SSG의 DI기능을 이용한 MSN Login 제어
2012. 2. 2. 18:54SSG의 IPS(Intution Prevention System) 기능, 즉 침입 방지 시스템인 DI는 기본적으로 Attack DB에 등록되어 있는 Signature를 Download하여 유해 트래픽을 차단하지만, 이런 일반적인 기능외에도 활용 할 수 있는 방안이 많습니다. 예를 들면 Custom Signature를 등록하여 특정 트래픽을 막는 방법도 가능합니다.
오늘은 SSG에서 Custom Signature를 이용하여 MSN메신져 사용을 제한하는 방법을 포스팅 하려 합니다.
우선 Custom Signature를 만들기 위해 좌측의 Security -> Deep Inspection -> Attacks -> Custom 메뉴로 들어갑니다.
Custom 메뉴까지 들어가면 위와 같은 화면이 보입니다. 새로운 Signature를 만들기 위해 우측상단의 New 버튼을 클릭합니다
New 버튼을 클릭하면 위와 같은 화면이 나타납니다. Attack Context를 MSN Screen and Login Name으로 설정한 뒤 해당 값을 입력합니다. MSN Screen and Login Name은 Pattern 값과 일치 하는 ID를 사용하는 계정의 Login여부를 제어 할 수 있는 기능입니다.
여기서 Attack Name은 생성 될 Signature의 이름, Attack Pattern은 Signature를 적용하여 잡아낼 값입니다. “ .* “ 값은 모든 값을 의미합니다. 위의 화면과 같은 “ .*@hotmail.com “ 값이 들어간다면 hotmail.com 주소를 사용하는 모든 계정이 됩니다. 만일 test.com 이라는 주소를 사용하는 모든 계정을 선택하고 싶다면, “ .*@test.com ”으로 설정하시면 됩니다. 반대로 “ test@.* “의 형식으로도 설정이 가능하며 모든 값을 설정하기를 원한다면 “ .* “만 설정해도 무관합니다.
설정이 완료 된 후 하단의 OK 버튼을 클릭하면 생성이 완료 되며, 아래와 같이 확인이 가능해 집니다.
Custom Signature만으로는 정책에 설정이 불가능 하기 때문에, 생성한 Signature를 포함하는 Custom Group을 만들어야 합니다. Signature와 동일하게 좌측의 메뉴에서 Security -> Deep Inspection -> Attack Group -> Custom 메뉴로 들어가 New 버튼을 클릭합니다.
버튼을 클릭하면 아래와 같은 팝업창이 나타나며, 만들어 둔 Signature Group과 패턴이 일치 했을 경우의 동작을 설정 할 수 있습니다.
Action에 대해서 간략하게 설명하면, None은 로그를 남기고 아무런 동작을 하지 않음, Close는 연결을 끊고 서버와 클라이언트에게 종료신호를 보냄, Drop은 UDP신호에만 해당되는 Action으로 Close와 마찬가지로 연결을 끊고 서버와 클라이언트에 종료 신호를 보내는 옵션입니다. 옵션을 설정한 뒤 우측의 ADD 버튼을 눌러 DI 설정을 추가합니다. (예시에서는 None으로 설정을 하였습니다.)
DI 설정이 적용 되면 위와 같이 정책의 아이콘이 바뀌게 됩니다.
위 설정을 적용 한 후 사용자가 MSN에 접속 할 경우 Alarm에서 아래와 같은 메시지를 확인 할 수 있습니다. (만일 DI 설정에서 Action을 Close로 해두었을 경우에는 MSN에 접속이 불가능하며 아래 메시지를 볼 수 있습니다.)
로버무트 김현철
