목차/12. 외부 피드·IoT·클라이언트 인증서

12외부 피드·IoT·클라이언트 인증서외부 연동·IoT 보안

이 장은 관리 서버가 외부 세계와 손을 잡는 세 가지 방법 을 모아 설명합니다. 첫째는 외부 서버가 만들어 주는 IP·도메인 목록을 규칙에 끌어다 쓰는 External Network Feed, 둘째는 병원·공장·스마트빌딩에 흩어진 IoT 기기를 보호하는 정책, 셋째는 스마트폰·태블릿이 게이트웨이에 안전하게 붙도록 발급하는 클라이언트 인증서(Client Certificate) 입니다. 원문이 표와 명령 목록으로 늘어놓은 내용을 빠짐없이 담되, 왜 그렇게 쓰는지를 함께 풀어 둡니다.

External Network Feed — 외부 데이터를 규칙에 끌어 쓰기

Network Feed 객체는 외부 HTTP/HTTPS 서버가 만들어 주는 피드를 게이트웨이가 그대로 정책에 적용 하게 해 주는 네트워크 객체입니다. 피드 한 건에는 IP 주소(단일 또는 범위), 도메인, 또는 둘 다를 담을 수 있습니다. 담을 수 있는 형태는 다음과 같습니다.

형태예시
단일 IP1.1.1.1
범위(Range)1.1.1.1-2.2.2.2
IP + masklen1.1.1.1/24
FQDN 도메인google.com
Non-FQDN 도메인*.google.com

핵심은 Security Gateway가 외부 소스 서버의 변경에 맞춰 피드를 자동으로 가져오고(fetch), 파싱하고, Network Feed 객체를 갱신 한다는 점입니다. 그리고 이 갱신이 적용되는 데에는 정책을 다시 설치할 필요가 없 습니다. 만들어 둔 Network Feed 객체는 Access Control · HTTPS Inspection · NAT 정책에서 출발지(source) 또는 목적지(destination)로 씁니다.

어떤 상황에 쓰나 (Use Case)

이 기능은 외부 소스를 네트워크 데이터 공급원으로 삼아, 그 데이터를 Rule Base에 쓰고 싶은 모든 고객 에게 유용합니다. Network Feed를 쓰면 게이트웨이가 피드를 자동으로 갱신하므로 다음과 같은 이점이 생깁니다.

  • 피드를 손으로 유지보수하는 수고가 줄어듭니다.
  • 정책 설치 횟수가 줄어듭니다.
  • 정책 구성이 단순해집니다.

알아 둘 제약과 동작 규칙

Network Feed를 제대로 쓰려면 다음 사항을 기억해야 합니다.

  • Security Gateway는 피드 서버에 HTTP/HTTPS로 접근할 수 있어야 합니다. 그렇지 못하면 게이트웨이는 피드를 가져오지 못합니다.
  • 한 Security Gateway는 Network Feed 객체를 최대 500개 지원합니다. 객체 하나에는 IP 주소를 최대 50,000개 담을 수 있고, 객체당 도메인 개수에는 제한이 없 습니다.
  • 한 Security Gateway는 Dynamic 객체 · Updatable 객체 · Generic Data Center 객체 · Network Feed 객체 를 모두 합쳐 총 5,000개 까지 지원합니다. 이 객체들을 통틀어 IP 주소는 총 350,000개, 도메인은 총 12,500개 까지입니다.
  • 지원하는 피드 형식은 flat listJSON 두 가지입니다.
  • 실제로 피드를 게이트웨이에서 적용(enforce)하는 주체는 Dynamic 객체와 도메인(domain) 객체 입니다.
  • SmartConsole은 피드 갱신 이벤트의 로그 를 보여 줍니다. 갱신 중 Error/Warning이 있을 때는 물론, 성공적으로 갱신됐을 때도 로그가 남습니다. 로그 검색창에서 Network Feed 이름으로 검색 하면 됩니다.
  • Multi-Domain Server 환경에서는 Network Feed를 전역 객체(global object) 로 정의할 수 있습니다.
  • 게이트웨이가 항상 피드에 닿을 수 있게 하세요. 만약 피드에 닿지 못하면, 가장 최근에 캐시해 둔 버전(latest cached version) 을 대신 씁니다.
  • 피드에는 유효한 항목만 들어 있도록 하세요. 게이트웨이는 잘못된 항목은 무시하고 나머지 목록만 적용합니다.

Network Feed 객체 만들기

SmartConsole에서 다음 순서로 외부 네트워크 피드를 구성합니다.

  1. SmartConsole에서 Object Explorer 로 갑니다.
  2. New > More > Network Object > Network Feed 를 누릅니다. New Network Feed 창이 열립니다.
  3. Network 설정을 합니다.
    • Feed URL — 외부 서버의 피드에 접근할 수 있는 URL을 넣습니다.
  1. Feed Parsing(피드 파싱) 을 설정합니다.
    • Format — 피드 안의 내용 구조를 지정해, 게이트웨이가 어떻게 파싱할지 알게 합니다. 지원 형식은 Flat listJSON 입니다.

Flat list 형식을 고르면 다음을 설정합니다.

설정
Data type드롭다운에서 Domain · IP Address · IP Address/Domain 중 고릅니다. 게이트웨이가 어떤 데이터 타입을 적용할지 알도록 하는 값입니다.
Delimiter피드 안에서 데이터 값들을 구분하는 구분자 입니다.
Ignore lines with prefix피드에서 무시할 줄 을 정의합니다(이 접두어로 시작하는 줄은 건너뜀).

JSON 형식을 고르면 다음을 설정합니다.

설정
Data Type드롭다운에서 Domain · IP Address · IP Address/Domain 중 고릅니다.
JSON Query피드에서 데이터를 어떻게 뽑아낼지를 JQ 문법으로 정의합니다. JQ에 대한 자세한 내용은 http://stedolan.github.io/jq/ 를 참고하세요.
  1. Advanced Settings(고급 설정) 를 구성합니다.
    • Authentication — URL에 인증할 때 쓸 사용자 이름과 암호를 넣습니다.
    • Network
      • Use gateway proxy for connection — 게이트웨이가 외부 서버에 붙을 때 프록시를 거치게 하려면 이 체크박스를 켭니다.
      • Check feed interval — 게이트웨이가 피드를 갱신하는 주기(분 단위) 입니다. 기본값은 60분 입니다.
  2. Test Feed(피드 테스트) 로 연결을 확인합니다.
    1. Test Feed 버튼을 눌러, 게이트웨이가 Feed URL에 연결되는지, 그리고 그 서버 인증서가 유효한지 확인합니다. Test Feed 창이 열립니다.
    2. Select gateway 드롭다운에서 테스트를 돌릴 Security Gateway를 고릅니다.
      • 테스트 성공 시 — test completed successfully 메시지가 나옵니다.
      • 테스트 실패 시 — 오류 메시지가 나옵니다.
      • 인증서가 유효하지 않아 실패 하면 다음 메시지가 나옵니다 — Test failed to authenticate the server certificate. 이때 서버를 신뢰한다면 Accept certificate anyway 를 선택해 오류를 무시하고 연결할 수 있습니다.
  3. OK 를 누릅니다.
  4. 만든 New Network Feed 객체를 Access Control Rule Base에서 사용합니다.
  5. Access Control 정책을 설치합니다.

자세한 규칙 작성은 Access Control 정책을, 정책 설치 흐름은 관련 장을 함께 참고하세요.

피드 상태 들여다보기 (Monitoring)

게이트웨이에서 Network Feed를 모니터링하려면 Expert mode 에서 다음 명령을 실행합니다.

명령하는 일
grep -i <Name of Network Feed> $FWDIR/log/efo_error.elg피드 갱신 이벤트의 오류·경고 메시지 를 봅니다.
dynamic_objects -efo_show정책에 쓰인 모든 Network Feed의 IP 주소 목록 을 가져옵니다.
dynamic_objects -efo <Name of Network Feed>특정 Network Feed에 딸린 도메인·IP 범위 목록 을 가져옵니다.
domains_tool -ip <IP Address>특정 IP 주소에 연결된 도메인 목록 을 가져옵니다.
domains_tool -d <Name of Domain>특정 도메인에 연결된 IP 주소 목록 을 가져옵니다.

문제 해결 (Troubleshooting)

게이트웨이에서 Network Feed를 디버그하려면 Expert mode 에서 다음 절차를 따릅니다.

(1) 피드 매칭(matching)에 대한 커널 디버그 수집

  1. 커널 디버그 옵션을 설정합니다.
   fw ctl debug 0
   fw ctl debug -buf 8200
   fw ctl debug -m RAD_KERNEL all
   fw ctl debug -m DOMO all
   fw ctl debug -m UP all
   
  1. 설정을 확인합니다 — fw ctl debug -m
  2. 커널 디버그를 시작합니다.
   fw ctl kdebug -T -f > /var/log/kernel_debug.txt
   
  1. 문제를 재현합니다.
  2. CTRL+C 로 커널 디버그를 멈춥니다.
  3. 커널 디버그 옵션을 초기화합니다 — fw ctl debug 0
  4. 출력 파일 /var/log/kernel_debug.txt 를 분석합니다.

(2) Network Feed 정보를 보려는 정책 설치 디버그 수집

  1. 첫 번째 셸에서 디버그를 시작합니다.
   fw -d fetchlocal -d $FWDIR/state/__tmp/FW1/ >> /var/log/policy_installation.txt 2>&1
   
  1. 두 번째 셸에서 출력 파일을 지켜봅니다 — tail -f /var/log/policy_installation.txt
  2. 첫 번째 셸에서 CTRL+C 로 디버그를 멈춥니다.
  3. 두 번째 셸에서 CTRL+C 로 모니터링을 멈춥니다.
  4. 출력 파일 /var/log/policy_installation.txt 를 분석합니다.

(3) Network Feed 갱신 이벤트 디버그 수집

  1. 첫 번째 셸에서 디버그를 시작합니다.
   TDERROR_ALL_ALL=1 dynamic_objects -efo_update <Name of Network Feed> >> /var/log/network_feed_update.txt 2>&1
   
  1. 두 번째 셸에서 출력 파일을 지켜봅니다 — tail -f /var/log/network_feed_update.txt
  2. 첫 번째 셸에서 CTRL+C 로 디버그를 멈춥니다.
  3. 두 번째 셸에서 CTRL+C 로 모니터링을 멈춥니다.
  4. 출력 파일 /var/log/network_feed_update.txt 를 분석합니다.

IoT 기기 네트워크 보안

병원·공장·스마트빌딩처럼 현대 업무 환경에서 IoT 기기를 쓰는 일은 갈수록 복잡해졌고, 그만큼 악의적이고 해로운 사이버 공격에 노출 되는 대가를 치르게 됐습니다. IoT 기기를 노린 침투는 여러 기업에 상당한 금전적 손실을 안겼고, 금전·물리적 피해를 넘어 데이터 유출, 데이터 변조, 랜섬웨어, 심지어 서비스 거부(DoS) 로까지 이어질 수 있습니다.

공격에 취약한 IoT 기기들

업종별로 흔히 쓰이며 공격에 노출되기 쉬운 IoT 기기는 다음과 같습니다.

기기스마트빌딩/오피스헬스케어산업(Industry)
HVAC(냉난방공조)OOO
프린터·복사기·팩스OOO
엘리베이터OOO
감시 카메라OOO
LAN에 연결된 비강화 키오스크OOO
출입 통제 지점(Access control points)OOO
PLC(프로그래머블 로직 컨트롤러)OOO
온도조절기(Thermostats)OOO
조명(Lighting)OOO
화재경보기OOO
주거용 스마트 미터O
MRI 장비O
초음파 장비O
C-arm(영상 진단기)O
인퓨전 펌프(Infusion pump)O
혈당측정기(Blood glucose meter)O
환자 모니터(Patient monitor)O

왜 IoT 기기는 이토록 취약한가

  • 오래된 소프트웨어, 레거시 OS, 또는 아예 OS가 없
  • 기본적인 수준의 마이크로 컨트롤러
  • 설계 단계의 보안 부재(No Security-by-Design)
  • 기기 관리(device management)의 부재
  • 그림자 기기(Shadow Devices) — 관리자가 모르는 채 연결된 기기
  • 운영상의 제약(Operational Limitations)

Check Point Infinity for IoT가 하는 일

Check Point의 Infinity for IoT 는 기업 IT 기기와 IoT 기기, 스마트빌딩 기기, 산업용 IoT, 연결된 의료 장비에 포괄적인 네트워크 보안 을 다음과 같이 제공합니다.

  1. 여러 출처의 다양한 위협 지표를 분석해, IoT 기기를 노린 악의적 시도와 무단 접근을 차단 합니다.
  2. 감염된 기기가 다른 네트워크 요소를 위협하지 못하게 막습니다.
  3. 내부 네트워크 세분화(internal network segmentation)로 공격 표면(attack surface)을 최소화 합니다.
  4. IoT 기기별로 깊이 있는 통찰 정보 를 제공합니다.
  5. IoT 자산 탐지에 서드파티 탐지 엔진 을 사용합니다.
  6. 탐지된 IoT 기기의 속성을 이용해 별도의 IoT 정책 레이어 를 만듭니다.

사전 준비 (Prerequisites)

IoT 보안을 시작하기 전에 다음이 갖춰져 있어야 합니다.

  • Check Point 인증 IoT 서드파티 탐지 서비스(Third Party Discovery Service) 가 네트워크에 설치되어 있고, 관리 서버와 연결 되어 있어야 합니다.
  • 탐지 서비스(Discovery Service) 로는 다음이 지원됩니다.
분야지원 엔진
산업/기업(Industrial/Enterprise)Armis · Claroty · Indegy · Ordr · SAM · SCADAfence
의료(Medical)Medigate · CyberMDX · Cynerio
  • 적용을 맡는 Security Gateway에서 Identity Awareness Web API 가 활성화되어 있어야 합니다(이 구성은 자동으로 이루어집니다).
  • Security Gateway 버전은 R80.10 이상 이어야 합니다.

전체 그림 (Network Overview)

Check Point의 Infinity for IoT는 세밀한 IoT 기반 정책을 적용 해 포괄적인 IoT 사이버 보안을 제공합니다. 이 솔루션은 병원·산업·스마트빌딩·오피스가 IoT 공격을 줄이고 나아가 없애도록 돕습니다. 핵심 동작은 다음 세 가지입니다.

  • IoT 기기와 트래픽을 식별하고 분석 합니다.
  • IoT 정책 적용 지점(enforcement point) 을 배치합니다.
  • IoT의 악의적 시도를 식별하고 차단 합니다.

아래 그림은 네트워크 구성 다이어그램입니다.

p.531
p.531

IoT 서드파티 탐지 서비스 구성하기

Check Point Infinity for IoT가 IoT 기기를 공격으로부터 보호하려면, 먼저 IoT Third Party Discovery Service 를 구성해야 합니다. 이 서비스는 Check Point 관리 서버와 IoT 서드파티 탐지 엔진(Discovery Engine) 사이의 연결 을 설정합니다. 탐지 엔진은 다음 일을 합니다.

  • 연결된 IoT 자산을 탐지 합니다(주로 산업·헬스케어 분야).
  • 탐지한 자산을 존(zone)으로 묶 습니다.
  • 탐지한 자산과 권장 정책을 Check Point 관리 서버와 공유 합니다.

IoT 서드파티 탐지 서비스 정의 절차

단계내용
1SmartConsole에서 Manage & Settings > Blades > IoT Third Party Discovery Service > Create Controller 로 갑니다. New IoT Third Party Discovery Service 창이 열립니다.
2General 탭을 구성합니다.<br>a. Hostname · Port · Pre-shared Key 를 입력합니다. Pre-shared key는 인증된 IoT 서드파티 탐지 서비스가 제공 해야 하며, 이 서비스를 인가·인증하는 데 쓰입니다.<br>b. OK 를 누릅니다. Certificate Trust 창이 열립니다. 검증하기 전에 인증서가 유효한지, 그리고 그 탐지 서비스가 인증된 소유자인지 확인하세요.<br><br>Infinity for IoT는 Identity Awareness API 를 사용합니다. 쉽게 활성화하려면 IoT 적용을 수행할 게이트웨이를 선택 하면 됩니다. Gateways 탭에서는 IoT 트래픽을 적용할 게이트웨이를 고릅니다. Policies 탭에서는 IoT 레이어에 적용할 정책을 고르고 OK 를 누릅니다.
3SmartConsole 세션을 Publish 합니다.
4정책을 설치(Install Policy)합니다.

새 IoT 서드파티 탐지 서비스를 구성하면 선택한 프로파일에 새 IoT 정책 레이어, 새 Threat Prevention 프로파일, 그리고 Threat Prevention 정책의 새 규칙 이 생성됩니다.

기존 서비스를 본떠 새 서비스를 만들려면, Object Explorer 창에서 기존 IoT Third Party Discovery Service를 우클릭하고 New 를 선택합니다.

정책에 IoT 자산 추가하기

IoT 정책을 설정한 뒤에는 IoT 자산을 정책에 수동으로 추가 할 수 있습니다. IoT 정책은 다음 세 가지 범주로 나뉩니다.

범주설명
User-Defined관리자가 직접 쓰는 범주입니다.
Auto-Generated네트워크 트래픽과 IoT 네트워크 패턴에서 자동 생성된 규칙 입니다.
Cleanup탐지된 이상 징후(anomalies)에 대한 정리(cleanup) 규칙 묶음 입니다.

IoT Access Rule 정의 절차

단계내용
1Security Policies > Access Control 에서 IoT Layer 를 선택합니다.
2User-Defined Section 을 누르고, 더하기(+) 기호를 누릅니다.
3Source 또는 Destination 필드에서 더하기(+) > Add new item... 을 누릅니다. Add new item 창이 열립니다.
4Import > IoT Controllers 를 선택하고, 규칙에 추가할 IoT 자산을 고릅니다.

Infinity for IoT 로그

Check Point의 IoT Security Manager 를 쓰면, 보안 팀은 제조사 이름, 모델, 일련번호, 위치 같은 상세한 IoT 기기 정보를 볼 수 있습니다. 풍부한 로그 덕분에 기기의 동작을 더 또렷하고 맥락 있게 이해하고, 이벤트 조사를 위한 포렌식 자료를 얻습니다.

  • 예시 1 — IoT 자산 정보로 로그 검색 — 풍부해진(enriched) 로그 데이터를 활용한 고급 로그 검색으로 로그 필터링이 한결 간단 해집니다.
p.533
p.533
  • 예시 2 — 확장된 로그 데이터 — IoT 로그 데이터에는 로그 속 IoT 자산을 식별하는 데 도움이 되는 풍부한 정보 가 담겨 있습니다.
p.534
p.534

스마트폰·태블릿용 클라이언트 인증서

사용자가 휴대용 기기로 자신의 자원에 접근 하게 하려면, 그 기기가 클라이언트 인증서(client certificate)로 Security Gateway에 인증 할 수 있어야 합니다. 많은 조직에서 클라이언트 인증서를 매일 발급·관리하는 일은, Security Gateway를 유지하는 부서와 다른 부서(예: 전산 헬프데스크) 가 맡습니다. 그래서 SmartConsole로 클라이언트 인증서를 만들 수 있되 다른 권한은 제한된 관리자 를 따로 둘 수 있습니다(아래 "클라이언트 인증서 권한 주기" 참고).

클라이언트 인증서를 구성하려면 SmartConsole에서 Security Policies > Access Control > Access Tools > Client Certificates 로 갑니다. Mobile Access 정책을 구성하려면 Manage & Settings > Blades > Mobile Access > Configure in SmartDashboard 로 갑니다. SmartConsole의 Client Certificates 페이지는 SmartDashboard의 Mobile Access 탭 > Client Certificates 페이지로 가는 바로가기 입니다.

클라이언트 인증서 관리하기

휴대 기기용 Check Point Mobile Apps인증서만으로 인증(certificate-only) 하거나, 클라이언트 인증서 + 사용자 이름/암호의 2단계 인증(two-factor) 을 쓸 수 있습니다. 이 인증서는 Mobile Access Security Gateway를 관리하는 Security Management Server의 내부 CA(internal CA) 가 서명합니다.

클라이언트 인증서는 Security Policies > Access Control > Access Tools > Client Certificates 에서 관리하며, 이 페이지에는 두 개의 창(pane)이 있습니다.

  • Client Certificates 창에서 할 수 있는 일
    • 클라이언트 인증서를 만들고, 편집하고, 폐기(revoke) 합니다.
    • 모든 인증서의 상태, 만료일, 등록 키(enrollment key) 를 봅니다. 기본적으로 목록에는 처음 50개만 보이며, 더 보려면 Show more 를 누릅니다.
    • 특정 인증서를 검색 합니다.
    • 인증서 정보를 사용자에게 보냅 니다.
  • Email Templates for Certificate Distribution 창에서 할 수 있는 일
    • 인증서 배포용 이메일 템플릿을 만들고 편집 합니다.
    • 이메일 템플릿을 미리보기 합니다.

클라이언트 인증서 만들기

클라이언트 인증서 마법사로 인증서를 만들고 배포하는 순서입니다.

  1. SmartConsole에서 Security Policies > Access Control > Access Tools > Client Certificates 를 선택합니다.
  2. Client Certificates 창에서 New 를 누릅니다. Certificate Creation and Distribution 마법사가 열립니다.
  3. Certificate Distribution 페이지에서 등록 키를 사용자에게 어떻게 배포할지 고릅니다(둘 다 골라도 됩니다).
    • Send an email containing the enrollment keys using the selected email template — 사용자마다 고른 템플릿을 바탕으로 등록 키가 담긴 이메일 을 받습니다.
      • Template — 사용할 이메일 템플릿을 고릅니다.
      • Site — 사용자가 접속할 Security Gateway를 고릅니다.
      • Mail Server — 이메일을 보낼 메일 서버를 고릅니다. Edit 를 눌러 세부 정보를 보고 바꿀 수 있습니다.
    • Generate a file that contains all of the enrollment keys모든 사용자와 등록 키 목록이 담긴 파일 을 기록용으로 생성합니다.
  4. (선택) 등록 키의 만료일을 바꾸려면 Users must enroll within x days 의 일수를 고칩니다.
  5. (선택) Client Certificates 페이지의 인증서 목록에서 인증서 옆에 표시될 주석(comment) 을 덧붙입니다.
  6. Next 를 누릅니다. Users 페이지가 열립니다.
  7. Add 를 눌러 인증서가 필요한 사용자나 그룹을 추가합니다.
    • 검색창에 텍스트를 입력해 사용자나 그룹을 찾습니다.
    • 그룹 유형을 골라 검색 범위를 좁힙니다.
  8. 포함할 사용자·그룹이 모두 목록에 보이면 Generate 를 눌러 인증서를 만들고 이메일을 보냅 니다.
  9. 인증서를 10개 넘게 생성 한다면, 계속할지 묻는 확인에서 Yes 를 누릅니다. 진행 창이 뜨고, 오류가 생기면 오류 보고서가 열립니다.
  10. Finish 를 누릅니다.
  11. Save 를 누릅니다.
  12. SmartConsole에서 정책을 설치합니다.

인증서 폐기하기 (Revoking)

인증서 상태가 Pending Enrollment 인 경우, 폐기하면 그 인증서는 Client Certificate 목록에 더 이상 보이지 않 습니다.

하나 이상의 인증서를 폐기하는 순서입니다.

  1. Client Certificate 목록에서 인증서를 하나 이상 고릅니다.
  2. Revoke 를 누릅니다.
  3. OK 를 누릅니다.

인증서를 폐기하고 나면 Client Certificate 목록에 더 이상 나타나지 않 습니다.

인증서 배포용 템플릿 만들기

이메일 템플릿을 만들거나 편집하는 순서입니다.

  1. SmartConsole에서 Security Policies > Access Control > Access Tools > Client Certificates 를 선택합니다.
  2. 새 템플릿을 만들려면 — Email Templates for Certificate Distribution 창에서 New 를 선택합니다. 기존 템플릿을 편집하려면 — 같은 창에서 템플릿을 더블클릭합니다. Email Template 창이 열립니다.
  3. 템플릿의 Name 을 입력합니다.
  4. (선택) Comment 를 입력합니다. 주석은 Client Certificates 페이지의 Mail Template 목록에 보입니다.
  5. (선택) Languages 를 눌러 이메일 언어를 바꿉니다.
  6. 이메일의 Subject(제목) 를 입력합니다. Insert Field 를 눌러 Username 같은 미리 정의된 필드 를 넣을 수 있습니다.
  7. 본문에 텍스트를 넣고 서식을 지정합니다. Insert FieldUsername · Registration Key · Expiration Date 같은 필드를 넣습니다.
  8. E-mail Template 본문 안을 클릭합니다.
  9. Insert Link 를 누르고 추가할 링크 종류(링크 또는 QR 코드)를 고릅니다.

링크 종류는 다음과 같습니다.

  • Site and Certificate Creation이미 Check Point 앱이 설치된 사용자 를 위한 것입니다. 사용자가 QR 코드를 스캔하거나 링크로 가면 사이트가 생성되고 인증서가 등록 됩니다. 접속할 클라이언트 유형을 하나 고릅니다.
    • Capsule Workspace — 모바일 기기에 보안 컨테이너 를 만들어 내부 웹사이트·파일 공유·Exchange 서버에 접근하게 하는 앱.
    • Capsule Connect/VPN — 모든 모바일 애플리케이션에 네트워크 접근을 주는 완전한 Layer 3 터널 앱.
    • Download Application — 사용자가 Check Point 앱을 직접 내려받게 안내합니다. 클라이언트 OS를 고릅니다.
      • iOS
      • Android

접속할 클라이언트 유형도 Capsule Workspace 또는 Capsule Connect/VPN 중 하나를 고릅니다. - Custom URL직접 만든 URL 을 구성하게 해 줍니다.

각 링크 종류마다 메일 템플릿에 넣을 요소를 고를 수 있습니다.

요소
Link URL전체 링크 주소를 입력합니다.
QR Code켜면 사용자가 모바일 기기로 코드를 스캔 합니다.
HTML Link켜면 사용자가 모바일 기기에서 링크를 탭 합니다.
Display Text링크 제목으로 보일 텍스트를 입력합니다.
  1. OK 를 누릅니다.
  2. (선택) Preview in Browser 를 눌러 이메일이 어떻게 보일지 미리 봅니다.
  3. OK 를 누릅니다.
  4. 변경을 Publish 합니다.

템플릿 복제하기 (Cloning)

이미 있는 템플릿과 비슷한 템플릿을 만들고 싶으면 기존 템플릿을 복제(clone) 합니다.

  1. Client Certificates 페이지의 템플릿 목록에서 템플릿을 하나 고릅니다.
  2. Clone 을 누릅니다.
  3. 고른 템플릿의 새 복사본이 열리면 편집 합니다.

클라이언트 인증서 권한 주기

SmartConsole로 클라이언트 인증서를 만들 수 있되 다른 권한은 제한된 관리자 를 만들 수 있습니다.

  1. 관리자를 정의합니다(관리자 계정 관리 참고).
  2. 그 관리자에게 클라이언트 인증서를 다룰 권한이 있는 맞춤 프로파일 을 만듭니다. 이 설정은 Administrator ProfileOthers 페이지에서 합니다. 나머지 권한은 제한합니다(관리자에게 권한 프로파일 할당 참고).

관리자 권한과 프로파일에 대한 더 자세한 내용은 관리자 관리에서 다룹니다.