ISA서버를 VPN서버로 사용할때의 장단점

ISA server 2006은 VPN서버용도로 훌륭합니다.
   AD를 사용하는 기업에 ISA는 매우 훌륭한 VPN솔루션이 됩니다.  그동안 Nortel Contivity를 사용해왔는데  ISA2006로 이전하는 중이랍니다.  ISA 서버를 vpn서버로 운영하면서 느낀 좋은 점을 정리해보았습니다.  보안이라는 목적을 달성하기에 가장 최적의 VPN 솔루션인듯합니다. 물론 IAG가 있긴하지만  SSL VPN이라서 사용상 제한이 따릅니다. 

▶ VPN서버로서의 ISA server가 좋은점
1. AD사용하는 기업은 ISA 서버로  매우 손쉽게 vpn유저관리를 할수있습니다
.
   Nortel의 경우 사용자계정관리가 너무 힘들죠.. 시간이 많이 필요합니다. 거의 관리할수 없는 지경입니다.     퇴사자 계정이 삭제되지않고 남겨질수있습니다.
2. 특정 그룹의 유저들에게 특정 프로토콜,특정서버만 접속하게 할수있습니다.
    터널 구성시 매우 제한적인 통신만 허용함으로서 보안의 목적을 좀더 쉽게 달성하게 해줍니다.  정책을 쉽게 만들수 있고   기존정책을 복사하여 새로운 정책으로 만들수 있어서 정책관리에 용이합니다. 기본적으로 All Deny정책이 적용되어  허용하지 않는 모든 트래픽을 막을수 있습니다.
3. 효과적으로 로드를 분산시킬수있습니다. (Active-Active방식 구성)
   다수의 ISA 서버를 하나의 Array로 묶어서   로드를 효과적으로 분산시킬수있습니다. L4스위치아래 구성하는것을 MS에서도 권장한다고 하지만  별도의 L4가 없어도 ISA만으로 같은 효과를 거둘수있습니다.
4. 클라이언트의 Health상태를 체크하여 문제가 있을 경우 거부할수있습니다.
   쿼런틴 기능을 사용하면 클라이언트의 Health를 체크함으로  비정상적인 것들을 거부함으로  내부 네트웍을 보호할수있습니다. 예를 들자면 AD에 소속되지않는 클라이언트를 거부한단다던지 하는 것을 할수있죠..  이렇게 되면 PC방에서 VPN접속을 못하게 됩니다 .안전한 회사노트북을 통해서만 본사 VPN로그인을 허용하게 할수있는것이죠.. 한단계 나아가서  PC에  특정보안프로그램이 설치되어있지않으면 접속을 불허하게 할수도 있습니다.  또 웜에 걸려서 세션을 동시에 많이 여는 컴퓨터의 경우에도 접속을 자동으로 거부하게 됩니다. 
5. VPN서버의 사용상황에 대한 리포트를 얻을 수 있습니다.
  기본적으로 생성되는 Report는 ISA 서버의 사용상황에 대해 많은 것을 알려줍니다. 일단 DB에 로그가 남겨지고 있기 때문에 추가적인 로그도 확인이 가능할것으로 보입니다. 세부적인…것은 좀더 연구가 필요한듯합니다.

▶ VPN서버로서의 ISA server가 불편한 점
1. PPTP VPN이라는 점은 약점으로 보입니다.
   Nortel의 경우 IPSec방식의 VPN이라서 거의 제한을 받지않고 VPN연결이 가능합니다 .하지만 ISA는 PPTP방식이라서  포트와 프로토콜에서 허용이 되지않은 지역에 있을 경우  VPN연결을 할수 없습니다.  해당 지역의 IT관리자에 요청해서 열어달라고 해야하는 불편이 있습니다.  구형 공유기의 경우 PPTP VPN through를  지원하지 않는 경우도 있습니다.

[Usb guard] 국정원에서 배포한 USB바이러스 방지툴

바이러스의 배포방법이 최근 많이 바뀌었습니다.
네트웍단의 여러가지 방호책들이 늘어나면서  사용자의 부주의나 호기심을 이용하여
사용자 스스로가 바이러스를 호출하는 방법으로 배포방법이 바뀌고있습니다.

때문에  reverse attack이라고 해야 할 것 같습니다.

최근 급증한 바이러스중 하나가 USB저장매체를 이용한  신종웜들입니다.
usb guard는 이 usb 바이러스의 확산을 저지 합니다.

요즘은 누구나 하나쯤 USB 메모리를 가지지 않는 사람이 없죠..
더우기 USB로 전염되는 웜은 네트웍으로 막는게 불가능합니다.
집이나 PC방에서 usb메모리를 사용하다 웜에 걸리고 그 메모리는 포켓에 담겨서
안전하게 회사내부로 들어와서  내부PC들에  확산되게 되는 것입니다.

usb메모리나 CD롬엔 autorun.inf 라는 파일을 들어가 있어서
윈도우시스템이 autorun.inf를 자동으로 호출하게 되고 
이때 autorun.inf는 진짜 바이러스를 실행하게 되는 것입니다.
autorun.inf 를 이용하는 바이러스는 변종도 너무 많아서  사실상 백신이 제대로 대처하지못하고있습니다.
때문에 일단 PC에서 autorun.inf 를 시스템이 호출하지않도록  막는게 급선무입니다.

국가정보원에서 권고하는 이 파일은 usb장치가 장착될때 autorun.inf를 호출하지않게 합니다
물론 이프로그램을 실행하면 cd롬을 넣었을때 자동실행하게 되는 기능도 같이 꺼집니다.
하지만 웜으로부터 보호가 더 될수 있기때문에 꼭 이 프로그램을 다운받으셔서 실행하시기 바랍니다.
▶ 다운로드
<< 국가 사이버 안전센타   usb guard 배포 페이지 >>

<<  다운로드: usb guard.exe >>    <<  다운로드: usb guard.zip >>
▶ 사용법
1. usb guard를 실행합니다.

사용자 삽입 이미지

2. 자동실행 차단 버튼을 클릭하세요..  (윈도우 시스템의 default 세팅은 ‘자동실행 허용’입니다.)
       허용하시려면.. 자동실행 허용 버튼을 클릭

[DP Secure Wiper] 디스크 폐기프로그램

이 프로그램은 사용에 제한이 없는 Freeware입니다.

요즘은 회사에서 업무를 노트북이나 pc로 하지않는 사람은 없습니다.
회사의 중요한 데이타의 70%가 pc에 담겨있다고하죠..
하지만 PC의 폐기또는 외부반출은 허술하기 그지없습니다. 
예전엔 기업에서 나온 휴지통을 뒤지는 Dumpsterdiving이 중요한 정보획득이었다면..
요즘은 기업에서 흘러나온 PC의 Disk scavenging이 중요한 정보획득원이 될수있죠..

미국방성기준에 의하면 Disk를 7번 Overwrite해주면.. 데이타를 복구할수없다고 되어있습니다.
물론 특수기관에선 이것도 살릴수있다는 말도 있습니다만…. ^^
요는 기업의 PC의 마지막과정은 “Disk 7번 Overwrite”과정이 되어야한다는거죠..
디스크 폐기라기 보다는 데이타폐기라고 하는것이 맞는것일듯합니다. (디스크는 재사용이 가능) 
특히 PC를 리스하는 회사라면 반납전 반드시 Disk 7번 Overwrite해주어야합니다.
여러가지 쓸모없는 데이타로 디스크를 7번 채우면 되는것인데… 수동으로 하려면 어렵죠..
이 디스크폐기를 해주는 프로그램입니다.

▶ DP Secure WIPER는 4가지 삭제옵션을 제공해줍니다.
Non delete (not secure):  이건 쓸일이 없겠죠..
Single overwrite (1번 overwrite): 소프트웨어기반의 리커버리툴을 이용해서는 복구못한다고합니다.  
DoD Wipe (7번 overwrite): 미국방성기준의 7번 오버라이트입니다.
Gutmann’s Maximum security 35pass wiping (35번): 가장강력, 어떤툴로도 복구불가능….

아래로 내려갈수록 보안은 강력해집니다….  하지만 시간은 엄청 오래걸린다는거…
일반적인 경우엔 DoD, 임원이 사용하던 PC라면 35pass wiping .. 이렇게 하면 될듯합니다.
삭제한후 디렉토리 구조는 남겨져있지만 파일은 오버라이트되어서 복구불가능상태가 됩니다.
사용자 삽입 이미지
제작자 사이트: http://www.paehl.de 
프로그램 다운로드: << download ( DP WIPE 1.03) >>