정리: IPsec과 TMG

  이전 몇 번에 걸쳐서 중구난방 올렸던 글들을 정리해본다.

  먼저, 용어 정리부터.

1. TMG는 "Microsoft Forefront Threat Management Gateway" 서버의 약자로 현재 TMG 2010 서버가 시판중이다. 이전 버전으로ISA(Internet Security and Acceleration) 2006 서버가 있다. ISA 서버는 32비트용, TMG 서버는 64비트용이라 생각하면 쉽다.
2. IPsec은 OSI 7 계층(Layer) 개념 중 제3계층(L3; 네트워크 = IP Layer) 수준의 "IP 보안(IP Security)"의 줄임말로, 보통 VPN 접속에 주로 사용되는 개념인데 꼭 VPN이 아니더라도 특정 포트로 두 지점 간 안전한 통신을 하고자 할 때 종종 사용되는 높은 수준의 보안 기법이다. IPsec에는 PSK(Pre-Shared Key) 또는 클라이언트 인증서가 사용된다. ("IPSec"이라고도 쓰고 "IPsec"이라고도 쓰는데 개인적으로는 IPsec으로 s를 소문자로 쓰는 것이 더 깔끔하고 있어보인다.)
3. VPN은 "가상 개인 네트워크(Virtual Private Network)"의 약자로, 인터넷 환경에서 기업 내부망을 사용할 수 있게 해주는 기술 또는 장치다. VPN이라 하면 보통 VPN 장비를 가리키며 VPN으로 연결되고 나면 기업 내부망 IP 주소를 얻어 내부망을 사용할 수 있게 된다.
4. IPsec VPN vs. SSL VPN: IPsec VPN은 L2TP/PPTP와 같이 제2계층(L2), 즉 데이터 링크 계층에서의 VPN 보안 접속 프로토콜로 제3계층(L3; 네트워크) 이상의 모든 통신 영역을 커버한다. 즉, 연결된 다음에는 네트워크(IP주소) 자체가 바뀌어 마치 기업 내부망으로 자리를 옮겨진 것과 동일하게 동작하는 개념이다. 이에 반해 SSL VPN은 그 이름에서도 알 수 있듯 제6계층(L6), 즉 프리젠테이션 계층에서의 VPN 보안 접속 프로토콜로 제7계층(L7; 응용 = HTTP, FTP 등) 만을 커버한다. 즉, SSL은 HTTP에 적용되므로 웹 브라우저를 통한 HTTPS 통신만 보호하는 개념이다. 이 수준의 VPN은 사실 VPN이라 보기 어렵고 그냥 일반 SSL과 개념적으로 별 차이가 없다. 다만 사내에서 제공하는 서비스들을 HTTPS를 통해 외부에서 접속할 수 있게 해주는 것뿐이다. 보통 이런 것을 Reverse Proxy 또는 Web Publishing이라고 부르기도 한다. 그러나 요즘은 이 SSL VPN의 개념이 확장되어 그 커버 가능 영역이 IPsec만큼이나 커졌다. 즉, 일단 웹 브라우저로 연결을 시작하긴 하지만 그 지점에서 별도 클라이언트 프로그램을 다운로드받아 실행하여 L4 또는 L3 영역까지 커버하는 식으로 변종 IPsec VPN처럼 동작하게 하고 있는 것이 추세인 듯 하다. 이쯤되면 사실상 SSL VPN과 IPsec VPN은 별 차이가 없어졌다고도 볼 수 있다.
5. PPTP는 "두 지점 연결 터널링 프로토콜(Point-to-Point Tunneling Protocol)"의 약자로, ID/Password를 이용하여 접속하는 가장 일반적이고 간단한 방식의 VPN 접속 방식이다.
6. L2TP는 "제2계층 터널링 프로토콜(Layer 2 Tunneling Protocol)"의 약자로, L3 이하 영역을 커버하는 점에서는 PPTP와 동일하지만 그 접속 방식에서 ID/Password와 함께 2FA(Two-Factor Authentication)으로써의 PSK 또는 클라이언트 인증서를 추가로 사용함으로써 통신을 더욱 강력하게 보호할 수 있어 보통 L3 수준의 IPsec과 결합하여 L2TP/IPsec으로 부른다. PSK를 사용하는 방식을 편의상 "L2TP/IPsec PSK", 그리고 클라이언트 인증서를 사용하는 방식을 "L2TP/IPsec RSA"라고도 부른다.

  용어 정리는 이쯤하고 TMG에 대한 이야기로 넘어가자면,

TMG VPN은 PPTP, L2TP 및 SSTP(Secure Socket Tunneling Protocol; = SSL VPN)를 모두 지원한다.

또, TMG VPN 서버에 클라이언트 인증서를 이용하여 L2TP로 접속하기 위해서는 다음의 두 가지를 주의해야 한다.

1.   TMG 서버에 설치할 서버 인증서는 확장 응용 프로그램 정책에 반드시 클라이언트 인증, IP 보안 IKE 중개, 서버 인증의 사용이 활성화되어 있어야 한다.
2.   클라이언트 인증서는 확장 응용 프로그램 정책에 반드시 클라이언트 인증, IP 보안 IKE 중개의 사용이 활성화되어 있어야 한다.

  기타 주의해야 할 사항들이 더 있지만 위의 두 가지가 가장 중요하다.

  다음은, TMG VPN에 접속하는 클라이언트에 대한 정리.

• Windows XP 이상의 모든 Windows에서는 TMG VPN에 PPTP, L2TP/IPsec PSK, L2TP/IPsec RSA, SSTP 방식으로 접속할 수 있다.
• Windows Mobile 7 이상의 대부분 모바일 기기는 TMG VPN에 PPTP, L2TP/IPsec PSK, L2TP/IPsec RSA 방식으로 접속할 수 있다.
• Android 2.3 이상의 대부분 모바일 기기는 TMG VPN에 PPTP, L2TP/IPsec PSK, L2TP/IPsec RSA 방식으로 접속할 수 있다.
• Mac OS X 장치 및 iOS 모바일 기기는 TMG VPN에 PPTP, L2TP/IPsec PSK 방식으로 접속할 수 있다.

  위에서부터 하나씩 빠진다.

  한 가지 특이한 점은, Android 모바일 기기에서 TMG에 정상 접속하려면 TMG 서버를 패치해줘야 한다는 점이다. 이 내용은 이전 글에서 이미 다루었다.

  참조: http://blog.daum.net/thermidor/8933139

  ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^

  또, Mac OS X 장치 및 iOS 모바일 기기에서는 TMG VPN에 L2TP/IPsec RSA 방식으로 접속할 수 없다. 그 이유 역시 이전 글에서 이미 다루었다.

  참조: http://blog.daum.net/thermidor/8933151

  ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^