An OpTimiSt is..

네트워크에 연결된 모바일 사용자의 증가는 오늘날 기술 분야에 있어서 확실히 나타나는 추세 중 하나입니다. 대부분의 기업에는 원거리 지사 근무 또는 재택 근무를 하거나 고객 방문을 위한 출장이 잦은 직원이 있습니다. 생산성을 높이려면 이러한 사용자가 위치에 관계없이 응용 프로그램과 데이터에 쉽게 액세스할 수

있도록 해야 합니다. 그러나 최근까지도 원격으로 안전하게 액세스하려면 클라이언트 소프트웨어를 설치하고 복잡한 명령을 입력해야 하며 연결 시간도 많이 걸리는 경우가 많았습니다.

지난 몇 년 사이에 원격 액세스를 보다 간단하고 이용하기 쉬운 기술로 만들기 위한 다양한 방식이 등장했습니다. 예를 들어 Outlook® Web Access(OWA)는 사용자가 복잡한 계층 3 VPN(가상 사설망) 없이도 단일 브라우저를 통해 전자 메일, 일정 및 연락처에 간단하게 액세스할 수 있도록 합니다. OWA와 같은 기술은 "어디서든 액세스 가능한" 솔루션에 있어 중요한 부분을 차지하지만 대부분의 조직에서는 이러한 통합 브라우저 환경을 허용하지 않는 핵심 응용 프로그램을 많이 사용하고 있습니다. 이러한 경우 터미널 서비스와 같은 솔루션이 사용자가 어디서든 응용 프로그램에 액세스할 수 있는 효과적인 방법이 될 수 있습니다.

Microsoft는 Windows Server® 2008에서 터미널 서비스의 기본 기능 집합을 크게 개선했습니다. 그 결과 이제 터미널 서비스에는 완벽한 창, RemoteApp라는 응용 프로그램별 게시 기능, EasyPrint의 범용 인쇄 드라이버 기능, TS Web Access라는 브라우저 기반 포털 등이 추가되었습니다. 또한 Windows Server 2008에는 어디서든 액세스 가능한 솔루션의 핵심이 되는 TS 게이트웨이 구성 요소도 포함되었습니다. 이 구성 요소는 RDP(원격 데스크톱 프로토콜)에 대해 SSL 캡슐화를 제공하여 방화벽과 NAT(Network Address Translation) 장치를 쉽고 안전하게 통과할 수 있도록 합니다. TS 게이트웨이 기능은 NAP(네트워크 액세스 보호)라는 Windows Server 2008의 새로운 기술과 통합되어 끝점 클라이언트 상태 검사 기능도 제공합니다. 조직에서 이 모든 구성 요소를 결합하면 어디서든 쉽고 안전하게 응용 프로그램과 데이터에 액세스할 수 있는 솔루션을 구축할 수 있습니다.

이 칼럼에서는 터미널 서비스 구성 요소의 관리에 대한 자세한 내용보다는 어디서든 액세스 가능한 솔루션의 네트워크 및 보안 설계 측면에 중점을 두고, Windows Server 2008에 포함된 기술을 기반으로 이러한 솔루션을 작성하는 방법과 최상의 방법을 설명합니다.

계층 3 가상 사설망의 문제점

새 기술에 대해 생각해 볼 때는 현재 사용 중인 방식과 비교하여 어떤 이점이 있는지를 파악하여 새 모델의 가치를 정확히 평가하는 것이 중요합니다. 기존 계층 3 VPN에는 일반적으로 보안과 사용의 용이성과 관련하여 해결해야 할 두 가지 중대한 문제가 있습니다.

최신 계층 3 기반 VPN에서 보안이 문제가 된다는 사실이 다소 의아하게 들릴 수 있습니다. VPN의 궁극적인 목적이 바로 인터넷을 통해 안전한 터널을 제공하는 것이니까요. 이를 이해하기 위해 일반적으로 VPN 위협 요소가 될 수 있는 사항을 종합적으로 살펴보겠습니다. 그렇다고 VPN을 통해 전달하는 데이터가 가로채기나 변조의 위험에 노출된다는 의미는 아닙니다. 대부분의 최신 계층 3 VPN은 뛰어난 데이터 스트림 암호화 기능을 제공합니다. 그보다는 조직 네트워크에 "모든 포트, 모든 프로토콜"을 통해 액세스할 수 있는 모든 권한이 부여된 원격 컴퓨터로 인해 발생하는 위협을 생각해 볼 수 있습니다. 문제는 계층 3 VPN에서 암호화되어 네트워크를 통해 전달되는 데이터 스트림이 아니라 이러한 터널을 통한 원격 클라이언트 연결에 있습니다. 이러한 연결은 내부 네트워크의 위험성을 높입니다. Slammer나 Blaster와 같은 맬웨어로 피해를 입은 대부분의 조직이 내부 네트워크의 컴퓨터나 방화벽을 통과한 해커에 의해 손상을 입은 것이 아니었다는 점을 기억해 보십시오. 그보다는 오히려 감염된 컴퓨터에서 VPN을 통해 네트워크에 연결하는 원격 사용자를 통해 이러한 피해가 발생한 것입니다. 이러한 VPN에서 완전히 라우팅된 계층 3 기반 연결을 만들면 원격 컴퓨터가 데이터센터에 설치된 컴퓨터와 마찬가지로 내부 리소스에 대한 액세스 권한을 가지게 됩니다. 이러한 액세스 권한은 좋은 의도로 사용될 수도 있지만 악용될 소지도 있습니다.

게다가 계층 3 VPN을 위해서는 조직의 IT 부서에서 관리하지 않는 컴퓨터에 소프트웨어를 설치하고 구성해야 하므로 운영 비용이 높아질 수 있습니다. 예를 들어 사용자의 가정용 컴퓨터에 VPN 클라이언트를 설치하려면 사용자 지정 설치 패키지를 만들고, 사용자가 따라야 하는 자세한 설치 지침을 작성하고, 사용자의 컴퓨터에 설치된 응용 프로그램과의 충돌 문제를 해결해야 합니다. 뿐만 아니라, 새로운 버전의 클라이언트를 배포해야 하거나 새 VPN 끝점을 추가하는 경우와 같이 구성 데이터가 변경되는 경우 막대한 관리 비용이 소요될 수 있습니다. 사용자의 입장에서는 이 VPN을 통한 작업이 직관적이지 않게 느껴지는 경우가 많습니다. 계층 3 연결밖에 제공되지 않으므로 사용자의 업무용 응용 프로그램과 데이터를 쉽게 액세스하여 확인할 수 없습니다.

터미널 서비스를 통한 문제 해결

터미널 서비스와 계층 7 또는 응용 프로그램 계층 VPN이라는 다른 기술에서는 사용자가 액세스할 수 있는 리소스 및 프로토콜에 대한 효과적인 제어 기술을 제공하고 최종 사용자 환경을 이전보다 간단하고 직관적으로 만들어 이 두 가지 문제를 해결합니다.

보안의 관점에서 보면 계층 3 VPN 방식과 터미널 서비스 및 TS 게이트웨이를 사용하는 다른 방식 사이의 가장 중요한 기능 차이점은 내부 네트워크에 대한 연결이 완전히 개방된 파이프라인이 아니라는 점입니다. 특히 계층 3 방식에서는 내부 네트워크에 대한 모든 라우팅 기능을 가진 가상 인터페이스를 로컬 컴퓨터에 만드는 반면, TS 게이트웨이 방식에서는 RDP 기반 패킷만 내부 네트워크에 전달되도록 허용합니다. 따라서 전반적인 공격 노출 영역이 크게 줄고 RDP 내에서 보다 세부적으로 제어할 수 있습니다. 예를 들어 RDP는 드라이브 리디렉션에 대한 기본 지원을 제공하지만 조직에서 TS 게이트웨이를 NAP와 통합하여 원격 컴퓨터가 최신 바이러스 백신 소프트웨어가 설치되어 있음을 증명하는 경우에만 이 기능을 허용하도록 구성할 수 있습니다.

최종 사용자의 관점에서 계층 3 VPN과 터미널 서비스 기반 방식 간의 가장 명백한 차이는 설치가 훨씬 간단하다는 점(설치가 전혀 필요하지 않은 경우도 많음)과 응용 프로그램 및 데이터에 훨씬 쉽고 직관적으로 액세스할 수 있다는 점입니다. 원격 데스크톱 연결 클라이언트가 Windows에서 기본 제공되고 Windows® Update와 같은 일반 서비스 기술을 통해 최신으로 유지되므로 대개 별도로 설치할 클라이언트 소프트웨어가 없습니다. 또한 TS 웹 액세스를 활용함으로써 사용자가 단일 URL에서 모든 응용 프로그램과 데이터를 찾을 수 있습니다. 응용 프로그램을 간단히 클릭하면 TS 게이트웨이에서 인터넷을 통한 연결을 안전하게 터널링하여 해당 응용 프로그램이 사용자의 데스크톱에 완벽하게 전달됩니다. 다시 말해 복사하여 붙여넣기 기능이 지원되고 작업 표시줄에 최소화되는 등 응용 프로그램이 로컬로 설치된 것처럼 보이고 동작합니다. 터미널 서버 기반의 원격 액세스 방식은 응용 프로그램과 데이터를 검색하기 용이하게 하고 설치가 즉각적으로 이루어지게 함으로써 성공적으로 사용자 만족도를 높이고 지원 비용을 절감해 줍니다.

원문 출처 : http://technet.microsoft.com/ko-kr/magazine/cc137766.aspx

이올린에 북마크하기(0) 이올린에 추천하기(0)

윈도우 서버 2008(이하 WS08) 출시가 다가오면서 다양한 기술자료들이 계속 오픈되고 있다. 터미널 서버 팀에서도 다양한 동영상 자료 등을 통하여 자료 공급의 수위(?)를 높이고 있다. NoPD도 이제 슬슬 머릿속을 정리하면서 관련 포스팅을 지속적으로 해보도록 하겠다. 그 첫번째로 WS08 의 터미널 서버의 각 기능을 이용한 서버 구성안을 한번 그려 보았다. 백날 개별 서비스 기능을 설명하는 것보다 한장의 그림이 더 이해하기 편할 것 같아서 배려(?)를 해봤다.

• 터미널 서비스 웹 엑세스 (Terminal Service Web Access)
• 터미널 서비스 게이트웨이 (Terminal Service Gateway)
• 터미널 서비스 세션브로커 (Terminal Service Session Broker)
• 터미널 서비스 라이센스 서버 (Terminal Service License Server)
• 터미널 서버 (Terminal Server)

이다. 우선 터미널 서비스 웹 엑세스와 게이트웨이에 대하여 알아보자. 터미널 서비스 웹 엑세스는 터미널 서버를 통하여 제공되는 원격 프로그램 (WS08 에서 RemoteApp 이라 부른다) 을 웹으로 노출시켜주는 일종의 터미널 서비스 포탈이라고 생각하면 된다. Citrix Presentation Server에 익숙한 사용자라면 CPS Web Interface의 약소화된 버전이라고 생각하면 편할 것 같다. 웹 엑세스는 웹 파트로 구성되어 있는데, 이는 마이크로소프트의 협업 솔루션인 쉐어포인트 포탈(Sharepoint Portal)에 연동해서 사용할 수 있음을 의미한다.

터미널 서비스 게이트웨이는 사용자가 터미널 서버와 통신하는데 있어서 발생하는 패킷들을 SSL로 암호화 해주는 일을 한다. 이미 잘 알고 있는 것처럼 터미널 서비스는 3389번 포트를 기본 포트로 사용한다. 하지만 이는 방화벽 이슈로 인한 대외 시스템 오픈을 막는 큰 장애물이었다. Citrix Presentation Server는 이미 Secure Gateway 라는 솔루션을 통하여 HTTP over SSL을 지원하고 있었다. 80 포트와 443 포트를 이용한 TCP/IP 통신이 주는 장점은 굳이 설명할 필요가 없을 것 같다. 사외에서의 시스템 엑세스와 같은 다양한 용도로 터미널 서비스를 확장하기 위한 필수요소라는 점에 착안하여 마이크로소프트도 이번에 게이트웨이를 선보인 것이다.

터미널 서비스 세션브로커는 이전까지 세션 디렉토리(Session Directory) 서비스로 알려져 있던 서비스의 WS08 버전 이름이다. 그림에서와 같이 터미널 서버 팜이 구성되는 경우 사용자의 유휴세션이 있는지의 여부를 판단하는 것이 라이센스 정책이라던가 동시 접속 사용자의 관점, 작업의 연속성 보장을 고민해볼 때 굉장히 중요한 사안이다. 예를 들어 터미널 서버에서 서비스되는 파워포인트를 이용하여 열심히 작업을 하던도중 미처 저장을 하기 전에 정전으로 네트웍이 끊긴 경우를 생각해 보자. 네트웍이 다시 살아난 후에 터미널 서버에 접속을 시도하면 우린 서버가 어떤 리액션을 기대하는가? 바로 이전에 사용하던 세션이 그대로 (파워포인트도 물론 실행중인 상태) 올라오리라 생각 하는건 너무나 자연스러운 기대다.

터미널 서비스 라이센스 서버는 이전과 이름이 바뀌지 않은 유일한 서비스다. 터미널 서비스에 대한 CAL 라이센스는 바로 터미널 서비스 라이센스 서버가 관리하게 된다. 라이센스의 발급 및 회수 그리고 만료와 같은 일반적인 라이센스 관련 액션들이 이곳에서 일어난다. 서버 팜 단위로 라이센스 서버를 구성하고 상위 라이센스 서버를 놓는 것도 -당연하겠지만- 가능하다. WS08 에서 터미널 서비스가 가지는 변화는 무척 많다.

이올린에 북마크하기

터미널 서비스 웹 엑세스(Terminal Service Web Access, 이하 TS 웹 엑세스)는 윈도우 서버 2008 에서 새롭게 도입된 요소 중 하나이다. 사실 정확히 따져보자면 이전에도 존재했지만 단순히 RDC 클라이언트를 ActiveX를 통해서 웹페이지를 통해서 볼 수 있도록 해준 것에 불과했기 때문에 새로운 구성 요소라고 봐도 무방할 것 같다.

이미 언급했던 내용이지만 RDC 6.0 클라이언트 부터는 웹 브라우저를 통해 터미널 서버를 엑세스 할 수 있도록 해주는 ActiveX가 포함되어 있다. ActiveX 하면 악성코드니 뭐니 지레 손사레를 치는 분이 계실지 모르겠지만, 우리가 흔희 AJAX의 구현을 위해 사용되는 XMLHttp 역시 일종의 ActiveX 형태로 실행되는 것임을 다시한번 상기하도록 하자. 윈도우 XP SP2 부터 등장한 ActiveX 다운로드 Block 기능이나 기타 ActiveX를 별도로 설치할 수 없는 환경에 있는 사람들을 위한 배려이다. 즉, Stand-Alone RDC가 설치되브라우저를 위한 Add-On이 같이 설치된다고 이해하도록 하자. TS 웹 엑세스는 크게 3가지 기능을 가지고 있다.

• 풀 스크린 터미널 서비스 접속 기능
• RemoteApp을 통해 퍼블리싱 된 개별 어플리케이션 실행
• RDP 관련 Feture Configuration

첫번 째 기능은 일반적으로 우리가 알고 있는 MSTSC.exe 프로그램을 통한 접속이라고 생각하면 된다. 서버의 전체 화면이 마치 내 PC인것 처럼 터미널 접속을 하는 방식이다. 두번째 기능은 서버 2008 에서 새롭게 도입된 기능인데, RemoteApp(개별 어플리케이션을 터미널 서비스를 통하여 서비스 할 수 있도록 퍼블리싱 해주는 구성요소)을 통해 퍼블리싱된 개별 어플리케이션을 엑세스 하는 기능이다. Citrix 등의 솔루션에 익숙한 사용자라면 "어머" 하는 말이 절로 나올지도 모르겠다. 세번째는 MSTSC.exe 프로그램에서 환경설정을 하던 부분과 대동소이하다.

서버에 정상적으로 TS 웹 엑세스가 설치되었다면 웹 브라우저를 열고 URL 창에 http://서버주소/ts 를 입력해 보자. 위와 같은 화면을 만날 수 있을 것이다. (사정에 의하여 MS 기술자료에 있는 화면을 복사해 넣었다) 만약 터미널 서버가 여러대라면 TS 웹 엑세스를 별도의 서버에 설치하고 각 서버로 엑세스 할 수 있도록 구성할 수도 있다.

RemoteApp을 통하여 퍼블리싱된 어플리케이션은 마치 로컬 어플리케이션 인것처럼 수행된다. 흔히 Seamless 라는 용어로 표현을 많이 하는데 작업관리자에서 실행중인 프로그램에 (원격) 으로 표시된 것을 보고 구분할 수 있을 정도이다. 특히 터미널 서버에 테마 서비스가 설치되어 있다면 로컬 사용자는 정말로 차이을 느끼지 못할 것이다.

이올린에 북마크하기