구병국 (익스체인지 사용자 그룹 대표시샵) 27/06/2005
| 연재순서 1. 스팸 메일 수렁에서 벗어나기 2. 웹으로 옮겨 온 아웃룩, OWA 3. 익스체인지 서버 2003과 ISA 서버 2004 |
|
특히 익스체인지 서버와 ISA 서버는 보안과 편의성, 성능 등 개발단계부터 상호보완을 염두에 두고 개발된 기능들이 많다. 메시지 스크리너나 OWA 폼 로그인 기능 등은 ISA 서버 2004를 도입하는 것만으로도 이전 버전의 익스체인지에 기능을 추가하는 역할을 하기도 한다. 익스체인지에 날개를 달아주는 ISA, 서버 활용법을 살펴보자. 필자는 까만 교복을 입었던 마지막 세대이다. 요즘은 대형 마트나 학교 근처 교복점에서 기성복으로 입는 것이 보통이지만 80년대 초반만 해도 중학교, 고등학교 그리고 남자와 여자의 구분만 있을 뿐 맞춤 형식으로 치수를 재고 나서 며칠 기다리면 교복을 입을 수 있었다. 물론 가격대도 만만치 않았지만 내 몸에 맞게 만들어진 유일한 옷인 만큼 편하고 활동하기에 좋았다. 서버 중에도 이처럼 다른 어떤 서버를 특히 배려해서 만들어진 제품들이 있다. 예를 들어 액티브 디렉토리(Active Directory)는 익스체인지 5.5의 디렉터리 서비스를 발전시켜 개발한 제품으로, 익스체인지 2000이나 익스체인지 2003을 효과적으로 관리하기 위해 필수 불가결한 요소다. 실제로 액티브 디렉토리를 공부해 보면 얼마나 많은 것들이 익스체인지를 위해 미리 배려됐는지를 알 수 있다. 여기에 또 하나 익스체인지 서버를 배려한 제품이 있다. 바로 ISA(Internet Security and Acceleration) 서버 2004이다. 마치 그 옛날 맞춤 교복처럼 기업의 네트워크 자원을 안전하게 보호하는 제품으로 특히 익스체인지 서버를 위한 기능을 여기저기에서 찾을 수 있다. 이번 호에는 ISA 서버 2004의 특징을 살펴보고 익스체인지를 위한 기능 중 ISA 서버에 포함된 OWA 서버 게시 기능을 예로 들어 알아본다. ISA 서버와 익스체인지의 궁합 ISA 서버는 본래 MS 프록시 서버 2.0 시절부터 국내에 알려지기 시작했다. 1990년대 말 출시된 이후 주로 국내에 상주한 해외 기업이나 합작사 등에서 간간이 볼 수 있었다. 이 때 인기있었던 기능이 크게 두세 가지인데, 공인 IP를 하나만 쓰고 사설 IP를 여러 개 사용할 수 있는 NAT(Network Address Translation) 기능과 한 번 들어간 웹 사이트의 정보를 캐시에 보관해 놓고 클라이언트가 다음 번에 동일한 사이트에 접속할 때 프록시 서버가 캐시에 저장된 정보를 이용해 액세스 속도를 향상시키는 캐시 기능 그리고 들고 나는 패킷들를 제어할 수 있는 패킷 필터링 기능 등이다. 당시 필자도 직장에서 프록시 서버를 도입해 사용했는데 이 때만 해도 NAT, 캐시, 패킷 필터링 기능을 하드웨어가 아닌 소프트웨어로 구현했다는데 많이 놀랐다. 2000년 이후 MS는 프록시라는 애매한 단어 대신 이 서버의 역할을 직관적으로 알 수 있는 ISA(Internet Acceleration and Security) 서버로 변경했다. 기본적인 개념에는 변화가 없지만 프록시라는 작은 의미 대신 누구나가 해당 제품이 어떤 용도로 쓰일지 한눈에 알 수 있게 한 것이다. 또한 프록시 서버 시절에는 익스체인지에 대한 배려를 찾아볼 수 없었지만 ISA 2000 버전부터 익스체인지를 위한 기능들이 하나둘씩 추가되기 시작했다. 예를 들면 OWA 게시 기능과 메시지 컨텐츠나 첨부물에 대한 필터링을 포함하는 메시지 스크리너(Message Screener) 등이 그것이다. 하지만 이것만으로 익스체인지를 위한 배려라고 하기에는 사실 좀 낯간지러운 것이 사실이다. 그러나 ISA 2004 버전부터 익스체인지에 대한 본격적인 배려가 시작됐다. 또한 많은 기능들을 마법사로 쓸 수 있도록 해 IT 방화벽 제품들이 마법사를 이용해 규칙을 정하는 추세를 따랐으며 설정한 기능들도 한눈에 볼 수 있도록 UI를 변경했다. ISA 서버 2004는 보안 기능과 사용의 편리성, 그리고 거의 대부분의 네트워크 자원에 안전하게 액세스할 수 있는 기능을 제공한다. 특히 OWA(Outlook Web Access), IIS(Internet Information Server), SPS(SharePoint Portal Server), 라우팅 및 원격 액세스 서버, 액티브 디렉토리 등 MS 애플리케이션을 실행하는 네트워크에 안성맞춤으로 개발됐다. ISA 서버 2004에는 내외부의 공격을 다양한 애플리케이션 계층에서 인식하는 방화벽이 들어 있어 HTTP와 같은 인터넷 프로토콜을 세밀히 검사해 기존 방화벽이 발견하지 못하는 많은 위협들을 찾아낸다. ISA 서버의 통합 방화벽과 VPN 아키텍처는 모든 VPN 트래픽을 필터링하고 검사하며, 윈도우 서버 2003 기반의 격리 솔루션에 적합한 VPN 클라이언트 검사 기능을 지원해, VPN 연결을 통해 들어오는 공격으로부터 네트워크를 보호한다. 그 외에도 새로운 사용자 인터페이스와 마법사, 템플릿, 다양한 관리 도구들은 관리자들이 일반적인 보안 구성 오류를 범하지 않도록 지원한다. ISA 서버 2004는 윈도우 서버 2000 버전과 2003 버전에 설치할 수 있으나 2003 버전에 최적화돼 있다. ISA 서버 2004의 주요 특징 ISA 서버를 구성하는 이유는 내부에 있는 네트워크를 더 안전하게 보호하고 캐싱 기능을 이용해 인터넷 액세스 속도를 높이며, 운영을 편리하게 하기 위해서다. <그림 1>은 ISA 서버 2004와 익스체인지 서버를 구성하는 일반적인 방법을 나타낸 것이다. 다양한 종류의 클라이언트들이 인터넷 통해 ISA 서버에 액세스하는데, ISA 서버는 미리 설정한 방화벽 구성 정책에 따라 해당 패킷들을 분석해 내부 네트워크에 패킷들을 전달하고 그 결과를 ISA 서버를 통해 다시 해당 장치로 전달하는 역할을 한다. 내부 사용자들은 원하는 프로토콜을 이용해 ISA 서버 2004를 거치지 않고 접속할 수 있으며 메일 관련 다양한 프로토콜에 대한 패킷을 지원하는 것도 특징이다. ISA 서버 2004의 주요 기능을 자세하게 살펴보자.
OWA의 폼 기반 인증 지난 호에서 OWA의 폼 기반 인증화면을 변경하는 방법을 다뤄봤다. 원격 사용자들이 웹 브라우저를 통해 익스체인지 서버 2003에 액세스할 때 네트워크 인증을 할 수도 있지만 국내 정서상 네트워크 인증보다는 폼 기반 인증이 더 선호된다. 이 때 OWA 서버(클라이언트가 OWA를 통해 접속하려고 하는 서버)는 사용자에게 폼 기반 로그온 페이지를 생성해 보여준다. 사용자가 해당 페이지에 로그온 정보를 입력하면 OWA는 사용자 인증 후 로그온을 허용한다. 문제는 인증 프로세스가 진행되는 동안 인증되지 않은 사용자들은 OWA 서버에 직접 연결되어 있는데 이를 통해 OWA 로그인 페이지를 보여주는 서버가 익스체인지라는 사실이 드러난다는 점이다. 이 때문에 설사 인증 요청이 거부되더라도 일부 서버와 웹 사이트 컨텐츠에 액세스할 수 있게 된다. 따라서 사용자 인증 전까지는 이들이 OWA 서버에 액세스하지 못하도록 해야 한다. ISA 서버 2004는 자체적인 OWA 로그온 폼을 생성해 이 문제를 해결한다. 원격에 있는 사용자가 폼 로그인 페이지에 액세스하기 위해 OWA 서버에 접속하는 대신, ISA 서버 2004 방화벽이 로그인 페이지를 만들고 사용자 인증을 OWA 서버에 전달하는 방식이다. 이런 과정을 거쳐야만 ISA 서버 2004가 OWA 사이트에 대한 액세스 권한을 부여하므로 인증되지 않은 사용자들은 OWA 서버에 액세스할 수 없다. 또 다른 이점은 익스체인지 서버의 모든 버전이 폼 기반 인증을 사용할 수 있다는 점이다. 익스체인지 서버 버전 5.5와 2000 서버는 물론 이전 버전의 익스체인지 서버를 사용하는 기업들도 ISA 서버 2004를 통해 폼 기반 인증을 사용할 수 있다. 강력한 RPC 필터 MAPI(Messaging API)를 사용하면 익스체인지의 모든 기능을 이용할 수 있어 생산성이 크게 향상되지만 RPC를 통해 연결하기 때문에 높은 네트워크 속도가 필요하고 관련된 여러 포트를 열어야 하는 번거로움이 있다. 우리나라는 세계에서 유래를 찾아보기 힘들만큼 높은 대역폭을 자랑하고 있으면서도 상대적으로 보안에 취약해 집에서 아웃룩 클라이언트가 회사나 IDC에 있는 익스체인지 서버에 MAPI로 연결할 수 있었다. 하지만 2003년 여름에 맹위를 떨쳤던 블래스터 바이러스 사태 이후 IDC에서 RPC 관련 포트를 일정기간 폐쇄했다. 그 결과 이전에 MAPI를 사용하던 사용자들은 더 이상 집에서 접속할 수 없게 됐다. 아웃룩 MAPI 클라이언트로 원격지에서 모든 익스체인지 서버 서비스에 안전하게 연결할 수 있는 방법이 없었기 때문에 원격 사용자들은 다른 전자 메일 클라이언트를 사용해야 했고 익스체인지 서버에 대한 만족도도 떨어졌다. ISA 서버 2004는 RPC 필터를 이용해 방화벽을 통과하는 RPC 연결에 대해 애플리케이션 계층 검사를 실시함으로써 이 문제를 해결했다. 방화벽은 적법한 RPC 연결만 익스체인지 서버에 전달하고 인터넷 웜에 의한 연결 등 다른 모든 RPC 연결들을 해제한다. 회사 외부에서 일하는 사용자들은 이 기능을 이용해 아웃룩으로 익스체인지 서버의 모든 서비스를 이용할 수 있으며 직원들이 사무실에 있건 다른 나라에 있건 상관없이 언제 어디서나 아무런 문제없이 아웃룩을 실행할 수 있다. 메일서비스 관련 게시 마법사 익스체인지 서버가 제공하는 메일 서비스(OWA, SMTP,POP3, IMAP4 등)를 인터넷에 게시하면 외부에서도 얼마든지 서비스를 사용할 수 있다. 하지만 이런 인터넷 서비스를 공격의 수단으로 삼을 가능성이 있으므로 철저한 보안을 통해 게시해야 한다. 문제는 익스체인지 서버 서비스를 인터넷 기반 사용자들에게 안전하게 게시하도록 방화벽을 구성하는 작업이 매우 복잡하고 또 게시 규칙을 제대로 구성하지 못할 경우 예기치 못한 결과를 초래할 수 있다는 점이다. 이 때문에 익스체인지 서버 2003을 처음 설치하면 POP3와 IMAP4 서비스는 사용하지 않도록 기본 설정돼 있었다. ISA 서버 2004 버전은 익스체인지 서버 서비스를 인터넷에 게시하는 작업을 간단하게 진행하는 세 가지 마법사 - OWA 게시 마법사와 보안 SMTP/POP3/IMAP4 게시 마법사, 메일 서버간 게시 마법사 - 를 통해 이런 문제를 해결했다(<화면 1>). 이 마법사를 이용하면 익스체인지 서버 서비스 게시 작업이 간소화돼, 생성된 방화벽 액세스 정책을 구현하기 전에 검토하고 필요시 손쉽게 변경할 수 있다.
SMTP 메시지 스크리너를 이용한 필터링 ISA 서버 2004에는 들어오는 전자 메일과 나가는 전자 메일들의 특징을 분석해 스팸을 차단하는 SMTP 메시지 스크리너(Message Screener) 구성 요소가 들어 있다. 스크리너는 메일이 어디로 향하는지(대상), 어디서 왔는지(원본), 제목이나 본문에 관리자가 정의한 키워드나 문자열이 포함되어 있는지, 첨부 파일의 이름, 파일 유형 및 크기 등을 기준으로 판단한다. SMTP 메시지 스크리너에 설정한 스팸 패턴과 일치하는 메일이 ISA 서버에 도착하면 해당 메시지를 삭제 또는 관리자에게 전달하거나 ISA 서버내 특정 폴더에 저장하도록 설정할 수 있다. 또한 첨부 파일의 특성을 지정해 메시지 스크리너로 필터링해 바이러스나 악성 소프트웨어가 메일을 통해 네트워크로 유입되는 것을 막을 수 있다. SMTP와 POP3 필터 인터넷 서비스를 기반으로 공격하는 사람들은 익스체인지 서버의 SMTP와 POP3 메일 서비스를 손상시키기 위해 버퍼 오버런 공격을 사용한다. ISA 서버 2004의 지능형 애플리케이션 계층 필터링(Intelligent Application Layer Filtering)은 이들 서비스에 대한 버퍼 오버런 공격을 차단해 인터넷 침입자가 SMTP와 POP3 서비스를 제어하거나 중단시키지 못하도록 방지한다. SMTP 및 POP3 애플리케이션 계층 필터는 들어오는 모든 SMTP와 POP3 통신을 검사해 서비스를 손상시킬 가능성이 있는 모든 명령 시퀀스를 차단한다. ISA 서버 2004를 이용한 OWA 게시 원격 사용자들은 HTTP를 사용해 익스체인지 서버에 액세스할 수 있는데 그때 사용하는 것이 OWA이다. 익스체인지 2003의 OWA는 이전 버전보다 아웃룩 2003과 비슷해졌고 기능적인 측면에서도 큰 발전이 있었다(본지 3월호 참조). ISA는 OWA 폼 기반의 로그인 형식을 별도로 제공해 인증받지 않은 클라이언트가 OWA 사이트에 액세스하는 것을 막는다. OWA 게시 순서는 일반적으로 다음과 같다. [1] OWA 웹 사이트에 대한 인증서를 발급받아 게시 [2] OWA 웹 사이트 인증서를 파일로 구성(사이트의 개인키 포함) [3] OWA 사이트가 SSL 암호화와 기본 인증을 하도록 구성 [4] OWA 웹 사이트 인증서를 ISA 서버 2004 방화벽의 컴퓨터 인증 서비스로 가져온다 [5] OWA 퍼블리싱 마법사를 실행 여기서는 [1]~[3]을 제외한 과정에 대해 자세하게 살펴본다(더 자세한 것은 연재 마지막의 참고서적과 링크를 참고하기 바란다). 먼저 OWA 웹 사이트 인증서를 ISA 서버에 가져오려면 ISA 서버의 인증서 스냅인을 열어야 한다(스냅인 추가/제거에서 ‘인증서’를 선택한 뒤 ‘컴퓨터 계정’과 ‘로컬 컴퓨터’를 선택한 다음 ‘확인’을 클릭한다). 이제 콘솔에서 ‘개인’을 선택하고 가져오기를 실행해 인증서 파일이 있는 경로로 찾은 후 암호를 입력하고 가져오기를 한다. 이제 ISA 서버 2004 관리 콘솔에서 ‘Firewall Policy’를 선택하고 오른쪽에 있는 ‘Tasks’ 탭에서 ‘Publish a Mail Server’를 클릭해 환영 페이지가 나타나면 규칙이름 란에 ‘Publish OWA Site’와 같이 OWA 서비스 게시에 관련된 것으로 쉽게 알 수 있도록 이름을 정하고 ‘다음’을 클릭한다. <화면 1>과 같이 ‘Select Access Type’ 페이지가 나타나면 Web Client Access(Outlook Web Access), Outlook Mobile Access, Exchange ActiveSync를 선택하고 다음을 클릭해 ‘Select Services’를 연다. ‘Outlook Web Access’를 선택하고 다음을 누르면 ‘Bridge Mode’ 페이지가 나타나는데 여기서 ‘Secure connection to clients and mail server’를 선택한다. 이 옵션은 클라이언트가 OWA 웹 사이트에 연결할 때 SSL을 사용하도록 웹 게시 규칙을 설정하는 것이다. 이렇게 함으로써 정보가 노출되지 않고 암호화돼 전달된다. 이제 다음을 누르면 ‘Specified the Web Mail Server’ 페이지가 나타나는데 Web mail server 대화상자에 내부 OWA 웹 사이트의 이름을 입력한다. 예를 들어 owa.culminis.co.kr이라면 이 이름은 내부 네트워크에 있는 익스체인지 서버 사이트에서 사용하는 것으로 OWA 웹 사이트의 인증서에 나타난 일반적인 이름을 사용해야 한다. IP 주소를 사용할 수도 있지만 ISA 서버 2004 방화벽의 내부 네트워크 인터페이스와 익스체인지 OWA 사이트 사이의 SSL 연결에 문제가 발생할 수 있다. 이제 ‘Public Name Detail’ 페이지의 ‘Accept request for’란에서 ‘This domain name(type below)’를 선택한다. 여기서는 외부 사용자들이 OWA 웹 사이트에 접속할 때 사용하는 이름을 설정할 수 있는데 일반적으로 내부의 이름과 같으므로 ‘Public Name’ 항목에 owa.numi.ne.kr과 같이 입력하고 다음을 클릭한다. 그러면 ‘Select Web Listener’ 페이지가 나타나는데 여기서는 ISA 서버가 들어오는 웹 요청에 대해 청취할 IP 주소와 포트번호를 지정할 수 있다. ‘New’를 클릭하면 ‘New Web Listener Wizard’가 시작되며 다음과 같은 순서로 설정할 수 있다. [1] ‘Web Listener name’ 상자에 이름을 지정한다. OWA SSL Listener와 같이 이름만 봐도 쉽게 알 수 있도록 설정하는 것이 좋다. 다음을 누르면 ‘IP Addresses’ 페이지 나타나고 여기서 ‘External’ 선택상자를 누르고 ‘Address’ 버튼을 클릭해 ‘Specified IP Addresses on the ISA Server Computer in the select network’를 선택한다. OWA 사이트로 들어오는 요청에 청취할 ISA 서버 2004의 외부 공인 IP를 선택하고 ‘Add’를 클릭한 후 OK 버튼을 누른다. [2] ‘Port Specification’ 대화상자에서 ‘Enable HTTP’ 선택상자를 해제하고 ‘Enable SSL’ 상자를 클릭해 ‘Certificate’란에서 ‘Select’를 선택하면 ISA 서버 2004 컴퓨터에 설치된 인증서를 가져올 수 있다. [3] 이제 마침을 클릭해 ‘New Web Listener Wizard’를 끝내면 <화면 2>와 같이 마법사에서 설정한 내용을 확인할 수 있다.
이제 ‘Edit’를 눌러 나타나는 앞에서 설정한 Listener 속성 페이지에서 ‘Preference’ 탭 ‘Authentication’ 버튼을 클릭해 인증 종류를 결정한다. 기본으로 선택된 것이 ‘Integrated’이므로 이를 해제하고 <화면 3>과 같이 OWA Forms-Based를 선택한다. OWA-Forms-Based 인증 기능은 ISA 서버 2004가 OWA 사이트를 위해 보안을 향상시킨 것이다. 방화벽은 로그온 폼을 생성해 사용자 인증을 제공한 후 성공적으로 인증을 한 경우에만 연결 요청을 OWA 사이트로 보낸다. 이를 통해 인증받지 않은 사용자가 OWA 사이트에 액세스하는 것을 막는다. 한 가지 주의할 점은 만약 ISA 서버 2004 방화벽에서 폼 기반 인증을 사용했다면 익스체인지 서버 2003의 OWA 사이트에서는 폼 기반 인증을 사용하지 않아야 한다는 점이다(익스체인지 2000이나 5.5는 폼 기반 인증을 지원하지 않으므로 상관없다).
<화면 3>에서 ‘Configure’를 누르면 <화면 4>와 같이 ‘OWA Forms-Based Authentication’ 대화상자가 나타난다. 접속한 클라이언트가 공용인지 개인용인지에 따라 세션 시간을 달리 설정할 수 있는데 공용여부는 클라이언트가 폼 기반의 OWA 인증 페이지에서 선택할 수 있다. 공용 컴퓨터나 개인용 컴퓨터에 따라 첨부물의 처리도 달리 할 수 있다. 왜냐하면 공항의 키오스크(kiosk)와 같은 공용 컴퓨터에서는 첨부물을 열면 기본적으로 임시 인터넷 폴터에 해당 파일이 저장되므로 보안에 매우 취약하다. 따라서 각 컴퓨터의 특징에 따라서 첨부물을 허용할지 여부를 ‘Clients on public machines’, ‘Clients on private machines’에서 결정한다. ‘Log off OWA when the user leaves OWA Sites’는 사용자가 OWA가 아닌 다른 페이지로 이동했을 때 자동으로 로그오프되는 기능이다.
이제 OK를 두 번 눌러 대화상자를 모두 닫으면 ‘OWA SSL Listener’ 속성 페이지가 나타난다. ‘확인’을 누르면 <화면 2>와 같이 ‘Select Web Listener’ 페이지로 돌아온다. 다음을 클릭해 ‘Users Set’를 선택하고 기본적으로 선택된 All Users를 그대로 둔다. All Users가 선택되어 있더라도 모든 사용자가 OWA 사이트에 액세스할 수 있는 것을 의미하지는 않는다. 성공적으로 인증을 끝낸 사용자만 실제 OWA 웹 사이트에 액세스할 수 있는 것이다. 인증은 익스체인지 OWA 웹 사이트가 담당하고 ISA 서버 2004는 오직 인증을 전달할 뿐이므로 All Users라는 말은 익스체인지 OWA에 인증을 받은 사용자를 의미한다. 마지막으로 다음을 눌러 메일 서버 게시 규칙만들기 마법사를 종료한다. 그러면 관리 콘솔의 중간에 방금 만든 Publish OWA Site라는 규칙이 올라온다. 마우스 오른쪽 버튼을 누르고 ‘Properties’를 선택해 등록정보 대화상자를 열고 <화면 5>와 같이 ‘To’ 탭에서 ‘Request appear to come from the original client’를 반드시 선택한다. 이 옵션은 OWA 웹 사이트가 외부 클라이언트의 실제 IP 주소를 받을 수 있도록 하는 옵션으로, 이렇게 해야 OWA 웹 사이트에서 분석 도구를 이용해 해당 IP별 분석 보고서를 작성할 수 있다. ‘확인’을 눌러 규칙 등록정보 페이지를 닫고 ‘Apply’를 클릭해 해당 규칙을 ISA 서버에 적용하면 본격적으로 이를 사용할 수 있다.
ISA 서버 2004는 영문판이므로 모든 메시지가 영어로 돼 있다. 이를 한글로 바꾸려면 \Program Files\Microsoft ISA Server\CookieAuthTemplates 폴더의 Strings.txt를 수정해야 한다. <화면 6>처럼 한글로 된 OWA를 만들 수 있으며 이 폴더에 여러 파일을 변경하면 로그온 UI를 필요에 따라 변경할 수 있다(가능하면 익스체인지의 폼 로그인 페이지를 참조해서 정하는 것이 좋다. UI 변경은 본지 3월호를 참조한다). 한 가지 주의할 사항은 변경 전에 반드시 해당 폴더를 백업 받아야 하며, 또한 ISA 서비스팩 1을 패치하면 삭제되므로 적용전에 미리 이 폴더의 내용을 백업해야 한다.
ISA 2004를 이용한 메시지 스크리너 구성 SMTP 메시지 스크리너는 ISA 2004를 표준 모드로 설치할 때는 추가되지 않고 필요에 따라 인스톨하는 기능이다. 만약 익스체인지 서버 2003의 ‘연결 필터링 및 받는 사람 필터링’을 사용하고 있다면 메시지 스크리너가 이 기능을 방해할 가능성이 있으니 주의해야 한다. 메시지 스크리너는 ISA 서버가 아닌 다른 서버에도 설치할 수 있는데 이 때는 IIS 6.0이나 5.0 버전이 설치돼 있어야 하고 SMTP 서비스도 사용하도록 설정해야 한다. 즉 메시지 스크리너에서 메시지를 받아 규칙에 맞게 필터링한 후 다시 익스체인지 서버 등으로 보내는 일종의 메일 릴레이 기능이 필수적이다.
<그림 2>는 ISA 서버에 메시지 스크리너 기능을 사용한 예이다. 이렇게 구축하려면 먼저 ISA 서버에 SMTP 서비스를 설치하고 메일 릴레이 설정한다. 이후 ISA 서버에서 메일 서버를 게시하고 메시지 스크리너에 맞는 설정을 하면 필터링 기능이 작동되고, 필터링한 메시지만 내부 네트워크에 존재하는 익스체인지 서버에 배달된다. 메시지 스크리너를 설정하는 첫 단계는 ISA 서버 위에 SMTP 가상 서버를 설치하는 것이다. 여기서 SMTP 메시지 스크리너와 함께 들어오는 이메일 메시지에 대해 실제적인 필터링을 담당한다. [1] 인터넷 정보 서비스(IIS) 스냅인을 시작해 기본 SMTP 가상서버로 이동한다. [2] ‘도메인’ 폴더에서 마우스 오른쪽을 클릭하고 ‘새로 만들기’를 선택한 뒤 ‘원격’을 선택한다. [3] 익스체인지 서버에서 사용하는 도메인 이름을 culminis.co.kr이라고 입력한다. [4] 새롭게 만들어진 도메인에서 마우스 오른쪽을 클릭해 ‘속성’을 선택하면 해당 도메인 등록정보가 나타난다. [5] ‘일반’ 탭에서 <화면 7>과 같이 ‘받는 메일을 이 도메인으로 릴레이할 수 있음’을 선택하고 ‘확인’을 누른다. 도메인 라우팅에서 ‘모든 메일을 스마트 호스트로 전달’을 선택하고 전달할 익스체인지 서버의 FQDN이나 IP 주소를 <화면 7>처럼 입력한다.
[1] SMTP 가상 서버에서 마우스 오른쪽을 클릭하고 속성을 선택해 대화상자를 연 뒤 ‘액세스’ 탭에서 ‘릴레이’를 선택한다. [2] ‘릴레이 제한’ 대화상자에서 ‘추가’를 선택하면 ‘컴퓨터’ 대화상자가 나타나고 여기에 ‘단일 컴퓨터’를 클릭한 후 익스체인지 서버의 IP 주소를 입력한다. 이렇게 하면 나가는 메일에 대해서는 익스체인지 서버에서 배달한 메시지만 릴레이된다. 물론 나가는 메일도 ISA 서버를 통해 나가야 하므로 나중에 액세스 규칙을 만들어야 한다. 이제 ISA 설치 프로그램을 실행해서 ‘Program Maintenance’ 대화상자의 ‘Modify’를 클릭한다. <화면 8>과 같이 ‘Custom Setup’ 대화상자가 나타나면 ‘Mesage Screener’를 선택하고 마우스 오른쪽을 클릭한 후 ‘This feature will be installed on local hard disk’를 선택한다. 이제 메시지 스크리너 기능이 설치된다.
메시지 스크리너는 SMTP 서버 게시 규칙을 통해 작동되므로 SMTP 서버 게시 규칙을 만들어야 한다(이것은 ISA 서버의 공인 IP에서 들어오는 SMTP 메시지를 듣는데 사용된다). ISA Server Management 콘솔에서 SMTP 서버를 게시한다. 먼저 콘솔에서 ‘Firewall Policy’를 선택하고 오른쪽에 있는 ‘Tasks’ 탭에서 ‘Create Server Publishing Rule’을 클릭한다. 환영 페이지에서 규칙이름을 정하는데 Inbound SMTP Relay와 같이 그 용도를 알 수 있도록 정하는 것이 좋다. 다음을 클릭하면 Select Server 페이지가 나타나는데 ISA 서버의 사설 IP 주소를 입력하고 다음을 클릭한다. Select Protocol 페이지의 ‘Selected Protocol’ 목록에서 ‘SMTP Server’를 선택하고 다음을 누른다. IP Address 페이지에서 ‘External’을 선택하고 ‘Address’ 버튼을 누른 후 <화면 9>와 같은 External Network Listener IP Selection 대화상자에서 ‘Specified IP Addresses on the ISA Server Computer in the selected network’를 선택하고 규칙에 사용할 외부 IP 주소를 선택한다. OK를 누른 뒤 다음을 클릭하고 마침을 누른다.
이제는 메시지 스크리너가 특정 항목에 대해서 필터링하도록 구성하는 작업이 남았다. 이것은 ISA Server Management 콘솔에서 Configuration을 확장하고 Add-ins를 클릭해서 할 수 있다. 먼저 ‘Applications Filters’ 탭에서 SMTP Filter를 더블클릭해 ‘SMTP Filter’ 속성 대화상자를 열고 ‘General’ 탭에서 ‘Enable this filter’를 선택한다. Keywords, Users/Domains, Attachments 탭에서 필터링할 메시지의 특징을 설정한다. 예를 들어 Keyword 탭에서 ‘Add’를 선택하면 나타나는 ‘Mail Keyword Rule’에서는 <화면 10>과 같이 키워드를 입력하고 키워드가 위치할 곳이 메시지의 제목인지 본문인지 지정하고 이에 해당하는 메시지가 들어오면 필터링할 행동을 지정한다. 메시지를 삭제할지 보관할지 아니면 특정 사람에게 전달할 지를 정할 수 있다. 또한 ‘Hold Message’를 선택하면 필터링 된 메시지는 SMTP 루트 디렉터리의 Badmail 폴더에 저장된다.
Users/Domain 탭에서는 스팸을 보내는 사용자 또는 도메인을 등록해 해당 사용자나 도메인이 보내는 메시지를 받지 않도록 설정한다(익스체인지 2003의 ‘보낸 사람 필터링’과 같은 기능이다). Attachment 탭을 클릭해 ‘Add’를 선택하면 <화면 11>과 같이 ‘Add Attachment Rule’ 대화상자가 나타난다. 여기에서 첨부물의 이름 또는 확장자 종류, 첨부물의 크기별로 지정할 수 있다. 보통 바이러스 메일은 첨부물로 오기 때문에 여기서 필터링을 구성할 수 있으며 필터링 후에 어떻게 행동할지도 설정할 수 있다. 모든 규칙을 만들었으면 관리 도구에서 ‘Apply’를 눌러 실제 규칙을 적용한다.
SMTP 메시지 스크리너의 동작에 대한 로그는 ISA 2004 관리 콘솔의 왼편에 있는 모니터링을 클릭한다. ‘모니터링’ 노드에서 마지막에 있는 ‘Logging’ 탭을 선택한 후 오른편에 ‘Configure SMTP Message Screener Logging’을 선택하여 대화상자를 연다. <화면 12>와 같은 대화상자에서 ‘File’을 선택하고 ‘Format’ 목록에서는 ‘ISA Server File Format’을 선택한 다음 ‘Enable logging for this service’가 선택돼 있는지 확인한다.
버릴 것이 없는 종합선물셋트 군대를 다녀왔거나 어린 시절을 기억하고 있는 사람이라면 ‘종합선물셋트’라는 것을 알 것이다. 다양한 먹거리가 있어 먹고 싶은 것부터 손이 가게 마련이다. MS의 제품들도 마찬가지다. 오피스 같은 개인용 소프트웨어에서 서버용 제품에 이르기까지 다양한 제품이 발매되고 있다. 일부에선 종합선물셋트란 일년동안 잘 팔리지 않는 것을 포장만 멋지게 해서 연말에 재고처리하는 방법이라고 하지만, MS 제품들은 겉은 종합선물셋트의 형태지만 제품들 하나하나가 상호연동된다는 강점을 갖고 있다. 이번 호에 살펴본 것은 ISA 서버와 익스체인지 서버에 대한 일부분에 불과하지만 세부적으로 보면 서로의 제품군에 대해 얼마나 크게 배려하고 있는지 알 수 있다. 메시지 스크리너나 OWA 폼 로그인 같은 것은 이전 버전의 익스체인지에서 지원하지 않는 기능인데 ISA 서버 2004를 도입하는 것만으로도 이런 기능을 추가할 수 있다. 상호연동하면서 겹쳐지지 않는 투자가 가능하다면 기업의 최고기술운영자(CTO)들도 관심을 가질만 하지 않을까.@ * 이 기사는 ZDNet Korea의 제휴매체인 마이크로소프트웨어에 게재된 내용입니다. |
'OS > WIndows' 카테고리의 다른 글
| 윈도우에서 사용할 수 있는 메일서버 (0) | 2008.10.23 |
|---|---|
| 분산파일 시스템 (0) | 2006.06.21 |
| [익스체인지 서버 2003, 바뀐 점은] ① 스팸메일 탈출 .. (0) | 2006.05.26 |
| [익스체인지 서버 2003, 바뀐 점은] ② 웹으로 아웃룩 .. (0) | 2006.05.26 |
| [펌] IIS 로그 분석 (0) | 2006.02.07 |