[오피스스캔] 스크립트로 관리서버 바꾸기

오피스스캔 클라이언트가 미아가 되는 경우가 있습니다.
서버가 바뀌거나 어떤 이유로 클라이언트가 단절되어 업데이트를 못하게 되는 경우가 있습니다.
문제가 발생하여 서버와 통신이 단절된 클라이언트를  올바른 서버로 다시 연결해주려고 할때 ipxfer를 사용하세요
ipxfer.exe라는 파일은 서버내의 “\PCCSRV\Admin\Utility\IpXfer\”아래에 위치하고 있습니다.
이 파일을 이용하여 아래와 같이 스크립트를 돌리면  올바른 서버로 연결을 다시 재개합니다.
서버의 오피스스캔 프로그램/패턴등을 자동으로 받아오게 되어서  향후 안정적인 운영이 가능해집니다.

사용법: ipXfer.exe -m 1 -s < server_name > -p < Server_Web_port > -c < client_listening_port > -q 1
사용례: ipxfer.exe -m 1 -s officescanserver -p 8089 -c 15269

옵션설명:
• -m <installation mode>     1->HTTP-based 0->File-based
• -s < server >  [server_FQDN| server_WINS_name| server_IP_address | UNC_Path_to_Server]
• -p< IIS_TCP_Port > : \pccsrv\ofcscan.ini 파일내의 “MASTER_DOMAINPORT” 확인하세요
• -c < client listening port > \pccsrv\ofcscan.ini 파일내의”CLIENT_LOCALSERVER_PORT” 확인
• -q <internet settings force-change switch>    항상 1로 세팅할 것

[오피스스캔] 버퍼오버플로우 패치 2392

오피스스캔의 서버/클라이언트 통신 모듈에 대한 Buffer Overflow Vulnerability 패치가 나왔습니다.
영문/한글 모두 적용가능합니다.

오피스스캔 8.0 (먼저 sp1으로 업그레이드 하셔야 합니다.)
OSCE_8.0_SP1_Win_EN_CriticalPatch_B2392.exe

오피스스캔 7.3
OSCE_7.3_Win_EN_CriticalPatch_B1355.exe

오피스스캔 7.0
OSCE_7.0_Win_EN_CriticalPatch_B1395.exe

이 패치에 관한 설명입니다.
   This critical patch addresses a buffer overflow vulnerability in
   an OfficeScan ActiveX control that an attacker can exploit.

   OfficeScan clients can be installed from the OfficeScan Web
   console logon screen. The OfficeScan server utilizes several
   ActiveX controls when deploying the product through the Web
   console interface and the local machine caches these controls.
   One of these controls, “objRemoveCtrl”, is vulnerable to a
   stack-based buffer overflow when embedded in a Web page.
  
   An attacker can exploit this vulnerablity by enticing a victim
   into viewing a malicious Web page. A successful exploit will allow
   attacker-supplied code to run in the context of the currently
   logged-on user.

보다 더 자세한 설명보기 :  ReadMe 

트렌드 오피스스캔 업데이트 상태확인하기

백신이 설치되어 있다고 해도  엔진과 패턴등이 최신으로 업데이트가 신속하게 되고있지않다면
백신이 없는것과 마찬가지가 됩니다.   트랜드마이크로의 오피스스캔의 경우 백신클라이언트의 업데이트 상태를 확인하는 방법을 정리해봅니다.  

내 컴퓨터에 설치된 오피스스캔의 상태가 정상인지 아닌지 확인해보겠습니다.
1. 트레이의 오피스스캔 아이콘의 상태를 확인해봅시다.
    * 먼저 정상인 상태입니다.  아래처럼 파란색 원형에 물결모양이 보이면  중앙의 백신서버의 정책을
       잘 내려받고있으며  패턴도 최신으로 업데이트 되어있다는 것을 알수있습니다.사용자 삽입 이미지   * 다음으로 비정상인 상태입니다.  빨간 느낌표는 일주일이상 패턴이업데이트가 안되었다는 뜻이며 
      물결모양이 단절된 사선모양으로 보이면  중앙서버와의 통신이 단절되어서 업데이트가 안되는다는 뜻입니다
사용자 삽입 이미지

2. 백신의 상태를 좀더 자세히 조사해보도록 하겠습니다.
  * 트레이의 오피스스캔 아이콘에 마우스 올린후 우클릭합니다.   메뉴중에서 component version을 선택하세요
사용자 삽입 이미지
  * version infomation 창을 보면 백신의 버전/패턴의 버전/업데이트날짜등을 확인할수 있습니다.
   아래경우  프로그램의 버전은 8.0 ,  패턴의 버전은 5.461.00이며 2008년 8월6일 패턴업데이트되었습니다.
사용자 삽입 이미지
3. 수동으로 즉시 업데이트 해봅시다.
  * Update Now 메뉴를 선택해줍니다.  그러면 즉시 엔진및 패턴등 모든 구성요소가 업데이트됩니다.
     중앙서버를 먼저 찾고  없으면 인터넷으로 접속해서  업데이트를 시키게 됩니다.
  사용자 삽입 이미지4. 수동업데이트가 안되는 경우가 있을 수 있습니다. 이땐 관리자에게 즉시 전화등으로 연락해주어야합니다.
   관리자가 항상 보고있는 것이 아니기때문에  신속하게 연락해주는것이 좋습니다.

ISA 2006 LAB 메뉴얼 한글버전 및 Hands-on LAB

ISA 서버 운영에 큰 도움이 되는 LAB메뉴얼 입니다. 
영문버전은 보는데 시간이 많이 걸려서  한글버전을 구하였습니다. 파일이 좀 큽니다.
예전에 웹타임에서 3일짜리 ISA server 교육을 받은적이 있는데 이땐 영문 메뉴얼을 받았었죠..  ^^

문서포맷: Microsoft 2003
페이지분량: 542
용량:  25.6 Mb
원저자: Ronald Beekelaar     v-ronb@microsoft.com
역자: Young Hee Kong  ,  Dong Chul Lee

<< 다운로드 : ISA 2006 LAB 메뉴얼 한글버전 >>
사용자 삽입 이미지

Hands-on LAB을 사용하기 위해서는 PC의 메모리가 충분해야 합니다. (최소 2G)
실습을 위해선 3대 이상의 가상 PC를 구동해야만 합니다. (윈도우2003 서버 이미지…)
환경: virtualPC (Virtual Server)

<< 다운로드 페이지: ISA 2006 Hands-on LAB >>

모듈:
Module A: Introduction to ISA Server
Module B: Configuring Outbound Internet Access
Module C: Publishing Web Servers and Other Servers
Module D: Publishing an Exchange Server
Module E: Enabling VPN Connections
Module F: ISA Server 2006 as Branch Office Gateway
Module G: Enterprise Management of ISA Servers
Module H: Configuring Load Balancing
Module I: Using Monitoring, Alerting and Logging

Virtual Image:
1. ISA Server 2006 Standard Edition (RTM)
2. ISA Server 2006 Enterprise Edition (RTM)
3. SharePoint Services 2.0
4. Exchange Server 2003 SP2
5. Outlook 2003

[트렌드마이크로] 바이러스 샘플신고에서 신규패턴 적용까지

하나의 백신이 모든 바이러스를 잡아주지 못한다는 것은 현실입니다.
왜 백신이 바이러스를 못잡느냐고 열받아 할 수 도 있지만   새로 제작되거나 변형되어 등장하는  바이러스가 워낙 많기때문에  백신사의 인력들이 이에 신속히 대처하는것은 사실상 힘들다고 생각합니다.  

  ▶ 트렌드마이크로의 오피스스캔의 특징 
1. 랜덤하게 생성되는 second process가 존재
  백신 서비스가 죽는 것을 방지하기 위해  백신서비스를 바이러스가 죽였을때 다시 백신서비스를 활성하시키는 역할을 합니다.
2. 클라이언트의 중앙관리가 편리합니다.
   패턴업데이트 뿐 아니라 프로그램의  업데이트도 자연스럽게 해줍니다.  백신서버의 클라이언트버전의 업데이트되면 자동으로 전사 클라이언트에 배포됩니다.
3. 웜에 대해 잘 대응하는 편입니다.
하지만 파일기반 바이러스엔 약한 면을 보입니다. (USB바이러스 등….)

  ▶ 트렌드마이크로이 바이러스를 잡지 못할 땐  이렇게
  어쨋든 백신이 바이러스를 잘 처리 못하는것을 발견했을시 행동요령을 정리해봅니다.
1. 백신이 잡지못하는 바이러스 샘플을 추출합니다.
   – 수상한 행동을 보이는 파일을 찾습니다. 방화벽 로그, 트렌드 자체로그, TCPview같은 간단 패킷뷰어 활용하면 되겠습니다. 트렌드의 경우  잡았다고 하는데 같은 바이러스 제거로그가 반복돠는 경우 처리못하는 것이므로  추가적인 수동 작업이 필요합니다.
   – 타백신을 활용합니다. (ex. 하우리등, 웹으로 서비스하는 백신을 활용)
     –> 이런류의 서비스는 마이폴더에 가보시면 많죠.. ^^
2. 트렌드마이크로 고객센타에 샘플을 보냅니다.
   email address: KR_Customer_Support@dl.trendmicro.com 
   실행파일의 경우  확장자를 바꾼후 (ex. .EXE –> EX_ ) 압축해서
   (압축시엔 암호를 거는것을 추천) 메일로 보냅니다.
  물론  메일내용엔 암호를 명시하셔야 겠죠?
   (바이러스 샘플이 차단되는것을 막기위한 것임)
3. 트렌드마이크로에서 임시 샘플을 받습니다.
   대개  전체 패턴에 적용하기전 임시 패턴을 만들어서 보내줍니다.
   
4. 임시 패턴 적용
   –  받은 임시 패턴을 아래의 서버의 officescan 서버 폴더에 복사해 넣습니다.
      
\OfficeScan\PCCSRV\
   – 
OfficeScan Master Service 재시작

   – 
클라이언트로 자동배포 됨

 * 특정 클라이언트만 적용시엔 아래 경로에 패턴을 복사합니다.
   – 
클라이언트 경로
: C:\Program Files\Trend Micro\OfficeScan Client
   – 
OfficeScan Real-time Service 재시작

AD에서 현업부서장에게 권한위임시키기

ActiveDirectory의 장점은  사용자관리를 현업에 있는 관리자들에게 위임할수있다는것입니다.
부서내에서 어떤 사람들이 특정부서에 이동되고 있는지  중앙의 AD관리자가 확인할수 없기때문에
위임이 가능하다는 것은 AD관리의 효율성을 높이는 동시에 보안수준도 높일수있게해줍니다.
불필요한 인원의 권한을 좀더 긴밀하게 관리할수있게 되니까요…
아래와 같은 프로그램창을  현업의 관리자에게 제공하여 직접 관리할수 있게 해줍니다.
Taskpad라고 하는데   어떻게 권한을 위임하고   툴을 현업에 제공할수있는지 알아보겠습니다.

사용자 삽입 이미지

▶ AD에서  부서관리자에게 권한을 위임하자
1. dsa.msc를 실행하여  AD상에  관리하고자 하는 부서의 OU를  만든다.
2. OU내에 관리자 그룹,사용자 그룹등을 만든다.
3. 관리자 그룹에  관리자 아이디를 소속시킨다.
4. 해당OU에서 마우스우클릭하여  제어위임메뉴를 실행한다.

사용자 삽입 이미지

5. 제어위임 마법사에서  관리자 그룹을 추가해준다.

사용자 삽입 이미지

6. [다음 일반작업 을 위임] 옵션에서  [그룹의 구성원 변경]을 선택해주고   [다음], [마침]을 누른다.
    이렇게 하면 현업의 관리자가 자기부서의 사용자그룹을 직접 관리할수 있게 해줄수있다.

사용자 삽입 이미지

▶ 부서관리자에게 권한을 관리할수있는 툴을 제작해보자
mmc를 이용하면 부서관리자가 직접 권한관리할수있는 툴을 제작할 수 있습니다.
1. 시작버튼/  실행창에서 mmc 라고 입력하고 엔터..  

사용자 삽입 이미지

2. 아래쪽의 [추가]버튼을 누르고  [Active Directory 사용자및 컴퓨터]를 클릭하고 아래쪽의 [추가]버튼을 클릭합니다.  그리고 닫기 버튼 클릭

사용자 삽입 이미지

3. 스냅인 추가/제거 창에  [Active Directory 사용자및 컴퓨터]가 보이실 겁니다. 이때 확인을 눌러서 콘솔화면으로 나옵니다. 

사용자 삽입 이미지

4. 콘솔창의 왼쪽 트리에서  관리하고자하는  부서OU로 이동합니다. 해당OU에서 마우스 우클릭하시고
   새 작업창 메뉴를 클릭해줍니다. 그럼 [새 작업창 보기 마법사]가 시작하는데  [다음]을 클릭해주세요

사용자 삽입 이미지

5. 새 작업창 보기 마법사에서 아래 그림과 같이 옵션을 선택한후  마침을 눌러주세요

사용자 삽입 이미지
사용자 삽입 이미지
사용자 삽입 이미지
사용자 삽입 이미지

6. 새 작업 마법사가 뜨는데  맨 처음과 두번째 화면에서 모두 default로 두고 [다음] 을 클릭해주세요
    바로가기 메뉴명령 창이 뜨는데 이때 명령원본에 [세부 정보창에 자세히]  사용가능한 명령에는 [등록정보]를 선택한후 다음을 클릭합니다.  그리고 이름및 설명을  입력해줍니다.  그리고 아이콘을 지정해주고 나면 비로서  우리가 만들고자 하는 작업창이  나타납니다.

사용자 삽입 이미지
사용자 삽입 이미지
사용자 삽입 이미지

불필요한 것들이 보이지 않도록  모양을 다듬어서   현업관리자가 쓸수있도록 해야합니다.
7. 콘솔메뉴에서 [옵션] 선택하여  콘솔모드를 사용자모드-제한된 권한,단일창으로 설정하며  변경된 내용을 이 콘솔에 저장안함을 체크해주세요..

사용자 삽입 이미지

사용자 삽입 이미지

8. 콘솔루트의  보기메뉴에서 사용자정의 메뉴를 실행합니다. 그리고 보기사용자 정의의 모든 옵션을 꺼서 화면이 단순하게 보이도록 해줍니다.

사용자 삽입 이미지
사용자 삽입 이미지

9. 만들어진 보안권한관리 MMC콘솔을 바탕화면에 저장합니다.
이 MMC콘솔파일을  해당 부서의 관리자에게 제공해주시면 됩니다.

사용자 삽입 이미지

10. 만든 아이콘을 사용하기에 앞서서 협업 관리자에게 adminpak을 설치해주셔야 합니다.
     아이콘만으론 아무것도 실행할수 없으니깐요…
    MS사이트에서 adminpak 이라고 검색하셔서  다운로드 받으시면 되겠습니다.
http://www.microsoft.com/downloads/details.aspx?FamilyID=E487F885-F0C7-436A-A392-25793A25BAD7&displaylang=en

[AD정책] 도메인 account lockout정책

Brute Force Attact등에 대비하기위해서는 유저계정의 로그인에 제한정책을 두어야합니다.  이른바 Clipping level이라고 하는데요… 관리자의 일이 늘어날 가능성이 다분합니다.

하지만 보안이 많이 필요한 경우 account lockout정책을 설정해야합니다.
1. Dsa.msc를 실행합니다.
사용자 삽입 이미지2. Default Domain policy를 Edit합니다.
사용자 삽입 이미지3. 아래 보이는 경로에서 아래처럼 설정합니다.
경로: Computer configuration/Windows Settings/security setting/accout policy/account lockout policy
▶ account lockout threshold값을 지정합니다. 저는 5번 로그온 잘못하면 락아웃되게했습니다.
▶ account lockout duration: lockout되는 시간
▶ reset account lockout counter after: lockout counter가 리셋되는 시간
사용자 삽입 이미지

[취약성] Flash 취약점 확인하기

요즘은 OS자체의 취약성을 공격하기 보다 Application의 취약성을 공격하는 쪽으로 옮겨가고 있는 추세입니다.  Flash player의 취약성을 기반으로 한 공격을 회피하려면 즉각 Flash player를 업데이트 해야합니다. MS 업데이트에도 포함되어 있으므로  많이 업데이트 되어 있으리라 보지만 그래도 확인이 필요합니다.  사실 발표된지가 조금 되었지만 이런 류의 공격은 계속되리라 보여집니다.

Flash Player를 최신버전인 9,0,124,0 이상으로 업데이트
취약성 대상: Adobe Flash Player 9.0.115.0 이하 버전 (모든 운영체제 해당)
이미 Flash Player의 취약점을 이용한 악성코드가 발견된 상황입니다.  신속한 업데이트가 실행되어야 하며  현재 버전을 확인해야합니다.

취약한 Flash Player 버전을 사용할 경우의 영향
  공격자는 조작된 SWF 파일이 포함된 웹 페이지를 먼저 만들게 됩니다.  해킹을 통해 신뢰할 만한 사이트들의 메인페이지에 조작된 SWF파일을 삽입하거나  또는 일반 자료실에 호기심갈만한 제목으로 SWF를 올려두게될 것으로 보입니다.  인터넷을 사용하는 유저가  이런 사이트들에 접속하게 되었을때 부지중에   PC에서  악성 스크립트를 실행하게 되거나   악성코드에 감염되게 된다는 데 문제의 심각성이 있습니다.

현재 내가 사용중인 웹브라우저에서 사용하는 flash player버전 확인하기
아래 링크를 클릭하시면 현재 player버전을 알려줍니다.
http://www.macromedia.com/software/flash/about/

Adobe Flash Player 취약점 발표된 내역
1) “Declare Function (V7)” 태그를 처리하는 과정에서 특별하게 조작된 플래그에 의해 힙 오버플로우가 발생하는 취약점 (CVE-2007-6019)
2)  멀티미디어 파일을 처리하는 과정에서 정수형 오버플로우로 인한 버퍼 오버플로우가 발생하여  임의의 코드를 실행할 수 있는 취약점 (CVE-2007-0071)     
3) 호스트 이름을 한 IP 주소로 고정시킬 때 발생하는 오류를 이용하여 DNS rebinding 공격이 가능한 취약점 (CVE-2007-5275)(CVE-2008-1655)
4) HTTP 헤더를 보낼 때 오류로 크로스 도메인 정책 파일을 우회하여 크로스 사이트 요청 변조 공격이 가능한 취약점 (CVE-2008-1654)
5) 크로스 도메인 정책 파일의 사용과 해석의 제한이 충분하지 않아서, 원격에서 크로스 도메인  또는 크로스 사이트 스크립트 공격이 가능한 취약점 (CVE-2007-6243)
6) 입력 값 처리의 오류로 인해 조작된 SWF 파일을 통해 스크립트나 HTML을 삽입할 수 있는  다수의 크로스 사이트 스크립트 취약점 (CVE-2007-6637)

[ISA] L2TP VPN 세팅하기

ISA VPN의 지원 VPN 터널엔 세가지 형태가 있습니다
1.  PPTP: 가장 일반적인 형태로 좀더 가볍고 빠릅니다. 하지만 연결되지않는곳이 있다는것이 단점입니다.
2. L2TP/IPSec: 인증방법으로 certificate 또는 pre-shared key 사용

   PPTP가 되지않는 곳에서 이용해볼수 있습니다.  인증서를 사용할 경우 좀더 수준높은 보안이 가능하지만 관리상의 어려움이 있습니다.
인증서: 인증에 필요한 인증서를 클라이언트와 서버에 각각 설치

Pre-shared key: 255 이하의 문자를 ISA서버와 클라이언트에서 사용
3. IPSEC tunneling:  사이트간 연결시  사용

PPTP형태로 회사에서 ISA VPN을 운용중인데  막히는 곳이 이따금 있더군여

ISA VPN L2TP/IPSEC 을 추가 설정하기로 했습니다.
다음의 방법을 따르시면 됩니다.

1. ISA서버  설정

 1) ISA Management console를 실행

 2) Virtual Private Networks(VPN) 을 클릭

 3) Configure VPN Client Access 창에서  Verify VPN Properties 메뉴를 클릭하고, Protocols 탭에서 “Enable L2TP/IPsec” 옵션을 체크하고 확인합니다
사용자 삽입 이미지

 4) Remote Access Configuration 메뉴를 클릭하여 Authentication 탭을 클릭하고, 아래의 “Allow custom IPSec policy for L2TP connection” 란에 체크합니다.

 5) Pre-shared key 란에 사용 할 키를 입력합니다
사용자 삽입 이미지 6) 수정한 내용을 Apply 버튼 클릭하여 적용합니다.

2. 클라이언트에서의 설정
 1) 제어판의 네트워크 연결을 클릭합니다.

 2) 새 연결 만들기 클릭하고, 새 연결 마법사에서 다음 클릭하여 [회사 네트워크에 연결] 선택하고 다음 클릭합니다.

 3) [가상 사설망 연결] 선택하고 다음 클릭합니다

 4) 회사 이름에 표시 이름을 입력하고 다음 클릭합니다

 5) VPN서버의 호스트 이름 및 IP주소를 입력하고 다음 클릭합니다.

 6) 사용자 옵션 선택하고 다음 클릭합니다.

 7) 마침 클릭하면 VPN 연결 아이콘이 생성됩니다.

 8) 생성한 아이콘에서 오른쪽 마우스 클릭하여 속성 정보 클릭합니다

 9) [보안]탭의 [IPSec 설정] 버튼을 클릭하고 [인증에 미리 공유한 키 사용] 옵션에 체크하고 ,ISA서버에서 사용한 동일한 키 를 입력하고 확인합니다.

 10) [네트워킹]탭을 클릭하여, VPN 종류를 [L2TP IPSec VPN]으로 설정하고 확인합니다.

 11) 클라이언트에서 해당 VPN서버로 L2TP/Ipsec으로 연결되는지 테스트 합니다.

 

ISA VPN 사용시 접속 에러 해결하기

ISA2006서버에 VPN접속을 하기위해 꼭 필요한 것이 있습니다. ISA서버에  VPN연결이 되지 않을 때 다음의 사항을 점검해 보아야 합니다.

1. 인터넷에 이미 연결되어 있어야 합니다.
  1) 일단 인터넷이 되는 상황에서 시도해야 겠죠?  ㅋㅋ    넘 당연한 말이지만..   인터넷이 되지않는 상황에서  접속을 시도하시는 분도 있으니
  2) 모뎀의 설치된 PC나 노트북의 경우에 반드시 먼저 확인할 것이 있습니다. 
윈도우는 기본적으로 모뎀을 이용해서 VPN서버에 접속하려고 시도하게 됩니다.  사전에 모뎀설정이 안되어 있으면 VPN 연결이 되지않습니다.  VPN접속 프로그램에서 [속성]버튼을 눌러서 [인터넷에 항상 연결되어있음]을 선택해주세요.   이때 나오는 대화상자에서 모뎀설정을 해주시고 난후  VPN연결을 하시면 접속이 잘 될것입니다.
2. PPTP 포트 (TCP 1723)
  TCP 1723포트가 열려있어야 합니다. ISA서버는 내부적으로 IPsec과 PPTP를 둘다 사용하지만  IPSec은 지점간 (ISA서버간) 연결시 사용하고 PPTP는 일반 클라이언트 연결시 사용하게 됩니다.  따라서 노트북을 가지고 이동할 시 해당 지역에서 PPTP포트가 지원이 되어야 합니다. (대부분 지원이 되나   구형 공유기가 사용되고 있거나 방화벽에서 의도적으로 block한 경우 접속할수 없게 됩니다.)
3. GRE 프로토콜 (Protocal 47)
  GRE(Generic Route Encapsulation) 프로토콜은 클라이언트와 서버 간에 VPN을 만들기 위해 PPTP와 함께 사용되어집니다. PPTP 제어 세션을 설정되고 나면  GRE를 이용하여 데이터나 페이로드를 암호화합니다.  이 GRE 연결에 문제가 생기면 Error 721 이라는 값이 반환됩니다.
GRE에 대해 더 알아볼수 있는 링크
http://support.microsoft.com/kb/241251/