목차/09. 스마트폰·태블릿 접속

09스마트폰·태블릿 접속스마트폰·태블릿 접속

데스크톱과 달리 비관리(unmanaged) 스마트폰·태블릿은 통제하기가 까다롭 습니다. 회사가 직접 관리하지 않는 개인 기기에서 회사 메일·캘린더·내부 웹에 안전하게 닿게 하려면, 기기에 무엇을 깔지부터 어떻게 인증하고 어떤 데이터를 캐시하며 기기를 잃어버렸을 때 어떻게 지울지까지 모두 설계해야 합니다. Check Point는 모바일 앱(특히 Capsule Workspace)과 인증서·프로파일을 묶어 이 문제를 풉니다.

이 장은 모바일 사용자에게 무엇을 준비시키는지, 클라이언트 인증서를 어떻게 만들어 배포하고 폐기하는지, 배포 이메일 템플릿을 어떻게 짜는지, 분실 기기를 지우는 Remote Wipe, 사용자 경험을 좌우하는 Mobile Profile(과 그 안의 모든 탭), Passcode Profile, Push Notification 구성과 진단, ESOD 우회, iOS·Android별 시스템 설정, 최종 사용자 안내, 그리고 핸드헬드용 고급 게이트웨이 속성 까지를 빠짐없이 풀어 둡니다.

모바일 접속 준비의 큰 그림

사용자와 그들의 리소스 접근을 관리하려면 다음 작업을 갖춰야 합니다.

  • 메일·캘린더·연락처 접근 을 위해 Mobile Mail 또는 ActiveSync 응용을 구성합니다. 이 작업은 Mobile Access Wizard에서 자동으로 처리할 수 있습니다.
  • 필요하면 웹 응용(Web applications) 을 추가로 구성합니다.
  • 사용자가 게이트웨이에 인증하는 데 필요한 정보와 자격 증명 을 갖추도록 합니다. 클라이언트 인증서를 쓴다면 Certificate Creation and Distribution Wizard 를 사용합니다("클라이언트 인증서 만들기" 절 참고).
  • 사용자의 Mobile Settings(모바일 설정) 가 조직 요건에 맞는지 확인합니다("Mobile Settings 관리" 절 참고).
  • 사용자에게 어떤 앱을 깔아야 하는지 안내합니다.
  • 스마트폰·태블릿 사용자가 Mobile Access 정책에 포함되어 있는지 확인합니다.

핸드헬드 기기의 인증서 인증

핸드헬드 기기가 게이트웨이에 붙으려면 다음 인증서들이 제대로 설정돼 있어야 합니다.

  • 인증 방식으로 Personal Certificate 를 쓴다면, 사용자마다 클라이언트 인증서를 생성 해야 합니다("클라이언트 인증서 관리" 절 참고).
  • 제3자 신뢰 CA(예: Entrust)가 서명한 서버 인증서를 강력히 권장 합니다. 제3자 인증서가 있다면 그 CA를 기기가 신뢰하는지 확인하세요. 제3자 인증서가 없으면 서버에는 이미 자가 서명(ICA) 인증서가 구성돼 있지만, 이 경우 기기·브라우저에서 신뢰 경고가 날 수 있습니다.

클라이언트 인증서 관리

핸드헬드용 Check Point 모바일 앱은 인증서만으로(certificate-only) 인증하거나, 클라이언트 인증서 + 사용자명/비밀번호의 2요소(two-factor) 로 인증할 수 있습니다. 이 인증서는 해당 Mobile Access 게이트웨이를 관리하는 Security Management Server의 내부 CA(ICA)가 서명 합니다.

클라이언트 인증서는 Security Policies > Access Control > Access Tools > Client Certificates 에서 관리합니다. 이 페이지는 두 개의 창(pane)으로 나뉩니다.

  • Client Certificates 창 에서는
    • 클라이언트 인증서를 만들고(Create)·수정하고(edit)·폐기(revoke) 합니다.
    • 모든 인증서와 그 상태(status)·만료일(expiration date)·등록 키(enrollment key) 를 봅니다. 기본적으로 목록에는 처음 50개 결과만 표시되며, 더 보려면 Show more 를 클릭합니다.
    • 특정 인증서를 검색합니다.
    • 사용자에게 인증서 정보를 보냅니다.
  • Email Templates for Certificate Distribution 창 에서는
    • 클라이언트 인증서 배포용 이메일 템플릿을 만들고 수정 합니다.
    • 이메일 템플릿을 미리 보기(Preview) 합니다.

클라이언트 인증서 만들기

클라이언트 인증서 마법사로 인증서를 만들고 배포하려면 다음 순서를 따릅니다.

  1. SmartConsole에서 Security Policies > Access Control > Access Tools > Client Certificates 를 선택합니다.
  2. Client Certificates 창 에서 New 를 클릭하면 Certificate Creation and Distribution wizard 가 열립니다.
  3. Certificate Distribution 페이지 에서 등록 키(enrollment key)를 사용자에게 어떻게 배포할지 고릅니다. 둘 중 하나 또는 둘 다 선택할 수 있습니다.
    • a. 선택한 이메일 템플릿으로 등록 키가 담긴 이메일 보내기 — 각 사용자는 선택한 템플릿을 바탕으로 등록 키가 들어 있는 이메일을 받습니다. 이때 다음을 지정합니다.
      • Template — 사용할 이메일 템플릿을 고릅니다.
      • Site — 사용자가 접속할 Security Gateway를 고릅니다.
      • Mail Server — 이메일을 보내는 메일 서버를 고릅니다. Edit 를 눌러 세부 정보를 보고 바꿀 수 있습니다.
    • b. 모든 등록 키가 담긴 파일 생성 — 기록 보관용으로, 전체 사용자와 각자의 등록 키 목록이 담긴 파일을 만듭니다.
  4. (선택) 등록 키의 만료일을 바꾸려면 Users must enroll within x days 의 일수를 수정합니다.
  5. (선택) Client Certificates 페이지의 인증서 목록에서 인증서 옆에 표시될 주석(comment) 을 추가합니다.
  6. Next 를 클릭하면 Users 페이지 가 열립니다.
  7. Add 를 클릭해 인증서가 필요한 사용자나 그룹을 추가합니다.
    • 검색 필드에 텍스트를 입력해 사용자·그룹을 찾습니다.
    • 그룹 유형을 골라 검색 범위를 좁힙니다.
  8. 포함할 사용자·그룹이 모두 목록에 나타나면 Generate 를 클릭해 인증서를 만들고 이메일을 보냅니다.
  9. 10개를 넘는 인증서 를 생성하는 경우, 계속하려면 Yes 를 눌러 확인합니다. 진행 창이 뜨고, 오류가 생기면 오류 보고서가 열립니다.
  10. Finish 를 클릭합니다.
  11. Save 를 클릭합니다.
  12. SmartConsole에서 정책을 설치(Install Policy) 합니다.

인증서 폐기하기

인증서 상태가 Pending Enrollment(등록 대기) 인 경우, 폐기하면 그 인증서는 Client Certificate 목록에서 사라 집니다.

인증서를 하나 이상 폐기하려면 다음과 같이 합니다.

  1. Client Certificate 목록에서 인증서를 하나 이상 선택합니다.
  2. Revoke 를 클릭합니다.
  3. OK 를 클릭합니다.

폐기하고 나면 그 인증서는 더 이상 Client Certificate 목록에 나타나지 않습니다.

배포용 템플릿 만들기

이메일 템플릿을 새로 만들거나 기존 것을 고치려면 다음과 같이 합니다.

  1. SmartConsole에서 Security Policies > Access Control > Access Tools > Client Certificates 를 선택합니다.
  2. 새 템플릿을 만들려면 Email Templates for Certificate Distribution 창 에서 New 를 선택합니다. 기존 템플릿을 고치려면 같은 창에서 템플릿을 더블 클릭합니다. Email Template 창이 열립니다.
  3. 템플릿의 Name 을 입력합니다.
  4. (선택) Comment 를 입력합니다. 주석은 Client Certificates 페이지의 Mail Template 목록에 표시됩니다.
  5. (선택) Languages 를 클릭해 이메일 언어를 바꿉니다.
  6. 이메일의 Subject(제목) 를 입력합니다. Insert Field 를 눌러 Username 같은 미리 정의된 필드를 넣을 수 있습니다.
  7. 본문에 텍스트를 넣고 서식을 지정합니다. Insert FieldUsername, Registration Key, Expiration Date 같은 필드를 삽입할 수 있습니다.
  8. E-mail Template 본문 안 을 클릭합니다.
  9. Insert Link 를 클릭해 추가할 링크 유형(링크 또는 QR 코드)을 고릅니다. 링크 유형은 세 가지입니다.

Site and Certificate Creation — 이미 Check Point 앱을 깐 사용자용입니다. 사용자가 QR 코드를 스캔하거나 링크로 들어가면 사이트가 만들어지고 인증서가 등록 됩니다. 사용자가 설치할 클라이언트 유형 하나를 고릅니다.

  • Capsule Workspace — 모바일 기기에 보안 컨테이너(secure container) 를 만들어 내부 웹사이트·파일 공유·Exchange 서버에 접근하게 하는 앱입니다.
    • Capsule Connect/VPN — 모든 모바일 응용에 네트워크 접근을 주는 전체 Layer 3 터널(full Layer 3 tunnel) 앱 입니다.

Download Application — 사용자에게 자기 기기용 Check Point 앱을 다운로드하도록 안내 합니다. 클라이언트 운영체제(iOS / Android)를 고르고, 위와 마찬가지로 사용자가 설치할 클라이언트 유형(Capsule Workspace / Capsule Connect/VPN)을 하나 고릅니다.

Custom URL — 직접 만든 URL을 구성할 수 있게 해 줍니다.

각 링크 유형마다 메일 템플릿에 어떤 요소를 넣을지 고를 수 있습니다.

  • Link URL — 전체 링크 주소를 입력합니다.
    • QR Code — 켜면 사용자가 모바일 기기로 코드를 스캔합니다.
    • HTML Link — 켜면 사용자가 모바일 기기에서 링크를 탭합니다.
    • Display Text — 링크 제목으로 쓸 텍스트를 입력합니다.

QR Code와 HTML Link를 둘 다 선택 해 이메일에 함께 넣을 수도 있습니다. 10. OK 를 클릭합니다. 11. (선택) Preview in Browser 를 클릭해 이메일이 어떻게 보일지 미리 봅니다. 12. OK 를 클릭합니다. 13. 변경을 Publish 합니다.

템플릿 복제하기

이미 있는 템플릿과 비슷한 템플릿을 만들려면 복제(Clone) 가 편합니다.

  1. Client Certificates 페이지의 템플릿 목록에서 템플릿을 하나 선택합니다.
  2. Clone 을 클릭합니다.
  3. 선택한 템플릿의 새 복사본이 열리며, 이를 편집하면 됩니다.

Remote Wipe — 분실 기기 지우기

Remote Wipe 는 사용자 모바일 기기에 캐시된 오프라인 데이터를 원격으로 지웁니다. 동작은 인증서 폐기와 맞물립니다. 관리자가 내부 CA 인증서를 폐기하면, 해당 클라이언트의 Remote Wipe 구성이 푸시 알림 방식(Remote Wipe by Push Notification)을 켜 둔 경우 Remote Wipe 푸시 알림이 발송 됩니다. 기기가 그 푸시 알림을 받는 순간 삭제가 실행됩니다.

기기가 Remote Wipe 푸시 알림을 받지 못했더라도, 그 클라이언트가 폐기된 내부 CA 인증서로 게이트웨이 연결이 필요한 활동을 시도하는 순간 Remote Wipe가 발동됩니다.

Remote Wipe는 다음 시점에 로그를 남깁니다.

  • Remote Wipe 푸시 알림이 발송될 때.
  • Remote Wipe 프로세스가 성공적으로 끝날 때.

Remote Wipe 구성하기

  1. 게이트웨이의 Expert mode 에서 다음 명령을 실행합니다.

기본 구문은 이렇습니다.

   cvpnd_settings <Path to Conf File> {set | listAdd | listRemove} <Name> <Value>
   
  • Remote Wipe를 켜거나 끄려면:
     cvpnd_settings $CVPNDIR/conf/cvpnd.C set RemoteWipeEnabled {true | false}
     

Remote Wipe는 기본적으로 켜져(enabled) 있습니다. - 푸시 알림 방식 Remote Wipe(클라이언트가 알림을 받으면 삭제)를 켜거나 끄려면:

     cvpnd_settings $CVPNDIR/conf/cvpnd.C set RemoteWipePushEnabled {true | false}
     

Remote Wipe Push Notification 기능도 기본적으로 켜져 있습니다. 지원 클라이언트 목록은 sk95587 을 참고하세요. - 운영체제별로 Remote Wipe Push Notification 지원 기기를 설정하려면:

     cvpnd_settings $CVPNDIR/conf/cvpnd.C listAdd RemoteWipePushSupportedClientOS {iOS | Android}
     
  1. 변경을 적용하려면 CVPN 서비스를 재시작합니다.
   

변경이 적용됐는지 확인하려면 $CVPNDIR/conf/cvpnd.C 파일을 읽기 전용(Read-Only) 모드로 엽니다.

기기에서 Remote Wipe 발동시키기

  1. $CVPNDIR/conf/cvpnd.C 파일이 Remote Wipe(원하면 푸시 알림까지) 구성으로 돼 있는지 확인합니다. 파일을 바꿨다면 다음을 실행합니다.
   [Expert@HostName:0]# cvpnrestart
   
  1. 클라이언트 인증서를 폐기합니다.
    • a. Mobile Access 탭 > Client Certificates 를 엽니다.
    • b. 인증서를 선택합니다.
    • c. Revoke 를 클릭합니다.
    • d. OK 를 클릭합니다.

Remote Wipe 로그 보기

  1. SmartConsole을 엽니다.
  2. 왼쪽 탐색 패널에서 Logs & Events > Logs 를 클릭합니다.
  3. 다음 조건으로 조회합니다.
   "Remote Wipe" AND blade:"Mobile Access" action:"Failed Log In"
   

결과는 사용자 DN, 기기 ID(device ID), 인증서 일련번호(certificate serial number) 로 필터링할 수 있습니다.

Mobile Device Profiles — 모바일 사용자 경험

Capsule Workspace 에서 사용자 경험을 좌우하는 많은 설정이 Mobile Profile 에서 옵니다.

각 Mobile Access 사용자 그룹에는 하나의 Mobile Profile이 배정 되며, 기본적으로 모든 사용자는 Default Profile 을 받습니다. Mobile Profile에 담기는 설정은 다음과 같습니다.

  • Passcode 설정(Passcode Settings)
  • 메일·캘린더·연락처 사용 가능 여부
  • 오프라인 콘텐츠 설정
  • 연락처 출처(where contacts come from)

Mobile Profile은 Mobile Access 탭 > Capsule Workspace Settings 에서 관리합니다.

  • Mobile Profiles 창 에서는 모든 Mobile Profile을 보고, 만들고·고치고·삭제하고·복제하고·이름 변경 합니다.
  • Mobile Profile Policy 창 에서는 어떤 사용자 그룹에 어떤 프로파일을 줄지 규칙 을 만들고, 정책 규칙 안에서 사용자·그룹을 검색합니다.

Mobile Profile 만들고 편집하기

  1. SmartConsole 왼쪽 작업표시줄에서 Manage & Settings 를 클릭합니다.
  2. Blades 를 클릭합니다.
  3. Mobile Access 섹션에서 Capsule Workspace Settings 버튼을 클릭하면 Capsule Workspace Settings 메뉴가 열립니다.
  4. Profiles 탭 을 엽니다.
  5. 다음 중 하나를 합니다.
    • 새 Mobile Profile을 만들려면 표 안을 우클릭 > New 를 클릭합니다.
    • 기존 Mobile Profile을 고치려면 해당 프로파일이 있는 행을 우클릭 > Edit... 를 클릭합니다.

Mobile Profile 창이 열립니다. 6. 설정을 바꿉니다(아래 "Mobile Profile의 Capsule Workspace 설정" 참고). 7. OK 를 클릭합니다. 8. 정책을 설치(Install policy) 합니다.

Mobile Profile의 Capsule Workspace 설정

Mobile Profile 창은 여러 탭으로 나뉩니다. 탭별로 무엇을 정하는지 차례로 풀어 봅니다.

1) Security 탭 — 접근 설정(Access Settings)

  • Session timeout — 사용자가 Gateways & Servers > Security Gateway object > Mobile Access > Authentication 에 구성된 인증 방식으로 인증한 뒤, 게이트웨이에 얼마나 오래 인증 상태로 남아 있을지 정합니다.
  • Activate Passcode lock — 모바일 기기의 Business Secure Container 영역을 passcode로 보호 합니다.
    • Passcode profile — 쓸 passcode 프로파일을 고릅니다. 프로파일에는 passcode 복잡도·길이·만료·허용 실패 횟수 가 들어 있습니다.
    • Allow storing user credentials on the device for single-sign on — 사용자명/비밀번호 인증을 쓰는 경우, 자격 증명을 기기에 저장 합니다. 그러면 사용자는 사용자명·비밀번호를 다시 묻지 않고 passcode만 입력하면 됩니다.
  • Report jail-broken devices탈옥(jail-broken) 기기 가 게이트웨이에 연결하면 로그를 남깁니다.
    • Block access from jail-broken devices — 탈옥된 기기의 게이트웨이 연결을 차단 합니다.
  • Block third party keyboard — 기기 운영체제의 기본(native) 키보드가 아닌 키보드를 차단 합니다.
  • Hide 'connect anyway' on SSL trust screen — 기기가 게이트웨이 인증서를 신뢰하지 않을 때, 그래도 연결하는 선택지를 사용자에게 주지 않 습니다.

2) Applications 탭 — 기기에서 쓸 수 있는 기능 고르기

  • Mail
    • Allow printing mail — 기기 사용자가 이메일을 인쇄 할 수 있게 합니다.
    • Max attachment size (MB) — 허용할 최대 첨부 크기 를 고릅니다.
  • Offline Content — Check Point 앱이 게이트웨이에 닿지 못할 때 어떤 데이터를 얼마 동안 저장 할지 구성합니다.
    • Mail from the last x days — 최근 며칠치 이메일을 저장할지 고릅니다.
    • Calendar from the last x months and the following x months — 캘린더의 과거 x개월과 미래 x개월 을 저장하도록 고릅니다.
    • Synchronize contacts — 조직 메일 서버의 연락처를 기기로 동기화합니다.
  • Push Notifications — 기기에서 푸시 알림을 허용합니다(아래 "Push Notification 구성" 참고). 이를 쓰려면 사용자가 접속하는 게이트웨이에서 Capsule Workspace용 푸시 알림이 켜져 있어야 합니다.
  • Calendar — 기기의 기본 캘린더와 동기화 하려면 Allow business calendar to sync to the device's native calendar 를 선택합니다. 그러면 Capsule Workspace의 일정이 Capsule Workspace 밖, 기기 캘린더에도 표시됩니다.
  • Contacts — Capsule Workspace에 추가로 표시할 연락처를 고릅니다.
    • Global Address List — 최종 사용자의 회사 Microsoft Outlook 연락처.
    • Mobile Device's contact list — 모바일 기기의 연락처 목록.
  • Web Applications — Save local web cache — Check Point 앱이 게이트웨이에 닿지 못할 때 어떤 데이터를 얼마 동안 저장 할지 구성합니다. 기본적으로 기기는 로컬 캐시에 데이터를 저장할 수 있습니다.
  • Check Point Capsule Documents — Capsule Workspace에 저장할 Capsule Docs 정보를 고릅니다.
    • Allow caching Check Point Capsule Docs credentials — Capsule Docs로 보호된 문서를 여는 데 필요한 자격 증명을 기기에 캐시 합니다. 캐시하지 않으면 사용자는 문서를 처음 열 때마다 자격 증명을 입력해야 합니다.
    • Allow caching Check Point Capsule Docs keys — Capsule Docs 키를 기기에 캐시합니다. 캐시하면 이전에 연 적 있는 문서를 자격 증명 없이 다시 열 수 있습니다.

3) Data Loss Prevention 탭 — 나가는·들어오는 트래픽

Outbound(나가는)

  • Share protected files extensions to external apps — Capsule Workspace의 "경계 밖으로 나갈" 수 있는 보호 파일 유형을 고릅니다. Android에서는 이 설정이 "공유(share)" 동작을 제한하고, iOS에서는 Capsule Workspace에서 파일을 가져가는 모든 동작을 제한합니다.
  • Share unprotected files extensions to external apps — 위와 같되 비보호 파일 유형에 적용됩니다.
  • Open the following extensions with external apps when they cannot be opened with Capsule viewerAndroid에만 적용됩니다. Capsule Workspace가 파일을 표시하지 못할 때 경계 밖으로 나갈 수 있는 파일 유형을 정합니다. 이 경우 Capsule Workspace는 사용자에게 어떤 앱으로 열지 고르라고 안내합니다.
  • Block Screenshot — Capsule Workspace 안에서 스크린샷 찍기를 차단 합니다.
  • Allow copy paste to external apps — Capsule Workspace 콘텐츠를 복사해 외부 앱에 붙여넣기를 허용 합니다.
  • Block forward attachments by mail — Capsule Workspace 사용자가 이메일 첨부를 조직 밖으로 전달하는 것을 막 습니다.
  • Allow domain for forward attachments by mail — 첨부 전달을 허용할 FQDN(완전한 도메인 이름)을 입력합니다. 쉼표로 구분해 여러 개 넣을 수 있습니다. 입력한 도메인에 한해 이 설정이 앞의 차단 설정을 무시 합니다.

Inbound(들어오는)

  • Accept protected files with these extensions from external apps — Capsule Workspace 경계 안으로 들어올 수 있는 보호 파일 유형을 고릅니다.
  • Accept unprotected files with these extensions from external apps — 경계 안으로 들어올 수 있는 비보호 파일 유형을 고릅니다. Capsule Docs로 보호되지 않은 파일에만 해당합니다.
  • Offer Capsule as a viewer for external protected documents — 조직 밖에서 온 보호 문서에 대해 기기가 Capsule Workspace를 문서 뷰어로 제안 하도록 합니다. Capsule Docs와 비슷한 동작입니다.
  • Allow taking photos and videos — 기기 카메라로 사진·동영상을 찍어 Capsule Workspace로 가져오게 허용합니다.
  • Allow Importing media From Gallery — 사용자가 기기의 미디어를 Capsule Workspace로 가져오게 허용합니다.

4) Harmony Mobile 섹션 — Harmony Mobile / Harmony App Protect 연동

Harmony Mobile 앱 또는 Harmony App Protect와의 연동 설정을 구성합니다.

  • Enabled application integration — Capsule Workspace가 Harmony Mobile 설치를 강제 합니다. Harmony Mobile이 정책 요건을 충족하지 못하면 Capsule Workspace가 강제 동작(enforcement action)을 수행합니다.
    • Enforcement policy — Capsule Workspace가 어떤 조건에서 강제 동작을 할지 고릅니다.
옵션의미
Not enforced보안 정책을 강제하지 않습니다.
Ensure application installedHarmony Mobile이 설치되지 않았으면 강제 동작을 합니다.
Ensure application activatedHarmony Mobile이 활성화되지 않았으면 강제 동작을 합니다.
Ensure application compliantHarmony Mobile이 기기가 정책을 따르지 않는다고 판단하면 강제 동작을 합니다.
옵션의미
Warn기기가 정책을 충족하지 못한다고 사용자에게 경고 합니다.
BlockCapsule Workspace가 열리지 않 습니다.

보안 취약점 목록:

  • Device Compromised(기기 손상)
    • Malware(악성코드)
    • Man in the Middle Attack(중간자 공격)
    • OS Integrity Compromised(OS 무결성 손상)
    • Suspicious App(의심스러운 앱)
    • Suspicious Enterprise Certificate(의심스러운 기업 인증서)

강제 동작 목록:

동작의미
Block사용자에게 차단 페이지를 보여 주고 Capsule Workspace를 쓸 수 없게 합니다.
Notify보안 취약점이 있다는 팝업 창을 사용자에게 보여 줍니다.
IgnoreCapsule Workspace가 아무것도 하지 않습니다.

5) Client Customization 탭 — 최종 사용자가 보는 화면

  • Appearance(외관)
    • Application light mode color — 라이트 모드 색을 16진수(hex)로 입력합니다.
    • Application dark mode color — 다크 모드 색을 16진수로 입력합니다.
  • Allowed items — 기기에서 쓸 수 있는 Exchange 기능을 고릅니다.
    • Mail
    • Messages
    • Calendar
    • Contact
    • Tasks
    • Notes(iOS 전용)
    • Saved Files
  • Certificates — 클라이언트 인증서가 만료될 때 최종 사용자에게 보여 줄 메시지를 입력합니다.

6) Advanced 탭 — 미래 호환 사용자 정의 필드

사용 중인 SmartConsole 버전에는 아직 없는 새 Capsule Workspace 기능 을 위한 사용자 정의 필드를 구성합니다.

  1. Custom Fields 섹션에서 플러스(+) 아이콘을 클릭하면 New Future Compatibility Field 창이 열립니다.
  2. 기능의 Key 를 입력합니다.
  3. 기능의 Value 를 입력합니다.
  4. OK 를 클릭합니다.

Passcode Profile 관리

passcode 잠금은 모바일 기기 안의 Capsule Workspace를 보호 합니다. 각 Mobile Profile에서 어떤 Passcode Profile을 쓸지 정합니다. 이 프로파일에는 passcode 요건, 만료, 허용 실패 횟수가 들어 있습니다. 기본 passcode 프로파일은 Normal, Permissive, Restrictive 세 가지이며, 기본 프로파일을 고치거나 새 프로파일을 만들 수 있습니다.

Passcode Profile을 관리하려면 다음과 같이 합니다.

  1. SmartConsole 왼쪽 작업표시줄에서 Security Policies 를 클릭합니다.
  2. Blades 를 클릭합니다.
  3. Mobile Access 섹션에서 Capsule Workspace Settings 버튼을 클릭하면 메뉴가 열립니다.
  4. Passcodes 탭 을 엽니다.
  5. 다음 중 하나를 합니다.
    • 새 Passcode Profile을 만들려면 표 안을 우클릭 > New 를 클릭합니다.
    • 기존 프로파일을 고치려면 해당 프로파일이 있는 행을 우클릭 > Edit... 를 클릭합니다.

Passcode 창이 열립니다. 6. 설정을 바꿉니다(아래 참고). 7. OK 를 클릭합니다. 8. 정책을 설치(Install policy) 합니다.

Passcode Profile 설정

Passcode Profile에는 다음 설정이 들어 있습니다.

  • Passcode Requirements(복잡도 요건) — 복잡도를 정할 때는 사용자가 보통 작은 화면 키보드를 쓴다는 점 을 염두에 두세요.
    • Simple Passcode (4 digits) — 사용자가 숫자 4자리의 단순 비밀번호를 만듭니다. 이를 고르지 않으면 다음 복잡 passcode 옵션을 구성합니다.
      • Minimum passcode length — 최소 문자 수를 입력합니다.
      • Require alphanumeric characters — 영숫자 키보드를 띄우고 적어도 한 글자는 문자(letter) 가 되도록 요구합니다.
      • Minimum complex characters특수문자여야 하는 글자 수 를 입력합니다.
  • Force passcode expiration — passcode가 만료되어 교체해야 하는 일수 를 입력합니다.
  • Allow grace period for entering passcode — 사용자가 지정한 시간 동안 passcode를 다시 입력하지 않고 Business Secure Container에 접근하게 허용합니다. 시간을 분 단위로 입력합니다.
  • Exit after a few failures in passcode verification — 지정한 실패 횟수 후 사용자를 잠금 합니다. 잠긴 뒤에는 다시 인증해야 합니다. 인증 방식에 사용자명·비밀번호가 포함되면 그것을 입력해야 하고, 인증서만 쓰는 방식이면 새 인증서가 필요 합니다.
  • Enforce passcode history — 켜면 사용자가 이전과 같은 passcode를 다시 쓸 수 없 습니다. 다시 쓸 수 없는 과거 passcode 개수를 고릅니다.

Push Notification 구성

푸시 알림 켜기

푸시 알림은 Mobile Access Wizard 에서 켜거나, 각 Security Gateway의 Security Gateway Properties 에서 켭니다.

  • Mobile Access Wizard에서
    • 마법사에서 Mobile Mail 을 켜면 그 게이트웨이에 대해 푸시 알림이 자동으로 켜 집니다.
    • Mobile Access 탭 에서 Mobile Mail을 켜면 푸시 알림은 자동으로 켜지지 않 습니다.
  • Security Gateway Properties에서
    1. Mobile Access가 켜진 Security Gateway 객체를 엽니다.
    2. 트리에서 Mobile Access > Capsule Workspace 를 선택합니다.
    3. Enable Push Notifications 를 선택합니다.
    4. OK 를 클릭합니다.

Exchange 서버와 Security Gateway 간 통신

먼저 Exchange 서버가 Mobile Access Portal에 접근할 수 있는지 확인합니다.

Exchange 서버와 게이트웨이 사이의 기밀 정보는 모두 암호화된 SSL 터널 을 씁니다. 비기밀 정보는 암호화되지 않은 HTTP 연결을 쓸 수 있습니다. 원한다면 모든 푸시 알림 통신이 SSL 터널을 거치도록 구성할 수 있습니다.

기본적으로 Exchange 서버로의 푸시 알림 등록(Push Notification registration)에는 Kerberos 인증이 켜져 있지 않 습니다. 켜려면 sk110629 의 지침을 따릅니다.

모든 푸시 알림 통신을 SSL 터널로 강제하려면 다음과 같이 합니다.

  1. Mobile Access 게이트웨이에 신뢰된 서버 인증서를 설치 합니다(sk98203 참고).
  2. Management Server에 연결된 모든 SmartConsole 창을 닫습니다.
  3. Database Tool(GuiDBEdit Tool) 로 Management Server에 연결합니다.
  4. main_url 필드를 검색합니다(Ctrl+F).
  5. F3 를 눌러 다음 main_url 을 계속 찾아, 값에 ExchangeRegistration 이 들어 있는 main_url 을 찾습니다.
  6. 그 ExchangeRegistration main_url 필드를 더블 클릭해 값을 http:// 가 아니라 https:// 로 고칩니다.
  7. 변경을 저장하고 Database Tool(GuiDBEdit Tool)을 닫습니다.
  8. SmartConsole로 Management Server에 연결합니다.
  9. Mobile Access 게이트웨이 객체를 엽니다.
  10. OK 를 클릭합니다.
  11. 정책을 설치 합니다.

Exchange 서버에 인증서 가져오기

  1. 인증서를 Exchange 서버로 다운로드합니다.
  2. 인증서 파일을 더블 클릭하고 Windows 인증서 설치 마법사 단계를 따릅니다.
  3. Microsoft Management Console 을 실행합니다.
  4. 열린 창에서 File > Add/Remove Snap-in 을 클릭하면 Add or Remove Snap-ins 창이 열립니다.
  5. Available snap-ins에서 Certificates 를 선택하고 Add 를 클릭합니다.
  6. My user account 를 선택합니다.
  7. Finish 를 클릭합니다.
  8. 다시 Certificates 를 선택하고 Add 를 클릭합니다.
  9. Computer account 를 선택합니다.
  10. Next 를 클릭합니다.
  11. Finish 를 클릭합니다.
  12. OK 를 클릭합니다.

이렇게 하면 인증서가 Local computer 저장소와 Current user 저장소에 모두 저장 됩니다.

Push Notification Status Utility

환경이 푸시 알림에 맞게 제대로 구성됐는지 확인 하려면 Push Notification Status Utility 를 씁니다. 다음 명령으로 보고서를 만듭니다.

$CVPNDIR/bin/PushReport

보고서에는 다음 데이터가 담깁니다.

  1. License — 라이선스가 유효한지, 혹은 평가판(evaluation) 라이선스인지 보여 줍니다.
  2. Configuration — 데이터베이스에서 푸시 알림이 구성·활성화돼 있는지 보여 줍니다.
  3. Connectivity — Check Point Cloud 및 CRL 목록과 연결돼 있는지 보여 줍니다.
  4. Callback URL — 구성된 콜백 URL을 보여 줍니다. https URL이면 인증서가 필요하다는 점도 함께 안내합니다.

출력 예시는 다음과 같습니다.

[Exper@MyGW:0]# PushReport
This is your configuration status:
==================================
Topic               Status              Description
-------------------------------------------------------------------------
License             OK                  You are not using an evaluation license
Configuration       OK                  Push is enabled in configuation
Connectivity        OK                  You have connectivity to cloud
Callback URL        OK                  Your callback push url is: http://198.51.100.2/ExchangeRegistration. Make sure you have internal connectivity to this URL.

푸시 알림 사용 현황 모니터링

푸시 알림 활동을 모니터링·디버그·문제 해결하려면 fwpush 명령을 씁니다.

실패한 배치(failed batch), 만료된 푸시 알림, 지연된 푸시 알림을 보려면 다음 파일을 확인합니다.

$FWDIR/log/pushd_failed_posts

모바일 앱의 ESOD 우회(ESOD Bypass)

핸드헬드 기기는 Endpoint Security on Demand(ESOD) 구성요소를 실행할 수 없 어, 기본적으로 스마트폰·태블릿에는 ESOD가 비활성입니다. 조직이 ESOD를 켜 두었다면 모바일 앱은 ESOD가 강제되는 응용에 닿지 못 합니다.

게이트웨이의 ESOD 설정을 바꾸려면 다음과 같이 합니다.

  1. 게이트웨이에서 알맞은 값으로 다음 명령을 실행합니다.
   cvpnd_settings $CVPNDIR/conf/cvpnd.C set MobileAppBypassESODforApps "true"
   

또는

   cvpnd_settings $CVPNDIR/conf/cvpnd.C set MobileAppBypassESODforApps "false"
   

여기서:

  • true — 모바일 앱에 대해 ESOD를 우회합니다(기본값).
    • false — 우회하지 않습니다.
  • Mobile Access 서비스를 재시작합니다.
   
  1. 클러스터를 쓴다면 $CVPNDIR/conf/cvpnd.C 파일을 모든 클러스터 멤버에 복사하고, 각 멤버에서 서비스를 재시작합니다.

시스템별 구성(System Specific Configuration)

이 절은 iPhone·iPad·Android에 필요한 시스템별 구성을 다룹니다. 일부는 최종 사용자가 직접 하는 구성 도 필요합니다.

iPhone·iPad 구성

iPhone/iPad 클라이언트를 ActiveSync 응용에 연결하기

ActiveSync 응용에 접근을 허용하면 사용자에게 ActiveSync Setup 항목이 보이고, ActiveSync 프로파일을 설치해 회사 이메일에 접근할 수 있습니다.

다음은 최종 사용자가 자기 기기에서 하는 절차입니다(모든 최종 사용자 구성 절차는 "최종 사용자 안내" 참고). 회사 이메일에 연결하려면:

  1. Mobile Access 사이트에 로그인합니다.
  2. Mail Setup 을 탭합니다.
  3. 화면 안내를 따릅니다.

iPhone·iPad에서 로그 받기

클라이언트 기기 문제를 해결하려면 사용자에게 로그를 보내 달라 고 하세요. 이때 iPhone·iPad에 이메일 계정이 설정돼 있어야 합니다. 로그를 구성하려면:

  1. i 아이콘을 탭합니다. 로그인 전에는 오른쪽 위, 로그인 후에는 오른쪽 아래에 있습니다.
  2. 탐색 막대에서 Report a Problem 을 탭합니다. iPhone에 이메일 계정이 없으면 하나 설정하라는 메시지가 뜹니다. 설정한 뒤에는 Check Point Mobile Access를 다시 열어야 합니다.

이메일 계정이 설정돼 있으면 이메일 페이지가 열리고 로그가 첨부됩니다.

클라이언트 SSO 끄기

Single Sign On(SSO) 은 세션 중인 사용자가 클라이언트를 시작할 때 다시 인증하지 않고 Mobile Access 게이트웨이에 연결하게 해 줍니다. SSO가 켜진 상태에서 사용자가 게이트웨이에 접근할 수 없다면 SSO를 끕니다. 클라이언트에서 SSO를 끄려면:

  1. Settings 를 탭합니다.
  2. 아래로 스크롤해 Check Point Mobile 아이콘을 탭합니다.
  3. Mobile global settings에서 Single Sign On > Enabled 스위치를 탭합니다.

Android 구성

신뢰되지 않은 서버 인증서를 가진 서버로 접속하기

Android 앱에서 신뢰되지 않은 서버 인증서 를 가진 서버로 접속하면 접근이 거부되고 다음 메시지가 뜹니다.

Some resources on this page reside on an untrusted host.

스테이징·데모 환경처럼 일부 경우에는 신뢰되지 않은 인증서 서버로의 접속을 켤 수 있습니다.

Android 기기의 세션 타임아웃

Android에서는 유휴 타임아웃(idle timeout)을 기기나 게이트웨이가 수정·강제할 수 없 습니다. 기기에 적용되는 유일한 타임아웃은 활성 세션 타임아웃(active session timeout) 입니다. 이는 SmartDashboard의 Mobile Access Software Blade > Additional Settings > Session > Re-authenticate users every x minutes 옵션에서 구성합니다. 이 설정은 최대 세션 길이 를 뜻하며, 그 시간에 도달하면 사용자는 다시 로그인해야 합니다. 예를 들어 재인증을 120분으로 두면, 활성 세션 2시간 뒤 사용자는 다시 로그인해야 합니다.

Android 클라이언트에서 로그 받기

클라이언트 기기 문제를 해결하려면 사용자에게 로그를 보내 달라고 하세요. 로그를 보내려면:

  1. Check Point 응용을 엽니다.
  2. About 을 탭합니다.
  3. 기기의 Menu 버튼을 누릅니다.
  4. Send Logs 를 탭합니다.
  5. 로그를 보낼 방법을 고릅니다.

최종 사용자 안내

최종 사용자가 자기 모바일 기기를 Mobile Access와 함께 쓰도록, 다음 안내를 전달하세요.

iPhone/iPad 최종 사용자 구성

iPhone/iPad에서 Mobile Access를 쓰려면 다음 절차를 합니다. 시작 전에 관리자가 다음을 주는지 확인하세요.

  • 연결할 사이트 이름(Site Name).
  • 필요한 등록 키(Registration key, 활성화 키(Activation key)라고도 함).

회사 사이트에 연결하려면:

  1. App Store에서 Check Point Capsule Workspace 를 받습니다.
  2. 프롬프트가 뜨면 다음을 입력합니다.
    • Site Name
    • Registration key

회사 이메일에 연결하려면:

  1. Mobile Access 사이트에 로그인합니다.
  2. Mail Setup 을 탭합니다.
  3. 화면 안내를 따릅니다.
  4. 비밀번호를 물으면 Exchange 비밀번호 를 입력합니다.

로그를 구성하려면:

  1. Information 을 탭합니다. 로그인 전에는 오른쪽 위, 로그인 후에는 오른쪽 아래에 있습니다.
  2. 탐색 막대에서 Report a Problem 을 탭합니다. iPhone에 이메일 계정이 없으면 하나 설정하라는 메시지가 뜨고, 설정한 뒤 Check Point Mobile Access를 다시 열어야 합니다. 계정이 설정돼 있으면 이메일 페이지가 열리고 로그가 첨부됩니다.

클라이언트에서 SSO를 끄려면:

  1. Settings 를 탭합니다.
  2. 아래로 스크롤해 Capsule Workspace 아이콘을 탭합니다.
  3. Mobile global settings에서 Single Sign On > Enabled 스위치를 탭합니다.

웹 응용의 서버 인증서 검증을 끄려면:

  1. Check Point Mobile 앱을 실행합니다.
  2. 사이트에 로그인합니다.
  3. 메뉴 버튼을 누르고 Settings 를 탭합니다.
  4. Allow connection to untrusted servers 를 켭니다.

Android 최종 사용자 구성

Android 기기에서 Mobile Access를 쓰려면 다음 절차를 합니다. 시작 전에 관리자가 다음을 주는지 확인하세요.

  • 연결할 사이트 이름.
  • 필요한 등록 키(활성화 키라고도 함).

회사 사이트에 연결하려면:

  1. Android Market에서 Check Point Mobile 앱을 받습니다.
  2. 프롬프트가 뜨면 다음을 입력합니다.
    • Site Name
    • Registration key

웹 응용의 서버 인증서 검증을 끄려면:

  1. Check Point Mobile 앱을 실행합니다.
  2. 사이트에 로그인합니다.
  3. 메뉴 버튼을 누르고 Settings 를 탭합니다.
  4. Allow connection to untrusted servers 를 켭니다.

로그를 보내려면:

  1. Check Point 응용을 엽니다.
  2. About 을 탭합니다.
  3. 기기의 Menu 버튼을 누릅니다.
  4. Send Logs 를 탭합니다.
  5. 로그를 보낼 방법을 고릅니다.

클라이언트 인증서를 제3자 메일 클라이언트로 옮기려면:

  1. Check Point Mobile 앱을 실행합니다.
  2. 사이트에 로그인합니다.
  3. 메뉴 버튼을 누르고 Settings 를 탭합니다.
  4. Export Certificate 옵션에서 Export 를 탭하면 Export Certificate 창이 열립니다. (이 옵션이 비활성이면 시스템 관리자에게 문의하세요.)
  5. 메일 클라이언트에 맞는 인증서 형식(P12 또는 PFX)을 고릅니다.
  6. 인증서를 저장할 위치를 고릅니다. 기본 경로는 SD 카드가 있는 기기에서는 /sdcard, 없는 기기에서는 외부 리소스 폴더입니다.
  7. OK 를 탭해 선택한 위치에 인증서를 저장합니다. 그러면 다음 창이 열립니다.
   Export succeeded. Certificate password is: _______
   
  1. 이 비밀번호를 클립보드로 복사할 수 있습니다. 제3자 메일 앱에 인증서를 가져올 때 이 비밀번호가 필요합니다.

핸드헬드용 고급 게이트웨이 구성

클라이언트 인증, 기기 요건, 인증서 세부, ActiveSync 동작을 사용자 정의할 수 있습니다. 아래 CLI 명령으로 구성 파일의 설정을 바꿉니다.

$CVPNDIR/conf/cvpnd.C

변경을 적용하려면 Mobile Access 서비스를 재시작합니다.

cvpnrestart

Mobile Access 속성을 설정하려면:

cvpnd_settings set <attribute_name> "<value>"

속성의 현재 값을 보려면:

cvpnd_settings get <attribute_name>

설정할 수 있는 속성은 다음과 같습니다.

속성(Attribute)기본값설명
ActiveSyncAllowedtrueActiveSync 응용 접근을 허용할지 여부.
ActiveSyncExchangeServerAuthenticationMethodbasicMobile Access 게이트웨이에서 내부 Exchange 서버로 인증을 전달하는 방식. 유효 값: basic, digest, ntlm.
MobileAppAllowActiveSyncProfileConfigtrueiPhone·iPad용 자동 ActiveSync 프로파일 구성을 사용자에게 제공할지 여부. true — ActiveSync 응용 접근 권한이 있는 사용자에게만 이 기능이 보임. false — 아무 사용자에게도 보이지 않음.
MobileAppMinRequiredClientOSVersion3.1iPhone·iPad의 최소 OS 버전. 충족하지 못하면 사용자에게 Your OS version must be upgraded 표시.
MobileAppAndroidMinRequiredClientOSVersion2.1Android의 최소 OS 버전. 충족하지 못하면 Your OS version must be upgraded 표시.
MobileAppMinRecommendedClientOSVersion3.1iPhone·iPad의 권장 OS 버전. 충족하지 못하면 메시지가 뜨지만 사용은 계속됨.
MobileAppAndroidMinRecommendedClientOSVersion2.1Android의 권장 OS 버전. 충족하지 못하면 메시지가 뜨지만 사용은 계속됨.
MobileAppMinRequiredClientAppVersion1.3iPhone·iPad에 필요한 최소 앱 버전. 충족하지 못하면 Application Update Required 표시.
MobileAppAndroidMinRequiredClientAppVersion1.0Android에 필요한 최소 앱 버전. 충족하지 못하면 Application Update Required 표시.
MobileAppMinRecommendedClientAppVersion1.3iPhone·iPad의 권장 앱 버전. 충족하지 못하면 메시지가 뜨지만 사용은 계속됨.
MobileAppAndroidMinRecommendedClientAppVersion1.0Android의 권장 앱 버전. 충족하지 못하면 메시지가 뜨지만 사용은 계속됨.
MobileAppMinClientOSVersionForProfileConfig3.1앱으로 ActiveSync를 구성하기 위한 iPhone·iPad의 최소 OS 버전. 데이터 암호화를 원하면 이 값을 4.0으로 바꾸고, Exchange 서버의 ActiveSync 정책이 데이터 암호화를 강제하는지 확인.
MobileAppAndroidMinClientOSVersionForProfileConfig2.1앱으로 ActiveSync를 구성하기 위한 Android의 최소 OS 버전. 데이터 암호화를 원하면 이 값을 3.0으로 바꾸고, ActiveSync 정책이 데이터 암호화를 강제하는지 확인.
MobileAppBypassESODforAppsfalsetrue 이면, ESOD 준수를 요구하는 보호 수준의 Mobile Access 응용에도 모바일 앱이 접근 가능. 모바일 앱은 Mobile Access Portal에는 항상 접근 가능.
MobileAppAllowClientCertExportfalsetrue 이면, 모바일 앱 클라이언트가 자기 클라이언트 인증서를 다른 앱·기기로 내보낼 수 있음.