백 승 주 / 책임 컨설턴트 .net advisor group webtime
DESCRIPTION
ISA Server 2004 를 이용한 Exchange 2003 인프라 보안 강화. 백 승 주 / 책임 컨설턴트 .Net Advisor Group WebTime. 강사 소개. WebTime 책임 컨설턴트 / 전임 강사 / 경력 8 년 MCT/MCSE on Windows Server 2003 국내 1 호 / MCSE Security 2003/MCSE Messaging 2003/ MCDBA/MCSD/MCDST 관심 분야 플랫폼 (Windows Family) - PowerPoint PPT PresentationTRANSCRIPT
백 승 주 / 책임 컨설턴트.Net Advisor GroupWebTime
ISA Server 2004 를 이용한Exchange 2003 인프라 보안 강화
강사 소개
• WebTime 책임 컨설턴트 / 전임 강사 / 경력 8 년• MCT/MCSE on Windows Server 2003 국내 1 호 /
MCSE Security 2003/MCSE Messaging 2003/MCDBA/MCSD/MCDST
• 관심 분야– 플랫폼 (Windows Family)– 백오피스 (Exchange, SharePoint, LCS, RMS, ISA)– 보안
• 커뮤니티– .NET Advisor Group– MCPWORLD (http://www.mcpworld.com)
대상 기술범위 :
• E-Mail 보안 이슈• 안전한 SMTP 트래픽을 위한 ISA Server 설정 • 안전한 웹 클라이언트 접속을 위한 ISA Server 설정 • 안전한 클라이언트 접속을 위한 ISA Server 설정
이 주제를 이해하는 데 필요한 지식
Level 200Level 200
• Windows Server 2003 사용 경험• 네트워크에 대한 기본 지식
• Exchange Server 2003 사용 경험• 각종 메시징 프로토콜에 대한 기본 지식
• 방화벽 사용 경험 (옵션)
목차
• E-Mail 보안 이슈• 안전한 SMTP 트래픽을 위한 ISA Server 설정 • 안전한 웹 클라이언트 접속을 위한 ISA Server 설정 • 안전한 클라이언트 접속을 위한 ISA Server 설정
E-Mail 보안 이슈E-Mail 보안 위협 개요• 모든 E-Mail 클라이언트가 서버로 접속할 때 ,
안전한지를 확인• SMTP 취약점 공격으로 부터 E-Mail 서버를 보호• 조직의 네트워크를 들어오는 원하지 않거나 악성 E-
Mail 들을 방어
ActiveSync 를 사용하는 모바일
장치들
ActiveSync 를 사용하는 모바일
장치들
Outlook Mobile AccessXHTML, cHTML, HTMLOutlook Mobile AccessXHTML, cHTML, HTML
E-Mail 보안 이슈웹 클라이언트를 이용한 E-Mail 접근
Outlook Web AccessOutlook Web Access
Exchange백 - 엔드
서버
Exchange백 - 엔드
서버
무선네트워크
무선네트워크
Exchange프론트 - 엔드
서버
Exchange프론트 - 엔드
서버
ISA서버ISA서버
E-Mail 보안 이슈Outlook 클라이언트를 이용한 E-Mail 접근
Outlook RPC 접속Outlook RPC 접속
Outlook RPCover HTTP 접속
Outlook RPCover HTTP 접속
포트 135, 동적 포트포트 135, 동적 포트
포트 80 또는 443포트 80 또는 443
Exchange백 - 엔드
서버
Exchange백 - 엔드
서버
Exchange프론트 -
엔드서버
Exchange프론트 -
엔드서버
ISA서버ISA서버
E-Mail 보안 이슈인터넷 클라이언트를 이용한 E-Mail 접근
POP3 접속POP3 접속
IMAP4 접속IMAP4 접속
포트 110 또는 995, 포트 25
포트 110 또는 995, 포트 25
포트 143 또는 993, 포트 25
포트 143 또는 993, 포트 25
Exchange백 - 엔드
서버
Exchange백 - 엔드
서버
Exchange프론트 -
엔드서버
Exchange프론트 -
엔드서버
ISA서버ISA서버
E-Mail 보안 이슈SMTP 프로토콜 - 레벨의 공격• 표준보다 큰 데이터를 전송하는 버퍼 오버플로우
공격을 통한 메모리 버퍼 오버플로우• SMTP 서버가 인터넷 사용자들에게 원하지 않는
메일을 전달하게 되는 메일 릴레이 공격• 서버내 정보나 사서함에 대한 정보를 수집 , 또는
서버 보안을 위협
E-Mail 보안 이슈스팸 또는 악성 E-Mail• 스팸 메일 (UCE)
– 서버와 네트워크 자원 소모– 사용자 생산성 감소와 관리자 오버헤드 증가– 응용 프로그램 레이어 필터를 통해 처리 가능– 법적인 책임 야기 가능성
• 악성 메일– 컴퓨터내 데이터 파괴 또는 각종 자원의 소모– 관리자 오버헤드 증가– 정보 유출 가능성
Exchange백 - 엔드
서버
Exchange백 - 엔드
서버
E-Mail 보안 이슈ISA Server 2004
Mail publishing 마법사Mail publishing 마법사
원하지 않는 메일 필터링원하지 않는 메일 필터링
SMTP 명령어필터링
SMTP 명령어필터링
Outlook 클라이언트의 안전한 접근
Outlook 클라이언트의 안전한 접근
웹 클라이언트의안전한 접근
웹 클라이언트의안전한 접근
Exchange프론트 -
엔드서버
Exchange프론트 -
엔드서버
ISA서버ISA서버
목차
• E-Mail 보안 이슈• 안전한 SMTP 트래픽을 위한 ISA Server 설정 • 안전한 웹 클라이언트 접속을 위한 ISA Server 설정 • 안전한 클라이언트 접속을 위한 ISA Server 설정
SMTP 트래픽 보안ISA Server 2004 의 SMTP 트래픽 보안
SMTP 서버 게시를 위한 Mail Publishing 마법사
SMTP 서버 게시를 위한 Mail Publishing 마법사
원치 않는 E-Mail 을 필터링하기 위한 SMTP
메세지 스크리너
원치 않는 E-Mail 을 필터링하기 위한 SMTP
메세지 스크리너
SMTP 명령어 필터링을 위한 SMTP 응용
프로그램 필터
SMTP 명령어 필터링을 위한 SMTP 응용
프로그램 필터
SMTP
서버
SMTP
서버
Exchange프론트 -
엔드서버
Exchange프론트 -
엔드서버
Exchange백 - 엔드
서버
Exchange백 - 엔드
서버
ISA서버ISA서버
SMTP 트래픽 보안ISA Server 2004 의 SMTP 보안 설정1. 인터넷 DNS 서버의 MX 레코드를 ISA 서버로
설정2. SMTP 서버를 게시하기 위한 Mail Server
Publishing 마법사 사용3. SecureNAT 클라이언트로 내부 SMTP 서버를 설정4. 내부 SMTP 서버가 인터넷으로 E-Mail 을 전송하는
Access Rule 을 설정5. 내부 SMTP 서버가 인터넷 호스트 이름을 풀이할
수 있도록 DNS 를 설정
SMTP 트래픽 보안데모 시나리오
Internet
Den-ISA-01
Den-DC-01
Den-Msg-01
Gen-Web-01
SMTP 서버의 게시 인터넷 DNS 레코드 생성 SMTP Mail Server Publishing Rule 의 생성 아웃바운드 SMTP 서버 설정 SMTP 트래픽 흐름 테스트
데모데모
SMTP 트래픽 보안SMTP 필터링의 동작 원리
EHLO contoso.comMail from: [email protected] to: [email protected]
EHLO contoso.comMail from: [email protected] to: [email protected]
다음을 확인명령어가 허가된 것인가 ?
명령어 길이가 허가된 것인가 ?
SMTP
서버
SMTP
서버
ISA서버ISA서버
Exchange프론트 -
엔드서버
Exchange프론트 -
엔드서버
Exchange백 - 엔드
서버
Exchange백 - 엔드
서버
SMTP 트래픽 보안SMTP 응용 프로그램 필터 설정
SMTP 트래픽 보안SMTP 메시지 스크리너의 동작 원리
Exchange백 - 엔드
서버
Exchange백 - 엔드
서버
SMTPService 가 설치된 IIS
6.0
SMTPService 가 설치된 IIS
6.0
다음을 확인원본 호스트가 허가된 것인가 ?
원본 도메인이 허가된 것인가 ?
첨부 파일은 허가된 것인가 ?
키워드 중 거부된 것은 없는가 ?
SMTP
서버
SMTP
서버
메시지 스크리너 설치메시지 스크리너 설치
ISA서버ISA서버
SMTP 트래픽 보안SMTP 메시지 스크리너 설정1. IIS 5.0 또는 IIS 6.0 서버에 SMTP 서비스 설치2. IIS 서버에 SMTP 메시지 스크리너 설치3. 메시지 스크리너가 설치된 SMTP 서버를
게시하도록 SMTP Mail Server Publishing Rule 을 구성
4. SMTP 필터에 메시지 스크리너를 설정
SMTP 메시지 스크리너 구현 ISA 서버에 SMTP 서비스 설치 SMTP 메시지 스크리너 설치 SMTP 메시지 스크리너 구성 SMTP 메시지 스크리너 테스트
데모데모
SMTP 트래픽 보안메시지 스크리너의 배치• ISA 서버 머신에 직접 설치 , 가장 구성하기 쉬우나 ,
보안 레벨은 높지 않음• 내부 또는 Perimeter 네트워크의 IIS 서버 ,
Perimeter 네트워크내 구현이 다소 구성하기 어려우나 , 보안 레벨은 높음
SMTP 트래픽 보안메시지 필터링 방향 결정• Inbound 메시지만 필터링하는 경우
– 메시지 스크니러가 설치된 머신을 외부로 게시– 내부 SMTP 서버가 인터넷으로 E-Mail 을 발송하도록
Access Rule 설정
• Outbound 메시지와 Inbound 메시지를 모두 필터링하는 경우– 메시지 스크니러가 설치된 머신을 외부로 게시– 내부 SMTP 서버가 E-Mail 을 발송할 경우 , 메시지
스크리너를 Smart Host 로 사용하도록 설정
목차
• E-Mail 보안 이슈• 안전한 SMTP 트래픽을 위한 ISA Server 설정 • 안전한 웹 클라이언트 접속을 위한 ISA Server 설정 • 안전한 클라이언트 접속을 위한 ISA Server 설정
웹 클라이언트 보안안전한 OWA 접속을 위한 ISA Server
Exchange백 - 엔드
서버
Exchange백 - 엔드
서버
Exchange프론트 - 엔드
서버
Exchange프론트 - 엔드
서버
OWA클라이언트
OWA클라이언트
OWA 서버 게시를 위한 Mail Publishing 마법사 사용
OWA 서버 게시를 위한 Mail Publishing 마법사 사용
첨부파일통제 설정첨부파일통제 설정
안전한 사용자 로그온을 위한 폼 -
기반 인증 사용
안전한 사용자 로그온을 위한 폼 -
기반 인증 사용
ISA서버ISA서버
웹 클라이언트 보안OWA 접속을 위한 ISA 서버 설정1. OWA 서버에 디지털 인증서를 설치2. IIS 가 OWA 가상 디렉터리에 SSL 접속을 하도록
설정3. OWA 서버 게시를 위한 Mail Server Publishing
마법사 이용4. Bridging 모드 설정 . 가장 높은 보안을 위해 ,
클라이언트와 ISA 서버 , ISA 서버와 OWA 서버가 보안 연결을 하도록 설정
5. OWA 게시용 웹 리스너 구현 . 웹 - 리스너에서 폼 -기반 인증과 SSL 를 선택
웹 클라이언트 보안폼 - 기반 인증 설정
웹 클라이언트 보안기타 웹 클라이언트 접근 설정
OMA 와Activesync
클라이언트용 Exchange 서버 가상
디렉터리를 게시
OMA 와Activesync
클라이언트용 Exchange 서버 가상
디렉터리를 게시
안전한 OWA 접속을 위한 ISA 서버 설정 OWA 서버에 인증서 설치 OWA 용 가상 디렉터리에 SSL 필요 설정 Outlook Web Access Publishing Rule 설정 Outlook Web Access Publishing Rule 테스트
데모데모
목차
• E-Mail 보안 이슈• 안전한 SMTP 트래픽을 위한 ISA Server 설정 • 안전한 웹 클라이언트 접속을 위한 ISA Server 설정 • 안전한 클라이언트 접속을 위한 ISA Server 설정
인터넷 클라이언트 보안안전한 Outlook RPC 접속
Outlook클라이언트
Outlook클라이언트
Exchange서버군
Exchange서버군
ISA서버ISA서버
포트 135포트 135
Exchange UUID=3000Exchange UUID=3000
Exchange UUID=2000Exchange UUID=2000
인터넷 클라이언트 보안데모 시나리오
Internet
Den-ISA-01
Den-DC-01
Den-Msg-01
Den-Clt-01
안전한 Outlook RPC 접속을 위한 ISA 서버 설정 Outlook RPC Publishing Rule 설정 Outlook RPC Publishing Rule 테스트
데모데모
인터넷 클라이언트 보안RPC over HTTP 에 대해• Windows Server 2003 에서 동작하는 Exchange
Server 2003• Windows Server 2003 글로벌 카탈로그• Windows XP 에서 동작하는 Outlook 2003• Exchange 와 RPC Proxy 서버가 설치되고 , 관련된
설정이 완료된 Windows Server 2003• HTTPS 를 사용하여 Exchange 서버를 접속하도록
Outlook 프로파일을 수정
인터넷 클라이언트 보안RPC over HTTP 설정
RPC over HTTP 사용을 위
해 , /rpc/*가상 디렉터리 게시
RPC over HTTP 사용을 위
해 , /rpc/*가상 디렉터리 게시
인터넷 클라이언트 보안POP3, IMAP4 클라이언트 접근
필요 포트 설정필요 포트 설정
SSL 보안을 사용하기 위해
보안 포트 설정
SSL 보안을 사용하기 위해
보안 포트 설정
세션 요약
• E-Mail에는 여러 가지 보안 위협 요소를 가지고 있음• 안전한 SMTP 보안을 위하여 ISA 서버에 SMTP 스크니러를 설치• 안전한 OWA 보안을 위하여 , ISA 서버 Web Publishing과 HTTP Filter를 사용• 안전한 인터넷 클라이언트 보안을 위하여 , ISA 서버 Mail Publishing을 사용
참고 자료
• http://www.microsoft.com/isa• http://www.isaserver.org
이 서적은 국내 대형서점에서 판매되며 , 온라인 서점에서도 판매 됩니다 .
추천서적 : IT 전문가를 위한 참고서적
Microsoft 교육센터IT 전문가를 위한 교육정보
코스 제목 Available
2824A Implementing Microsoft Internet Security and Acceleration (ISA)
Server 2004
2005/04/18
~
2005/04/22
2823A Implementing and Administering Security in a Microsoft Windows
Server 2003 Network
2005/05/10
~
2005/05/13
자세한 교육정보는 Microsoft 공식 교육기관 또는 인터넷에서 통해서
얻을 수 있습니다 .
www.microsoft.com/learning, www.wtime.net
참고자료 : IT 전문가를 위한 Microsoft 인증
여러분의 여러분의 Microsoft Microsoft 기술 능력 평가기술 능력 평가
Microsoft Skills Assessment 무엇인가 ?• 현재 제품 및 기술 솔루션에 대한 능력 평가• Windows Server 2003, Exchange Server 2003, Windows
Storage Server 2003, Visual Studio .NET, Office 2003• 무료 , 온라인 , 누구나 사용 가능• 평가결과를 기초로 Microsoft 교육 프로그램을
제안합니다 .• 평가항목과 최고점수 표시
• 방문하세요 ! www.microsoft.com/assessment
Microsoft Certified Systems Administrator(MCSA) 가 되자 !
• MCSA 무엇인가 ?– Microsoft Windows Server 기반의 시스템 , 네트워크
유지보수와 관리를 하는 IT 전문가를 위한 인증제도
• 어떻게 MCSA(Windows Server 2003) 합격 ?– 3 개 코어 시험 통과– 1 개 선택 과목
• 자세한 정보는 아래 URL 를 참고하세요 ?
www.microsoft.com/mcsa
Microsoft Certified Systems Engineer (MCSE) 가 되자 !
• MCSE 무엇인가 ?– Microsoft Windows Server System 기반의 비즈니스
솔루션 , 인프라스트럭처의 설계 , 도입계획 , 도입방법 , IT 운영자의 요구분석 능력을 인증하는 제도
• 어떻게 MCSE(Microsoft Windows 2003) 합격 ?– 6 개 코어 시험 통과 – 1새 선택 시험 통과
• 자세한 정보는 아래 URL 를 참고하세요 ?
www.microsoft.com/mcse
Microsoft Certified Desktop Support Technician(MCDST) • What is the MCDST certification?
– Microsoft Windows 오퍼레이팅 시스템에서 실행되는 데스크톱 환경의 문제해결 및 전문가의 기술지원 능력을 인증하는 제도
• 어떻게 MCDST(Microsoft Windows XP) 합격 ?– 2 개 코어 시험 통과
• 오퍼레이팅 시스템• 데스크톱 애플리케이션 지원
• 자세한 정보는 아래 URL 를 참고하세요 ?
www.microsoft.com/mcse
Specialization 인증을 도전하세요 .• MCSA/MCSE specializations?
– IT 전문가를 위한 메시징 , 보안 전문분야의 인증제도
• 현재 인증 가능한 전문 ?– MCSA: Security – MCSA: Messaging– MCSE: Security – MCSE: Messaging
• 자세한 정보는 아래 URL 를 참고하세요 ?
www.microsoft.com/mcsa or www.microsoft.com/mcse
www.microsoft.com/technet/subscriptions
TechNet 에 가입하세요 .최신 기술 뉴스를 받고 싶으세요 ?
평가기간 없는 소프트웨어 !: Technet Plus 가입자는 평가 목적으로 Microsoft 정품제품을 다양하게 시험을 할 수 있다 .
무료 기술지원 : 가입자는 2 개의 무료 기술지원을 받을 수 있으며 , 중요한 문제해결을 위해 시간을 절약할 수 있다 .
최신 TechNet 정보를 오프라인에서 사용 : TechNet 사이트의 Microsoft 평가 , 설치 , 솔루션의 정보를 CD 또는 DVD 로 받을 수 있다 .
어디서 정보를 얻을 수 있나요 ?• 웹 캐스트 또는 온라인 채팅
www.microsoft.com/technet/community/chatswww.microsoft.com/technet/community/webcasts
• 뉴스그룹 목록www.microsoft.com/technet/community/newsgroups
• Microsoft 커뮤니티 사이트www.microsoft.com/technet/community
• 커뮤니티 이벤트www.microsoft.com/technet/community/events
• 커뮤니티 컬럼www.microsoft.com/technet/community/columns