[2012년 6월]시만텍 SEP취약점 update권고,iPhone VPN on Fortigate, 관제서비스 변경내용

안녕하세요

Quarry Systems윤동한입니다.

 

날씨가 많이 더워 졌습니다.

헬스장을 찾는 사람들이 늘어난 걸 보니 휴가철이 얼마 남지 않는 듯합니다. J

 

이번 메일은 벤더 별 News와 Fortigate 사용 고객을 위한 Smart Phone(iOS) VPN설정방법

그리고 저희 회사 관제서비스 변경 사항 등에 대한 내용을 담아보았습니다.

 

1. Security News & 관제이벤트 분석

1) 2012년 5월 최신취약점 분석:

http://www.sans.org/newsletters/risk/display.php?v=11&i=11&rss=Y#widely2

       보안 취약점에 대해 일목요연하게 잘 정리되어 있습니다.

 

2) 2012년 5월 한 달간 Attack Source IP & DNS

    전 세계 HP Tipping Point IPS SMS장비에서 올라오는 보안 이벤트를 분석해

    Threat LinQ사이트에 정보를 제공하고 있는데, 그 중 참고하실 만한 정보입니다.

 

3) 2012년 5월 HP Tipping Point Reputation DV내의 Top Attack Source IP & DNS

- Reputation Score 100이라는 것은 최소 2곳 이상의 보안 회사에서 악성 IP로 지목된 곳이기 때문에

Black List등록을 권장 드립니다.

 

2. Technical TIP

1)  APPLE iOS VPN on Fortigate:

Applie iOS기반의 Smart기기(iPhone, Pod, Pad)에서

기본적으로 설치되어 있는 CISCO Unity Client를 사용해 VPN접속 하는 방법입니다.

 

GUI 설정뿐 아니라 CLI설정까지 해주어야 하는 것이 Key Point입니다.

(자세한 내용은 첨부파일로 보내드리겠습니다.)

 

Android를 위한 VPN설정은 조금 다릅니다. (암호화 값 등 일부 설정이 수정 되야 합니다.)

(Smart기기라고는 iPod Touch밖에 없다 보니, 이러한 테스트 때

좀 애로사항이 있네요. 다른 사람 폰으로 테스트를 해볼 생각입니다 ^^)

 

일단 저희 회사에서 구할 수 있는 Samsung 폰에서

테스트를 해보고 정리되는 대로 다음 번 메일에 보내드리겠습니다.

 

2) Vendor별 제공되는 Virtual Appliance 종류와 Demo license 형태

 

Juniper:

ü   Juniper SA (SSLVPN)과 Junos Space등이 제공됩니다.

ü   Juniper SA Demo License는 기본 3명까지 동시 접속 가능하고, 기능상 제약은 없습니다.

Fortinet

ü   Major 벤더 중에서는 가장 폭 넓은 Virtual machine을 지원합니다.

ü   Vmware ESXi, WorkStation, CITRIX Xen 용 VM 모두 제공

ü   Fortigate FW/VPN기능 중에 일부 (AES암호화 등) 제약 있습니다.

ü   Demo license는 날짜(15일)로 제약을 합니다.

HP Tipping Point SMS:

ü   유일하게 Virtual Appliance 배포 때 자동으로 VM Tool 자동으로 설치 해 줍니다.

ü   VM Tool이 설치 되기 때문인지, 물리적인 BOX장비와 성능 차이를 거의 느끼지 못했습니다.

ü   별도의 Demo License가 없는 것이 단점

Symantec Web Gateway: 

ü   Fortigate와 마찬가지로 날짜 제약(60일)이 있습니다.

ü   Partner Portal download할 때 별도의 Demo license신청하면 Mail로 배달 됩니다.

ü   DLP: Symantec DLP는 Virtual Appliance가 아닌 Work Station용 VM파일을 교육용으로 제공됩니다. (Partner only)

 

l  얼마 전 모 공공사이트에 Virtual L4가 도입된 사례처럼

물리적인 서버나 가상화 시스템의 성능이 비약적으로 발전하고 있기 때문에

가상화가 많이 도입된 사이트를 중심으로 Log나 관리 목적의 Virtual Appliance장비들은

앞으로도 사례가 늘어나지 않을까 생각이 됩니다.

 

3. Vendor News

1) Symantec[긴급]:

Symantec Korea에서 SEP관련 취약점이 발견되어 upgrade권고 메일이 왔습니다.

* Symantec endpoint protection manager 의 버전은 12.1 Ru1 이며,

해당 버전은 패치 버전인 12.1 RU1 mp1으로  업그레이드 권고 드립니다.

 

      취약점은 서비스 거부 취약점과 권한상승 취약점 입니다.

Release note첨부하였습니다.

 

2) CISCO & Juniper SSLVPN Feature for Mobile 

Android에서 그 동안 L3 Tunnel이 지원되지 않았는데, ICS 이후 (Ice Cream Sandwich 4.0)

L3 Tunnel이 지원됩니다.

의외로 Partner엔지니어도 모르는 경우가 있는 것 같아서 메일 드립니다.

l  Juniper의 경우 벤더 권장 OS가 7.1 RC X이지만 Mobile 관련 Feature는 7.2 이후

많이 강화되었습니다. Mobile관련 기능을 사용하시려면 조금 기다렸다가

안정화 되는 걸 보시고 7.2 이후로 upgrade하셔도 좋을 것 같습니다.

(7.2 Release note도 첨부하였습니다.)

l  CISCO에서 Mobile VPN을 활용하시려면 Boot Image가 최소 8.0(4) 이후를 사용해야

하지만, 여러 가지 면에서 8.4.X 이후 최신 버전을 사용하는 것이 좋습니다.

 

3) Piolink

AV2 3.1.6 버전에 SQL Injection 로그 중 일부 Signature ID가 표시되지 않는 Bug가 확인 되었습니다.

Av2 upgrade방법과 관련 파일은 담당 엔지니어에게 신청, 확인 하시면 됩니다.

 

4. Quarry Systems 소식

고객 서비스 향상을 위해 작년 이후 올해까지 2~3종의 ESM도입 등을 하였는데,

고객 만족도는 많이 향상되지는 못한 것 같습니다.

 

이에 대해 고민한 결과 Platform만 제공해 드리고, 로그 분석 등을

고객에게 일임했기 때문이 아닌가 생각이 되었습니다.

 

이 부분에 대한 서비스 개선을 고민을 한 결과,

수동적인 서비스가 아니라 능동적인 서비스로 바꿔야 한다는 결론이 나왔고

앞으로는 저희가 매 주 보안 이벤트를 분석해 Report하는 적극적인 서비스를 제공해

드릴 예정입니다.