2006년 ssl vpn 포탈 보안 강화(안)

@

사외에서의 접근 보안 강화를 위한 SSL VPN 포탈 보안 취약점 보완 계획 (안)

http://www.slideshare.net/wizmusa/

A사에 선제안하기 위해 2006년에 작성한 문서임을 감안하시길 바랍니다.

데이터 전송 구간에 대한 보안 +

“데이터 출입구에서의 보안”

내용

SSL VPN 보안 현황

약점 보완 대책

보완 대책 상세 설명

키보드 보안의 필요성

SSL VPN 보안 현황

원격지 (예: PC방)

VPN 장비

해커가 통신 내용을 엿봐도 (Packet Capture) 암호화 하여 알아내지 못함

해커가 미리 키보드 로깅 프로그램 (해킹 도구)을 설치해 놓았다면 사용자의 ID와 암호가 노출.

따라서, 해커는 알아 낸 ID와 암호를 통해 아무런 제지 없이 사내로 침투.

SSL VPN의 암호가 노출되면 ‘파일 서버’ 및 ‘그룹웨어를 통해 인증하는 업무 시스템’에 접근 가능.

VPN으로 접속하는 PC에 최신 MS Windows 보안 패치를 하지 않거나 백신이 설치하지 않으면 Worm과 바이러스가 VPN을 통해 사내에 침투할 여지 존재

약점 보완 대책

원격지 (예: PC방)

해커가 미리 키보드 로깅 프로그램 (해킹 도구)을 설치해 놓았다면 사용자의 ID와 암호가 노출.

따라서, 해커는 알아 낸 ID와 암호를 통해 아무런 제지 없이 사내로 침투.

SSL VPN의 암호가 노출되면 ‘파일 서버’ 및 ‘그룹웨어를 통해 인증하는 업무 시스템’에 접근 가능.

VPN으로 접속하는 PC에 최신 MS Windows 보안 패치를 하지 않거나 백신이 설치하지 않으면 Worm과 바이러스가 VPN을 통해 사내에 침투할 수 있음

보 완

SSL VPN 메인 화면에서 PC 검사 시행

1. MS Windows 패치 검사 최신이 아닐 경우 강제 설치 유도

2. 안티바이러스 백신 검사 최신이 아닐 경우: 업데이트 권장 설치가 안 된 경우: 무료 백신 사이트 안내

3. 키보드 보안 솔루션 설치

키보드 로깅 프로그램(Key Logger, 해킹 툴)을 무력화 함

4. 2차 인증 수단 마련

암호를 알아도 열쇠(2차 인증) 없이는 접속하지 못함

약점 보완 대책

1. MS Windows 패치 미설치로 인한 웜 침투

2. 안티바이러스 백신 미설치로 인한 바이러스 침투

3. 키보드 해킹으로 ID/암호 노출

4. ID와 암호 노출 시의 위협

1. 검사 및 강제 설치

2. 검사 후 경고 및 PC 검사 유도

3. 키보드 보안 솔루션 도입

4. ID/암호 노출 시 대비책 마련

위협 해결

1. 보완 대책 상세 설명 – 윈도 패치

MS Windows 패치 검사 설치 방법

MS에서 제공하는 패치 검사 및 설치 유도 API를 SSL VPN에 연결

환경설정용 JavaScript 파일을 수정

사용 방법 사용자가 SSL VPN 포탈에 접속하면 VPN 접속 S/W 외에 아래와 같은 PC 자동 보안

업데이트 프로그램을 같이 설치함 (최초 1회)

약관에 동의하면 최신 버전의 패치를 설치함

비용 솔루션 및 설치 비용 무료: 다운로드 서버는 Microsoft 사의 서버를 사용함

2. 보완 대책 상세 설명 - 백신

안티바이러스 백신 설치 검사

설치 방법 SSL VPN 환경 설정: 공급업체인 ‘주니퍼 네트워크’에서 지원

실행 시나리오 SSL VPN 포탈 접속 시 관련 ActiveX Control 추가 설치 (최초 1회)

안티바이러스 백신 설치 유무 검사

윈도에 최신 백신이 없는 경우

MS Windows Live Safety Center로 이동 권유 메시지 출력

비용 솔루션 및 설치 비용 무료

백신설치 검사도구: SSV VPN 공급업체 기본 지원 (무비용)

직접적인 백신제공은 불필요: 은행권과 같은 백신 제공은 고가이며 실제효과는 낮아 권장하지 않음

안티바이러스 백신이 설치되지 않았습니다.

MS Windows Live Safety Center의 PC 보안 센터에서

무료 검사를 받아보시기 바랍니다.

이동하기

<메시지 예>

3. 보완 대책 상세 설명 – 키보드 보안

SSL VPN 서버에 키보드 보안 솔루션 설치 설치 방법

키보드 보안 솔루션을 SSL VPN 서버에 설치

사용 방법 사용자가 SSL VPN 포탈에 접속하면 VPN 접속 S/W 외에 아래와 같은 아래와 같은 키보드

보안 프로그램을 같이 설치함

원리 키보드 보안 솔루션은 PC에 키보드 해킹 툴이 설치되었더라도 키보드 입력을 가로채지

못하게 차단하거나 가로챘더라도 알아낼 수 없게 키보드 입력 신호를 암호화 함

예상비용 L사 C팀 추천 솔루션

킹스정보통신의 K-Defense – 1 URL 주소 당 1천 5백만 원 (List Price)

4. 보완 대책 상세 설명 – 2차 인증

ID와 암호 노출 시 대비책

구현 방법 기존의 ID/암호 방식의 1차 인증

+ 물리적 수단을 통한 2차 인증 ( 열쇠)

OTP 단말기 없이는 접속이 불가능함

SAP server

Groupware

OTP 서버(패스워드인증,확인)

File Server

외부통합

보안인증

임가공사

팀장급 이상

해외지사 근무자

팀장급 이상

외부접속내부접속

-삼성 사례-

첨부. 키보드 보안 테스트 - 국민은행

국민은행은 인증서 암호 입력란의 키보드 입력에 대한 로깅을 방지

첨부. 최근 구축 사례 – SC제일은행

2006년 7월 기준으로, 제일은행은 키보드 로깅에 대비가 미흡했음.

해킹 툴이 인증서 암호를 기록함.

(헤딩 툴은 해킹 목적이 아닌 점검 도구)

첨부. 최근 구축 사례 – SC제일은행

2006년 8월 8일, 키보드 보안 프로그램을 업그레이드 함.

해킹 툴이 인증서 암호를 기록하지 못함.