니다. Hub mode에서는 모든 트래픽이 중앙 허브(Hub)를 거쳐 흐릅니다. 중앙 허브는 원격 클라이언트에게 일종의 라우터 역할을 합니다. 일단 원격 클라이언트의 트래픽이 허브를 거치게 되면, 다른 클라이언트와의 연결도 가능 해지고, 그 트래픽의 내용을 검사 할 수도 있습니다.

Hub mode를 쓸 때는 Office Mode도 함께 켭니다. 원격 클라이언트가 ISP에서 받은 IP 주소를 쓰는 경우 그 주소가 완전히 라우팅 가능하지 않을 수 있는데, Office mode를 쓰면 Office mode 연결을 직접 가리키는 규칙 을 만들 수 있습니다.

모든 트래픽을 게이트웨이로 보내 라우팅하기

다음 시나리오를 봅시다. 원격 클라이언트가 Security Gateway 2 뒤의 서버와 연결해야 합니다. 회사 정책상 이 서버로 가는 모든 연결은 내용 검사를 거쳐야 합니다. 그런데 어떤 이유로든 Security Gateway 2는 그 내용 검사를 수행하지 못합니다. 이때 모든 트래픽을 Security Gateway 1로 라우팅 하면, 원격 클라이언트와 서버 사이의 연결을 Security Gateway 1에서 검사할 수 있습니다.

p.140
p.140

같은 원격 클라이언트가 이번에는 인터넷의 HTTP 서버 에 접속해야 한다고 합시다. 같은 보안 정책이 여전히 적용됩니다.

p.140
p.140

원격 클라이언트의 트래픽은 게이트웨이로 보내지고, 게이트웨이는 다시 UFP(URL Filtering Protocol) 서버 로 트래픽을 보내 URL과 패킷 내용의 유효성을 검사합니다. 게이트웨이 자체에는 URL 검사 기능이 없기 때문입니다. 검사가 끝난 패킷은 인터넷의 HTTP 서버로 전달됩니다.

이때 게이트웨이 뒤에서 원격 클라이언트의 주소를 NAT 하면, 인터넷의 HTTP 서버가 클라이언트에게 직접 응답하는 것을 막을 수 있습니다. 만약 원격 클라이언트의 주소를 NAT하지 않으면, 클라이언트는 HTTP 서버가 보낸 평문(clear) 응답을 받아들이지 않습니다.

원격 클라이언트 대 클라이언트 통신

원격 클라이언트끼리의 연결은 두 가지 방법으로 이룹니다.

  • 모든 트래픽을 게이트웨이를 거쳐 라우팅하는 방법
  • 게이트웨이의 VPN 도메인에 Office Mode 주소 범위를 포함하는 방법

모든 트래픽을 게이트웨이를 거쳐 라우팅

두 원격 사용자가 VoIP 소프트웨어로 보안 통화를 한다고 합시다. 둘 사이의 트래픽은 중앙 허브를 거쳐 라우팅됩니다.

p.141
p.141

이렇게 동작하려면 다음 조건이 필요합니다.

  • 게이트웨이에서 Allow VPN clients to route traffic through this Security Gateway(이 게이트웨이를 통해 VPN 클라이언트의 트래픽을 라우팅 허용)가 켜져 있어야 합니다.
  • 원격 클라이언트에는 모든 트래픽을 그 게이트웨이를 거쳐 라우팅하도록 하는 프로필 이 구성되어 있어야 합니다.
  • 원격 클라이언트는 connect mode 로 동작해야 합니다.

두 원격 클라이언트가 서로 다른 게이트웨이로 Hub mode가 구성 되어 있다면, 라우팅은 세 단계로 일어납니다 — 각 원격 클라이언트가 자신의 지정 게이트웨이까지, 그다음 두 게이트웨이 사이에서입니다.

p.142
p.142

위 그림에서 Remote Client 1은 Security Gateway B 와 Hub mode로, Remote Client 2는 Security Gateway A 와 Hub mode로 구성되어 있습니다. 연결이 올바르게 라우팅되려면 다음이 필요합니다.

  • Office mode 가 켜져 있어야 합니다.
  • 두 게이트웨이의 VPN 구성 파일에 서로 상대편이 쓰는 Office Mode 주소 범위가 들어 있어야 합니다. Security Gateway A의 VPN 구성 파일은 Security Gateway B의 Office Mode IP로 향하는 모든 트래픽을 B 쪽으로 보냅니다. 연결은 Remote Client 1을 떠나 Security Gateway B로 갔다가, B에서 Security Gateway A로 넘어가고, A가 다시 Remote Client 2 쪽으로 트래픽을 돌립니다. Remote Client 2의 응답은 같은 경로를 역순으로 따라갑니다.
  • 두 게이트웨이가 쓰는 Office mode 주소는 서로 겹치지 않아야(non-overlapping) 합니다.

원격 접속 VPN의 VPN Routing 구성

흔히 쓰는 VPN routing 시나리오는 VPN star community 로 구성할 수 있지만, 모든 VPN routing 구성이 SmartConsole로 처리되는 것은 아닙 니다. 게이트웨이 간(Star 또는 Meshed) VPN routing은 관리 서버에 구성하는 vpn_route.conf 파일을 편집해서도 구성할 수 있습니다.

원격 접속 클라이언트용 Hub Mode 켜기

원격 접속 클라이언트를 위한 Hub Mode를 켜는 절차는 다음과 같습니다.

  1. Gateways & Servers 를 클릭하고 게이트웨이를 더블 클릭합니다. 게이트웨이 창이 열리며 General Properties 페이지가 보입니다.
  2. 탐색 트리에서 VPN Clients > Remote Access 를 클릭합니다.
  3. Hub Mode configuration 섹션에서 Allow VPN clients to route all traffic through this Security Gateway 를 클릭합니다.
  4. OK 를 클릭합니다.
  5. Objects Bar에서 VPN Communities 를 클릭합니다.
  6. Remote Access community 객체를 더블 클릭합니다.
  7. Participating Gateways 페이지에서 허브 게이트웨이가 창 안에 있는지 확인합니다.
  8. Participant User Groups 페이지에서 원격 접속 사용자나 사용자 그룹을 선택합니다.
  9. OK 를 클릭합니다.
  10. Access Control Policy에 액세스 제어 규칙을 만듭니다.
  11. OK 를 클릭하고 변경을 publish합니다.
  12. 원격 클라이언트의 프로필을 모든 통신을 지정 게이트웨이를 거쳐 라우팅하도록 구성합니다.

VPN 도메인에 Office Mode 범위 추가하기

SmartConsole에는 Office Mode IP 주소를 위한 기본 객체 CP_default_Office_Mode_addresses_pool 이 있습니다. 이 기본 객체를 쓰거나, 우리 네트워크에 맞는 새 객체를 만들 수 있습니다.

새 Office Mode IP 주소 객체를 만들려면 다음과 같이 합니다.

  1. SmartConsole에서 Objects > Object Explorer(Ctrl+E)를 클릭합니다.
  2. New > Network 를 클릭합니다.
  3. Name, IP address, Net mask 를 입력합니다.
  4. OK 를 클릭하고 변경을 publish합니다.

VPN 도메인으로 원격 접속 클라이언트의 VPN routing을 구성하려면 다음과 같이 합니다.

  1. 네트워크 그룹을 만듭니다 — New > Network Group.
  2. 이 그룹들을 추가합니다.
    • VPN domain
    • Office Mode
  3. OK 를 클릭하고 변경을 publish합니다.
  4. Gateways & Servers 를 클릭하고 게이트웨이를 더블 클릭합니다. 게이트웨이 창이 열리며 General Properties 페이지가 보입니다.
  5. 탐색 트리에서 Network Management > VPN Domain 을 클릭합니다.
  6. Manually defined 를 클릭합니다.
  7. 새로 만든 네트워크 그룹을 선택합니다.
  8. OK 를 클릭하고 변경을 publish합니다.

Hub Mode로 여러 허브를 거치는 클라이언트 대 클라이언트

다음 그림은 두 원격 클라이언트가 각각 서로 다른 게이트웨이와 Hub mode 로 동작하도록 구성된 경우입니다.

p.145
p.145

Remote Client 1은 Hub 1 과, Remote Client 2는 Hub 2 와 Hub mode로 동작합니다. VPN routing이 올바로 수행되려면 다음이 필요합니다.

  • 원격 클라이언트들이 Office mode로 동작 해야 합니다.
  • 각 게이트웨이의 Office Mode IP 주소 범위가, 상대편 게이트웨이에 설치되는 vpn_route.conf 파일 (관리 서버에 구성)에 들어 있어야 합니다.

vpn_route.conf의 항목은 다음과 같은 형태입니다.

DestinationNext hop router interfaceInstall On
Hub1_OfficeMode_rangeHub1Hub2
Hub2_OfficeMode_rangeHub2Hub1

Remote Client 1이 Remote Client 2와 통신할 때의 흐름은 이렇습니다.

  • Remote Client 1이 Hub 1과 Hub mode로 동작하므로, 트래픽은 먼저 Hub 1로 갑니다.
  • Hub 1은 Remote Client 2의 IP 주소가 Hub 2의 Office mode 범위 에 속함을 식별합니다.
  • Hub 1의 vpn_route.conf 파일은 이 트래픽의 next hop을 Hub 2 로 식별합니다.
  • 트래픽이 Hub 2에 도달하면, Hub 2가 그 통신을 Remote Client 2로 돌려 줍니다.

원격 클라이언트를 위한 Link Selection

Link Selection들어오고 나가는 VPN 트래픽에 어느 인터페이스를 쓸지, 그리고 트래픽의 최적 경로 를 결정하는 방법입니다. Link Selection을 쓰면 각 게이트웨이에서 VPN 트래픽에 사용할 IP 주소 를 고를 수 있습니다.

Link selection은 각 게이트웨이의 Security Gateway Properties > IPSec VPN > Link Selection 창에서 구성하며, 이 설정은 다음 두 가지에 모두 적용됩니다.

  • 게이트웨이 대 게이트웨이 연결
  • 원격 접속 클라이언트 대 게이트웨이 연결

원격 사용자에 대해서는 Link Selection을 별도로 구성 할 수 있으며, 이 별도 설정은 Link Selection 페이지의 설정을 덮어씁니다(override).

원격 접속 전용 Link Selection 구성

원격 접속 VPN에만 적용되는 별도의 Link Selection을 구성하려면 다음과 같이 합니다.

  1. 관리 서버에 연결된 SmartConsole 창을 모두 닫습니다.
  2. Database Tool(GuiDBEdit Tool) 로 관리 서버에 연결합니다.
  3. 왼쪽 위 창에서 Network Objects > network_objects 로 갑니다.
  4. 오른쪽 위 창에서 해당 게이트웨이/클러스터 객체를 선택합니다.
  5. 아래쪽 창에서 apply_resolving_mechanism_to_SR 값을 false 로 바꿉니다.
  6. 아래쪽 창에서 ip_resolution_mechanism 속성을 편집해, 원격 접속 클라이언트가 로컬 게이트웨이의 IP 주소를 어떻게 해석할지 결정합니다. 다음 중 하나를 넣습니다.
의미
mainIpVpn게이트웨이의 General Properties 페이지 IP Address 필드에 지정된 주 IP 주소를 항상 사용 합니다.
singleIpVpnsingle_VPN_IP_RA 에 설정한 IP 주소로 VPN 터널을 만듭니다.
singleNATIpVPNsingle_VPN_IP_RA 에 설정한 NAT된 IP 주소 로 VPN 터널을 만듭니다.
topologyCalc원격 피어의 위치에 따라 네트워크 토폴로지로 계산 한 IP 주소를 사용합니다.
oneTimeProb1회 프로빙(one time probing) 으로 사용할 링크를 결정합니다.
ongoingProb지속 프로빙(ongoing probing) 으로 사용할 링크를 결정합니다.
  1. ongoing 또는 one time 프로빙을 쓴다면 다음 파라미터를 편집합니다.
파라미터의미
interface_resolving_ha_primary_ifone-time/ongoing 프로빙에 사용할 주(primary) IP 주소 입니다.
use_interface_IPtopology 탭에 정의된 모든 IP 주소를 프로빙 하려면 true, 수동 IP 목록을 프로빙 하려면 false 로 설정합니다.
available_VPN_IP_list프로빙할 IP 주소 목록입니다. (use_interface_IPfalse 일 때만 사용됩니다.)
  1. 변경을 저장합니다(File 메뉴 > Save All).
  2. Database Tool(GuiDBEdit Tool)을 닫습니다.
  3. SmartConsole로 관리 서버에 연결합니다.
  4. SmartConsole에서 해당 게이트웨이/클러스터 객체에 Access Policy를 설치합니다.

원격 접속 Community에서의 Directional VPN

Directional VPN 은 원격 접속 community에서 지정한 네트워크 객체로 향하거나 그로부터 오는 연결을 거부 할 수 있게 해 줍니다. 예를 들어 다음과 같은 규칙을 생각해 봅시다.

SourceDestinationVPNServiceAction
AnyAnyRemote_Access_Community => MyIntranetAnydrop
AnyAnyRemote_Access_Community => Any TrafficAnyaccept

이 규칙에서는 원격 사용자와 "MyIntranet" VPN community 내 호스트 사이의 연결은 허용되지 않습니다. 반면 Remote Access Community에서 시작되는 그 밖의 모든 연결 은 VPN community 안에서든 밖에서든 허용됩니다.

RA Community에서 사용자 그룹을 목적지로 두기

사용자 그룹을 규칙의 Destination(목적지) 칸에 넣을 수 있습니다. 그러면 다음이 쉬워집니다.

  • 클라이언트 대 클라이언트 연결 구성이 한결 수월해집니다.
  • 원격 클라이언트와 게이트웨이 사이의 "back connection"(역방향 연결) 구성이 가능해집니다.

예를 들어 다음과 같은 규칙입니다.

SourceDestinationVPNServiceAction
AnyRemote_Users@AnyAny Traffic => Remote_Access_CommunityAnyaccept

사용자 그룹을 규칙의 목적지 칸에 넣으려면 다음 조건이 필요합니다.

  • 규칙이 directional(방향성) 이어야 합니다.
  • VPN 칸에서 Remote Access community가 엔드포인트 목적지(endpoint destination) 로 구성되어 있어야 합니다.

Directional VPN 구성하기

원격 접속 community로 Directional VPN을 구성하려면 다음과 같이 합니다.

  1. Menu에서 Global Properties 를 클릭합니다.
  2. 탐색 트리에서 VPN > Advanced 를 클릭합니다.
  3. Enable VPN Directional Match in VPN Column 을 클릭합니다.
  4. OK 를 클릭하고 변경을 publish합니다.
  5. Security Policies > Access Control Policy 로 갑니다.
  6. 해당 규칙의 VPN 셀을 오른쪽 클릭하고 Directional Match Condition 을 선택합니다. New Directional Match Condition 창이 열립니다.
  7. 방향성 VPN을 구성합니다.
    • Traffic reaching from 에서 연결의 출발지를 선택합니다.
    • Traffic leaving to 에서 연결의 목적지를 선택합니다.
  8. OK 를 클릭합니다.
  9. 정책을 설치합니다.

고급 구성

여기서부터는 원격 접속의 세밀한 동작을 다듬는 Remote Access Advanced Configuration 항목들을 다룹니다.

도메인 컨트롤러 이름 해석

클라이언트가 Connect ModeOffice Mode 로 구성되어 있으면, 클라이언트는 동적 WINS(dynamic WINS)를 써서 NT 도메인 이름을 자동으로 해석 합니다. 그렇지 않은 경우에는 LMHOSTS 또는 WINS 로 NT 도메인 이름을 해석합니다.

LMHOSTS

게이트웨이의 $FWDIR/conf/dnsinfo.C 파일에 관련 정보를 입력하고 정책을 설치합니다.

:LMdata(
:(
:ipaddr (<IP address>)
:name (<host name>)
:domain (<domain name>)
)
:(
:ipaddr (<IP address>)
:name (<host name>)
:domain (<domain name>)
)
)
)

토폴로지가 업데이트되면, 이름 해석 데이터는 자동으로 userc.C 파일의 dnsinfo 항목으로 옮겨지고, 다시 클라이언트의 LMHOSTS 파일 로 전달됩니다.

인증 타임아웃과 암호 캐싱

문제

사용자들은 한 세션 동안 여러 번 인증 하는 것을 번거롭게 여깁니다. 한편 이런 다중 인증은 세션이 탈취되지 않았음을 확인하는 효과적인 수단 이기도 합니다(예: 사용자가 잠시 자리를 비운 경우). 결국 편의성과 보안 사이의 적절한 균형점 을 찾는 것이 과제입니다.

해법

다중 인증은 다음 두 가지로 줄일 수 있습니다.

  • 재인증 간격(re-authentication interval)을 늘리기
  • 사용자의 암호를 캐싱하기

재인증 간격

Connect Mode 에서는 원격 접속 클라이언트가 연결된 시점부터 타임아웃 카운트다운이 시작됩니다. 재인증 사이의 시간 길이를 설정하려면 다음과 같이 합니다.

  1. Menu에서 Global Properties 를 선택합니다.
  2. 탐색 트리에서 Remote Access > Endpoint Security VPN 을 클릭합니다.
  3. Re-authenticate user every 에서 재인증 사이의 분(minute) 수를 선택합니다.
  4. OK 를 클릭합니다.
  5. 정책을 설치합니다.

암호 캐싱

타임아웃이 만료되면 사용자는 다시 인증하라는 요청을 받습니다. 암호 캐싱(password caching) 이 켜져 있으면, 클라이언트가 캐시된 암호를 자동으로 제공 해 인증이 사용자 모르게 투명하게 이뤄집니다. 즉 사용자는 재인증이 일어났다는 것조차 알지 못합니다.

암호 캐싱을 구성하려면 다음과 같이 합니다.

  1. Menu에서 Global Properties 를 선택합니다.
  2. 탐색 트리에서 Remote Access > Endpoint Security VPN 을 클릭합니다.
  3. Enable password caching 에서 옵션을 선택합니다.
  4. 암호 캐싱을 켰다면, Cache password for 에서 캐시 유지 분(minute) 수를 선택합니다.

Secure Domain Logon (SDL)

문제

원격 접속 클라이언트 사용자가 도메인 컨트롤러에 로그온할 때, 아직 자격 증명을 입력하기 전이므로 도메인 컨트롤러로의 연결이 암호화되지 않 습니다.

해법

Secure Domain Logon(SDL) 기능을 켜면, 사용자가 OS 사용자 이름과 암호를 입력한 뒤(그러나 도메인 컨트롤러로의 연결이 시작되기 전에) User Authentication 창이 나타납니다. 사용자가 원격 접속 클라이언트 자격 증명을 입력하면, 도메인 컨트롤러로의 연결이 암호화된 터널 위에서 이뤄집니다.

SDL Timeout 구성

SDL은 동시에 진행되는 프로세스들의 동기화에 의존 하므로, 타임아웃을 유연하게 정의하는 것이 중요합니다. SDL Timeout 기능은 사용자가 도메인 컨트롤러 자격 증명을 입력해야 하는 기간 을 제어합니다. 할당된 시간이 만료되고 (해당되는 경우) 캐시된 정보도 쓰이지 않으면, Secure Domain Logon은 실패합니다.

타임아웃은 전역 파라미터 sdl_netlogon_timeout 으로 제어합니다. 구성 절차는 다음과 같습니다.

  1. SmartConsole 세션을 publish합니다.
  2. 관리 서버에 연결된 SmartConsole 창을 모두 닫습니다.
  3. Database Tool(GuiDBEdit Tool) 로 관리 서버에 연결합니다.
  4. 왼쪽 위 창에서 Table > Global Properties > firewall_properties 로 갑니다.
  5. 오른쪽 위 창에서 global_properties 를 클릭합니다.
  6. Search 메뉴 > Find(또는 CTRL+F)를 클릭합니다.
  7. Find 창에서:
    • Find what 필드에 sdl_netlogon_timeout 을 붙여 넣습니다.
    • Search in 섹션에서 Fields 만 선택합니다.
    • Find Next 를 클릭합니다.
  8. 아래쪽 창에서:
    • sdl_netlogon_timeout 을 오른쪽 클릭하고 Edit 를 클릭합니다.
    • 적용할 초(second) 단위 정수 값 을 입력합니다.
    • OK 를 클릭합니다.
  9. File 메뉴 > Save All 을 클릭합니다.
  10. File 메뉴 > Exit 를 클릭합니다.
  11. SmartConsole로 관리 서버에 연결합니다.
  12. 해당 VPN 게이트웨이에 Access Control 정책을 설치합니다.

캐시된 정보

원격 접속 클라이언트 컴퓨터가 도메인 컨트롤러에 성공적으로 로그온하면, 사용자 프로필이 캐시에 저장 됩니다. 이 캐시된 정보는 이후 도메인 컨트롤러 로그온이 어떤 이유로든 실패할 때 사용됩니다.

Windows 레지스트리에서 이 옵션을 구성하려면 다음과 같이 합니다.

  1. HKLM\Software\Microsoft\Windows NT\Current Version\Winlogon 으로 갑니다.
  2. 새 키 CachedLogonCount 를 만들고, 0~50 범위 의 값을 줍니다.

이 키의 값은 서버가 캐시할 이전 로그온 시도 횟수 입니다.

  • 0 이면 로그온 캐싱을 끕니다.
  • 50 보다 큰 값을 주면 최대 50번 의 로그온 시도만 캐시에 유지합니다.

Secure Domain Logon 구성하기

  1. 원격 접속 클라이언트가 LMHOSTS(모든 플랫폼) 또는 WINS(Windows 9x를 제외한 모든 플랫폼)를 쓰도록 구성합니다.
  2. Win NT와 Win 2000에서는 SDL 타임아웃을 구성합니다.
  3. 도메인 컨트롤러가 있는 사이트를 정의하고 토폴로지를 다운로드/업데이트합니다.
  4. 엔드포인트 컴퓨터가 아직 도메인 멤버가 아니라면, 도메인 멤버가 되도록 구성합니다.
  5. Win NT와 2000에서는:
    • Auto Local Logon 을 켭니다(선택).
    • Secure Domain Logon 을 켭니다.
  6. 컴퓨터를 재부팅합니다.
  7. 컴퓨터에 로그인합니다.

Secure Domain Logon 사용하기

  1. Windows 로그온 창이 나타나면 운영체제 자격 증명 을 입력합니다.
  2. OK 를 클릭합니다. Logon 창이 나타납니다.
  3. 정의된 시간 안에 원격 접속 클라이언트 자격 증명 을 입력합니다(위 "SDL Timeout 구성" 참고).

엔드포인트 컴퓨터에 이미 SDL이 구성되어 있다면, 관리자는 SDL이 기본으로 켜진 채로 원격 접속 클라이언트 설치 패키지를 맞춤 제작 할 수 있습니다. VPN Configuration Utility 로 자체 압축 해제(self-extracting) 패키지를 만들면서 Enable Secure Domain Logon 을 선택하면 됩니다. 자세한 내용은 해당 릴리스의 Remote Access Clients for Windows Administration Guide(Endpoint Security home page)를 참고하세요.

Post-Connect Script

Post-Connect 기능은 원격 접속 클라이언트가 VPN 연결을 맺은 뒤에 엔드포인트 컴퓨터에서 스크립트를 실행 합니다. Post-Connect 스크립트는 사용자 수준(user-level) 권한 으로 실행됩니다.

동시 로그인 및 Aggressive 동시 로그인 방지 (SLP)

Simultaneous Login Prevention(SLP) 으로 사용자가 원격 접속 VPN에 두 번 이상 로그인하는 것을 제한 할 수 있습니다.

동시 로그인 설정을 구성하려면 다음과 같이 합니다.

  1. 왼쪽 탐색 패널에서 Gateways & Servers 를 클릭합니다.
  2. 게이트웨이/클러스터 객체를 더블 클릭합니다.
  3. 탐색 트리에서 Remote Access 를 클릭합니다.
  4. Simultaneous Login 아래에서 다음 중 하나를 선택합니다.
    • User is allowed several simultaneous login — 사용자가 여러 기기에서 동시에 원격 접속 VPN에 로그인할 수 있습니다.
    • User is allowed only single login — 사용자가 한 기기에서만 원격 접속 VPN에 로그인할 수 있습니다.
  5. OK 를 클릭합니다.
  6. VPN 게이트웨이에 정책을 설치합니다.

Aggressive SLP 는 동시 로그인이 두 개를 넘는 원격 사용자를 VPN 게이트웨이가 자동으로 연결 해제 하도록 합니다. Aggressive SLP가 켜지면 비활성(inactive) VPN 터널이 해제 됩니다.

Aggressive SLP를 켜려면, VPN 게이트웨이 명령줄에서 Expert mode 로 다음을 실행합니다.

ckp_regedit -a \\SOFTWARE\\CheckPoint\\VPN1 aggresive_slp_sc_disconnect -n 1

그런 다음 SmartConsole에서 이 VPN 게이트웨이에 정책을 설치합니다.

Aggressive SLP를 끄려면 Expert mode에서 다음을 실행하고 정책을 설치합니다.

ckp_regedit -a SOFTWARE\\CheckPoint\\VPN1 aggresive_slp_sc_disconnect -n 0

Aggressive SLP의 구성 상태를 확인하려면 Expert mode에서 다음을 실행합니다.

grep slp $CPDIR/registry/HKLM_registry.data

출력은 다음 중 하나입니다.

  • aggresive_slp_sc_disconnect ("[4]1") — Aggressive SLP가 켜져 있음을 나타냅니다.
  • aggresive_slp_sc_disconnect ("[4]0") — Aggressive SLP가 꺼져 있음을 나타냅니다.

Perfect Forward Secrecy (PFS)

암호학에서 Perfect Forward Secrecy(PFS)현재 세션 키나 장기 개인 키가 노출되어도 이전이나 이후의 키가 함께 노출되지 않는 성질을 말합니다. 게이트웨이는 PFS mode 로 이 요건을 충족합니다. PFS가 켜지면 IKE phase II에서 새 Diffie-Hellman(DH) 키가 생성되고, 키 교환마다 갱신 됩니다.

게이트웨이가 원격 접속 클라이언트에 PFS를 강제하도록 켜려면, VPN 게이트웨이 명령줄에서 Expert mode로 다음을 실행합니다.

ckp_regedit -a \\SOFTWARE\\CheckPoint\\VPN1 force_ra_pfs -n 1

그런 다음 SmartConsole에서 이 VPN 게이트웨이에 정책을 설치합니다. (선택) DH 그룹을 바꾸려면 SmartConsole에서 Menu > Global properties > Remote Access > VPN – Authentication and Encryption > Encryption algorithms > Edit > Phase 1 > Use Diffie-Hellman group 으로 갑니다.

게이트웨이가 원격 접속 클라이언트에 PFS를 강제하지 않도록 멈추려면, Expert mode에서 다음을 실행하고 정책을 설치합니다.

ckp_regedit -d \\SOFTWARE\\CheckPoint\\VPN1 force_ra_pfs

게이트웨이의 PFS 구성 상태를 확인하려면, Expert mode에서 다음을 실행합니다.

cat $CPDIR/registry/HKLM_registry.data | grep force_ra_pf

force_ra_pfs 파라미터가 존재하면 그 값이 출력되며, 이는 PFS가 강제되고 있음 을 뜻합니다.

비(非)Check Point 방화벽과 함께 동작시키기

원격 접속 클라이언트가 Check Point가 아닌 방화벽 뒤에 있다면, VPN 트래픽이 지나가도록 그 방화벽에서 다음 포트를 열어야 합니다.

포트설명
UDP port 500항상 — IKE over TCP를 쓰더라도 필요합니다.
TCP port 500IKE over TCP를 쓸 때만 필요합니다.
IP protocol 50 (ESP)항상 UDP 캡슐화를 쓰는 경우가 아니라면 필요합니다.
UDP port 2746MEP, interface resolving, interface High Availability를 쓸 때만 필요합니다.
UDP port 259MEP, interface resolving, interface High Availability를 쓸 때만 필요합니다.

내부 DNS 서버로 내부 이름 해석하기

문제 — 원격 접속 클라이언트가 고유하지 않은 IP 주소를 가진 내부 호스트 (게이트웨이 뒤)의 이름을 해석하기 위해 내부 DNS 서버를 사용합니다.

해법 — 가장 좋은 방법은 다음과 같습니다.

Split DNS

Split DNSSecuRemote DNS Server 를 씁니다. 이는 사설 IP 주소(RFC 1918)를 가진 내부 이름을 해석하도록 구성할 수 있는 내부 DNS 서버를 나타내는 객체 입니다. 이런 내부 이름의 DNS 해석은 암호화하는 것이 가장 좋습니다.

특정 도메인의 트래픽을 해석하도록 SecuRemote DNS 서버를 구성하고 정책을 설치하면 적용됩니다. 사용자가 VPN에 연결된 상태에서 그 도메인에 접속하려 하면, 요청은 SecuRemote DNS 서버가 해석 합니다. 이 내부 DNS 서버는 사용자가 VPN에 연결되어 있을 때만 동작합니다. 서로 다른 도메인을 위해 여러 개의 SecuRemote DNS 서버 를 구성할 수 있습니다.

Split DNS 구성하기

원격 접속 클라이언트의 DNS 서버를 Split DNS용으로 구성하려면 다음과 같이 합니다.

  1. SmartConsole의 Objects 트리에서 New > More > Server > More > SecuRemote DNS 를 선택합니다. New SecuRemote DNS 창이 열립니다.
  2. General 탭에서 서버 이름을 입력하고, 서버가 실행될 호스트를 선택합니다.
  3. Domains 탭에서 Add 를 클릭해 서버가 해석할 도메인을 추가합니다. Domain 창이 열립니다.
  4. 원격 접속 클라이언트의 DNS 서버가 해석할 도메인의 Domain Suffix 를 입력합니다(예: checkpoint.com).
  5. Domain Match Case 섹션에서, 접미사(suffix) 앞에 올 수 있는 라벨(label)의 최대 개수 를 선택합니다. 이보다 라벨이 많은 URL은 그 DNS로 보내지지 않습니다.
    • Match only *.suffix라벨이 1개인 요청만 원격 접속 클라이언트의 DNS 서버로 보냅니다. 예를 들어 www.checkpoint.comwhatever.checkpoint.com 은 보내지만 www.internal.checkpoint.com 은 보내지 않습니다.
    • Match up to x labels preceding the suffix — 라벨의 최대 개수를 선택합니다. 예를 들어 3 을 고르면 SecuRemote DNS Server가 www.checkpoint.comwww.internal.checkpoint.com 은 해석하지만 www.internal.inside.checkpoint.com 은 해석하지 않습니다.
  6. OK 를 클릭합니다.
  7. 정책을 설치합니다.

Split DNS 켜기/끄기

Split DNS는 기본적으로 자동으로 켜져 있습니다. Endpoint Security VPNCheck Point Mobile for Windows 에서는, trac_client_1.ttm 구성 파일의 파라미터를 편집해 Split DNS를 켤지, 끌지, 또는 클라이언트 설정에 맡길지 정할 수 있습니다.

게이트웨이에서 Split DNS 설정을 바꾸려면 다음과 같이 합니다.

  1. 게이트웨이에서 Vi 편집기로 $FWDIR/conf/trac_client_1.ttm 파일을 엽니다.
   vi $FWDIR/conf/trac_client_1.ttm
   
  1. 파일에 split_dns_enabled 속성을 추가합니다.
   :split_dns_enabled (
   :gateway (
   :map (
   :true (true)
   :false (false)
   :client_decide (client_decide)
   )
   :default (client_decide)
   )
   )
   
  1. :default 속성에 값을 설정합니다.
    • true — 켬
    • false(기본값) — 끔
    • client_decide엔드포인트 컴퓨터의 파일에서 값을 가져옴
  2. 파일의 변경을 저장하고 편집기를 빠져나옵니다.
  3. SmartConsole에서 이 게이트웨이에 정책을 설치합니다.