목차/11. UserCheck

11UserCheckUserCheck

여기서부터는 Custom과 Autonomous 양쪽에 똑같이 적용되는 공통 기능 입니다. 그 첫 번째가 UserCheck — 위협을 막는 김에 사용자에게 직접 말을 거는 기능입니다. 이 장은 UserCheck가 무엇이고, 게이트웨이에서 어떻게 켜며, 사용자에게 보여 줄 Interaction 객체를 어떻게 만들고, 단말에 설치하는 UserCheck Client를 어떻게 배포·신뢰·연결하며, 메시지를 현지화하는지 까지 원문 두 문서(Custom·Autonomous)의 내용을 빠짐없이 풀어 정리합니다. 두 정책 방식이 다른 부분은 그때그때 짚어 둡니다.

UserCheck 개요

UserCheck 를 켜면, 관리자가 Security Policy에 짜 둔 규칙에 따라 게이트웨이가 사용자에게 직접 메시지를 보내 위험하거나 규정에 어긋나는 인터넷 사용을 알립니다. 이렇게 하면 사용자가 스스로 보안 사고를 막고 조직의 보안 정책을 익히 게 되고, 관리자는 기록된 사용자 응답을 바탕으로 더 효과적인 정책을 다듬 을 수 있습니다. 구체적으로는 UserCheck 객체 를 만들어 Rule Base에서 사용자와 소통합니다.

UserCheck를 지원하는 Software Blade는 다음과 같습니다.

  • Data Loss Prevention(DLP)
  • Access Control — Application Control, URL Filtering, Content Awareness
  • Threat Prevention — Anti-Bot, Anti-Virus, Threat Emulation, Threat Extraction, Zero Phishing

(Access Control 쪽 자세한 내용은 Security Gateway 가이드의 Software Blade를 참고하세요.)

위협이 탐지될 때 동작이 갈리는 방식

악성 파일이나 활동이 식별되면 규칙에 정해진 동작에 따라 UserCheck가 다르게 반응합니다. 특히 Autonomous 정책에서는 UserCheck가 구체적인 위협 사건을 처리하며, 사용자에게 데이터가 수집(차단)되었음을 알리고, Ask인 경우 사용자가 트래픽을 허용하려면 이유를 적어야 하며, 그 결정은 로그에 남습니다. 동작별 의미는 다음과 같습니다.

동작설명
AskSoftware Blade가 게이트웨이로 보내도 되는지 사용자가 확인할 때까지 파일·트래픽을 일단 막 습니다. 사용자가 허용 여부를 결정하며, 그 결정 자체가 Ask User 로그User Response 필드에 기록됩니다.
PreventSoftware Blade가 파일·트래픽을 차단합니다. 사용자에게 UserCheck Prevent 메시지 를 보여 줄 수 있습니다.
DetectSoftware Blade가 파일·트래픽을 허용합니다. 사건은 로그에 남아 Logs & Events 뷰에서 검토·분석할 수 있습니다.

사용자에게 메시지를 띄우는 방식은 두 가지입니다 — 게이트웨이의 UserCheck Web Portal 로 리디렉션 하거나, 단말에 UserCheck Client 를 설치 하는 것입니다. UserCheck가 켜져 있으면 사용자의 인터넷 브라우저가 새 창에서 UserCheck 메시지를 보여 주고, 사용자는 그 메시지를 보고 필요한 동작(허용/차단 확인 등)을 직접 수행합니다.

게이트웨이에서 UserCheck 켜기

UserCheck는 게이트웨이에서 직접 켜고 끕니다. UserCheck가 켜져 있으면 사용자의 인터넷 브라우저가 새 창으로 UserCheck 메시지를 띄웁니다. 사용자가 원격으로 게이트웨이에 접속 한다면, Topology 페이지에서 게이트웨이의 내부 인터페이스를 UserCheck Portal의 Main URL 과 같게 맞춰 두어야 합니다.

게이트웨이에서 UserCheck를 구성하는 절차는 다음과 같습니다.

  1. 게이트웨이 편집기에서 UserCheck 페이지로 갑니다. Custom 에서는 Enable UserCheck for active blades 를 선택합니다. Autonomous 에서는 게이트웨이 객체를 더블 클릭해 UserCheck 페이지를 열고, Enable UserCheck for active blades이미 선택되어 있는지 확인 합니다(기본으로 켜져 있음).
  2. UserCheck Web Portal 섹션에서 — Main URL 필드에 UserCheck 알림을 띄우는 웹 포털의 기본 URL이 나옵니다. 제안된 Main URL을 그대로 써도 되고, 다른 URL을 직접 입력해도 됩니다.
  3. (선택) Aliases 를 눌러, 서로 다른 호스트 이름을 Main URL로 리디렉션하는 URL 별칭을 추가합니다. 예: Usercheck.mycompany.com. 별칭은 회사 DNS 서버에서 포털 IP 주소로 해석 되어야 합니다.
  4. Certificate 섹션에서 Import 를 눌러, 포털이 Security Management Server에 인증할 때 쓸 인증서를 가져옵니다. 기본값으로 포털은 Check Point Internal Certificate Authority(ICA) 의 인증서를 씁니다. 이 경우 사용자 브라우저가 Check Point를 신뢰할 수 있는 CA로 알지 못하면 경고가 뜰 수 있습니다. 경고를 없애려면 신뢰받는 외부 인증 기관의 인증서를 직접 가져오 세요.
  1. Accessibility 섹션에서 Edit 를 눌러, 포털에 접근할 수 있는 게이트웨이 인터페이스를 구성합니다. 이 옵션들은 게이트웨이에 설정된 토폴로지를 기준으로 하므로 토폴로지가 미리 구성되어 있어야 합니다. 사용자는 다음 경로로 접속할 때 UserCheck Portal로 보내집니다.
  • Through all interfaces — 모든 인터페이스를 통해
    • Through internal interfaces(기본값) — 내부 인터페이스를 통해
      • Including undefined internal interfaces(정의되지 않은 내부 인터페이스 포함)
      • Including DMZ internal interfaces(DMZ 내부 인터페이스 포함)
      • Including VPN encrypted interfaces(기본값) — 라우트 기반 VPN 터널(VTI) 수립에 쓰는 인터페이스 포함
    • According to the Firewall Policy — 포털에 누가 접근할 수 있는지 정한 규칙이 따로 있을 때 선택
  1. UserCheck Client — UserCheck Client는 단말(Endpoint)에 설치되어 게이트웨이와 통신하고 사용자에게 UserCheck Interaction 알림을 보여 줍니다.
  • Activate UserCheck Client support — 클라이언트를 통한 UserCheck를 켭니다.
    • Download Client — UserCheck Client 설치 파일을 내려받습니다.

설치·구성에 관한 자세한 내용은 아래 UserCheck Client 절을 참고하세요.

  1. Mail Server 섹션에서 UserCheck용 메일 서버를 구성합니다. 이 서버는 게이트웨이가 다른 방법으로 알릴 수 없는 사용자에게(이메일 주소를 알고 있다면) 알림을 보냅 니다. 예를 들어 어떤 사용자가 규칙에 걸리는 이메일을 보냈다면, 그 트래픽은 HTTP가 아니므로 게이트웨이가 사용자를 UserCheck Portal로 리디렉션할 수 없습니다. UserCheck Client가 없는 사용자에게도 UserCheck가 이메일 알림을 보냅 니다.
  • Use the default settings — 링크를 눌러 어떤 메일 서버가 구성되어 있는지 봅니다.
    • Use specific settings for this gateway — 기본 메일 서버 설정을 이 게이트웨이에 한해 재정의합니다.
    • Send emails using this mail server — 목록에서 메일 서버를 고르거나, New 로 새 메일 서버를 정의합니다.
  1. OK 를 누릅니다.
  2. 내부 인터페이스로 암호화된 트래픽 이 지나간다면, Access Control Policy의 Firewall Layer에 새 규칙을 추가합니다. 예시 규칙은 다음과 같습니다.
SourceDestinationVPNServices & ApplicationsAction
AnyUserCheck Client가 켜진 Security GatewayAnyUserCheckAccept
  1. Access Control Policy를 설치(Install)합니다.

UserCheck Interaction 객체

UserCheck Interaction 객체 는 게이트웨이가 사용자와 소통하는 수단으로, 유연성을 더해 줍니다. 이 객체는 조직 보안에 위험할 수 있는 결정을 사용자가 내릴 때 돕 고, 웹 애플리케이션·사이트에 대한 회사의 변화하는 인터넷 정책을 실시간으로 사용자와 공유 합니다. UserCheck가 켜져 있으면 사용자 브라우저가 새 창에서 이 Interaction 메시지를 보여 줍니다.

UserCheck 페이지에는 기본 Interaction 메시지가 들어 있습니다. 객체와 그 메시지를 편집하고 미리 볼 수 있습니다. 기존 Interaction 객체를 보려면 SmartConsole에서 정책 방식에 따라 다음 경로로 갑니다.

  • CustomSecurity Policies > Threat Prevention > Custom Policy Tools > UserCheck
  • AutonomousSecurity Policies > Autonomous Policy Tools > UserCheck

기본 Interaction 객체

기본으로 제공되는 UserCheck Interaction 객체는 다음과 같습니다.

이름Action Type설명
[Software Blade] BlockedBlock요청이 차단될 때 표시됩니다.
Company Policy [Software Blade]Ask규칙의 동작이 Ask일 때 표시됩니다. 특정 사이트에 대한 회사 정책을 사용자에게 알리고, 사용자가 사이트로 계속 가려면 OK 를 눌러야 합니다.
[Software Blade] Success PageApprove규칙의 동작이 Approve일 때 표시됩니다. Success 페이지에서 원본 파일 링크를 내려받거나 원본 이메일을 받을 수 있습니다.
Cancel Page Anti-MalwareCancelAsk·Approve 페이지에는 요청을 취소할 수 있는 Cancel 버튼이 들어 있습니다.

각 메시지 페이지는 다음 네 가지 뷰로 미리 볼 수 있습니다.

  • Agent — UserCheck 에이전트에서 메시지가 어떻게 보이는지
  • Email — 이메일에서 어떻게 보이는지
  • Mobile Device — 모바일 기기의 웹 브라우저에서 어떻게 보이는지
  • Regular view — PC·노트북의 웹 브라우저에서 어떻게 보이는지

Interaction 객체 만들기

새 UserCheck Interaction 객체를 만드는 절차입니다.

  1. UserCheck 페이지에서 New 를 누르고 객체 유형을 고릅니다.
  • Ask — 요청을 계속할지 묻는 메시지를 보여 줍니다. 계속하려면 사용자가 이유를 적어야 합니다.
    • Inform — 안내 메시지를 보여 줍니다. 사용자는 애플리케이션으로 계속 가거나 요청을 취소할 수 있습니다.
    • Block — 메시지를 보여 주고 애플리케이션 요청을 차단합니다.

선택하면 새 UserCheck 객체 창이 열립니다. 2. Object Name 을 입력합니다. 3. UserCheck 객체 창의 메뉴 막대에서 알맞은 편집 방식을 고릅니다.

  • Source — HTML 코드를 직접 입력
    • Design — 서식 버튼·옵션이 있는 상태에서 텍스트 입력
  • (선택) Language 를 눌러 메시지에 쓸 언어를 하나 이상 고릅니다. 기본 언어는 영어 입니다.
  • 메시지의 제목(title)·부제(subtitle)·본문(body) 텍스트를 입력합니다. Source 모드에서는 본문에 다음 기능을 넣을 수 있습니다.
  • Insert Field — 원본 URL, 출발지 IP 주소 등 동적 텍스트 를 넣습니다. Ask User·Inform User·Block 동작이 일어나면, UserCheck Portal과 Client가 이 변수를 실제 값으로 바꿔 메시지에 넣습니다.
  • Insert User Input — Confirm 체크박스, Report Wrong Category 같은 사용자 입력용 특수 필드 를 넣습니다. 상단 도구 막대에서 Insert User Input 를 누르고 알맞은 항목을 고릅니다.
  • (선택) Add logo 를 눌러 메시지에 그래픽을 넣습니다. 그래픽 크기는 176 x 52 픽셀 이어야 합니다.
  • 탐색 트리에서 Settings 를 눌러 다음 옵션을 하나 이상 구성할 수 있습니다.
  • Languages — 사용자 브라우저 언어가 정의되어 있지 않을 때 쓸 언어를 고릅니다.
    • Fallback Action(Ask·Inform 객체에 한함) — 사용자가 메시지를 볼 수 없을 때 의 대체 동작입니다.
설명
Drop연결·트래픽을 버리고 내부 네트워크로 들이지 않습니다.
Accept연결·트래픽을 받아들여 내부 네트워크로 들입니다.
  • Conditions(Ask 객체에 한함) — UserCheck 메시지에 사용자 상호작용이 필요한 항목 을 넣을 수 있고, 사용자가 필요한 동작을 마쳐야만 트래픽이 허용됩니다. 다음 중 하나 또는 둘 다 고릅니다.
  • User accepted and selected the confirm checkbox — 사용자가 경고를 무시하고 계속하겠다는 뜻입니다. Message 페이지에서 Insert User Input 메뉴로 Confirm Checkbox 요소를 넣었을 때 적용됩니다.
    • User entered the required textual input in the user input field — 사용자가 Threat Prevention 경고를 무시하는 이유를 적어야 합니다. Message 페이지에서 Textual Input 요소를 넣었을 때 적용됩니다.
  • Redirect the user to an external portal — UserCheck를 외부 UserCheck Portal로 리디렉션 하도록 구성할 수 있고, 이때 사용자는 이 UserCheck 메시지를 보지 않습니다. External Portal 에 외부 포털 URL을 입력합니다. 이 URL은 사용자에게서 사용자 이름·암호 같은 인증 정보를 받아 게이트웨이로 보내는 외부 시스템일 수 있습니다.
    • (선택) Add UserCheck Incident ID to the URL query — URL 쿼리 끝에 사건 ID를 붙입니다.
    • URL template 필드는 XML 파일을 가리킵니다. 이 파일은 외부 포털에 두어 게이트웨이로 되돌려 보낼 수 있어야 합니다.
    • pre-shared secret 는 외부 포털을 게이트웨이에 인증합니다.
  • OK 를 누릅니다.
  • Access Control Policy를 설치합니다.

Approved·Cancel 메시지 고르기

Approved PageCancel Page 의 쓰임은 다음과 같습니다.

  • Approved PageThreat Extraction 에만 적용 됩니다. Threat Extraction이 깨끗한 파일을 보내 주면 원본 파일을 내려받을지 고를 수 있습니다. 내려받기를 고르면 UserCheck success 메시지를, 내려받지 않기를 고르면 UserCheck cancel 메시지를 받습니다.
  • Cancel Page모든 Threat Prevention Software Blade에 적용 됩니다. 페이지나 파일에 대한 접근을 거부한 뒤에 표시됩니다.

Approved Page·Cancel Page를 고르는 절차입니다.

  1. Manage & Settings > Blades > Threat Prevention > UserCheck 로 갑니다.
  2. 드롭다운 메뉴에서 Approved Page, Cancel Page, 또는 둘 다 고릅니다.
  3. OK 를 누릅니다.
  4. Threat Prevention Policy를 설치합니다.

UserCheck 이메일을 평문으로 보내기

모든 이메일 클라이언트가 리치 텍스트·HTML 형식 이메일을 다룰 수 있는 것은 아닙니다. 이런 클라이언트를 위해, HTML 형식에 더해 이미지 없는 평문(plain text) 형식으로도 이메일 알림을 보내도록 게이트웨이를 구성할 수 있습니다. 어느 형식을 보여 줄지는 사용자의 이메일 클라이언트가 정합니다.

  1. 게이트웨이/각 Cluster Member의 명령줄에 접속합니다.
  2. Expert mode 로 로그인합니다.
  3. 구성 파일을 백업합니다.
   cp -v $FWDIR/conf/usrchkd.conf{,_BKP}
   
  1. 구성 파일을 편집합니다.
   vi $FWDIR/conf/usrchkd.conf
   
  1. 해당 파라미터 값을 다음과 같이 바꿉니다.
   :send_emails_with_no_images (false)
   

   :send_emails_with_no_images (true)
   

로 바꿉니다. 6. 파일을 저장하고 편집기를 빠져나갑니다. 7. 새 구성을 적용하려고 userchkd 프로세스를 종료합니다.

   killall userchkd
   

게이트웨이가 이 프로세스를 자동으로 다시 시작 합니다.

UserCheck Client

UserCheck Client 는 단말(Endpoint) 컴퓨터에 설치되어 게이트웨이와 통신하고 사용자에게 알림을 보여 줍니다. UserCheck Client는 웹 브라우저가 아닌 애플리케이션(예: Skype, iTunes, 라디오 툴바 같은 브라우저 추가 기능)에 대해서도 알림을 보냅니다. 또한 다음 경우에는 UserCheck Portal과 함께 동작해, 컴퓨터 자체에서 알림을 띄웁니다.

  • 웹 브라우저에 알림을 띄울 수 없을 때
  • UserCheck 엔진이 웹 브라우저에서 알림이 제대로 보이지 않는다고 판단 했을 때

사건 알림은 시스템 트레이의 UserCheck Client에서 팝업 으로 표시되며, 사용자는 알림 메시지에서 옵션을 골라 실시간으로 응답합니다.

설치·구성 전체 흐름

UserCheck Client를 설치·구성하는 큰 흐름은 다음과 같습니다.

  1. Security Gateway 객체를 엽니다.
  2. 게이트웨이 객체에서 UserCheck와 UserCheck Client를 켭니다(앞의 게이트웨이에서 UserCheck 켜기 참고).
  3. UserCheck Client가 게이트웨이와 어떻게 통신하고 신뢰를 맺을지 구성합니다(아래 클라이언트와 게이트웨이의 통신·신뢰).
  4. 단말 컴퓨터에 UserCheck Client를 설치합니다(아래 클라이언트 설치).
  5. UserCheck Client를 게이트웨이에 연결합니다(아래 클라이언트를 게이트웨이에 연결).
  6. UserCheck Client가 알림을 받을 수 있는지 확인합니다 — 단말에서 정책을 어기는 가장 간단한 동작을 해 보 면 됩니다.

클라이언트와 게이트웨이의 통신·신뢰

UserCheck Client가 있는 환경에서 게이트웨이는 클라이언트의 서버 역할 을 합니다. 각 클라이언트는 서버를 찾아내고(discover) 신뢰를 맺을 수 있어야 합니다.

신뢰를 맺을 때 클라이언트는 서버가 올바른 서버인지 확인합니다 — SSL 핸드셰이크 중 계산한 서버 지문(fingerprint)을 기대 지문과 비교 합니다. 서버 지문이 기대한 것과 다르면, 클라이언트는 사용자에게 서버가 올바른지 직접 확인해 달라고 요청합니다.

클라이언트가 서버를 찾아내고 신뢰하게 하는 방법은 네 가지입니다.

방법일회성 수동 신뢰 필요?게이트웨이 변경 후에도 동작?클라이언트 서명 유지?AD 필요?다중 사이트수준권장 대상
File name based아니오아니오아니오매우 간단관련 Software Blade가 있는 게이트웨이가 하나뿐인 구성
AD based아니오아니오간단수정 가능한 AD 가 있는 구성
DNS basedDNS 서버별로 부분적간단AD가 없는 구성, 또는 바꿀 수 없는 AD와 바꿀 수 있는 DNS가 있는 구성
Remote registry아니오아니오보통원격 레지스트리를 다른 용도로도 쓰는 경우

1. 파일 이름 기반(File name based) 구성

다른 방법을 구성하지 않은 기본·출고 상태 에서는, 포털에서 내려받은 모든 UserCheck Client의 파일 이름에 포털 장비의 IP 주소가 들어 갑니다. 설치 중에 클라이언트는 이 IP 주소로 게이트웨이에 연결합니다. 단, 사용자가 Trust 를 눌러 서버를 직접 신뢰해야 합니다.

이 방법은 구성이 가장 쉽고 출고 상태 그대로 동작 합니다. 사용자는 처음 연결할 때 Trust 를 눌러 서버를 신뢰하기만 하면 됩니다. 관련 Software Blade가 있는 게이트웨이가 하나뿐 일 때 쓰기 좋습니다.

동작 방식은 이렇습니다. 사용자가 UserCheck Client를 내려받으면 게이트웨이 주소가 파일 이름에 들어갑니다. 설치 중에 클라이언트는 다른 발견 방법(AD·DNS·로컬 레지스트리)이 구성되어 있는지 살펴보고, 아무것도 없으면서 게이트웨이에 닿을 수 있으면 그 게이트웨이를 서버로 씁니다. UserCheck Settings 창에서 연결한 서버가 파일 이름의 게이트웨이와 같음을 확인할 수 있습니다. 파일 이름은 쉽게 바뀔 수 있으므로 사용자가 신뢰 데이터가 유효한지 직접 확인 해야 합니다.

MSI 이름 바꾸기(Renaming the MSI)

컴퓨터에 설치하기 전에 MSI 파일 이름을 직접 바꿔, 클라이언트를 다른 게이트웨이에 연결 할 수 있습니다.

  1. 게이트웨이에 DNS 이름이 있는지 확인합니다.
  2. 다음 형식으로 MSI 이름을 바꿉니다.
   

여기서 GWname 은 게이트웨이의 DNS 이름입니다. 알림 포트를 지정하려면 다음 형식을 씁니다.

   

port 는 알림 포트 번호입니다. 예:

   

2. Active Directory 기반(AD based) 구성

클라이언트 컴퓨터가 Active Directory 도메인의 구성원이고 그 도메인에 관리 권한이 있다면, Distributed Configuration tool 로 연결·신뢰 규칙을 구성할 수 있습니다. 이 도구에는 창이 셋 있습니다.

  • Welcome — 도구 설명과, AD 접근에 쓸 자격 증명을 입력하는 곳
  • Server configuration — 클라이언트가 위치에 따라 어떤 게이트웨이에 연결할지 구성
  • Trusted Security Gateways — 게이트웨이가 안전하다고 여기는 지문 목록을 보고 바꾸는 곳

AD 기반 구성을 켜는 절차입니다.

  1. 컴퓨터에 UserCheck Client MSI를 내려받아 설치한 뒤, 그 컴퓨터의 명령줄에서 AD 유틸리티로 클라이언트 구성 도구를 실행합니다. 예를 들어 Windows 7에서는 이렇게 합니다.
   "C:\Users\%USERNAME%\Local Settings\Application Data\Checkpoint\UserCheck\UserCheck.exe" -adtool
   

Check Point UserCheck - Distributed Configuration 도구가 열립니다. 2. Welcome 페이지에서 AD 관리자 자격 증명을 입력합니다. 기본으로 내 AD 사용자 이름이 보이며, 관리자 권한이 없다면 Change user 를 눌러 관리자 자격 증명을 입력합니다. 3. Server Configuration 페이지에서 Add 를 누르면 Identity Server Configuration 창이 열립니다. 4. Default 를 고르고 Add 를 누릅니다. 5. 게이트웨이의 IP 주소 또는 FQDN(Fully Qualified Domain Name)과 포트를 입력합니다. 6. OK 를 누릅니다. UserCheck Client용 AD 서버의 신원이 Active Directory에 기록되어 모든 클라이언트에 전달 됩니다.

서버 구성 규칙(Server Configuration Rules)

Distributed Configuration tool에서 클라이언트를 Automatically discover the server 로 구성하면, 클라이언트가 규칙 목록을 가져와 서버에 연결할 때마다 위에서 아래로 규칙을 차례로 맞춰 봅니다. 규칙이 맞으면 그 규칙에 적힌 서버를, 지정된 우선순위에 따라 씁니다. 예시 구성의 의미는 다음과 같습니다.

  1. 사용자가 192.168.0.1 - 192.168.0.255 에서 오면 US-GW1 에 연결하고, 없으면 BAK-GS2 를 씁니다(우선순위가 더 높아 US-GW1이 없을 때만 사용).
  2. 사용자가 AD 사이트 UK-SITE 에서 연결하면 UK-GW1 또는 UK-GW2 에 연결합니다(우선순위가 같아 둘 중 무작위 선택). 둘 다 없으면 BAK-GS2 에 연결합니다.
  3. 규칙 1·2가 적용되지 않으면 BAK-GS2 에 연결합니다(기본 규칙은 만나면 항상 매칭됨).

Add·Edit·Remove 버튼으로 서버 연결 규칙을 바꿉니다.

신뢰된 게이트웨이(Trusted Gateways)

Trusted Gateways 창은 신뢰된 서버 목록 을 보여 줍니다 — 사용자가 이 서버에 연결할 때는 메시지가 뜨지 않습니다. 서버를 추가·편집·삭제할 수 있습니다. 서버에 연결할 수 있다면 IP 주소를 입력하고 Server Trust Configuration 창에서 Fetch Fingerprint 를 눌러 이름과 지문을 가져옵니다. 서버에 연결할 수 없다면, 그 서버에 연결할 때 표시되는 것과 같은 이름·지문을 직접 입력합니다.

3. DNS SRV 레코드 기반 서버 발견

DNS 서버에 서버 주소를 구성하는 방법입니다. 단, 사용자가 Trust 를 눌러 서버를 직접 신뢰해야 합니다. 클라이언트를 기본값인 Automatic Discovery 로 두면, 게이트웨이 주소를 찾으려고 DNS SRV 쿼리 를 보냅니다(DNS 접미사는 자동으로 붙음). 주소는 DNS 서버에 구성합니다.

DNS 서버에서 DNS 기반 구성을 하는 절차입니다.

  1. Start > All Programs > Administrative Tools > DNS 로 갑니다.
  2. Forward lookup zones 로 가서 해당 도메인을 고릅니다.
  3. _tcp 하위 도메인으로 갑니다.
  4. 오른쪽 클릭하여 Other new record 를 고릅니다.
  5. Service Location 을 골라 Create Record 합니다.
  6. Service 필드에 CHECKPOINT_DLP 를 입력합니다.
  7. Port 번호를 443 으로 설정합니다.
  8. Host offering this server 에 게이트웨이의 IP 주소를 입력합니다.
  9. OK 를 누릅니다.

게이트웨이의 Load Sharing(부하 분산) 을 구성하려면 우선순위가 같은 SRV 레코드를 여러 개 만들고, High Availability 를 구성하려면 우선순위가 다른 SRV 레코드를 여러 개 만듭니다.

DNS 기반 구성 문제 해결

DNS 기반 구성의 문제를 풀려면, DNS 서버에 저장된 SRV 레코드를 볼 수 있습니다.

C:\> nslookup
 > set type=srv
 > checkpoint_dlp._tcp

결과 예시는 다음과 같습니다.

C:\> nslookup
 > set type=srv
 > checkpoint_dlp._tcp
Server: dns.company.com
Address: 192.168.0.17
checkpoint_dlp._tcp.ad.company.com SRV service location:
          priority = 0
          weight = 0
          port = 443
          svr hostname = dlpserver.company.com
dlpserver.company.com internet address = 192.168.1.212
>

4. 원격 레지스트리(Remote Registry)

서버 주소와 신뢰 데이터를 포함한 모든 클라이언트 구성은 레지스트리에 저장 됩니다. GPO 등 레지스트리를 원격으로 제어하는 시스템이 있다면, 클라이언트를 설치하기 전에 미리 값을 구성 해 두어 설치 직후부터 그 설정을 쓸 수 있습니다.

원격 레지스트리 옵션을 구성하는 절차입니다.

  1. 컴퓨터 한 대에 클라이언트를 설치합니다. 에이전트는 사용자 디렉터리에 설치되고 구성을 HKEY_CURRENT_USER 에 저장합니다.
  2. 구성된 모든 서버에 수동으로 연결해 지문을 확인하고, 지문 확인 대화 상자에서 Trust 를 누릅니다.
  3. Settings 창에서 요청한 서버에 수동으로 연결하도록 클라이언트를 구성합니다.
  4. 다음 레지스트리 키를 내보냅니다(export).
  • 전체 트리:
     HKEY_CURRENT_USER\SOFTWARE\CheckPoint\UserCheck\Trusted Gateways
     
  • 다음 분기:
     

의 키 Default GatewayDefaultGatewayEnabled 5. UserCheck Client를 설치하기 전에 내보낸 키를 단말 컴퓨터로 가져옵니다(import).

클라이언트 설치

클라이언트가 게이트웨이에 연결하도록 구성한 뒤, 사용자 컴퓨터에 클라이언트를 설치합니다.

  1. 게이트웨이에서 UserCheck Client MSI 파일을 다음 두 방법 중 하나로 가져옵니다.

방법 A — SCP 클라이언트로 게이트웨이에서 내려받기

  1. 다음 디렉터리로 갑니다.
      
  1. 다음 파일을 내려받습니다.
      

방법 B — SmartConsole의 게이트웨이 객체에서 내려받기

  1. 왼쪽 탐색 패널에서 Gateways & Servers 를 누릅니다.
    1. 게이트웨이 객체를 더블 클릭합니다.
    2. 왼쪽 트리에서 General Properties 를 누릅니다.
    3. 다음 Software Blade 중 하나 이상 을 켭니다 — Data Loss Prevention, Application Control, URL Filtering, Content Awareness, Anti-Bot, Anti-Virus, Threat Emulation, Threat Extraction, Zero Phishing.
    4. 왼쪽 트리에서 UserCheck 를 누릅니다.
    5. UserCheck Client 섹션에서 Download Client 링크를 누릅니다.
    6. 다운로드가 기본 웹 브라우저에서 열립니다.
  2. 사용자 단말 컴퓨터에 UserCheck Client를 설치합니다. 원하는 MSI 대량 구성·설치 방법 을 아무거나 쓸 수 있습니다. 예를 들어 사용자에게 설치 링크가 담긴 이메일을 보내, 사용자가 링크를 누르면 MSI가 자동 설치되게 할 수 있습니다.

클라이언트 제거

기본 제거 절차

  1. Start 메뉴 > Check Point > UserCheck 로 갑니다.
  2. Uninstall 바로 가기를 누릅니다.
  3. 화면의 안내를 따릅니다.
  4. 단말 컴퓨터를 다시 시작합니다.

수동 제거 절차

Start 메뉴에 Uninstall 바로 가기가 없으면 다음 두 절차 중 하나를 따릅니다.

Windows Installer로 수동 제거

  1. UserCheck.exe 가 실행 중이 아닌지 확인합니다(Windows 작업 관리자 등으로 확인하고, 실행 중이면 종료).
  2. Windows 레지스트리 편집기에서 UserCheck Client GUID를 가져옵니다.
    1. 레지스트리 편집기(regedit)를 엽니다 — Start 메뉴에서 regedit 입력 후 Registry Editor 를 누르거나, Windows + Rregedit 입력 후 Enter.
    2. 다음 위치로 이동합니다.
      
  1. PRODUCT_GUID 키를 오른쪽 클릭하여 Modify 를 누릅니다.
    1. {<GUID>} 전체 문자열을 복사해 평문 편집기에 붙여 넣습니다.
    2. 레지스트리 편집기에서 Cancel 을 누르고 편집기를 닫습니다.
  2. 평문 편집기에서 다음 구문을 준비합니다.
   %SystemRoot%\SysWOW64\msiexec.exe /x {<Windows 레지스트리 편집기에서 복사한 GUID>}
   

예시:

   C:\Windows\SysWOW64\msiexec.exe /x {AAD3D77A-7476-469F-ADF4-04424124E91D}
   

(msiexec 참고: https://learn.microsoft.com/en-us/windows-server/administration/windows-commands/msiexec ) 4. Windows 명령 프롬프트를 엽니다 — Start 메뉴에서 cmd 입력 후 Command Prompt, 또는 Windows + Rcmd 입력 후 Enter. 5. 준비한 구문을 붙여 넣고 Enter를 누릅니다. 6. 단말 컴퓨터를 다시 시작합니다.

단말에서 수동으로 삭제

  1. UserCheck.exe 가 실행 중이 아닌지 확인합니다(실행 중이면 종료).
  2. UserCheck 폴더를 삭제합니다.

Windows 파일 관리자에서 다음 경로로 가서 UserCheck 폴더를 삭제합니다.

   
  1. Windows 레지스트리에서 UserCheck 분기를 삭제합니다.
    1. 레지스트리 편집기(regedit)를 엽니다.
    2. 다음 위치로 이동합니다.
      
  1. 레지스트리를 백업 합니다(Microsoft 문서 "Windows registry information for advanced users" 참고).
    1. UserCheck 분기를 오른쪽 클릭하여 Delete 하고 확인합니다.
    2. 레지스트리 편집기를 닫습니다.
  2. 단말 컴퓨터를 다시 시작합니다.

클라이언트를 게이트웨이에 연결

게이트웨이에서 DLP용 UserCheck가 켜져 있으면, 클라이언트 설치 후 사용자는 사용자 이름·암호를 입력해야 합니다. UserCheck Client를 처음 설치하면 트레이 아이콘이 연결되지 않음 을 나타내고, 게이트웨이에 연결되면 아이콘이 활성 상태 임을 보여 줍니다. 클라이언트가 처음 게이트웨이에 연결할 때는 게이트웨이 지문을 승인해 달라 고 사용자에게 요청합니다.

p.258
p.258

DLP용 UserCheck Client 설치를 사용자에게 안내하는 메시지 예시는 다음과 같습니다.

Dear Users,
Our company has implemented a Data Loss Prevention automation to
protect our confidential data from unintentional leakage. Soon you
will be asked to verify the connection between a small client that
we will install on your computer and the computer that will send
you notifications.
This client will pop up notifications if you try to send a message
that contains protected data. It might let you to send the data
anyway, if you are sure that it does not violate our data-security
guidelines.
When the client is installed, you will see a window that asks if
you trust the DLP server. Check that the server is SERVER NAME and
then click Trust.
In the next window, enter your username and password, and then
click OK.

UserCheck와 Check Point 암호 인증

Check Point 암호 인증을 켜는 절차입니다.

  1. SmartConsole 구성
    1. 상단에서 Objects > Object Explorer 를 누릅니다.
    2. 왼쪽 창에서 Users/Identities 만 고릅니다.
    3. 필요한 설정을 구성합니다.

이미 User 객체가 있는 경우 — 해당 User 객체를 더블 클릭하고, 왼쪽에서 General 을 눌러 General properties 섹션에 유효한 이메일 주소 를 설정한 뒤 OK.

User 객체가 아직 없는 경우 - User Template 객체가 있는지 확인합니다. 없으면 상단 도구 막대에서 New > Users/Identity > User Template 로 만든 뒤 OK. - 상단 도구 막대에서 New > Users/Identity > User 를 누릅니다. - 필요한 User Template를 고르고 OK. - 다음을 구성합니다 — 상단에서 객체 이름 설정, General 페이지에서 유효한 이메일 주소 설정, Authentication 페이지의 Authentication Method 섹션에서 Check Point Password 를 골라 Set new password 로 암호를 입력한 뒤 OK. - OK 를 누릅니다. 4. Object Explorer 창을 닫습니다. 2. UserCheck Client 구성 1. 단말에서 알림 영역(시계 옆)의 UserCheck Client 아이콘을 오른쪽 클릭합니다. 2. Settings 를 누릅니다. 3. Advanced 를 누릅니다. 4. Authentication with Check Point user accounts defined internally in SmartConsole 를 고릅니다.

사용자 문제 해결 돕기

사용자가 UserCheck Client 문제 해결에 도움이 필요하면, 로그를 보내 달라고 요청할 수 있습니다.

UserCheck Client가 로그를 만들도록 구성하는 절차입니다.

  1. 트레이 아이콘을 오른쪽 클릭하여 Settings 를 고릅니다.
  2. Log to 를 누르고 로그를 저장할 경로를 지정합니다.
  3. OK 를 누릅니다.
  4. UserCheck Client가 게이트웨이에 연결되어 알림을 받을 수 있는지 확인합니다(클라이언트를 게이트웨이에 연결 참고).

단말에서 UserCheck Client 로그를 보내는 절차입니다.

  1. 트레이 아이콘을 오른쪽 클릭하여 Status 를 고릅니다.
  2. Advanced 를 누릅니다.
  3. Collect information for technical support 링크를 누릅니다. 기본 이메일 클라이언트가 열리며, 수집된 로그 아카이브가 첨부 됩니다.

UserCheck Portal 현지화·맞춤

UserCheck Portal의 현지화(localizing)와 맞춤(customizing)에 관한 자세한 내용은 sk83700을 참고하세요.