Windows 로그인 전 및 SDP 클라이언트 사용

이 기사는 네트워크 및 자원에 안전하게 접근하기 위해 초기 인증을 제공하는 데 필요한 VPN 로그인 전 설정을 구성하는 방법을 설명합니다．

사전 로그인 개요

VPN 로그인 전은 제로 트러스트 네트워크 아키텍처(ZTNA)의 필수 구성 요소입니다． 장치 인증을 기반으로 사용자 인증 전에 장치에 대한 접근을 제공합니다． 세분화된 VPN 로그인 전 정책은 신뢰할 수 있는 장치에 적용되는 허용된 대상의 제한된 접근 정책을 정의합니다．

Cato의 VPN 로그인 전 기능은 새로운 장치를 새로운 원격 사용자에게 보내는 것과 같은 장치의 초기 인증 문제를 해결합니다． 사용자 인증을 완료하기 위해 장치는 회사의 Active Directory(AD)에 연결해야 합니다． 하지만, 이 장치는 새로운 장치이기 때문에 Windows 사용자 자격 증명이 없으며, 인증되지 않은 사용자는 AD에 연결할 수 없습니다.

Cato의 솔루션은 장치에 신뢰할 수 있는 인증서와 Cato 클라이언트를 사전 배포하는 것을 기반으로 합니다． 이것은 장치가 구성하는 VPN 로그인 전 자원에 연결할 수 있도록 충분한 신뢰를 확립합니다． 그런 후에 사용자는 장치에 안전하게 인증할 수 있습니다．

Cato의 사전 로그인 솔루션

장치가 공용 인터넷에 연결할 수 있는 순간(예: 사용자의 집에 있는 WiFi) 또는 Windows 사용자가 로그 아웃할 경우, Cato의 VPN 로그인 전 기능은 장치가 VPN 로그인 전 자원에 연결할 수 있게 합니다．

이 VPN 로그인 전 단계에서, 장치는 IP 주소의 기본 범위에서 삭제합니다. 시스템이 기본 범위로 작동되도록 활성화되어 있는지 확인해야 합니다.

Windows 장치는 Cato 클라이언트, 신뢰할 수 있는 인증서로 사전 구성되어 있으며, Windows 레지스트리는 계정 이름으로 구성되어 있습니다． 클라이언트는 그런 다음 관련 자원에 연결하여 예를 들어 AD에 연결하고, 사용자는 장치를 인증합니다． Windows 장치가 성공적으로 Cato 클라우드에 인증하면, Windows 사용자 자격증명은 장치에 저장되고, 이후 필요에 따라 AD에 인증 및 연결할 수 있습니다．

사용자가 인증되면, 고정 또는 동적 IP 주소의 규칙에 일치하면, 그 범위에서 주소를 얻습니다.

Windows 장치 사전 요구 사항

이 모든 사전 요구 사항을 충족하는 Windows 장치는 Cato의 VPN 로그인 전 기능을 사용할 수 있습니다．

Cato SDP 클라이언트 요구 사항：
- Windows 클라이언트 v5.4 이상에서 지원됨
- 장치에 클라이언트 설치됨
인증서 요구 사항：
- 개인 서명 인증서(Cato 인증서 아님)를 Cato 관리 애플리케이션 (Access > Client Access > Signing certificates)에 업로드합니다.
  
  인증서 업로드에 대한 더 많은 정보는 이 문서를 참조하십시오.
- Windows 장치에 서명된 장치 인증서 설치
장치에서 클라이언트의 Windows 레지스트리 구성 Computer\HKEY_LOCAL_MACHINE\SOFTWARE\CatoNetworksVPN：
- 이 장치에 로그인 전 활성화
  
  PreLogin (DWORD), 데이터 값 1
- Cato 관리 애플리케이션에 표시된 대로 계정 이름을 구성하십시오
  
  서브도메인 (문자열), 데이터 값 <계정 서브도메인>；
  
  예시로 계정 이름 SampleCo는 전체 도메인이 다음과 같습니다: sampleco.via.catonetworks.com
  
  여기서 sampleco는 <계정 서브도메인>입니다
  
  Access > Single Sign-On에서 계정의 서브도메인을 표시할 수 있습니다
- 클라이언트가 Cato Cloud에 대한 초기 인증을 성공적으로 수행한 후, 레지스트리는 자동으로 업데이트됩니다
- (선택 사항) 항상 켜짐을 기본값으로 구성하려면 다음 키를 정의하십시오.
  
  InitialAlwaysOn (DWORD), 값 데이터 1

허용된 대상의 요구 사항

사설 DNS 서버(내부 AD 서버 포함)를 사용하는 계정의 경우 다음 설정을 구성하십시오：
- 사설 DNS 서버는 허용된 대상으로 정의됩니다
  
  계정에 정의된 DNS 서버는 자동으로 허용된 대상에 포함됩니다
- DNS 전달이 활성화되고 개인 DNS 서버에 대해 구성됩니다
- 기본적으로, Cato 클라이언트는 DNS 서버를 10.254.254.1로 설정합니다
  
  계정이 사용자 정의 서비스 범위를 사용하는 경우, DNS의 IP 주소는 x.y.z.3입니다
항상 적용으로 구성된 SDP 클라이언트는 다음에만 연결할 수 있습니다：
- WAN - 허용된 대상에 정의된 자원
- 인터넷 - 사용자 인증하기 인증을 통해 사용자를 인증합니다
항상 적용 설정이 없는 SDP 클라이언트(새 장치 포함)는 다음에 연결할 수 있습니다：
- WAN - 허용된 대상에서 정의된 자원
- 인터넷 - Windows 장치는 인터넷의 모든 자원에 연결할 수 있습니다
보안상의 이유로, 허용된 대상의 최소 IP 범위를 정의할 것을 권장합니다

VPN 로그인 전 및 부팅 시 연결

사전 로그인과 부팅 시 연결이 모두 활성화된 경우, 장치가 부팅된 후 클라이언트가 사전 로그인 상태로 진입합니다. 사용자가 장치에 로그인하면 클라이언트는 사용자를 인증하려고 시도합니다． 추가 정보는 Cato 클라이언트 연결 흐름 이해를 참조하세요.

VPN 로그인 전 사용 사례 샘플

도전 과제 - 새로운 Windows 장치가 직원의 집으로 발송되었습니다． 회사 AD는 Cato 사이트 뒤에 있으므로, 새로운 사용자는 연결할 수 없습니다．
- 해결책 - 장치는 위의 VPN 로그인 전 전제조건을 충족합니다． 사용자가 컴퓨터를 켜면 AD에 연결할 수 있으며, 사용자가 AD에 인증하여 네트워크에 연결할 수 있습니다．

Cato 관리 애플리케이션에서 VPN 로그인 전 설정 구성

VPN 로그인 화면을 사용하여 사전 구성된 Windows 장치가 연결할 수 있는 허용된 대상의 자원을 정의하십시오． 장치의 클라이언트가 Cato Cloud에 연결을 시도하면, 장치가 VPN 로그인 전 장치로 인식됩니다．

Cato Cloud는 장치가 허용된 대상으로 구성된 자원에 연결하도록 허용하며, 이 연결에는 WAN 및 내부 방화벽 규칙이 적용되지 않습니다． 또한, 장치 상태 요구사항은 VPN 로그인 전 트래픽에 적용되지 않습니다． Cato Cloud는 VPN 로그인 전 과정과 관련된 트래픽만 허용합니다．

허용된 대상은 IP 주소, IP 범위 또는 특정 사이트에 대해 정의된 호스트가 될 수 있습니다. VPN 로그인 전은 최대 48개의 허용된 대상을 지원합니다.

계정을 VPN 로그인 전으로 지원하도록 구성하려면:

네비게이션 메뉴에서 클라이언트 액세스 > 접근을 클릭합니다.
VPN 로그인 전 섹션을 확장합니다.
로그인 전 활성화를 선택합니다.
드롭다운 메뉴에서 각 허용된 대상에 대해 호스트, IP 주소 또는 IP 범위를 선택합니다.

참고: 보안 이유로 IP 범위 0.0.0.0 - 255.255.255.255를 허용된 목적지 로 사용하지 마십시오．
저장을 클릭하십시오．