MTB 실험: Microsoft Internet Security and Acceleration(ISA) Server 2000 관리

이 장의 내용
down 실습 1 방화벽 보안 구성
down 실습 2 인터넷 액세스 정책 구성
down 실습 3 웹 캐싱 구성
down 실습 4 서버 게시 구성

설명

Microsoft Internet Security and Acceleration Server(ISA Server) 2000은 확장 가능한 엔터프라이즈 방화벽이며 인터네트워킹의 관리, 가속, 정책 기반의 보안을 위해 Windows® 2000에 통합되는 웹 캐시 서버입니다. 이 실험에서는 ISA Server 구성에 익숙해지도록 방화벽, 웹 캐시, 관리 콘솔의 주요 기능에 대해 알아 봅니다.

목적

이 실험을 통해 ISA Server의 주요 보안, 성능, 관리 기능 등을 익힙니다. 이 실험을 마치면 다음과 같은 작업을 할 수 있습니다.

  • 방화벽 보안 구성
  • 액세스 정책 구성
  • 웹 캐싱 구성
  • 서버 게시 구성

사전 요구 사항

이 실험을 하려면 다음과 같은 사전 지식과 경험이 필요합니다.

  • 사용자 계정과 도메인 등의 기본적인 Microsoft Windows® 2000 개념에 대한 지식
  • Microsoft Windows® 2000 사용 경험
  • IP 주소, 라우팅, 프로토콜, 포트 등의 기본적인 TCP/IP 개념에 대한 지식
  • 방화벽, 캐싱 서버 기능에 대한 일반적 지식

실험 설정

실험을 시작하기 전에 다음 사항을 검토하십시오.

이 실험에서 사용자는 컴퓨터 한 대를 사용합니다.

  • 컴퓨터는 ISA Server RC1을 실행하는 독립형 워크 그룹 서버로 구성되어 있습니다. 실험은 클라이언트 연결 테스트보다는 서버 구성에 중점을 둡니다.

    이 컴퓨터에는 두 개의 네트워크 어댑터가 설치되어 있습니다.

    • 한 네트워크 어댑터의 IP 주소는 192.168.1.1이며 사용자의 외부 인터넷 연결을 표시합니다.
    • 다른 네트워크 어댑터의 IP 주소는 10.10.0.5이며 회사 내부 네트워크와의 연결을 표시합니다.
  • ISA Server는 방화벽과 웹 캐싱 서비스를 모두 제공하는 통합 모드로 설치됩니다.


현재 브라우저에서 인라인 프레임을 지원하지 않을 경우, 여기를 누르면 별도의 페이지에서 볼 수 있습니다.

추가 정보

ISA Server 관리 도구와 함께 제공되는 온라인 도움말을 액세스하여 ISA Server에 대한 추가 정보를 얻을 수 있습니다. 자세한 제품 정보를 보려면 http://www.microsoft.com/ISAServer를 방문하십시오.

예상 소요 시간: 60분

실습 1 방화벽 보안 구성 Back to Top

이 실습에서는 패킷 및 응용 프로그램 수준에서 방화벽을 보호하고 권한 없는 사용자의 액세스를 검색하도록 설정하고 경고를 사용하고 시스템 구성을 강화하도록 ISA Server를 구성합니다.

시나리오

Tuck Financial Services는 전국에 80개의 지점을 가지고 있는 가상의 대기업으로, 지점마다 500명 정도의 직원이 있습니다. 각 지점 사이트는 Windows, Unix, Macintosh 클라이언트 워크스테이션을 함께 사용하며 빠르고 안전하게 인터넷을 액세스할 수 있어야 합니다. Tuck Financial Services의 네트워크 관리자는 네트워크와 전자 메일 서버를 해킹이나 리소스 오용으로부터 보호하면서 내부 클라이언트에 인터넷 액세스를 제공해야 합니다.

ISA Server는 현재 내부 네트워크를 외부 인터넷에 연결하도록 구성되어 있습니다. 클라이언트에 인터넷 연결을 제공하기 전에 먼저 해당 연결이 안전하게 구성되어 있는지와 컴퓨터를 침입하려는 시도가 있을 경우 그에 대한 경고가 나타나는지 확인해야 합니다. 또한 스팸 도메인인 SpamIT.com으로부터 해로운 메일을 차단하려고 합니다.

작업
세부 단계
참고 ISA Server는 일반적인 네트워크 공격을 대부분 감지하여 침입 시도를 차단하고 침입이 발생하면 이를 알려줍니다.
1. ISA Server에서 인식하는 모든 공격 유형에 대한 동적 패킷 필터링과 침입 감지 기능를 활성화합니다.
a. 콘솔 트리에서 Access Policy 노드를 확장하고 IP Packet Filters를 누릅니다.
b. 결과 창에서 Configure Packet Filtering and Intrusion Detection을 누릅니다.
c. IP Packet Filters Properties 대화 상자의 General 탭에서 Enable packet filtering 확인란이 선택되었는지 확인하고 Enable Intrusion detection 확인란을 선택합니다.
d. Intrusion Detection 탭에서 모든 확인란을 선택합니다. 각 공격 유형에 대한 설명을 보려면 해당 확인란을 선택한 후 SHIFT 키와 F1 키를 함께 누릅니다.
e. Packet Filters 탭에서 모든 확인란을 선택합니다. 각 공격 유형에 대한 설명을 보려면 해당 확인란을 선택한 후 SHIFT 키와 F1 키를 함께 누릅니다.
f. OK를 누릅니다.
특정 공격과 관련된 동작이 감지될 때 이벤트를 생성하도록 ISA Server를 구성했습니다. 이 이벤트가 발생할 때 이를 통보 받으려면 경고도 구성해야 합니다.
2. 침입에 대한 경고를 구성하고 전자 메일을 통해 관리자에게 경고합니다.
a. 콘솔 트리에서 Monitoring Configuration을 확장하고 Alerts를 누릅니다.
b. 세부 항목 창에서 All port scan attack을 마우스 오른쪽 단추로 누르고 Enable을 누릅니다.
c. All port scan attack을 마우스 오른쪽 단추로 누르고 Properties를 누릅니다.
d. All port scan attack Properties 대화 상자의 Actions 탭에서 Send email 확인란을 선택하고 SMTP server: 필드에 Tuck Server를, To: 필드에 Administrator@TuckFinancial.com을 입력합니다.
e. OK를 누릅니다.
ISA Server에서 기본 제공된 감지 기능을 통해 모든 포트 스캔을 감지하면 관리자에게 전자 메일이 보내집니다. 사용자 지정된 스크립트를 실행하거나 Windows 서비스를 시작/중단하도록 ISA Server를 구성할 수도 있습니다.
3. SMTP 필터와 같은 스마트 데이터 인식 응용 프로그램을 사용하여 'SpamIT.com' 도메인에서 보내는 전자 메일을 차단합니다.
a. 콘솔 트리에서 Extensions 노드를 확장하고 Application Filters를 누릅니다. 세부 항목 창에서 SMTP Filter를 마우스 오른쪽 단추로 누르고 Properties를 선택합니다.
b. SMTP Filter Properties 대화 상자에서 Users/Domains 탭을 선택합니다.
c. Domain name 필드에 SpamIT.com을 입력하고 추가를 누릅니다.
d. OK를 누릅니다.
기타 기본 제공된 응용 프로그램 필터를 사용하여 ISA Server에서 매체 분할 및 H.323 통신량 지원을 스트리밍할 수 있습니다. 사용자 지정 응용 프로그램 필터를 직접 만들어 필터링 기능을 더 확장할 수도 있습니다.
4. 시스템 잠금을 막기 위해 ISA Server 보안 구성 마법사를 사용합니다. 이 프로세스는 OS를 "강화"하고 보안 구성을 확실하게 합니다.
a. 콘솔 트리에서 IP Packet Filters를 누릅니다.
b. 세부 항목 창에서 Secure your server machine을 누릅니다.
c . ISA Server Security Configuration 마법사에서 경고를 읽고 Next를 누릅니다.
d. Select Security level 페이지에서 보안 설정에 대한 설명을 읽습니다.
e. Cancel을 누릅니다.
ISA Server 시스템을 강화하면 컴퓨터 서비스가 제한됩니다. 데모용이므로 여기서 실제 잠금 프로세스를 다루지는 않습니다.

실습 2 인터넷 액세스 정책 구성 Back to Top

이 실습에서는 Site and Content Rules를 통해 액세스를 제한하고 정책 요소를 만들고 웹 액세스를 허용하여 ISA Server에 대한 액세스 정책을 관리하는 방법을 배웁니다.

시나리오

Tuck의 보안 정책은 통신량이 일반 네트워크 작업을 방해하지 않는 한도에서 직원이 모든 웹 사이트를 액세스할 수 있게 하는 것입니다. 이를 위해서는 이러한 종류의 액세스를 허용하는 프로토콜 규칙을 구성해야 합니다. 최근에 스포츠 경기가 많은 관심을 모음에 따라 많은 직원이 회사 네트워크를 통해 스포츠 경기의 라이브 비디오 방송을 보고 이로 인해 네트워크의 통신량이 폭주할 수도 있다고 판단하여, 작업 시간 동안에는 이러한 비디오 방송을 제공하는 웹 사이트의 액세스를 차단하도록 결정했습니다.

작업
세부 단계
1. HTTP 프로토콜을 사용하여 모든 웹 사이트에 액세스할 수 있는 ISA Server 프로토콜 규칙을 구성합니다.
a. 콘솔 트리에서 Access Policy를 확장하고 Protocol Rules를 누릅니다.
b. 세부 항목 창에서 Allow Web protocols를 누릅니다.
c. New Protocol Rule 마법사의 Protocol rule name 입력란에 Allow Web Access – All Users를 입력하고 Next를 누릅니다.
d. Protocol 페이지에서 Gopher 확인란 선택을 해제하고 Next를 누릅니다.
직원들이 gopher 프로토콜을 사용하여 인터넷을 액세스하지 않으므로 이 프로토콜을 비활성화하는 것입니다.
e. Schedule 페이지에서 Next를 누릅니다.
f. Client Type 페이지에서 Next를 누릅니다.
g. 작성 중인 프로토콜 규칙의 요소를 검토한 다음 Finish를 누릅니다.
보안을 위해 ISA Server는 기본적으로 인터넷 액세스를 거부합니다. 프로토콜 마법사를 사용하면 granular 프로토콜 액세스 규칙을 개발할 수 있을 뿐만 아니라 빠르고 쉽게 연결을 제공할 수 있습니다.
2. Sports라는 이름의 대상 집합을 만들고 여기에 *distractingSports.com을 포함시킵니다.
a. 콘솔 트리에서 Policy Elements를 확장하고 Destination Sets를 누릅니다.
b. 세부 항목 창에서 New destination set를 누릅니다.
c. New Destination Set 대화 상자의 Name입력란에 Sports를 입력합니다.
d. Add를 누릅니다.
e. Add/Edit Computer 대화 상자에서 Computer name이 선택되어 있는지 확인한 다음 Computer name 필드에 *distractingSports.com을 입력하고 OK를 두 번 누릅니다.

Policy Elements는 Site and Content Rules, Protocol Rules, Publishing Rules, Bandwidth Rules 등을 만드는 구성 요소입니다.
3. 월요일부터 금요일까지 오전 6시에서 오전 12시까지를 포함하도록 Work Hours라는 일정을 수정합니다.
a. 콘솔 트리에서 Schedules를 누릅니다.
b. 세부 항목 창에서 Work Hours를 누르고 Modify schedule을 누릅니다.
c. Work Hours Properties 대화 상자의 Schedule 탭에서 마우스를 끌어 월요일부터 금요일까지 오전 6시에서 오전 12시까지의 시간을 선택합니다. Active 라디오 버튼을 눌러 이 시간을 설정하고 OK를 누릅니다.
4. 미리 정의된 프로토콜 정의 및 컨텐트 그룹에 대한 나머지 정책 요소를 검토합니다.
a. 콘솔 트리에서 Protocol Definitions를 누르고 사용할 수 있는 미리 정의된 프로토콜 정의를 검토합니다.
b. 콘솔 트리에서 Content Groups를 누르고 사용할 수 있는 미리 정의된 컨텐트 그룹을 검토합니다.

ISA Server에서는 여러 유형의 정책 요소를 지정하여 컨텐트를 필터링할 수 있습니다. 검토한 정책 요소 이외에도 서비스 품질(QoS) 프로토콜을 이용하는 대역폭 정의와 하나 이상의 클라이언트 컴퓨터를 포함하는 클라이언트 주소 집합도 사용할 수 있습니다. 또한 Windows 2000 보안 그룹에 기반하는 정책을 정의할 수 있습니다.
5. 작업 시간 동안 Sports 대상 집합에 도메인 사용자 그룹이 액세스하지 못하게 하는 사이트 및 컨텐트 규칙을 구성합니다.
a. 콘솔 트리에서 Access Policy 노드를 확장하고 Site and Content Rules를 누릅니다.
b. 세부 항목 창에서 Create site and content rule을 누릅니다.
c. New Site and Content Rule 마법사의 Site and Content rule name 필드에 Deny Sports Access – Domain Users를 입력하고 Next를 누릅니다.
d. Rule Action 페이지에서 Deny를 누르고 Next를 누릅니다.
e. Destination Sets 페이지의 Apply this rule to 상자에서 Specified destination sets를 선택한 다음 Name 상자에서 Sports를 선택하고 Next를 누릅니다.
f. Schedule 페이지의 Use this schedule 상자에서 Work Hours를 선택하고 Next를 누릅니다.
g. Client Type 페이지에서 Next를 누릅니다.
h. 작성 중인 사이트와 컨텐트 규칙의 요소를 검토한 다음 Finish를 누릅니다.
이 Site and Content Rule은 작업 시간에는 Sports Destination Set에 지정된 URL에 액세스할 수 없도록 합니다.
6. 기본 제공된 ISA Server Reports를 검토하여 웹 사용 동향을 분석합니다.
a. 콘솔 트리에서 Monitoring 노드를 확장하고 Reports를 확장합니다. 하위 폴더는 기본 제공된 ISA Server 보고서의 유형을 나타냅니다.
ISA Server 보고서는 보고서 형식을 보여주기 위한 데모용으로 미리 작성되었습니다. 이들 보고서는 ISA Server 보안 및 액세스 로그로 생성됩니다. 이들 로그는 ODBC, 플랫 파일, W3C 형식으로 작성됩니다.
b. Windows 바탕 화면에서 Microsoft ISA Server Summary Reports의 바로 가기를 두 번 눌러 보고서 내용을 봅니다.

실습 3 웹 캐싱 구성 Back to Top

이 실습에서는 매번 인터넷 웹 사이트에 연결하여 컨텐트를 가져오는 대신 ISA Server에 로컬로 인터넷 컨텐트를 저장하도록 웹 캐싱 서버를 구성합니다.

시나리오

네트워크 사용자들은 비즈니스 파트너가 매일 업데이트하고 인터넷에 게시하는 가격 목록에 빠르고 효율적으로 액세스할 수 있어야 합니다. 가격 목록은 매우 중요한 사항이므로 인터넷 연결을 사용할 수 없을 때도 가격 목록을 액세스할 수 있어야 합니다. 웹 및 FTP 컨텐트에 오프라인으로 액세스할 수 있도록 하기 위해 매일 자동으로 이 컨텐트를 다운로드하도록 ISA Server를 구성합니다. 보다 나은 성능을 위해서는 비교적 한산한 시간에 컨텐트를 다운로드하도록 예약합니다.

작업
세부 단계
1. http://www.PartnerPrice.com에서 두 가지 수준의 컨텐트를 다운로드하는 작업을 예약하고 TTL(Time to Live)을 120분으로 재설정합니다. 매일 오전 5시에 작업이 실행되도록 예약합니다.
a. 콘솔 트리에서 Cache Configuration을 확장하고 Scheduled Content Download Jobs를 누릅니다.
b. Scheduled Content Download Jobs를 마우스 오른쪽 단추로 누르고 New를 가리킨 다음 Job을 누릅니다.
c. New Scheduled Content Download Job 마법사의 Job name 필드에 PartnerPrice Download를 입력하고 Next를 누릅니다.
d. Start Time 페이지의 날짜 상자에 오늘 날짜가 포함되는지 확인한 다음 오전 5시(5:00 AM)로 시간을 변경하고 Next를 누릅니다.
e. Frequency 페이지에서 Daily를 누르고 Next를 누릅니다.
f. Content 페이지의 Download content from this URL 필드에 http://www.PartnerPrice.com을 입력합니다.
g. Content only from URL domain (not sites to which it links) 확인란을 선택하고 Next를 누릅니다.
h. Links and Downloaded Objects 페이지에서 Always override object's TTL 확인란을 선택하고 Mark downloaded objects with a new TTL of 입력란에 120을 입력합니다.
TTL을 120분으로 바꾸면 ISA Server에서 2시간 동안 캐시된 페이지를 클라이언트에 전달하고 실제 웹 사이트에서 사용할 수 있는 새 버전이 있는지 확인하지 않습니다. 웹 페이지에 대한 TTL을 길게 설정하면 인터넷의 네트워크 통신량은 감소하지만 이로 인해 사용자가 오래된 웹 페이지를 보게 될 수 있습니다.
i. Traverse maximum links depth of를 누른 다음 이 상자에 2를 입력하고 Next를 누릅니다.
예약된 다운로드의 최고 수준을 설정하여 웹 사이트에서 다운로드하는 데이터의 양을 제한할 수 있습니다.
j. 마법사 설정을 검토하고 Finish를 누릅니다.
이 데모 구성의 제한으로 인해 웹 컨텐트의 다운로드를 테스트할 수 없습니다.

실습 4 서버 게시 구성 Back to Top

이 실습에서는 내부 웹 서버를 게시합니다. 서버를 게시하면 외부 인터넷 사용자가 회사 웹사이트에 액세스할 수 있으나 방화벽 보안의 추가 계층이 만들어집니다.

시나리오

Tuck Financial Services 웹 사이트는 인터넷 사용자가 액세스할 수 있어야 합니다. 이 웹 사이트를 호스트하는 웹 서버는 인터넷에서 분리된 서브넷에 위치합니다. 웹 페이지에 대한 인터넷 사용자의 요청을 웹 서버에 전달하도록 ISA Server를 구성해야 합니다.

작업
세부 단계
1.ISA Server 외부 주소에 대한 모든 웹 요청을 내부 웹 서버 10.10.0.10으로 리디렉션하는 웹 게시 규칙을 만듭니다.
a. 콘솔 트리에서 Publishing를 확장하고 Web Publishing Rules를 누릅니다.
b. 세부 항목 창에서 Create Web publishing rule을 누릅니다.
c. New Web Publishing rule 마법사의 Web publishing rule name필드에 Public Web Server를 입력하고 Next를 누릅니다.
d. Destination Sets 페이지에서 Next를 누릅니다.
인터넷 액세스용으로 작성하는 대상 집합에는 외부 컴퓨터가 포함되는 반면 서버 게시에 대한 대상 집합에는 내부 컴퓨터가 포함됩니다.
e. Client Type 페이지에서 Next를 누릅니다.
f. Rule Action 페이지에서 Route this site를 누른 다음 10.10.0.10을 입력하고 Next를 누릅니다. 이 IP 주소는 웹 서버를 나타냅니다.
g. Finish를 누릅니다.
h. 세부 항목 창에서 규칙이 적용되는 순서를 검토합니다.
참고 웹 게시 규칙을 구성했습니다. 이 규칙은 ISA Server 외부 네트워크 어댑터와의 모든 연결을 내부 웹 서버로 리디렉션합니다. 그러나 ISA Server의 방화벽 구성 요소로 인해 서버의 외부 네트워크 어댑터에 있는 대부분의 포트에 대한 모든 연결 시도가 여전히 차단됩니다. ISA Server의 외부 네트워크 어댑터에 있는 포트 80에 연결할 수 있도록 패킷 필터링 규칙을 구성해야 합니다.
2. ISA Server의 포트 80에 연결할 수 있도록 패킷 필터를 구성합니다.
a. 콘솔 트리에서 Access Policy 노드를 확장하고 IP Packet Filters를 누릅니다.
b. View 메뉴에서 Taskpad 선택을 취소합니다.
c. IP Packet Filters를 마우스 오른쪽 단추로 누르고 New를 가리킨 다음 Filter를 누릅니다.
d. New IP Packet Filter 마법사의 IP packet filter name 입력란에 HTTP를 입력하고 Next를 누릅니다.
e. Servers 페이지에서 Next를 누릅니다.
f. Filter Mode 페이지에서 Allow packet transmission이 선택되어 있는지 확인하고 Next를 누릅니다.
g. Filter Type 페이지에서 Predefined가 선택되어 있는지 확인한 다음 HTTP server (port 80)를 누르고 Next를 누릅니다.
h. Local Computer 페이지에서 Default IP address가 선택되어 있는지 확인하고 Next를 누릅니다.
i. Remote Computers 페이지에서 All remote hosts가 선택되어 있는지 확인하고 Next를 누른 후 Finish를 누릅니다.
ISA Server는 웹 서버, 전자 메일, FTP 서버 등에 투명한 보안을 제공합니다. SecureNAT 기능을 사용하면 ISA Server에서 외부 인터페이스를 내부 서버에 매핑하고 통신량에 보안 정책을 적용합니다.
ISA Server는 오늘날 인터넷을 사용하는 비즈니스에 필요한 보안, 웹 성능, 통합 관리 등을 제공합니다. ISA Server 실험 세션에 참여해 주셔서 감사 드립니다. ISA Server에 대한 자세한 내용을 보려면 http://www.microsoft.com/ISAServer/를 방문하십시오.

최종 수정일 : 2000.12.15

신고

Posted by networkpark