IT/ㄴ Windows

[Win2016] Windows NPS 정책을 사용하여 VPN 관리하기 [2/2]

TIENE 2023. 9. 6. 07:58
반응형

Window NPS 정책을 사용하여 VPN 관리하기

[Win2016] Windows NPS (Network Policy Server) 알아보기 [1/2]

 

[Win2016] Window NPS (Network Policy Server) 알아보기 [1/2]

HTML 삽입 미리보기할 수 없는 소스 NPS (Network Policy Server) - Microsoft Windows 환경에서 사용되는 네트워크 정책 서버 - 네트워크 엑세스 서버 (Network Access Server 또는 NAS)와 통신하여 네트워크 접근 규칙

a-gyuuuu.tistory.com

 

- 이전에는 NPS에 대해 간단하게 알아보았다. Window에서 적용할 수 있는 네트워크 정책 수립기였다. 이를 활용하여 VPN 접속에 적용해본다. 

 


목차

1. NPS 설치

2. NPS 정책 수립

3. VPN 접속하기


 

[구성도]

 


1.  NPS 설치

1.1) 역할 및 기능 추가 마법사

- [네트워크 정책 및 액세스 서비스]를 체크하여 NPS를 설치한다.

 

 

 

2. NPS 정책 수립

2.1) 네트워크 정책 서버

- 설치된 [네트워크 정책 서버]로 진입하여, VPN 접속에 적용할 정책을 새로 만든다.

 

 

2.2) 새 네트워크 정책

-  이름과 서버 유형을 지정한다.

 

 

 

2.3) 새 네트워크 정책의 조건

- 새 정책의 조건을 지정한다. 조건은 다음과 같다.

Windows 그룹 : vpngroup
터널종류 : PPTP
요일 및 시간 제한 : 월~금 09:00~17:00 허용

- 정책의 동작 조건은 And 조건으로 위 세가지 모두가 접속하는 상황과 일치해야 접속이 가능하다. 즉, vpngroup에 있는 사용자 계정이 PPTP 터널을 사용하고, 시간대는 월요일에서 금요일 09시에 17시 사이에 접속해야한다.

 

 

2.3.1) Window 그룹

- 그룹을 검색하여 그룹을 추가한다.

 

2.3.2) 요일 및 시간 제한

- 수립하려는 시간대를 지정한다.

 

 

2.3.3) 터널 종류

- 일치해야하는 터널 종류를 지정한다. PPTP를 선택한다.

 

2.4) 액세스 권한 지정

- 정책과 일치하는 계정만 접근이 가능하도록 수립하는 정책이기 때문에 [액세스 허용]으로 선택한다.

 

2.5) 인증 방법 구성

- MS-CHAP-v2 만 체크하고 나머지는 체크 해제를 한다. Window에서 접근해보기 위한 테스트이며 접속하려는 장비에 따라서 달라질 수 있다.

 

2.6) 제약 조건 구성

- idle 시간에 빠지면 자동으로 세션을 끊어버릴 수 있다. 2분으로 지정하고 테스트를 진행할 때 살펴본다.

 

2.7) 설정 구성

2.7.1) 암호화

- 암호화에 [가장 강력한 암호화] 만 체크하고 설정을 마무리한다. MPPE는 Microsoft Point to Point Encryption으로 Window간 암호화를 지원하는 프로토콜이다.

 

 

2.7) 설정 구성

2.7.1) IP 필터

- 접속한 VPN 계정의 패킷을 제어할 수 있다. 192.168.1.100으로만 Ping을 허용하고 나머지는 불가능하도록 설정한다.

인바운드 필터/아웃바운드 필터 모두 192.168.1.100을 입력한다. 이 IP만 허용하고 나머지는 Deny 처리가 될 예정이다.

 

2.7) 새 네트워크 정책 완료

- 설정에 대한 최종 확인을 마치면 [마침]을 누른다.

 

2.8) 새 네트워크 정책 확인

- 새롭게 생성된 정책을 확인한다. Bottom-Top 순서이기 때문에 숫자가 가장 낮아야 먼저 처리된다. 처리 순서가 1로 있는지 확인한다.

 

 

 

3. VPN 접속하기

3.1) SVR2

- SVR2에서 VPN 연결을 추가하고 속성에 설정값을 변경한다. 새로운 정책에서 지정한 설정을 따라야 통신이 되기 때문에, PPTP로 변경하며, Microsoft CHAP Version 2로 지정하고 연결을 시도한다. 이때, VPNGroup이라는 그룹에 있는 사용자 계정이어야한다.

 

 

3.2) 접속 결과

3.2.1) 사용자 계정

- administrator라는 관리자 계정으로도 접속이 불가능하며, VPNGroup 그룹에 있는 vpnuser1만이 접속가능하다.

 

 

3.2.2) IP 확인

- VPN Server과 VPN Client의 Tunnel IP를 확인한다. 또한, VPN Client인 SVR2에서 192.168.1.100으로의 ICMP 통신은 가능하지만, 192.168.1.200은 불가능하다. 정책이 정상적으로 적용되었다.

 

3.2.3) 유휴시간 확인

- 2분 뒤에 확인해보니 VPN 접속이 끊겨있었다. Wireshark에서 확인해본 결과, VPN Server가 Termination Request를 보내어 접속을 끊도록 했다.

PPP(Point-to-Point Protocol)는 네트워크 노드 사이의 연결을 설정하고 유지하는 데 일반적으로 사용되는 데이터 링크 계층 프로토콜입니다. LCP는 PPP의 일부이며 데이터 링크 연결을 설정, 구성 및 테스트하는 데 사용됩니다.
다음은 제공한 정보에 대한 세부 정보입니다:

1. 코드: Termination Request (5) - 이 필드는 LCP 패킷의 유형을 나타냅니다. 이 경우 PPP 연결의 종료를 요청하는 데 사용되는 "Termination Request"입니다.

2. 식별자: 8(0x08) - Identifier 필드는 LCP 협상 프로세스에서 요청과 응답을 일치시키는 데 사용됩니다. 다양한 LCP 패킷과 해당 응답을 추적하는 데 도움이 됩니다.

3. 길이: 16 - 이 필드는 LCP 패킷의 총 길이(바이트)를 지정합니다.

4. 데이터: 0e87082f003ccd740000039e - 이것은 LCP 패킷의 데이터 부분으로, 종료 요청과 관련된 추가 정보를 포함할 수 있습니다. 이 데이터의 정확한 해석은 PPP 구현 및 협상 매개 변수의 세부 사항에 따라 달라집니다.

요약하면, 제공된 정보는 Identifier가 8이고 총 길이가 16 바이트인 LCP Termination Request 패킷을 나타냅니다. 데이터 부분은 PPP 프로토콜의 사양 및 PPP 연결의 특정 구성에 따라 해석되어야 할 16진수 값을 포함합니다. Termination Requests는 PPP 링크의 순서대로 종료를 요청하기 위해 사용됩니다. #참고 : ChatGPT

 

반응형