언제, 어디서나, 편하게 조직내 네트워크에… Windows 7… DirectAccess 1편 – Windows Server 2008 R2와 만났을 때 (2)


Windows7_h_rgb WS08-R2_h_rgb

2008년 3사분기 IDC 조사 결과에 의하면, 많은 컴퓨터 제조사들은 데스크톱 컴퓨터보다 이미 랩탑(노트북) 컴퓨터를 더 많이 판매 및 출시하고 있고, 2008년 현재, 모바일 근로자는 전체의 26.8%, 2011년까지는 전체의 30.4%가 될 것이라는 발표가 있었습니다.

이 의미는 많은 사용자들이 이제, 장소나 시간에 구애받지 않고, 필요한 경우, 업무나 여러 작업을 할 수 있다는 것을 의미합니다만, 현재 근로자들이 조직의 네트워크 리소스를 접근하는 방법에 대해서는 크게 변하지 않았습니다. 가정내 인터넷, 무선 인터넷, 그리고 와이브로등 대한민국에서는 장소에 크게 구애받지 않고, 네트워크에 연결할 수 있지만, 회사 밖으로 나왔을 경우, 회사의 네트워크에 접근할 수 있는 방법은 몇년전이나 지금이나 크게 변하지 않았다고 생각합니다.

바로, 조직내 네트워크에 접근할 수 있는 방법은 VPN을 사용하는 방법이며, 메일이나 터미널 서버와 같은 몇가지 서비스에 대해서만 HTTPS 프록시를 지원하고 있기 때문에, 웹만을 통해 이용할 수 있었죠. 역시나 첨부 파일이라던가, 몇가지 사항에서 조직내 네트워크를 접근하는 것은 한계가 있었습니다.

IT 기술을 하는 분들께서는 VPN, 그 자체가 뭐가 대수야? 라고 하실 수 있지만, 요즘 많이 느끼는 것은 우리가 쉽다(?)라고 생각하는 것들이, 비-IT 종사자분들에게는 큰 장벽이 될 수도 있다는 것입니다. VPN은 다음과 같은 몇가지 문제점이 있습니다.

  1. VPN을 연결하는 자체 : 어려울 수 있습니다. 또한 복잡할 수도 있습니다.
  2. 인터넷 연결이 끊어지면, VPN도 재연결해야하는 문제
  3. VPN을 통해 모든 트래픽이 전달되므로, 전체적인 인터넷 성능 하락

image

2007년, 지금은 은퇴하신 Bill Gates 회장님께서, Connected World에서 말씀하셨던 내용입니다, 사용자가 장소에 구애받지 않고, 큰 장벽없이, 정보를 제공받을 수 있어야 한다는 이야기입니다. 이러한 비전을 Windows Server 2008 R2와 Windows 7에서 DirectAccess라는 기술로 제공하게 되었습니다.

DirectAccess는 VPN의 제한을 건너뛰어, 클라이언트와 조직 네트워크간의 양방향 연결을 자동적으로 생성해주는 기술입니다. 이 기술은 이미 전반적인 업계에서 인정하고, 표준 기반 기술로 사용하고 있는 IPSec(Internet Protocol Security)IPv6에 근간합니다.

DirectAccess의 경우, IPsec을 이용하여, 컴퓨터와 사용자에 대해 인증을 처리합니다. 추가적으로 스마트 카드를 이용한 인증도 사용할 수 있습니다. IPSec을 사용하는 큰 2가지 이유가, 상호간의 인증과 터널링을 이용한 암호화죠.  암호화에 대해서는 DES(Data Encryption Standard), 3DES를 지원하고 있습니다.

클라이언트는 DirectAccess 서버에 IPv6/IPSec 터널을 만들고, DirectAccess 서버는 내부 네트워크에 대한 게이트웨이 역할을 하게 됩니다. 기억하시나요? 조금 쉽게 이해하실 수 있는 비슷(?)한 컨셉이 Windows Server 2008에도 있었습니다. 바로 TS 게이트웨이라는 서버인데요. 앞서 예를 들어들었던 HTTPS 프록시의 하나입니다. Exchange Server 2003에서부터 소개된 RPC over HTTPS라는 기술도 비슷(?)한 것이라고 생각하시면 됩니다.

image

이런 생각을 하실 수도 있을것 같습니다. IPv6를 사용한다고 했는데, 현재 인터넷 네트워크가 IPv6를 잘 지원하지 못하는거 아니냐? 네 맞습니다. IPv6로 모든 네트워크가 전환이 되지 않았고, 전환되려면, 한참한참 남았을 수도 있고, 또는 아닐 수도 있기에.. 그럼 DirectAccess를 못쓰는거 아니냐? 라고 하신다면.. IPv6를 IPv4 네트워크에서 라우팅할 수 있는 기술이 여러가지 있습니다. DirectAccess는 이러한 Encapsulation 기술에 근간합니다. 이러한 기술에는 6to4(IPv6 over IPv4 Tunnel), ISATAP(Intra-Site Automatic Tunnel Addressing Protocol)이 있으며, Teredo도 이중 하나입니다. 어차피 후편에서 기술적인 이야기를 더 자세히 쓸 것입니다만, 6to4, ISATAP, Teredo가 접속을 시도할 때, 포트가 막혀있으면 어떻게 할까? 라는 생각을 저도 처음엔 했었습니다만, 대부분 사용 가능한 포트 HTTP, HTTPS가 있죠. IP-HTTPS 프로토콜을 이용하여, 연결을 시도하기도 합니다.

기술적인 이야기는 매우 길어질 것이라 생각됩니다. 제 데모 환경내 이미 Windows Server 2008 R2, Windows 7을 이용하여 DirectAccess를 구현해놓은 것도 있고, 여러 기술적인 아키텍쳐를 후편에서 설명드리고자 합니다. 설 연휴 보내시고 왔는데.. 딱딱하고 매우 긴 글이.. 기다리고 있다면.. 조금 그러시겠죠?

현재 Windows 7을 사용한 기업 환경 시나리오중, 많은 관심 및 글로벌적인 도입을 추진하고 있는 기술이 바로 이 DirectAccess입니다. 큰 장벽없이, 그리고 장소에 구애받지 않고, 인터넷만 연결된 곳에서, 그것도 보안을 유지한 채, 조직 네트워크에 접근이 가능하다면.. 불과 몇년전만해도 생각도 하기 힘들었는데.. 참 멋진 것 같습니다. 🙂

꼬릿말 : 몇가지 문서 링크를 먼저 써놓습니다. Windows 7과 Windows Server 2008 R2의 연관성을 포스팅한 것중 1편인 BranchCache에 대한 문서도 있습니다.

  • Windows 7 and Windows Server 2008 R2 DirectAccess Executive Overview
  • Windows 7 and Windows Server 2008 R2 Networking Enhancements Executive Overview
  • BranchCache Executive Overview

  • Comments (8)

    1. cygni says:

      올 한해도 즐겁고 재미있는 일들 많이 만들어주세요~^^

      새해 복 많이 받으시고요~!!

    2. Anonymous says:

      DirectAccess 1편 에서는 전반적인 DirectAccess 기술의 등장 배경 및 사상, 간단한 아키텍쳐를 살펴보았습니다. 오늘 포스팅에서는 좀 더 자세한 사항을 알아보고자

    3. Anonymous says:

      1달여동안 지속적으로 Windows 7, 그리고 Windows 7과 Windows Server 2008 R2와의 연동 부분에 대해서 포스팅을 하고 있는데, 도움이 되시는지 모르겠습니다.

    4. Anonymous says:

      언제, 어디서나, 편하게 조직내 네트워크에… Windows 7… DirectAccess 1편 – Windows Server 2008 R2와 만났을 때 (2) 언제, 어디서나, 편하게

    5. Anonymous says:

      꼬알라 공부방에 대한 공지 이후, 23개의 공식적인 댓글.. 그리고 많은 지인 분들의 전화를 받았습니다. 도대체 뭐할거냐고.. 🙂 일전 의견 수렴 포스팅 에서도 언급했지만, 공식적인

    6. Anonymous says:

      Windows 7과 Windows Server 2008 R2가 만났을 때, 사용할 수 있는 아주 멋진 기능 DirectAccess.. 이에 대한 Step-By-Step Guide가

    7. 행운오리 says:

      Direct Access 기술은 내부에서 우선 도메인 조인하여 정책 및 인증서를 발급 받은 컴퓨터에 한해서만 인터넷 환경에서도 내부 리소스에 접근 가능한 기술 맞나요? 외부 인터넷 환경의 도메인에 조인되지 않은 컴퓨터에서 정책과 인증서를 발급받아서 내부 리소스에 접근할 수는 없나요? ^^

    8. Seung Joo Baek says:

      행운오리님 // 안녕하세요. Windows 7의 경우엔 도메인 가입은 외부에서 오프라인 도메인 가입 형태로 처리가 가능했지만, 인증서 발급은 내부에서만 가능했었습니다. Windows 8의 경우엔 이러한 불편함을 없애기 위해, 오프라인 도메인 가입의 경우 DirectAccess용 인증서를 같이 포함할 수 있는 형태가 되었습니다. Windows 8을 사용하시면 가능하신 시나리오입니다.

    Skip to main content