How to Secure Message and Microsoft Exchange Server 강사: 이항주, MCSA:Security, MCSE:Security, MCSA:Messaging, MCSE:Messaging, MCT 이 항 주 MCSE:Security, MCSE:Messaging, MCT hjlee@neoexpert.com http://www.neoexpert.com
Agenda Session 1: Message Vulnerability and Countermeasure Understanding Message Vulnerabilities Digital Signing and Message Encryption Session 2: Securing Message End to End Encrypting using S/MIME Client and Server Encrypting using SSL Using IPSEC Between FE and BE Session 3: Securing Exchange Server Firewall Configuration Exchange Web Publishing Exchange Server Publishing Additional Resources Q&A Microsoft Exchange Server 2003와 Microsoft Outlook 2003을 사용하면 많은 보안상의 이점을 누릴 수 있습니다. Kerberos Authentication, IPSec, S/MIME, Attachment Blocking, Information Right Management, Advanced Junk Mail Filte… 이번 웹케스트에서는 메시지를 안전하게 주고받는 방법과 익스체인지 서버를 안전하게 운영하는 방법에 대해서만 이야기 하도록 하겠습니다.
Session 1: Message Vulnerability and Countermeasure Message Vulnerabilities Eavesdropping, Address Spoofing, Virus Propagating Message Encryption Symmetric Key Encryption, Asymmetric Key Encryption Digital Signing Hash Algorithm, Digital Signing Certificates User Certificates, Server Certificates, CA
Message Vulnerabilities Eavesdropping HTTP, SMTP, POP3, IMAP 프로토콜의 보안기능 부재로 인해 메시지를 도청하는 것이 가능. 특정 제품의 결함으로 인한 것이 아님 데모: Webspy를 이용한 HTTP 도청 데모: Mailsnarf를 이용한 SMTP 도청 데모: Network Monitor를 이용한 메시지 취약점 분석 Address Spoofing SMTP 프로토콜에는 보낸 사람을 확인하는 기능이 없음 데모: SMTP 명령어를 이용한 주소 도용 데모: Send As 권한을 이용한 주소 도용 Virus Propagating 최근의 바이러스 전파 수단으로 가장 많이 사용 데모: 첨부파일 바이러스 메시지 취약점 우리가 인터넷 상에서 주고 받는 메시지는 많은 위협을 가지고 있습니다. 메시지를 도청한다든가… 메시지를 변경한다든가… 메시지의 보낸 사람을 위조하여 보낸다든가… 바이러스를 전파하기 위한 수단으로 사용한다든가… 우리는 이러한 위협들로부터 안전하게 메시지를 주고 받아야 합니다. 그러기 위해서는 이러한 위협들의 실례를 보도록 하겠습니다. 데모 Webspy를 이용한 HTTP 트래픽 훔쳐보기 OWA의 인증을 Basic 인증으로 설정해야 한다. 사용자 이름과 암호를 입력할 때 YiHJ, P@ssw0rd와 같은 식으로 입력해야 한다. 사용자 이름과 암호, URL을 얻은 후 Internet Explorer에서 직접 연다. MailSnarf를 이용한 SMTP 트래픽 훔쳐보기 MailSnarf를 서버에서 로드한다. 캡쳐된 데이터를 텍스트 파일에 담고, 확장자를 .eml로 변경한 후, Outlook Express에서 읽는다. Network Monitor를 이용한 메시지 취약점 분석 Network Monitor에서 패킷을 캡쳐하도록 설정하고, 아웃룩 익스프레스에서 메일을 보낸다. Mail Message Captures.pdf 파일의 내용을 설명한다. Address Spoofing SMTP 서버에 연결하여 명령어로 보여준다. 이항주에게 이재용의 사서함에 대한 Send As 권한을 할당하여 메일을 보낸다.
Countermeasure Message Encryption Digital Signing Attachment Blocking 메시지 암호화를 통하여 도청 방지, 메시지 변경 방지 S/MIME, SSL, TLS와 같은 메시지 암호화 기술 사용 Digital Signing 디지털 서명을 통한 주소 도용 방지, 보낸 사람 인증, 메시지 변경 방지 SHA-1, MD-5와 같은 해시 생성 기술을 사용하여 디지털 서명 Attachment Blocking 신뢰할 수 없는 첨부 파일 차단 및 메시지 필터링 Outlook 2003의 첨부 파일 차단 기능 사용 Outlook Express 6(Windows XP SP2)의 첨부 파일 차단 기능 사용 Outlook 및 Outlook Express의 메시지 필터링 기능 사용
Understanding Message Encryption 1 메시지 암호화 HTTP, SMTP, POP3, IMAP 프로토콜은 메지지 보안 기능이 없음 메시지 암호화를 사용하여 기밀성 및 무결성 제공 가능 메시지 암호화 순서 메시지의 본문을 비밀 키를 사용하여 암호화하고, 메시지 암호화에 사용된 비밀 키를 받는 사람의 공개 키로 암호화하여 메시지에 첨부하여 보낸다. 메시지 암호화 이해 메시지 암호화는 정보 노출 문제를 해결합니다. SMTP 기반 인터넷 전자 메일에는 메시지 보안 기능이 없습니다. 메시지가 이동될 때 메시지를 볼 수 있거나, 메시지가 저장된 곳을 볼 수 있는 사람은 누구든지 SMTP 인터넷 전자 메일 메시지를 읽을 수 있습니다. S/MIME에서는 암호화를 사용하여 이 문제를 해결합니다. 암호화는 읽을 수 있고 이해할 수 있는 형식으로 되돌릴 때까지는 읽거나 이해될 수 없도록 정보를 변경하는 방법입니다. 메시지 암호화는 디지털 서명처럼 광범위하게 사용되지는 않지만 많은 사람들이 인터넷 전자 메일의 가장 심각한 취약점으로 인식하는 문제를 해결합니다. 메시지 암호화는 다음과 같이 두 가지 특정 보안 서비스를 제공합니다. 기밀성 메시지 암호화는 전자 메일 메시지의 내용을 보호합니다. 받는 사람만이 내용을 읽을 수 있고 그 내용은 기밀이 유지되어 있어 메시지를 받거나 보는 사람 외의 누구도 그 내용을 확인할 수 없습니다. 암호화는 메시지가 전송 및 저장되는 동안 기밀성을 제공합니다. 데이터 무결성 디지털 서명처럼 메시지 암호화는 암호화를 가능하게 만드는 특정 작업의 산물로 데이터 무결성 서비스를 제공합니다. 중요 메시지 암호화는 기밀성을 제공하지만 어떤 방식으로든 메시지 보낸 사람을 인증하지 않습니다. 서명되지 않고 암호화된 메시지는 암호화되지 않은 메시지로 보낸 사람을 가장하는 것이 가능합니다. 메시지를 보낸 사람에 대한 어떤 정보도 제공되지 않습니다. 보낸 사람의 신원을 입증하려면 메시지에 디지털 서명을 사용해야 합니다. S/MIME에서 메시지 암호화는 다음과 같은 순서로 이루어 집니다. 메시지의 본문을 캡쳐한다. 받는 사람의 공개 키를 인증서와 함께 가져온다. 메시지를 암호화하기 위한 일회성 대칭 키를 생성한다. 그 대칭 키로 메시지를 암호화한다. 메시지를 받는 사람의 공개키로 대칭 키를 암호화한다. 암호화된 대칭 키를 암호화된 메시지에 첨부한다. 암호화된 대칭 키가 첨부된 암호화된 메시지를 받는 사람에게 보낸다. S/MIME에서 메시지 해독은 다음과 같은 순서로 이루어 집니다. 메시지를 받은 사람이 메시지를 수신한다. 메시지에서 암호화된 메시지와 암호화된 대칭 키를 추출한다. 받은 사람의 개인 키로 암호화된 대칭 키를 해독한다. 해독된 대칭 키로 암호화된 메시지를 해독한다. 해독된 메시지를 읽는다. Sender 1 Symmetric Key Encryption #4(*d hello Bulk Encryption Key Recipient’s Public Key Asymmetric Key Encryption %^&*( #4(*d %^&*(
Understanding Message Encryption 2 메시지 해독 순서 메시지를 받은 사람은 자신의 개인 키를 사용하여 암호화된 비밀 키를 해독하고, 해독된 비밀 키를 사용하여 암호화된 메시지를 해독한다. 메시지 암호화 이해 메시지 암호화는 정보 노출 문제를 해결합니다. SMTP 기반 인터넷 전자 메일에는 메시지 보안 기능이 없습니다. 메시지가 이동될 때 메시지를 볼 수 있거나, 메시지가 저장된 곳을 볼 수 있는 사람은 누구든지 SMTP 인터넷 전자 메일 메시지를 읽을 수 있습니다. S/MIME에서는 암호화를 사용하여 이 문제를 해결합니다. 암호화는 읽을 수 있고 이해할 수 있는 형식으로 되돌릴 때까지는 읽거나 이해될 수 없도록 정보를 변경하는 방법입니다. 메시지 암호화는 디지털 서명처럼 광범위하게 사용되지는 않지만 많은 사람들이 인터넷 전자 메일의 가장 심각한 취약점으로 인식하는 문제를 해결합니다. 메시지 암호화는 다음과 같이 두 가지 특정 보안 서비스를 제공합니다. 기밀성 메시지 암호화는 전자 메일 메시지의 내용을 보호합니다. 받는 사람만이 내용을 읽을 수 있고 그 내용은 기밀이 유지되어 있어 메시지를 받거나 보는 사람 외의 누구도 그 내용을 확인할 수 없습니다. 암호화는 메시지가 전송 및 저장되는 동안 기밀성을 제공합니다. 데이터 무결성 디지털 서명처럼 메시지 암호화는 암호화를 가능하게 만드는 특정 작업의 산물로 데이터 무결성 서비스를 제공합니다. 중요 메시지 암호화는 기밀성을 제공하지만 어떤 방식으로든 메시지 보낸 사람을 인증하지 않습니다. 서명되지 않고 암호화된 메시지는 암호화되지 않은 메시지로 보낸 사람을 가장하는 것이 가능합니다. 메시지를 보낸 사람에 대한 어떤 정보도 제공되지 않습니다. 보낸 사람의 신원을 입증하려면 메시지에 디지털 서명을 사용해야 합니다. S/MIME에서 메시지 암호화는 다음과 같은 순서로 이루어 집니다. 메시지의 본문을 캡쳐한다. 받는 사람의 공개 키를 인증서와 함께 가져온다. 메시지를 암호화하기 위한 일회성 대칭 키를 생성한다. 그 대칭 키로 메시지를 암호화한다. 메시지를 받는 사람의 공개키로 대칭 키를 암호화한다. 암호화된 대칭 키를 암호화된 메시지에 첨부한다. 암호화된 대칭 키가 첨부된 암호화된 메시지를 받는 사람에게 보낸다. S/MIME에서 메시지 해독은 다음과 같은 순서로 이루어 집니다. 메시지를 받은 사람이 메시지를 수신한다. 메시지에서 암호화된 메시지와 암호화된 대칭 키를 추출한다. 받은 사람의 개인 키로 암호화된 대칭 키를 해독한다. 해독된 대칭 키로 암호화된 메시지를 해독한다. 해독된 메시지를 읽는다. Recipient 2 Recipient’s Private Key Asymmetric Key Decryption %^&*( Symmetric Key Decryption #4(*d hello Bulk Encryption Key #4(*d %^&*(
Understanding Digital Signature 1 디지털 서명 SMTP 프로토콜은 보낸 사람을 확인할 수 있는 기능이 없음 디지털 서명을 사용하여 보낸 사람 인증 및 무결성 제공 가능 디지털 서명 순서 메시지를 보내는 사람은 메시지의 해시를 생성하고, 생성된 해시를 자신의 개인 키로 암호화한 후, 자신의 공용 키와 함께 메시지에 첨부하여 보낸다. 디지털 서명 이해 디지털 서명은 매우 일반적으로 사용되는 S/MIME 서비스입니다. 이름이 시사하듯 디지털 서명은 종이 문서에 법적인 서명을 하는 종래의 방식과 상반되는 디지털 방식입니다. 디지털 서명은 법적 서명처럼 다음과 같이 보안 기능을 제공합니다. 인증 디지털 서명은 메시지를 보낸 사람의 신원이 올바른지 확인합니다. 해당 엔터티를 다른 모든 대상과 구별하고 엔터티의 고유성을 입증하는 방식으로 "당신은 누구입니까?"에 대한 대답을 확인하는 것입니다. SMTP 전자 메일에는 인증이 없기 때문에 실제로 메시지를 보낸 사람을 알 수 없습니다. 디지털 서명에서 인증은 메시지를 받은 사람이 메시지를 보냈다고 주장하는 사람 또는 조직에서 실제로 메시지를 보냈음을 알 수 있도록 함으로써 이 문제를 해결합니다. 부인 방지 서명의 고유성은 서명 소유자가 서명을 부인하는 것을 방지합니다. 이 기능을 부인 방지라고 합니다. 따라서 서명이 제공하는 인증은 부인 방지 기능을 강화하는 수단이 됩니다. 부인 방지의 개념은 문서 계약의 상황에서 친숙한 개념입니다. 즉 서명된 계약은 법적 구속력이 있으며 인증된 서명을 부인하는 것이 불가능합니다. 디지털 서명은 동일한 기능을 제공하며 일부 지역에서는 점차 증가하는 추세로 종이 문서에 서명하는 것과 비슷한 법적 구속력이 있는 것으로 인정됩니다. SMTP 전자 메일은 보낸 사람을 인증할 수 있는 방법을 제공하지 않기 때문에 부인 방지 기능을 제공할 수 없습니다. 보낸 사람은 SMTP 전자 메일 메시지의 소유권을 쉽게 부인할 수 있습니다. 데이터 무결성 디지털 서명이 제공하는 또 다른 보안 서비스는 데이터 무결성입니다. 디지털 서명을 가능하게 만드는 특정 조작의 결과로 데이터 무결성을 구현할 수 있게 되었습니다. 데이터 무결성 서비스가 있음으로써 디지털 서명된 전자 메일 메시지를 받는 사람은 디지털 서명을 확인할 때 받은 전자 메일 메시지가 서명되어 보내졌을 때와 동일하며 전송 중에 변경되지 않았음을 확신할 수 있게 됩니다. 서명 후 전송되는 동안 메시지에 변경 사항이 있다면 그 서명은 무효가 됩니다. 이와 같이 디지털 서명은 종이 문서의 서명으로 제공하지 못하는 보증을 제공할 수 있습니다. 종이 문서는 서명된 후에도 변경될 가능성이 있기 때문입니다. 중요 디지털 서명은 데이터 무결성을 제공하지만 기밀성을 보장하지는 않습니다. 디지털 서명만으로 된 메시지가 SMTP 메시지와 유사하게 cleartext로 전송되면 다른 사람이 읽을 수 있습니다. 전자 메일 메시지의 내용을 보호하려면 메시지 암호화를 사용해야 합니다. S/MIME에서 디지털 서명은 다음과 같은 순서로 이루어 집니다. 메시지의 본문을 캡쳐한다. 메시지의 해시를 생성한다. 생성된 해시를 메지지를 보내는 사람의 개인 키로 암호화한다. 암호화된 해시를 메시지에 첨부한다. 암호화된 해시가 첨부된 메시지를 보낸다. S/MIME에서 디지털 서명의 확인은 다음과 같은 순서로 이루어 집니다. 받는 사람이 메시지를 수신한다. 메시지에서 보낸 사람의 개인 키로 암호화된 해시를 추출한다. 보낸 사람의 공용 키를 인증서와 함께 가져온다. 암호화된 해시를 보낸 사람의 공용 키로 해독한다. 메시지의 새로운 해시를 생성한다. 해독된 해시와 새롭게 생성한 해시를 비교한다. 해독된 해시와 새롭게 생성한 해시가 일치하면 메시지를 보낸 사람은 증명된다. 받는 사람이 메시지를 읽는다. Sender 1 e-mail Hash Function %^&*( Sender’s Private Key 54321
Understanding Digital Signature 2 디지털 서명 확인 순서 메시지를 받은 사람은 보낸 사람의 공용 키를 사용하여 암호화된 해시를 해독하고, 도착된 메시지에서 새로운 해시를 생성하여 해독된 해시와 비교한다. 디지털 서명 이해 디지털 서명은 매우 일반적으로 사용되는 S/MIME 서비스입니다. 이름이 시사하듯 디지털 서명은 종이 문서에 법적인 서명을 하는 종래의 방식과 상반되는 디지털 방식입니다. 디지털 서명은 법적 서명처럼 다음과 같이 보안 기능을 제공합니다. 인증 디지털 서명은 메시지를 보낸 사람의 신원이 올바른지 확인합니다. 해당 엔터티를 다른 모든 대상과 구별하고 엔터티의 고유성을 입증하는 방식으로 "당신은 누구입니까?"에 대한 대답을 확인하는 것입니다. SMTP 전자 메일에는 인증이 없기 때문에 실제로 메시지를 보낸 사람을 알 수 없습니다. 디지털 서명에서 인증은 메시지를 받은 사람이 메시지를 보냈다고 주장하는 사람 또는 조직에서 실제로 메시지를 보냈음을 알 수 있도록 함으로써 이 문제를 해결합니다. 부인 방지 서명의 고유성은 서명 소유자가 서명을 부인하는 것을 방지합니다. 이 기능을 부인 방지라고 합니다. 따라서 서명이 제공하는 인증은 부인 방지 기능을 강화하는 수단이 됩니다. 부인 방지의 개념은 문서 계약의 상황에서 친숙한 개념입니다. 즉 서명된 계약은 법적 구속력이 있으며 인증된 서명을 부인하는 것이 불가능합니다. 디지털 서명은 동일한 기능을 제공하며 일부 지역에서는 점차 증가하는 추세로 종이 문서에 서명하는 것과 비슷한 법적 구속력이 있는 것으로 인정됩니다. SMTP 전자 메일은 보낸 사람을 인증할 수 있는 방법을 제공하지 않기 때문에 부인 방지 기능을 제공할 수 없습니다. 보낸 사람은 SMTP 전자 메일 메시지의 소유권을 쉽게 부인할 수 있습니다. 데이터 무결성 디지털 서명이 제공하는 또 다른 보안 서비스는 데이터 무결성입니다. 디지털 서명을 가능하게 만드는 특정 조작의 결과로 데이터 무결성을 구현할 수 있게 되었습니다. 데이터 무결성 서비스가 있음으로써 디지털 서명된 전자 메일 메시지를 받는 사람은 디지털 서명을 확인할 때 받은 전자 메일 메시지가 서명되어 보내졌을 때와 동일하며 전송 중에 변경되지 않았음을 확신할 수 있게 됩니다. 서명 후 전송되는 동안 메시지에 변경 사항이 있다면 그 서명은 무효가 됩니다. 이와 같이 디지털 서명은 종이 문서의 서명으로 제공하지 못하는 보증을 제공할 수 있습니다. 종이 문서는 서명된 후에도 변경될 가능성이 있기 때문입니다. 중요 디지털 서명은 데이터 무결성을 제공하지만 기밀성을 보장하지는 않습니다. 디지털 서명만으로 된 메시지가 SMTP 메시지와 유사하게 cleartext로 전송되면 다른 사람이 읽을 수 있습니다. 전자 메일 메시지의 내용을 보호하려면 메시지 암호화를 사용해야 합니다. S/MIME에서 디지털 서명은 다음과 같은 순서로 이루어 집니다. 메시지의 본문을 캡쳐한다. 메시지의 해시를 생성한다. 생성된 해시를 메지지를 보내는 사람의 개인 키로 암호화한다. 암호화된 해시를 메시지에 첨부한다. 암호화된 해시가 첨부된 메시지를 보낸다. S/MIME에서 디지털 서명의 확인은 다음과 같은 순서로 이루어 집니다. 받는 사람이 메시지를 수신한다. 메시지에서 보낸 사람의 개인 키로 암호화된 해시를 추출한다. 보낸 사람의 공용 키를 인증서와 함께 가져온다. 암호화된 해시를 보낸 사람의 공용 키로 해독한다. 메시지의 새로운 해시를 생성한다. 해독된 해시와 새롭게 생성한 해시를 비교한다. 해독된 해시와 새롭게 생성한 해시가 일치하면 메시지를 보낸 사람은 증명된다. 받는 사람이 메시지를 읽는다. Recipient Hash Function 54321 Sender’s Public Key %^&*( 2 e-mail Matching hashes verify the integrity of data Sender 1 e-mail Hash Function %^&*( Sender’s Private Key 54321
Recipient’s Public Key Understanding How Digital Signatures and Message Encryption Work Together 1 디지털 서명 및 메시지 암호화 디지털 서명만을 사용할 경우 메시지의 기밀성을 제공할 수 없음 메시지 암호화만을 사용할 경우 메시지를 보낸 사람의 인증이 안됨 디지털 서명과 메시지 암호화는 동시에 사용되어야 함 디지털 서명 및 메시지 암호화 순서 디지털 서명 후 메시지를 암호화하여 보낸다. 메시지 암호화와 디지털 서명 사용 메시지 암호화는 메시지를 노출 당하지 않고 안전하게 보낼 수는 있지만, 보낸 사람의 신분을 증명할 수는 없습니다. 디지털 서명은 메시지를 보낸 사람의 신분을 증명할 수는 있지만 메시지를 노출 당하지 않고 안전하게 보낸 수는 없습니다. 따라서 메시지 암호화와 디지털 서명은 함께 사용되어야 합니다. 메시지 암호화와 디지털 서명은 다음과 같은 순서로 함께 사용됩니다. 메시지의 본문을 캡쳐한다. 메시지의 해시를 생성한다. 생성된 해시를 메지지를 보내는 사람의 개인 키로 암호화한다. 받는 사람의 공개 키를 인증서와 함께 가져온다. 메시지를 암호화하기 위한 일회성 대칭 키를 생성한다. 그 대칭 키로 메시지를 암호화한다. 메시지를 받는 사람의 공개키로 대칭 키를 암호화한다. 암호화된 해시와 암호화된 대칭 키를 암호화된 메시지에 첨부한다. 메시지를 받는 사람에게 보낸다. 메시지 암호화와 디지털 서명의 확인은 다음과 같은 순서로 이루어 집니다. 받는 사람이 메시지를 수신한다. 메시지에서 암호화된 메시지와 암호화된 대칭 키를 추출한다. 받은 사람의 개인 키로 암호화된 대칭 키를 해독한다. 해독된 대칭 키로 암호화된 메시지를 해독한다. 해독된 메시지의 본문을 가지고 새로운 해시를 생성한다. 메시지에서 암호화된 해시를 추출한다. 보낸 사람의 공용 키를 인증서와 함께 가져온다. 암호화된 해시를 보낸 사람의 공용 키로 해독한다. 해독된 해시와 새롭게 생성한 해시를 비교한다. 해독된 해시와 새롭게 생성한 해시가 일치하면 메시지를 보낸 사람은 증명된다. 받는 사람이 메시지를 읽는다. Sender 1 Hash Function %^&*( Sender’s Private Key 54321 hello #4(*d %^&*( #4(*d Bulk Encryption Key Recipient’s Public Key %^&*(
Recipient’s Private Key Understanding How Digital Signatures and Message Encryption Work Together 2 디지털 서명 확인 및 메시지 해독 순서 암호화된 메시지를 해독한 후 디지털 서명을 확인한다. 메시지 암호화와 디지털 서명 사용 메시지 암호화는 메시지를 노출 당하지 않고 안전하게 보낼 수는 있지만, 보낸 사람의 신분을 증명할 수는 없습니다. 디지털 서명은 메시지를 보낸 사람의 신분을 증명할 수는 있지만 메시지를 노출 당하지 않고 안전하게 보낸 수는 없습니다. 따라서 메시지 암호화와 디지털 서명은 함께 사용되어야 합니다. 메시지 암호화와 디지털 서명은 다음과 같은 순서로 함께 사용됩니다. 메시지의 본문을 캡쳐한다. 메시지의 해시를 생성한다. 생성된 해시를 메지지를 보내는 사람의 개인 키로 암호화한다. 받는 사람의 공개 키를 인증서와 함께 가져온다. 메시지를 암호화하기 위한 일회성 대칭 키를 생성한다. 그 대칭 키로 메시지를 암호화한다. 메시지를 받는 사람의 공개키로 대칭 키를 암호화한다. 암호화된 해시와 암호화된 대칭 키를 암호화된 메시지에 첨부한다. 메시지를 받는 사람에게 보낸다. 메시지 암호화와 디지털 서명의 확인은 다음과 같은 순서로 이루어 집니다. 받는 사람이 메시지를 수신한다. 메시지에서 암호화된 메시지와 암호화된 대칭 키를 추출한다. 받은 사람의 개인 키로 암호화된 대칭 키를 해독한다. 해독된 대칭 키로 암호화된 메시지를 해독한다. 해독된 메시지의 본문을 가지고 새로운 해시를 생성한다. 메시지에서 암호화된 해시를 추출한다. 보낸 사람의 공용 키를 인증서와 함께 가져온다. 암호화된 해시를 보낸 사람의 공용 키로 해독한다. 해독된 해시와 새롭게 생성한 해시를 비교한다. 해독된 해시와 새롭게 생성한 해시가 일치하면 메시지를 보낸 사람은 증명된다. 받는 사람이 메시지를 읽는다. Recipient 1 Recipient’s Private Key %^&*( Sender’s Public Key %^&*( 54321 #4(*d %^&*( Matching hashes verify the integrity of data #4(*d Bulk Encryption Key hello Hash Function 54321
Certificates Certificates 메시지 암호화 및 디지털 서명의 확인을 위해 사용되는 각각의 공용 키를 상호 신뢰할 수 있도록 인증서를 사용한다. 인증서는 메시지를 보낸 사람과 받는 사람이 서로 신뢰할 수 있는 인증 기관으로부터 발행된 인증서를 사용하여야 한다. 기업 내에서 주고 받는 메시지의 암호화를 위해서는 Windows Server 2003의 Enterprise CA를 이용하여 인증서를 발행한다. 기업 간에 주고 받는 메시지의 암호화를 위해서는 각 기업의 인증 기관의 인증서를 신뢰할 수 있는 루트 인증 기관 목록에 추가한다. 액티브 디렉터리 기반의 네트워크에서는 인증서를 액티브 디렉터리를 이용하여 배포할 수 있다. 액티브 디렉터리가 없거나 사용할 수 없는 네트워크에서는 인증서를 파일로 만들어서 주고 받을 수 있다.
Session 2: Securing Message Understanding S/MIME What is S/MIME, What S/MIME does Using S/MIME Outlook, Outlook Express, Outlook Web Access, Outlook Mobile Access에서 S/MIME 사용 Understanding SSL What is SSL, What SSL does Using SSL HTTP, SMTP, POP3, IMAP에서 SSL 사용 Using IPSEC Between FE and BE IPSec을 사용하여 FE 서버와 BE 서버 사이의 데이터 암호화
Understanding S/MIME What is S/MIME What S/MIME Does 메시지를 안전하게 전송하기 위해 1995년 몇몇의 보안 업체들에 의해 개발됨 1998년 S/MIME version 2가 IETF 표준이 됨(RFC 2311, 2312) 1999년 S/MIME version 3가 IETF에 의해 제안되어 RFC 2633, 2634 표준이 됨 Microsoft Outlook, Outlook Express, Outlook Web Access에서 지원함. What S/MIME Does 디지털 서명을 이용하여 보낸 사람 증명, 메시지 무결성 제공 메시지 암호화를 이용하여 메시지 기밀성 및 무결성 제공 서버와 상관 없이 보낸 사람과 받는 사람간에 암호화 제공 보낸 사람과 받는 사람의 인증서 필요 메시지 별로 디지털 서명 및 암호화 선택 S/MIME 이해하기 What is S/MIME 1995년 몇몇의 보안 업체들에 의해 개발됨 1998년에 S/MIME version 2가 개발되어 IETF 표준이 됨(RFC 2311, 2312) S/MIME v2는 RC4 암호화(40bit) 지원 1999년에 S/MIME version 3가 IETF에 의해 제안되어 RFC 2633, 2634 표준이 됨 S/MIME v3는 3DES 암호화 지원 Microsoft Exchange, Outlook, Outlook Express에서 S/MIME version 3를 지원함. What S/MIME Does S/MIME은 전자 서명과 메시지 암호화를 통하여 상호 인증, 메시지의 무결성, 기밀성을 제공함.
S/MIME Scenario Preparing to use S/MIME 데모: 인증서 설치하기 S/MIME을 사용하면 보낸 사람이 보낸 메시지가 받는 사람이 풀어볼 때까지 암호화된다. S/MIME을 사용하기 위해서 모든 사용자는 인증서를 받아야 한다. 이항주 계정의 인증서를 받아본다. 인증서 요청 마법사를 이용하여 이항주의 인증서를 받는 방법을 보여준다. 아웃룩에서 http://dc01.neoexpert.com/certsrv 사이트를 이용하여 인증서를 받는 방법을 보여준다. 그룹 정책에서 아웃룩의 도구 – 옵션 – 보안 – 디지털 ID 받기를 내부 인증 기관의 URL로 변경하는 방법을 보여준다. 그룹 정책 > 사용자 구성 > 관리 템플릿 > Microsoft Office Outlook 2003 > Tools | Options… > Security > Cryptography > URL for S/MIME certificates 설치된 인증서를 확인할 수 있는 곳을 보여준다. Active Directory User Properties, Certificates Console, Internet Explorer, Outlook 2003 발행 받은 사용자용 인증서에 메일 암호화 역할이 포함되어 있고, 메일 주소가 올바른지 확인한다. 인증서를 파일로 내보내는 방법을 보여준다. 아무데서나… DC01 Domain Controller 192.168.0.11 Windows Server 2003 Active Directory DNS Server DHCP Server IIS 6.0 (HTTP) Enterprise Root CA Server EXFE01 Exchange Front-end Server 192.168.0.13 Exchange Server 2003 IIS 6.0 (HTTP, SMTP, NNTP) EXBE01 Exchange Back-end Server 192.168.0.15 ISA01 Proxy Server 172.16.0.254 192.168.0.254 IIS 6.0 (SMTP) ISA Server 2000 with Feature Pack 1 CL01 Workstation 192.168.0.51 172.16.0.51 Windows XP Professional with Service Pack 1a Microsoft Office 2003 Professional Windows Server 2003 DC, DNS, CA, DHCP 192.168.0.11 172.16.0.254 192.168.0.254 Exchange Server 2003 Back-end Server 192.168.0.15 Router/Firewall ISA Server 2000 with Feature Pack 1 Exchange Server 2003 Front-end Server 192.168.0.13 S/MIME S/MIME Yi,HangJu Outlook Express or Internet Explorer Yi,YeZy Outlook 2003 Yi,JaeYong Outlook 2003
Using S/MIME in Outlook Microsoft Outlook 2003 S/MIME v3 지원 액티브 디렉터리에서 메시지를 받는 사람의 인증서를 얻을 수 있음 그룹 정책을 이용하여 S/MIME을 사용하도록 설정 가능 메일 서버의 설정과 상관없이 보낸 사람이 암호화한 내용은 받는 사람이 해독할 때까지 암호화된다. S/MIME 설정하기 데모: Outlook 2003에서 S/MIME 설정하기 데모: 그룹 정책을 사용해서 Outlook 2003의 S/MIME 설정하기 데모: 디지털 서명을 추가하고, 암호화하여 메시지 보내기 데모: 디지털 서명 레벨 및 암호화 레벨 변경하기 아웃룩에서 S/MIME을 사용할 수 있도록 설정하는 방법을 보여준다. 그룹 정책을 사용하여 아웃룩의 S/MIME 사용 설정을 변경하는 방법을 알려준다. 이재용이 이예지에게 암호화된 메시지를 보내본다. 이예지의 사서함에서 암호화된 메시지를 읽어본다. 암호화 레벨을 바꾸는 방법을 보여준다. 디지털 서명 레벨을 바꾸는 방법을 보여준다.
Using S/MIME in Outlook Express 기본적으로 인증서를 파일로 교환해야 됨 연락처에 사용자를 추가하고 사용자의 인증서를 등록해야 됨 액티브 디렉터리를 사용하여 주소록에 연락처와 인증서를 추가할 수 있음 메일 서버의 설정과 상관없이 보낸 사람이 암호화한 내용은 받는 사람이 해독할 때까지 암호화된다. S/MIME 설정하기 데모: Outlook Express에서 S/MIME 설정하기 데모: Outlook Express에 Active Directory 계정 추가하기 데모: 주소록에 연락처와 인증서 추가하기 데모: 디지털 서명을 추가하고 암호화하여 메시지 보내기 아웃룩 익스프레스에서 S/MIME을 사용하도록 설정하는 방법을 보여준다. 액티브 디렉터리 계정을 추가하여 사용자를 찾고 사용자를 주소록에 추가하는 방법을 보여준다. 주소록에 연락처를 추가하고, 사용자의 인증서를 연락처에 설치하는 방법을 보여준다. 연락처를 이용하여 암호화된 메일을 보내 본다.
Using S/MIME in Outlook Web Access Outlook Web Access in Exchange Server 2003 OWA 옵션에서 S/MIME 컨트롤 다운로드 Administrator 권한 필요 액티브 디렉터리를 사용하여 인증서 교환 Front-end/Back-end 구성을 사용할 수 있음 S/MIME 설정하기 데모: S/MIME 컨트롤 설치하기 데모: 디지털 서명을 추가하고 암호화하여 메시지 보내기
Understanding SSL What is SSL/TLS What SSL/TLS does SSL은 웹 서버와 웹 브라우저 사이의 데이터(HTTP)를 암호화하기 위해 Netscape사에 의해 고안되었고 현재 SSL 3.0이 사용되고 있다. IETF (Internet Engineering Task Force)는 SSL 3.0을 기초로 하여 Transport Layer Security (TLS) 1.0을 개발하였다 TLS는 Keyed-Hashing for Message Authentication Code (HMAC) 알고리즘을 사용하고, SSL 3.0은 Message Authentication code (MAC) 알고리즘을 사용한다. What SSL/TLS does 클라이언트와 서버간의 상호 인증 데이터 암호화 및 데이터 무결성 클라이언트에서 서버로 가는 데이터의 암호화를 위해 서버 인증서 반드시 필요 서버에서 클라이언트로 가는 메시지도 암호화하기 위해서는 클라이언트의 인증서도 필요 Windows Server 2003의 Security Support Provider Interface는 Transport Layer Security (TLS) 1.0, Secure Socket Layer (SSL) 3.0, Secure Socket Layer 2.0을 지원한다. SSL은 웹 서버와 웹 브라우저 사이의 트래픽을 암호화하기 위해서 Netscape Communications Corporation에서 1994년에 개발되었다. IETF (Internet Engineering Task Force)는 SSL 3.0을 기초로 하여 Transport Layer Security (TLS) 1.0을 개발하였다. TLS와 SSL은 TLS는 Keyed-Hashing for Message Authentication Code (HMAC) 알고리즘을 적용하고, SSL 3.0은 Message Authentication code (MAC) 알고리즘을 적용하는 차이가 있다. SSL/TLS를 사용하면 클라이언트와 서버간에 상호인증이 가능하고, 메시지의 기밀성, 무결성, 인증성이 보장된다. Microsoft Internet Explorer나 Netscape Navigator 같은 웹 브라우저와 Microsoft Windows Operating System, UNIX, Novell, Apache, Netscape Enterprise Server, Sun Solaris와 같은 운영체제의 웹 서버들이 SSL과 TLS를 지원한다. Microsoft Exchange Server 2003는 클라이언트와 주고 받는 SMTP, POP3, IMAP4, NNTP에서 SSL을 사용할 수 있도록 제공하고, SMTP 서버 간에는 TLS를 지원한다.
SSL/TLS Scenario SSL 사용 시나리오 클라이언트와 FE 서버 사이의 안전한 통신을 위해 SSL 암호화를 사용한다. Windows Server 2003 DC, DNS, CA, DHCP 192.168.0.11 SSL 172.16.0.254 192.168.0.254 Exchange Server 2003 Back-end Server 192.168.0.15 SSL Router/Firewall ISA Server 2000 with Feature Pack 1 Exchange Server 2003 Front-end Server 192.168.0.13 Yi,HangJu Outlook Express or Internet Explorer Yi,YeZy Outlook 2003 Yi,JaeYong Outlook 2003
Using SSL in OWA(HTTP) Server OWA에서 SSL 사용 IIS 관리자의 기본 웹 사이트에 서버 인증서를 설치 클라이언트에게 반드시 암호화된 통신을 사용하도록 설정 기본 인증에 SSL을 사용하도록 설정 웹 브라우저에서 HTTPs를 사용하여 암호화된 통신 시작 OWA에서 SSL 설정하고 사용하기 데모: OWA 서버에서 SSL 설정하기 데모: 클라이언트 인증서 사용하기
Using SSL in SMTP/IMAP/POP3 Server SMTP/IMAP/POP3 서버에서 SSL 사용 익스체인지 시스템 관리자에서 SMTP/IMAP/POP3 서버 인증서 설치 클라이언트가 암호화된 통신을 반드시 사용하도록 설정 기본 인증에 SSL을 함께 사용하도록 설정 아웃룩 익스프레스의 계정 등록 정보에서 SSL을 사용하도록 설정 SMTP/IMAP/POP3에서 SSL 설정하고 사용하기 데모: SMTP/IMAP 서버에 SSL 인증서 설치 데모: 아웃룩 익스프레스에서 SSL 사용 서버에서 SSL을 사용하도록 설정하고 클라이언트에서 연결이 안 되는 것을 확인한 후 클라이언트에 SSL을 사용하도록 설정하고 되는 것을 확인한다.
Understanding IPSec IP Level Security IPSec Policy Components FE 서버와 BE 서버간의 통신을 암호화하기 위해 IPSec을 사용한다. IPSec을 사용하면 서버간의 인증을 할 수 있고, 데이터를 암호화하여 주고 받을 수 있다. 인증을 위해 Kerberos, Certificate, Shared Key를 사용할 수 있다. 여러 대의 컴퓨터에 IPSec을 설정하기 위해 그룹 정책을 사용할 수 있다. IPSec 통신을 확인하기 위하여 Ping 명령어와 IPSec Monitor를 사용한다. IPSec Policy Components Rule Filter Filter Action Permission Authentication
Using IPSEC FE and BE IPSec 설정하기 데모: Exchange FE 서버에서 IPSec 설정하기 데모: Exchange BE 서버에서 IPSec 설정하기 데모: IPSec Monitor를 이용하여 IPSec 통신 확인하기 Windows Server 2003 DC, DNS, CA, DHCP 192.168.0.11 IPSec 172.16.0.254 192.168.0.254 Exchange Server 2003 Back-end Server 192.168.0.15 Router/Firewall ISA Server 2000 with Feature Pack 1 Exchange Server 2003 Front-end Server 192.168.0.13 Yi,HangJu Outlook Express or Internet Explorer Yi,YeZy Outlook 2003 Yi,JaeYong Outlook 2003
Session 3: Securing Exchange Server Firewall Configuration Securing SMTP Server Exchange OWA Front-end Server Publishing Exchange SMTP, POP3, IMAP Server Publishing Exchange Server Patch Management
Web Publishing/Server Publishing Recommended Scenario 권장 시나리오. 외부에서 익스체인지 서버에 접근하는 사용자들은 OWA나 IMAP을 사용하여 접근하도록 한다. 외부에서 Outlook을 이용하여 접근할 때는 RPC over HTTP를 사용하도록 한다. 방화벽에서 오픈되는 포트의 수를 줄이기 위해 FE 서버를 ISA 서버에 게시한다. 방화벽에서는 FE 서버에 접근하기 위한 포트를 오픈한다. EXFE01의 HTTP와 HTTPS 모두 사용가능 하도록 설정해야 한다. ISA 서버에 컴퓨터용 인증서를 발행 받는다. Web Publishing/Server Publishing Windows Server 2003 DC, DNS, CA, DHCP 192.168.0.11 SSL IPSec 172.16.0.254 192.168.0.254 SSL Exchange Server 2003 Back-end Server 192.168.0.15 Router/Firewall ISA Server 2000 with Feature Pack 1 Exchange Server 2003 Front-end Server 192.168.0.13 Yi,YeZy Outlook 2003
Firewall Configuration Edge Firewall Configuration OWA, RPC over HTTP 클라이언트를 위해 ISA 서버에 대한 80, 443(HTTPS) 포트를 오픈한다. SMTP는 일반 통신과 SSL 통신 모두 25번 포트를 사용한다. IMAP은 일반 통신에 143번 SSL 통신에 993번 포트를 사용한다. POP3는 일반 통신에 110번 SSL 통신에 995번 포트를 사용한다. RPC over HTTP는 일반 통신에 80번 SSL 통신에 443번 포트를 사용한다. ISA 서버 설정 내부 네트워크의 익스체인지 서버는 ISA에 게시한다. OWA 서버는 Web Publishing을 사용한다. SMTP, IMAP, POP3 서버는 Server Publishing을 사용한다. RPC Proxy 서버는 Web Publishing을 사용한다.
Securing SMTP Server Creating SMTP Connector SMTP Server Publishing 내부 네트워크의 모든 익스체인지 서버가 외부와 메일을 주고 받는 경우 방화벽에 여러 개의 룰을 설정해야 하고, ISA 서버에 모든 서버를 게시해야 하므로, 성능에 문제가 없는 경우 FE 서버가 SMTP 게이트웨이가 되도록 SMTP 커넥터를 설정한다. SMTP 커넥터를 사용하면 별도의 릴레이 설정이 필요 없다. SMTP Server Publishing SMTP 서버를 게시하게 되면 인터넷에 있는 다른 SMTP 호스트들과 안전하게 메일을 주고 받을 수 있다. SMTP 서버를 게시하게 되면 ISA 서버의 SMTP 필터나 Third Party의 SMTP 필터 기능을 이용하여 보다 안전하게 SMTP 서버를 사용할 수 있다. SMTP 서버가 외부로 메일을 보낼 수 있도록 Protocol Rule을 생성해야 한다. 인터넷 메일 마법사를 사용하여 SMTP 컨넥터를 생성한다. SMTP Outbound Protocol Rule을 생성한다.
OWA Server Web Publishing 서버를 게시하기 전에 외부 DNS의 OWA 서버 레코드를 ISA 서버를 참조하도록 변경한다. SSL을 사용할 경우 ISA 서버에 SSL 인증서를 설치한다. ISA Feature Pack 1의 OWA 게시 마법사를 사용하여 게시한다. Urlscan 2.5 for ISA Server를 사용하여 보다 안전한 OWA 서버를 구축할 수 있다. OWA 서버 게시하기 데모: 외부 DNS 서버 설정 변경하기 데모: OWA 서버 게시하기 데모: SSL을 사용할 수 있도록 OWA 서버 게시하기
SMTP, POP3, IMAP Server Publishing SMTP, IMAP, POP3 서버 게시 각 서버를 게시하기 전에 외부 DNS 서버에 ISA 서버의 외부 IP 주소를 메일 서버로 설정한다. 외부 DNS의 MX 레코드나 Mail 별칭이 ISA 서버를 참조하도록 설정한다. ISA 서버 2000 Feature Pack 1의 메일 서버 게시 마법사를 사용한다. SMTP, IMAP, POP3 서버 게시하기 데모: 외부 DNS 설정 변경하기 데모: SMTP, IMAP, POP3 서버 게시하기 데모: SMTP, IMAP, POP3 서버가 SSL을 이용할 수 있도록 게시하기 데모: 게시된 서버를 이용하도록 클라이언트 설정 변경하기
Exchange Server Patch Management Patch Management Using MBSA 최근의 동향으로 볼 때, 메일 서버가 주된 공격 대상이 됨. 적절한 보안 패치의 설치는 매우 중요 MBSA를 사용하여 보안 패치를 확인하고 설치 데모: MBSA를 사용하여 Exchange Server 보안 설정 확인하기
Additional Resources Exchange Server Home Page http://www.microsoft.com/exchange Quick Start Guide for S/MIME for Exchange Server 2003 http://www.microsoft.com/technet/prodtechnol/exchange/2003/library/qssmimes.mspx Exchange Server 2003 Message Security Guide http://www.microsoft.com/technet/prodtechnol/exchange/2003/library/exmessec.mspx Exchange Server 2003 Security Hardening Guide http://www.microsoft.com/technet/prodtechnol/exchange/2003/library/exsecure.mspx Using ISA Server 2000 with Exchange Server 2003 http://www.microsoft.com/technet/prodtechnol/exchange/2003/library/uisaex03.mspx