개요
원치않는 코로나 사태가 장기화되면서 재택근무가 당연시 되었고, 업무 연속성과 보안 위협을 동시에 고민하는 경험을 하게 되었다.
VPN을 통해 접근하는 사용자에게 SSL VPN 프로그램과 계정을 배포하고 이를 활용해 접속을 유도하지만 임직원 개개인들의 호스트 보안과 내부 네트워크로의 보안 위협 발생 방어는 여전히 어려운 부분이다.
다행히, 일부 벤더사에서는 SSL VPN 프로그램에 취약점 보완 기능을 탑재해 운영체제 로그온이나 프로그램 구동시 스캔 결과를 사용자와 보안 담당자에게 제공하지만 그것만으로는 제약이 있다.
또, 사전에 부여된 계정으로 접근하지만 멀티팩트 인증이 적용되지 않은 환경이라면, 사용자의 부주의 등으로인한 문제로 계정이 노출될 경우 비인가자의 접근도 가능하다는 문제점이 있다.
이런 저런 고민을 하던 중 현재 근무하고 있는 회사에서 고민한 재택근무 방안과 설정 방안을 공유하기 위해 글을 작성하게 되었다.
운영 환경
현재 근무환경에서는 재택근무를 위해 임직원 모두에게 회사 노트북을 나눠주고, 해당 기기가 아닌 타 기기에서의 접근차단을 공지하였다.
나누어주는 노트북에는 백신 프로그램과 같이 최소한의 호스트 보안을 위한 방안을 마련하여 배포하였고, 계정 보안, 패치 보안 등 애플리케이션에서 발생하는 취약점을 방어하기 위한 최소한의 보안도 추가하였다.
접근을 위한 SSL VPN은 운영중인 Fortigate 방화벽과 연동되는 "Forticlient"를 사용하였다.
MAC 주소 인증 등록
노트북만 분출하고 별다른 제약 사항이 없을경우 어디에서나 접근하게되어 보안 취약점 발생 가능성도 높아진다.
이를 방지하기 위해 사전에 분출 대상 노트북의 맥주소를 수집하여 방화벽에 인증 등록 대상으로 등록하였다.
등록 이후에는 MAC 주소가 올바르지 않으면 접근이 불가능하다.
등록 방식은 다음과 같다
# SSL VPN 설정을 위해 portal 접근
conf vpn ssl web portal
# 방화벽에 등록되어 있는 SSL VPN 정책 접근
edit "Custom Portal"
# MAC 주소 확인, 정책 허용, 진행
set mac-addr-check enable
set mac-addr-action allow
# MAC 주소 확인 설정사항 접근
config mac-addr-check-rule
# 생성하고자 하는 정책 명 정의
edit "target-policy-name"
# MAC 주소 등록
set mac-addr-list XX:XX:XX:XX:XX:XX YY:YY:YY:YY:YY:YY
set mac-addr-mask 48
end
end
주의 사항
- Fortigate SSL VPN은 서비스를 위한 오픈시 공개된 웹으로 VPN 로그인 창이 발생하므로, 이부분으로 취약점이 악용될 수 있다. 이럴 경우에는 IPSEC VPN으로 전환하여 사용하는것을 권고한다.
- IP 정책과 같이 MAC 정책에서도 "00:00:00:00:00:00"으로 주소를 생성하면 모든 MAC 주소를 허용하게 된다.
- SSL VPN의 tunnel mode가 enable되어있지 않으면 MAC 관련 정책 등록이 불가능하다.
마치며
소규모 그룹이나 팀 단위의 접근에 적용하기엔 문제가 없지만, 대규모 기업이나 다수의 단말을 기준으로 할 때에는 관리 측면에서 어려움이 발생할 수 있다.
하지만, 사용자 단말을 제어할 수 있고 보안 위협 가시화가 가능한 환경이라면 효율적인 방안이 될 수 있다고 생각한다.
