백 승 주 / 책임 컨설턴트 .Net Advisor Group WebTime

2. ISA Server 2004를 이용한Exchange 2003 인프라 보안 강화 백 승 주/책임 컨설턴트 .Net Advisor Group WebTime

3. 강사 소개 • WebTime 책임 컨설턴트/전임 강사/경력 8년 • MCT/MCSE on Windows Server 2003 국내 1호/MCSE Security 2003/MCSE Messaging 2003/MCDBA/MCSD/MCDST • 관심 분야 • 플랫폼 (Windows Family) • 백오피스 (Exchange, SharePoint, LCS, RMS, ISA) • 보안 • 커뮤니티 • .NET Advisor Group • MCPWORLD (http://www.mcpworld.com)

4. 대상 기술범위: • E-Mail 보안 이슈 • 안전한 SMTP 트래픽을 위한 ISA Server 설정 • 안전한 웹 클라이언트 접속을 위한 ISA Server 설정 • 안전한 클라이언트 접속을 위한 ISA Server 설정

5. 이 주제를 이해하는 데 필요한 지식 • Windows Server 2003 사용 경험 • 네트워크에 대한 기본 지식 • Exchange Server 2003 사용 경험 • 각종 메시징 프로토콜에 대한 기본 지식 • 방화벽 사용 경험 (옵션) Level 200

6. 목차 • E-Mail 보안 이슈 • 안전한 SMTP 트래픽을 위한 ISA Server 설정 • 안전한 웹 클라이언트 접속을 위한 ISA Server 설정 • 안전한 클라이언트 접속을 위한 ISA Server 설정

7. E-Mail 보안 이슈E-Mail 보안 위협 개요 • 모든 E-Mail 클라이언트가 서버로 접속할 때, 안전한지를 확인 • SMTP 취약점 공격으로 부터 E-Mail 서버를 보호 • 조직의 네트워크를 들어오는 원하지 않거나 악성 E-Mail들을 방어

8. ISA서버 E-Mail 보안 이슈웹 클라이언트를 이용한 E-Mail 접근 Outlook Mobile AccessXHTML, cHTML, HTML Exchange 프론트-엔드서버 ActiveSync를 사용하는 모바일 장치들 무선네트워크 Outlook Web Access Exchange 백-엔드서버

9. ISA서버 E-Mail 보안 이슈Outlook 클라이언트를 이용한 E-Mail 접근 포트 135, 동적 포트 Exchange 프론트-엔드서버 Outlook RPC 접속 Outlook RPCover HTTP 접속 Exchange 백-엔드서버 포트 80 또는 443

10. ISA서버 E-Mail 보안 이슈인터넷 클라이언트를 이용한 E-Mail 접근 포트 110 또는 995, 포트 25 Exchange 프론트-엔드서버 POP3 접속 IMAP4 접속 Exchange 백-엔드서버 포트 143 또는 993, 포트 25

11. E-Mail 보안 이슈SMTP 프로토콜-레벨의 공격 • 표준보다 큰 데이터를 전송하는 버퍼 오버플로우 공격을 통한메모리 버퍼 오버플로우 • SMTP 서버가 인터넷 사용자들에게 원하지 않는 메일을 전달하게 되는 메일 릴레이 공격 • 서버내 정보나 사서함에 대한 정보를 수집, 또는 서버 보안을 위협

12. E-Mail 보안 이슈스팸 또는 악성 E-Mail • 스팸 메일 (UCE) • 서버와 네트워크 자원 소모 • 사용자 생산성 감소와 관리자 오버헤드 증가 • 응용 프로그램 레이어 필터를 통해 처리 가능 • 법적인 책임 야기 가능성 • 악성 메일 • 컴퓨터내 데이터 파괴 또는 각종 자원의 소모 • 관리자 오버헤드 증가 • 정보 유출 가능성

13. ISA서버 E-Mail 보안 이슈ISA Server 2004 Mail publishing 마법사 Exchange 프론트-엔드서버 웹 클라이언트의안전한 접근 Outlook 클라이언트의 안전한 접근 Exchange 백-엔드서버 원하지 않는 메일 필터링 SMTP 명령어필터링

14. 목차 • E-Mail 보안 이슈 • 안전한 SMTP 트래픽을 위한 ISA Server 설정 • 안전한 웹 클라이언트 접속을 위한 ISA Server 설정 • 안전한 클라이언트 접속을 위한 ISA Server 설정

15. SMTP서버 ISA서버 SMTP 트래픽 보안ISA Server 2004의 SMTP 트래픽 보안 SMTP 서버 게시를 위한 Mail Publishing 마법사 Exchange 프론트-엔드서버 SMTP 명령어 필터링을 위한 SMTP 응용 프로그램 필터 Exchange 백-엔드서버 원치 않는 E-Mail을 필터링하기 위한 SMTP 메세지 스크리너

16. SMTP 트래픽 보안ISA Server 2004의 SMTP 보안 설정 • 인터넷 DNS 서버의 MX 레코드를 ISA 서버로 설정 • SMTP 서버를 게시하기 위한 Mail Server Publishing 마법사 사용 • SecureNAT 클라이언트로 내부 SMTP 서버를 설정 • 내부 SMTP 서버가 인터넷으로 E-Mail을 전송하는 Access Rule을 설정 • 내부 SMTP 서버가 인터넷 호스트 이름을 풀이할 수 있도록 DNS를 설정

17. SMTP 트래픽 보안데모 시나리오 Gen-Web-01 Den-ISA-01 Den-Msg-01 Internet Den-DC-01

18. 데모 • SMTP 서버의 게시 • 인터넷 DNS 레코드 생성 • SMTP Mail Server Publishing Rule의 생성 • 아웃바운드 SMTP 서버 설정 • SMTP 트래픽 흐름 테스트

19. SMTP서버 ISA서버 SMTP 트래픽 보안SMTP 필터링의 동작 원리 Exchange 프론트-엔드서버 EHLO contoso.com Mail from: Ben@contoso.com Rcpt to: Jay@cohovineyard.com Data Exchange 백-엔드서버

20. SMTP 트래픽 보안SMTP 응용 프로그램 필터 설정

21. SMTP서버 ISA서버 SMTP 트래픽 보안SMTP 메시지 스크리너의 동작 원리 메시지 스크리너 설치 SMTP Service가 설치된 IIS 6.0 Exchange 백-엔드서버

22. SMTP 트래픽 보안SMTP 메시지 스크리너 설정 • IIS 5.0 또는 IIS 6.0 서버에 SMTP 서비스 설치 • IIS 서버에 SMTP 메시지 스크리너 설치 • 메시지 스크리너가 설치된 SMTP 서버를 게시하도록 SMTP Mail Server Publishing Rule을 구성 • SMTP 필터에 메시지 스크리너를 설정

23. 데모 • SMTP 메시지 스크리너 구현 • ISA 서버에 SMTP 서비스 설치 • SMTP 메시지 스크리너 설치 • SMTP 메시지 스크리너 구성 • SMTP 메시지 스크리너 테스트

24. SMTP 트래픽 보안메시지 스크리너의 배치 • ISA 서버 머신에 직접 설치, 가장 구성하기 쉬우나, 보안 레벨은 높지 않음 • 내부 또는 Perimeter 네트워크의 IIS 서버, Perimeter 네트워크내 구현이 다소 구성하기 어려우나, 보안 레벨은 높음

25. SMTP 트래픽 보안메시지 필터링 방향 결정 • Inbound 메시지만 필터링하는 경우 • 메시지 스크니러가 설치된 머신을 외부로 게시 • 내부 SMTP 서버가 인터넷으로 E-Mail을 발송하도록 Access Rule 설정 • Outbound 메시지와 Inbound 메시지를 모두 필터링하는 경우 • 메시지 스크니러가 설치된 머신을 외부로 게시 • 내부 SMTP 서버가 E-Mail을 발송할 경우, 메시지 스크리너를 Smart Host로 사용하도록 설정

26. 목차 • E-Mail 보안 이슈 • 안전한 SMTP 트래픽을 위한 ISA Server 설정 • 안전한 웹 클라이언트 접속을 위한 ISA Server 설정 • 안전한 클라이언트 접속을 위한 ISA Server 설정

27. ISA서버 웹 클라이언트 보안안전한 OWA 접속을 위한 ISA Server OWA 서버 게시를 위한 Mail Publishing 마법사 사용 안전한 사용자 로그온을 위한 폼-기반 인증 사용 Exchange 프론트-엔드 서버 OWA 클라이언트 Exchange 백-엔드서버 첨부파일통제 설정

28. 웹 클라이언트 보안OWA 접속을 위한 ISA 서버 설정 • OWA 서버에 디지털 인증서를 설치 • IIS가 OWA 가상 디렉터리에 SSL 접속을 하도록 설정 • OWA 서버 게시를 위한 Mail Server Publishing 마법사 이용 • Bridging 모드 설정. 가장 높은 보안을 위해, 클라이언트와 ISA 서버, ISA 서버와 OWA 서버가 보안 연결을 하도록 설정 • OWA 게시용 웹 리스너 구현. 웹-리스너에서 폼-기반 인증과 SSL를 선택

29. 웹 클라이언트 보안폼-기반 인증 설정

30. 웹 클라이언트 보안기타 웹 클라이언트 접근 설정 OMA와 Activesync 클라이언트용 Exchange 서버 가상 디렉터리를 게시

31. 데모 • 안전한 OWA 접속을 위한 ISA 서버 설정 • OWA 서버에 인증서 설치 • OWA용 가상 디렉터리에 SSL 필요 설정 • Outlook Web Access Publishing Rule 설정 • Outlook Web Access Publishing Rule 테스트

32. 목차 • E-Mail 보안 이슈 • 안전한 SMTP 트래픽을 위한 ISA Server 설정 • 안전한 웹 클라이언트 접속을 위한 ISA Server 설정 • 안전한 클라이언트 접속을 위한 ISA Server 설정

33. 인터넷 클라이언트 보안안전한 Outlook RPC 접속 포트 135 ISA서버 Exchange UUID=3000 Outlook 클라이언트 Exchange UUID=2000 Exchange 서버군

34. 인터넷 클라이언트 보안데모 시나리오 Den-Clt-01 Den-ISA-01 Den-Msg-01 Internet Den-DC-01

35. 데모 • 안전한 Outlook RPC 접속을 위한 ISA 서버 설정 • Outlook RPC Publishing Rule 설정 • Outlook RPC Publishing Rule 테스트

36. 인터넷 클라이언트 보안RPC over HTTP에 대해 • Windows Server 2003에서 동작하는 Exchange Server 2003 • Windows Server 2003 글로벌 카탈로그 • Windows XP에서 동작하는 Outlook 2003 • Exchange와 RPC Proxy 서버가 설치되고, 관련된 설정이 완료된 Windows Server 2003 • HTTPS를 사용하여 Exchange 서버를 접속하도록 Outlook 프로파일을 수정

37. 인터넷 클라이언트 보안RPC over HTTP 설정 RPC over HTTP 사용을 위해, /rpc/* 가상 디렉터리 게시

38. 인터넷 클라이언트 보안POP3, IMAP4 클라이언트 접근 SSL 보안을 사용하기 위해 보안 포트 설정 필요 포트 설정

39. 세션 요약 • E-Mail에는 여러 가지 보안 위협 요소를 가지고 있음 • 안전한 SMTP 보안을 위하여 ISA 서버에 SMTP 스크니러를 설치 • 안전한 OWA 보안을 위하여, ISA 서버 Web Publishing과 HTTP Filter를 사용 • 안전한 인터넷 클라이언트 보안을 위하여, ISA 서버 Mail Publishing을 사용

40. 참고자료 • http://www.microsoft.com/isa • http://www.isaserver.org

41. 추천서적: IT 전문가를 위한 참고서적 이 서적은 국내 대형서점에서 판매되며, 온라인 서점에서도 판매 됩니다.

42. Microsoft교육센터IT 전문가를 위한 교육정보 자세한 교육정보는 Microsoft 공식 교육기관 또는 인터넷에서 통해서 얻을 수 있습니다. www.microsoft.com/learning, www.wtime.net

44. 참고자료 : IT 전문가를 위한 Microsoft 인증

45. 여러분의 Microsoft 기술 능력 평가 Microsoft Skills Assessment무엇인가? • 현재 제품 및 기술 솔루션에 대한 능력 평가 • Windows Server 2003, Exchange Server 2003, Windows Storage Server 2003, Visual Studio .NET, Office 2003 • 무료, 온라인, 누구나 사용 가능 • 평가결과를 기초로 Microsoft 교육 프로그램을 제안합니다. • 평가항목과 최고점수 표시 • 방문하세요!www.microsoft.com/assessment

46. Microsoft Certified Systems Administrator(MCSA)가되자! • MCSA 무엇인가? • Microsoft Windows Server 기반의 시스템, 네트워크 유지보수와 관리를 하는 IT 전문가를 위한 인증제도 • 어떻게 MCSA(Windows Server 2003) 합격? • 3개 코어 시험 통과 • 1개 선택 과목 • 자세한 정보는 아래 URL를 참고하세요? www.microsoft.com/mcsa

47. Microsoft Certified Systems Engineer (MCSE)가 되자! • MCSE 무엇인가? • Microsoft Windows Server System 기반의 비즈니스 솔루션, 인프라스트럭처의 설계, 도입계획, 도입방법, IT 운영자의 요구분석 능력을 인증하는 제도 • 어떻게MCSE(Microsoft Windows 2003) 합격? • 6개 코어 시험 통과 • 1새 선택 시험 통과 • 자세한 정보는 아래 URL를 참고하세요? www.microsoft.com/mcse

48. Microsoft Certified Desktop Support Technician(MCDST) • What is the MCDST certification? • Microsoft Windows 오퍼레이팅 시스템에서 실행되는 데스크톱 환경의 문제해결 및 전문가의 기술지원 능력을 인증하는 제도 • 어떻게MCDST(Microsoft Windows XP) 합격? • 2개 코어 시험 통과 • 오퍼레이팅 시스템 • 데스크톱 애플리케이션 지원 • 자세한 정보는 아래 URL를 참고하세요? www.microsoft.com/mcse

49. Specialization인증을 도전하세요. • MCSA/MCSE specializations? • IT 전문가를 위한 메시징, 보안 전문분야의 인증제도 • 현재 인증 가능한 전문? • MCSA: Security –MCSA: Messaging • MCSE: Security –MCSE: Messaging • 자세한 정보는 아래 URL를 참고하세요? www.microsoft.com/mcsaorwww.microsoft.com/mcse

50. TechNet에 가입하세요.최신 기술 뉴스를 받고 싶으세요? 평가기간 없는 소프트웨어!: Technet Plus 가입자는 평가 목적으로 Microsoft 정품제품을 다양하게 시험을 할 수 있다. 무료 기술지원: 가입자는 2개의 무료 기술지원을 받을 수 있으며, 중요한 문제해결을 위해 시간을 절약할 수 있다. 최신 TechNet 정보를 오프라인에서 사용: TechNet 사이트의 Microsoft 평가, 설치, 솔루션의 정보를 CD 또는 DVD로 받을 수 있다. www.microsoft.com/technet/subscriptions