우키의 보안이야기

  ENISA는  유럽연합(EU)의 사이버보안기관입니다.  ENISA(European Network and Information Security Agency: 유럽 네트워크 및 정보보안 기구)    ENISA에서는 “Cloud Computing: Benefits, risks and recommendations for information security”라는 포괄적이고 새로운 보고서를 발표했다고 합니다.
  http://www.enisa.europa.eu/media/press-releases/enisa-clears-the-fog-on-cloud-computing-security-1

  최근 클라우드 컴퓨팅이 이슈가 되고 있습니다.  국내에서도 메일및 SCM을 클라우드서비스 방식으로 전환하는 사례가  발생하고 있기도 합니다.  클라우드 서비스는 분명 비용절감등의 많은 잇점을 가지고 있습니다. 그러나 동시에 보안때문에 불안하게 여겨지는 면이 많이 있습니다.  과연 클라우드 서비스업자를 얼마나 믿을 수 있는가?  또.. 네트웍단에서 전송간에 발생할 수있는 보안문제는 어떻게 해결할 것인가…등….  이런 궁금증들을 해결해줄 수있는 세부적인 123페이지 짜리 보고서를 읽어보시기 바랍니다  

  아래의 URL에서 클라우드 보안에 있어서 고려할 점들을 상세하게 풀어놓은 세부적인 PDF보고서를 다운로드 받으실 수 있습니다.  << PDF  보고서 다운로드 받기 >>

 

▶ 취약점 내용
MS Internet Explorer 6, 7 을  사용하는 PC에서 특수하게 조작된 웹페이지에 방문할 경우 CSS/Style object를 처리하는 과정에서  원격코드가 실행되는 취약점이 발견되었습니다.

▶ 대응책
 1) 신뢰할 수 없는 사이트에 방문자제:  
    현재 해당 취약점에 대한 보안업데이트는 발표되지 않았기 때문에  신뢰할만한 사이트만 가세요..^^
 2) IE 8 로의 업그레이드 
 3) 백신의 패턴을 최신으로 유지
 4) IE 6,7 설정에 의해 임시적인 보호 가능
     –> 보안 업데이트가 발표되기 전까지 JavaScript를 사용하지 않도록 설정 
  ※ JavaScript를 사용하지 않도록 설정할 경우 사이트가 정상적으로 동작하지 않을 수 있습니다.
      Internet Explorer > 도구 > 보안 > 인터넷 > 사용자 지정 수준
      “Active 스크립팅“을 사용 안함으로 설정

▶ 참조 사이트 
  o 한글 : http://www.krcert.or.kr 
           http://www.boannews.com/media/view.asp?idx=18645&kind=0
  o 영문 : http://www.securityfocus.com/bid/37085/info
  o 영문 : http://isc.sans.org/diary.html?storyid=7624

어제부터   산업보안진단전문가 양성과정에  참여중입니다.  총 23명의 인원이 교육에 참여하고 있는 중입니다.  교육대상이신 분들이  정보보호관련 전문가 분들이 대부분이더군요.. 현직 정보보호전문업체의 컨설턴트, ISO27001을 기 인증받은 회사의 관련 전문인력등이 참여하고 있습니다.    ISO27001에 입각한 정보보호 진단및 대안제시를 할 수있는 인력양성을 위한 목적으로 이 과정이 생긴 것이라고 합니다.


목 적 : 산업보안분야에 특화된 현장·프로세스진단 전문가 양성
일 시 : 2009. 11. 10(화) ~ 13(금) (3박4일, 합숙교육)
모집인원 : 25명 내외
교육장소 : 용인한화콘도
지원자격 :  4년이상 산업보안, 정보보호분야 업무경력 또는 산업보안·정보보호 석사학위 졸업 이상 또는 관련분야 전문자격소지자
주 최 : 지식경제부
주 관 : 한국인정원, 한국산업기술보호협회

□ 주요 내용
  – 산업보안에 대한 이해
  – 산업보안 진단 기법 
  – 산업보안 관리체계 진단(ISO/IEC 27001 국제표준)
  – 산업보안 진단 실습
  – 산업보안 보호대책에 대한 이해
  – 산업보안 취약점 진단 사례
  – 산업보안 위험분석 및 위험평가 Ⅰ
  – 산업보안 위험분석 및 위험평가 Ⅱ
  – 산업보안 위험통제 대책 및 전략수립 Ⅰ
  – 산업보안 위험통제 대책 및 전략수립 Ⅱ

거의 모든 과정이 진행되는 강의실입니다.콘도 모습이죠…
아침에 근처 산책로를 걸었습니다.

윈도우 서버의 보안취약성을 조사하기위한  가장 빠르고 간편한 방법은 무엇일까요?
바로 MBSA입니다.  현재 2.1.1버전이 배포되고 있는데  무료입니다.
아래에 스캔한 결과를 보여 주고 있습니다. 서버가 가지고 있는 롤에 따라 여러가지를 점검해줍니다.
어떤것이 스캔되었는지 리포트해주고  보완책까지 보여주니  좋은 툴이라 하지 아니할수없습니다.

MBSAcli MBSA를 명령행에서 실행하여 배치작업이 가능하게 해주는 툴입니다.
http://w-security.net/entry/mbsacli-batch

다운로드 URL: << MS 다운로드 사이트에서 >>

간략하게 서버에서 공통적으로 점검해야 할 리스트를 정리해보았습니다.
MBSA의 사항을 기본으로 약간더 추가해보았습니다. ^^

A.    Security Update (MBSA로 점검)
1. windows security updates 
2. SQL Server Security Updates:

B.    Administrative Vulnerabilites
1. Local Account Password: 계정에 불필요 사용자 제거, 패스워드는 복잡성 만족해야  (로컬계정의 패스워드 시한정하는 것은 실제론 쉽지 않아서 …. 적용이 쉽지않음)
2. filesystem:  모두 NTFS인가?  보안속성 검토
3. Autologon: Autologon 금지
4. Guest Account : Guest Account disable 했는가?
5. Restrict Anonymous: anonymous access금지되어 있는가? (win2003에선 대부분 금지되어있음)
  (win2000경우)  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA
- RestrictAnonymous   REG_DWORD   0×2(16진수)
6. Administrators: 관리자 그룹에 속한 유저 확인하기: (최소로 사용하기)

C.    Additional System information
1. Auditing: 적합한 감사정책이 세워져 있는가?
      (제어판/ Administrative Tools / Local Security Policy)  (Local Policies / Audit Policy )
        -Audit account logon events (Success, Failure)
        -Audit account management (Success, Failure)
        -Audit directory service access (Failure)
        -Audit logon events (Success, Failure)
        -Audit object access (Failure)
        -Audit policy change (Success, Failure)
         -Audit system events (Success, Failure)
2. Services: 불필요 서비스의 존재 여부 (특히 Telnet)
3. Shares: 불필요 공유폴더의 존재 여부 (DMZ엔 공유폴더가 존재하지 않아야 한다.)

D.    Internet Information Services
 1. IIS status: IIS가 불필요하게 서버에 설치되고 가동되고 있지는 않는가?
 2. 관리자사이트: 사용금지

E.    SQL Server
 1. SQL status: SQL이나 MSDE가 불필요하게 서버에 설치되어 구동되고있지는 않은가?

F.    Desktop Application
 1. IE enhanced security configuration for administrators: IE 추가보안설정이 되어있는지 확인
   제어판/ 프로그램 추가제거 / 윈도우즈 구성요소 추가제거/ Internet Explorer enhanced security configuration에서
   for administrator groups 와 for all other users groups 항목을 체크해준다.
 2. Office product status: 불필요하게 서버에 오피스 프로그램이 설치되어있지는 않은가?

G.    기타사항들
1. Domain 가입 필수
2. 백신 설치 (인트라넷에서 자동업데이트 되도록 설정)
3. IP: 사설 아이피만 존재해야 함
4. 모뎀 설치 금지 
5. 중요도에 따라 MOM서버에서 모니터링 하도록  설정 필수
6. 백업 및 복구계획 (파일서버, DB서버, AD서버,)

  MBSA 2.1.1 최신버전이 나왔습니다.  매월  MBSA를 이용하여  자체적인 서버 보안감사를 실시하고 있습니다.  하지만 스캐닝하는데 시간도 많이 거리고 번거롭기도 해서  일부 서버를 대상으로 샘플링으로  MBSA 스캐닝을 하고 있는 중이지요..   하지만  보안취약점 점검을  소수의 서버만 한다는 것이 마음에 걸리더군요.. 

  그래서 MBSA로 서버 감사하는것을 자동화할 방법은 없을까 찾아보게 되었습니다.  MBSA프로그램을 설치하면 함께 제공되는 mbsacli.exe를 이용해서  배치작업을 돌리는 것이 가능하더군요… 배치작업을 돌리면  스캐닝하는 서버의 수를 크게 늘릴수가 있고 작업 시간도 빨라지게 됩니다.   사실 분석하는 것보다  스캐닝하는 시간이 대부분을 차지하기 때문에  어려움이 있었습니다.  이것을   배치작업으로 특정 공유폴더에   감사결과 report파일을 업로드하게 해두도면 시간과 노력을 크게 줄일수가 있게 되는거죠.. 

▶ MBSA의 설치

1.  일단 최신 MBSA 버전을 다운로드 받습니다.
    (OS버전에 맞는 것을 다운로드합니다 영문으로… 한글버전은 존재하지 않으니까요… )
http://www.microsoft.com/downloads/details.aspx?displaylang=en&FamilyID=b1e76bbe-71df-41e8-8b52-c871d012ba78

2. MBSA를 설치합니다.  배치작업을 편리하게 하기위해서  설치 디렉토리를 단순하게 하는것이 좋습니다.
   예) c:\mbsa2\

▶ MBSA 리포트업로드를 위한 공유폴더 생성

1.  Report 업로드를 위한 공유폴더를 생성합니다.
   예)  \\192.168.168.15\MBSA_Report\

2. 공유권한을 설정합니다. (이때 일반 사용자들은 접근이 안되도록 해야합니다.)–> 중요
    일반 사용자가 서버의 중요한 감사결과파일을 볼수있다면  정말 곤란한 노릇이지요…

▶ MBSA 리포트업로드를 위한 배치파일 생성
1.  배치파일을 작성합니다.
=====================================================
c:
cd c:\mbsa2\
mbsacli /target 127.0.0.1 /wi > \\192.168.168.15\mbsa_report\%COMPUTERNAME%-%date%.txt
 =====================================================
-> 위 배치파일은  공유폴더에  스캐닝한 컴퓨터이름과 날짜로된  report파일을 업로드하게 해줍니다.
    변수를 잘 몰라서  %hostname%을 넣고 안되어서 고민을 많이 했었습니다.
-> /wi 옵션은 모든 보안패치를 전체적으로 점검해주는 옵션입니다.
    세부 옵션은 mbsacli /? 라고 치시면 나오지요..
-> 배치파일에서 변수입력을 어떻게 받는지 연구하시면 유용한 작업을 많이 할 수있답니다.

2. 만들어진 배치파일이 잘 작동하는지 확인후에   스케쥴 작업을 걸어줍니다.
   매월 1회씩만 하면 되겠죠?  대략 20일 경에 스캐닝을 하면 좋을 것 같습니다.
  1-2일 정도 분석해서  25일내에 감사결과를 리포트로 작성해서 제출하려면 말이죠…

3. 위 과정을 다른 서버들에서도 동일하게 반복해줍니다.