ISA Server 2004를 이용한 Exchange 2003 인프라 보안 강화 백 승 주/책임 컨설턴트 .Net Advisor Group WebTime

강사 소개 WebTime 책임 컨설턴트/전임 강사/경력 8년 MCT/MCSE on Windows Server 2003 국내 1호/ MCSE Security 2003/MCSE Messaging 2003/ MCDBA/MCSD/MCDST 관심 분야 플랫폼 (Windows Family) 백오피스 (Exchange, SharePoint, LCS, RMS, ISA) 보안 커뮤니티 .NET Advisor Group MCPWORLD (http://www.mcpworld.com)

대상 기술범위: E-Mail 보안 이슈 안전한 SMTP 트래픽을 위한 ISA Server 설정

이 주제를 이해하는 데 필요한 지식 Level 200 Windows Server 2003 사용 경험 네트워크에 대한 기본 지식 Exchange Server 2003 사용 경험 각종 메시징 프로토콜에 대한 기본 지식 방화벽 사용 경험 (옵션) Level 200

목차 E-Mail 보안 이슈 안전한 SMTP 트래픽을 위한 ISA Server 설정

E-Mail 보안 이슈 E-Mail 보안 위협 개요 SMTP 취약점 공격으로 부터 E-Mail 서버를 보호 조직의 네트워크를 들어오는 원하지 않거나 악성 E-Mail들을 방어

E-Mail 보안 이슈 웹 클라이언트를 이용한 E-Mail 접근 Outlook Mobile Access XHTML, cHTML, HTML Exchange 프론트-엔드 서버 ActiveSync를 사용하는 모바일 장치들 무선 네트워크 ISA 서버 Outlook Web Access Exchange 백-엔드 서버

E-Mail 보안 이슈 Outlook 클라이언트를 이용한 E-Mail 접근 포트 135, 동적 포트 Exchange 프론트-엔드 서버 Outlook RPC 접속 ISA 서버 Outlook RPC over HTTP 접속 Exchange 백-엔드 서버 포트 80 또는 443

E-Mail 보안 이슈 인터넷 클라이언트를 이용한 E-Mail 접근 포트 110 또는 995, 포트 25 Exchange 프론트-엔드 서버 POP3 접속 ISA 서버 IMAP4 접속 Exchange 백-엔드 서버 포트 143 또는 993, 포트 25

E-Mail 보안 이슈 SMTP 프로토콜-레벨의 공격 표준보다 큰 데이터를 전송하는 버퍼 오버플로우 공격을 통한 메모리 버퍼 오버플로우 SMTP 서버가 인터넷 사용자들에게 원하지 않는 메일을 전달하게 되는 메일 릴레이 공격 서버내 정보나 사서함에 대한 정보를 수집, 또는 서버 보안을 위협

E-Mail 보안 이슈 스팸 또는 악성 E-Mail 스팸 메일 (UCE) 서버와 네트워크 자원 소모 사용자 생산성 감소와 관리자 오버헤드 증가 응용 프로그램 레이어 필터를 통해 처리 가능 법적인 책임 야기 가능성 악성 메일 컴퓨터내 데이터 파괴 또는 각종 자원의 소모 관리자 오버헤드 증가 정보 유출 가능성

E-Mail 보안 이슈 ISA Server 2004 Mail publishing 마법사 웹 클라이언트의 안전한 접근 Exchange 프론트-엔드 서버 웹 클라이언트의 안전한 접근 ISA 서버 Outlook 클라이언트 의 안전한 접근 Exchange 백-엔드 서버 원하지 않는 메일 필터링 SMTP 명령어 필터링

목차 E-Mail 보안 이슈 안전한 SMTP 트래픽을 위한 ISA Server 설정

SMTP 트래픽 보안 ISA Server 2004의 SMTP 트래픽 보안 SMTP 서버 게시를 위한 Mail Publishing 마법사 Exchange 프론트-엔드 서버 ISA 서버 SMTP 명령어 필터링을 위한 SMTP 응용 프로그램 필터 Exchange 백-엔드 서버 SMTP 서버 원치 않는 E-Mail을 필터링하기 위한 SMTP 메세지 스크리너

SMTP 트래픽 보안 ISA Server 2004의 SMTP 보안 설정 인터넷 DNS 서버의 MX 레코드를 ISA 서버로 설정 SMTP 서버를 게시하기 위한 Mail Server Publishing 마법사 사용 SecureNAT 클라이언트로 내부 SMTP 서버를 설정 내부 SMTP 서버가 인터넷으로 E-Mail을 전송하는 Access Rule을 설정 내부 SMTP 서버가 인터넷 호스트 이름을 풀이할 수 있도록 DNS를 설정

SMTP 트래픽 보안 데모 시나리오 Gen-Web-01 Den-ISA-01 Den-Msg-01 Internet Den-DC-01

데모 SMTP 서버의 게시 인터넷 DNS 레코드 생성 SMTP Mail Server Publishing Rule의 생성

SMTP 트래픽 보안 SMTP 필터링의 동작 원리 다음을 확인 명령어가 허가된 것인가? 명령어 길이가 허가된 것인가? Exchange 프론트-엔드 서버 SMTP 서버 ISA 서버 EHLO contoso.com Mail from: Ben@contoso.com Rcpt to: Jay@cohovineyard.com Data Exchange 백-엔드 서버

SMTP 트래픽 보안 SMTP 응용 프로그램 필터 설정

SMTP 트래픽 보안 SMTP 메시지 스크리너의 동작 원리 메시지 스크리너 설치 다음을 확인 원본 호스트가 허가된 것인가? 원본 도메인이 허가된 것인가? 첨부 파일은 허가된 것인가? 키워드 중 거부된 것은 없는가? SMTP Service가 설치된 IIS 6.0 SMTP 서버 ISA 서버 Exchange 백-엔드 서버

SMTP 트래픽 보안 SMTP 메시지 스크리너 설정 IIS 5.0 또는 IIS 6.0 서버에 SMTP 서비스 설치 IIS 서버에 SMTP 메시지 스크리너 설치 메시지 스크리너가 설치된 SMTP 서버를 게시하도록 SMTP Mail Server Publishing Rule을 구성 SMTP 필터에 메시지 스크리너를 설정

데모 SMTP 메시지 스크리너 구현 ISA 서버에 SMTP 서비스 설치 SMTP 메시지 스크리너 설치

SMTP 트래픽 보안 메시지 스크리너의 배치 ISA 서버 머신에 직접 설치, 가장 구성하기 쉬우나, 보안 레벨은 높지 않음 내부 또는 Perimeter 네트워크의 IIS 서버, Perimeter 네트워크내 구현이 다소 구성하기 어려우나, 보안 레벨은 높음

SMTP 트래픽 보안 메시지 필터링 방향 결정 Inbound 메시지만 필터링하는 경우 메시지 스크니러가 설치된 머신을 외부로 게시 내부 SMTP 서버가 인터넷으로 E-Mail을 발송하도록 Access Rule 설정 Outbound 메시지와 Inbound 메시지를 모두 필터링하는 경우 내부 SMTP 서버가 E-Mail을 발송할 경우, 메시지 스크리너를 Smart Host로 사용하도록 설정

목차 E-Mail 보안 이슈 안전한 SMTP 트래픽을 위한 ISA Server 설정

웹 클라이언트 보안 안전한 OWA 접속을 위한 ISA Server OWA 서버 게시를 위한 Mail Publishing 마법사 사용 안전한 사용자 로그온을 위한 폼-기반 인증 사용 Exchange 프론트-엔드 서버 ISA 서버 OWA 클라이언트 Exchange 백-엔드 서버 첨부파일 통제 설정

웹 클라이언트 보안 OWA 접속을 위한 ISA 서버 설정 IIS가 OWA 가상 디렉터리에 SSL 접속을 하도록 설정 OWA 서버 게시를 위한 Mail Server Publishing 마법사 이용 Bridging 모드 설정. 가장 높은 보안을 위해, 클라이언트와 ISA 서버, ISA 서버와 OWA 서버가 보안 연결을 하도록 설정 OWA 게시용 웹 리스너 구현. 웹-리스너에서 폼-기반 인증과 SSL를 선택

웹 클라이언트 보안 폼-기반 인증 설정

웹 클라이언트 보안 기타 웹 클라이언트 접근 설정 OMA와 Activesync 클라이언트용 Exchange 서버 가상 디렉터리를 게시

데모 안전한 OWA 접속을 위한 ISA 서버 설정 OWA 서버에 인증서 설치 OWA용 가상 디렉터리에 SSL 필요 설정 Outlook Web Access Publishing Rule 설정 Outlook Web Access Publishing Rule 테스트

목차 E-Mail 보안 이슈 안전한 SMTP 트래픽을 위한 ISA Server 설정

인터넷 클라이언트 보안 안전한 Outlook RPC 접속 포트 135 ISA 서버 Exchange UUID=3000 Outlook 클라이언트 Exchange UUID=2000 Exchange 서버군

인터넷 클라이언트 보안 데모 시나리오 Den-Clt-01 Den-ISA-01 Den-Msg-01 Internet Den-DC-01

데모 안전한 Outlook RPC 접속을 위한 ISA 서버 설정 Outlook RPC Publishing Rule 설정

인터넷 클라이언트 보안 RPC over HTTP에 대해 Windows Server 2003에서 동작하는 Exchange Server 2003 Windows Server 2003 글로벌 카탈로그 Windows XP에서 동작하는 Outlook 2003 Exchange와 RPC Proxy 서버가 설치되고, 관련된 설정이 완료된 Windows Server 2003 HTTPS를 사용하여 Exchange 서버를 접속하도록 Outlook 프로파일을 수정

인터넷 클라이언트 보안 RPC over HTTP 설정 HTTP 사용을 위해, /rpc/* 가상 디렉터리 게시

인터넷 클라이언트 보안 POP3, IMAP4 클라이언트 접근 필요 포트 설정 SSL 보안을 사용하기 위해 보안 포트 설정

세션 요약 E-Mail에는 여러 가지 보안 위협 요소를 가지고 있음 안전한 SMTP 보안을 위하여 ISA 서버에 SMTP 스크니러를 설치 안전한 OWA 보안을 위하여, ISA 서버 Web Publishing과 HTTP Filter를 사용 안전한 인터넷 클라이언트 보안을 위하여, ISA 서버 Mail Publishing을 사용

참고 자료 http://www.microsoft.com/isa http://www.isaserver.org

이 서적은 국내 대형서점에서 판매되며, 온라인 서점에서도 판매 됩니다. 추천서적: IT 전문가를 위한 참고서적 이 서적은 국내 대형서점에서 판매되며, 온라인 서점에서도 판매 됩니다.

Microsoft 교육센터 IT 전문가를 위한 교육정보 코스 제목 Available 2824A Implementing Microsoft Internet Security and Acceleration (ISA) Server 2004 2005/04/18 ~ 2005/04/22 2823A Implementing and Administering Security in a Microsoft Windows Server 2003 Network 2005/05/10 2005/05/13 자세한 교육정보는 Microsoft 공식 교육기관 또는 인터넷에서 통해서 얻을 수 있습니다. www.microsoft.com/learning, www.wtime.net

참고자료 : IT 전문가를 위한 Microsoft 인증

여러분의 Microsoft 기술 능력 평가 Microsoft Skills Assessment 무엇인가? 현재 제품 및 기술 솔루션에 대한 능력 평가 Windows Server 2003, Exchange Server 2003, Windows Storage Server 2003, Visual Studio .NET, Office 2003 무료, 온라인, 누구나 사용 가능 평가결과를 기초로 Microsoft 교육 프로그램을 제안합니다. 평가항목과 최고점수 표시 방문하세요! www.microsoft.com/assessment

Microsoft Certified Systems Administrator(MCSA)가 되자! Microsoft Windows Server 기반의 시스템, 네트워크 유지보수와 관리를 하는 IT 전문가를 위한 인증제도 어떻게 MCSA(Windows Server 2003) 합격? 3개 코어 시험 통과 1개 선택 과목 자세한 정보는 아래 URL를 참고하세요? www.microsoft.com/mcsa

Microsoft Certified Systems Engineer (MCSE)가 되자! Microsoft Windows Server System 기반의 비즈니스 솔루션, 인프라스트럭처의 설계, 도입계획, 도입방법, IT 운영자의 요구분석 능력을 인증하는 제도 어떻게 MCSE(Microsoft Windows 2003) 합격? 6개 코어 시험 통과 1새 선택 시험 통과 자세한 정보는 아래 URL를 참고하세요? www.microsoft.com/mcse

Microsoft Certified Desktop Support Technician(MCDST) What is the MCDST certification? Microsoft Windows 오퍼레이팅 시스템에서 실행되는 데스크톱 환경의 문제해결 및 전문가의 기술지원 능력을 인증하는 제도 어떻게 MCDST(Microsoft Windows XP) 합격? 2개 코어 시험 통과 오퍼레이팅 시스템 데스크톱 애플리케이션 지원 자세한 정보는 아래 URL를 참고하세요? www.microsoft.com/mcse

Specialization 인증을 도전하세요. MCSA/MCSE specializations? IT 전문가를 위한 메시징, 보안 전문분야의 인증제도 현재 인증 가능한 전문? MCSA: Security – MCSA: Messaging MCSE: Security – MCSE: Messaging 자세한 정보는 아래 URL를 참고하세요? www.microsoft.com/mcsa or www.microsoft.com/mcse

TechNet에 가입하세요. 최신 기술 뉴스를 받고 싶으세요? 평가기간 없는 소프트웨어!: Technet Plus 가입자는 평가 목적으로 Microsoft 정품제품을 다양하게 시험을 할 수 있다. 무료 기술지원: 가입자는 2개의 무료 기술지원을 받을 수 있으며, 중요한 문제해결을 위해 시간을 절약할 수 있다. 최신 TechNet 정보를 오프라인에서 사용: TechNet 사이트의 Microsoft 평가, 설치, 솔루션의 정보를 CD 또는 DVD로 받을 수 있다. www.microsoft.com/technet/subscriptions

어디서 정보를 얻을 수 있나요? 웹 캐스트 또는 온라인 채팅 www.microsoft.com/technet/community/chats www.microsoft.com/technet/community/webcasts 뉴스그룹 목록 www.microsoft.com/technet/community/newsgroups Microsoft 커뮤니티 사이트 www.microsoft.com/technet/community 커뮤니티 이벤트 www.microsoft.com/technet/community/events 커뮤니티 컬럼 www.microsoft.com/technet/community/columns