목차
- 개요
- 설치
- LDAP 구성
- 그룹 정책 설정
-
웹 리스너 및 락아웃가드 구성
-
마무리
1. 개요서비스 거부 공격(DoS, Denial of service)는 최근 가장 많이 행해지는 공격의 행태로 사용자 PC를 수백 수천대 이상 악성 프로그램을 감염시켜 이 컴퓨터(숙주, 좀비)로 동시다발적으로 공격합니다. 이러한 공격을 예방하기 위해서는 고가의 장비를 사용해야 하는 등 예방이 어렵습니다.
ISA 방화벽에서 게시한 웹 사이트에서도 이러한 공격으로부터 자유로울 수는 없습니다. 하지만, 서비스 거부 공격을 예방하는 LockoutGuard 필터를 통해 어느 정도 문제점을 해결하는데 도움을 받을 수 있습니다. 이 글에서는 Dos 공격의 문제점에 대해 설명하고 이 문제를 해결하기 위해 LockoutGuard를 어떻게 설치하여 구성하는지 설명합니다.
ISA 방화벽에서 SSL 웹 사이트를 게시할 때 ISA 방화벽은 사용자 계정을 미리 인증(사전 인증, pre-authentication)하기 때문에 사용자 계정 정보에 대한 서비스 거부 공격에 대한 잠재적인 취약점이 존재합니다. 예를 들어 조직에서 사용자 계정에 대한 계정 잠금 정책을 시행하고 있는 경우에는 공격자는 ISA 방화벽이 제공하는 사전 인증 기능을 통해 사용자의 이름을 추측할 수 있습니다. OWA 사이트를 게시하고 ISA 방화벽에서 폼기반의 인증을 사용하는 경우에는 공격자는 회사의 웹 사이트를 볼 수 있으며 웹 사이트에 공개된 메일 주소를 이용하여 일부 사용자의 이름을 추측할 수 있습니다. 공격자는 그 사용자의 이름을 이용하여 로그온을 시도합니다. 물론 비밀번호를 알 수 없기 때문에 로그온은 불가능하지만 액티브 디렉터리에서 계정 잠금 정책을 시행하는 경우에는 일정 시간 동안 계정을 잠그도록 할 수 있습니다. 공격자도 로그온할 수 없지만, 실제 사용자도 로그온할 수 없게 된다는 의미입니다.
만약 액티브 디렉터리에서 지정한 계정 잠금 임계값보다 웹 리스너에서 지정한 회수보다 낮은 경우에는 아주 특별한 공격의 형태를 보이게 됩니다. 즉, ISA 방화벽에서 계정을 잠그게 할 수 있는 아주 쉬운 계정 잠금 공격이 됩니다. 계정이 잠기게 되면 ISA 방화벽에서 웹 게시 규칙을 통해 로그온할 수 없게 됩니다. 하지만 내부 네트워크에서나 원격에서 VPN 연결을 통한 네트워크 액세스도 로그온할 수 없습니다.
이러한 유형의 공격을 예방할 수 있는 새로운 기능이 제공되는데 바로 LockoutGuard입니다. 특징은 다음과 같습니다.
- 락아웃가드는 액티브 디렉터리 계정 잠금 임계값에 이르기 전에 외부 사용자의 인증 시도를 거부하도록 구성할 수 있음.
- 외부 연결에서 계정이 잠겨 있는 동안에 내부 네트워크와 원격 VPN 연결은 사용할 수 있음.
- 공격자는 ISA 방화벽에 대해 무차별 대입 공격(Brute Force Attack)을 수행할 수 없음. 관리자가 지정한 계정 잠금 임계값에 이르면 자동으로 인증 시도를 거부함.
락아웃가드를 설치 및 구성하는 방법은 아주 간단하며 다음과 같은 몇 가지 준비사항이 필요합니다.
- ISA 2006
- AD로 인증해야 함. 즉, ISA 방화벽이 도메인 멤버 서버로 가입되어 있어야 함. 만약 도메인 멤버 서버로 구성되어 있지 않은 경우에는 LDAP 인증을 사용할 수 있음.
- 웹 게시 규칙에서 기본 또는 폼 기반의 인증을 사용하도록 웹 리스너를 구성하여 사용해야 함.
- 마이크로소프트 .NET 프레임워크 2.0 이상
댓글을 달아 주세요