보안 팁
원격 데스크톱 연결을 설정할 때 정보 보안이 가장 중요하다는 점을 잘 알고 있습니다. 업계 표준 보안 기술을 적용하여 데이터를 보호하고 가장 엄격한 보안 표준을 준수합니다.
ISL Online은 RSA 2048/4096 비트 공개/개인 키 교환 및 AES 256 비트 종단 간 암호화를 사용하여 원격 데스크톱 트래픽을 보호합니다.
클라이언트와 원격 데스크톱 지원 연결을 설정하려면 헬프데스크 운영자가 ISL 온라인 서버의 RSA 2048/4096비트 공개 키를 전달하는 ISL Light 애플리케이션을 시작해야 합니다. ISL Online은 AES 256비트 종단 간 암호화를 사용하여 원격 데스크톱 연결을 보호합니다. 대칭 암호화 키는 2048/4096비트 RSA PKI를 사용하여 보호되는 Diffie-Hellman 키 교환 알고리즘을 사용하여 협상됩니다.
이 소프트웨어는 2단계 인증, 내보내기 가능한 감사 로그, 자동 세션 기록 및 외부 인증을 지원합니다.
자세한 개요는 보안 성명을 참조하십시오.
아래에서는 원격 데스크톱 소프트웨어의 안전한 사용을 보장하기 위해 ISL Online이 제공하는 가장 중요한 기능 중 일부에 대한 빠른 통찰력을 제공하고자 합니다.
로그인
계정 또는 ISL Light에 로그인할 때 강력한 암호를 사용하고 계정을 보다 안전하게 만들기 위해 2단계 인증을 설정하는 것이 좋습니다.
강력한 계정 비밀번호 사용
데이터 보안은 암호화 방법의 강도뿐만 아니라 암호의 강도에 따라 달라집니다.
강력한 비밀번호를 생성할 수 있도록 ISL Online의 비밀번호 보안 정책은 최신 NIST 사양을 기반으로 합니다. 비밀번호는 8자 이상이어야 합니다. 인쇄 가능한 ASCII 문자와 공백을 사용할 수 있지만 선행 및 후행 공백은 제거됩니다. 귀하의 비밀번호는 가장 일반적이고 간단한 비밀번호로 구성된 거부 목록과 비교하여 확인됩니다.
2단계 인증 설정 방법
2단계 인증(2FA)은 헬프 데스크 기술자와 IT 전문가를 위한 추가 보안 계층입니다. 2FA를 활성화하면 운영자는 비밀번호와 2FA 토큰을 제공하여 2단계 인증 프로세스를 거쳐 ISL Online 시스템에만 로그인할 수 있습니다.
외부 인증 (서버 라이선스만 해당)
OpenLDAP, Microsoft Active Directory, Novell eDirectory 또는 RADIUS와 같은 다양한 유형의 인증 체계를 ISL Online 시스템에 통합할 수 있습니다. 외부 인증이 구성되면 운영자 액세스 권한 및 ISL Online 소프트웨어 사용 권한은 IT 관리자가 회사 사용자 관리 디렉토리를 사용하여 관리합니다.
접속 비밀번호
원격 컴퓨터에 무인 액세스 (ISL AlwaysOn)를 설치할 때 보안 액세스 암호를 설정해야 합니다. 이것은 원격 컴퓨터에 액세스를 시도할 때마다 제공해야 하는 기본 액세스 암호가 됩니다.
주 접속 비밀번호
주 접속 비밀번호는 설치 시 설정한 접속 비밀번호로, 모든 사용자가 원격 컴퓨터에 접속할 때 사용할 수 있습니다.
연결 접속 비밀번호
계정의 다른 사용자와 원격 컴퓨터에 대한 공유 액세스 권한이 있는 경우 각 사용자에 대해 다른 암호를 설정할 수 있습니다. 연결 액세스 암호는 ISL AlwaysOn 설정에서 수동으로 설정할 수 있습니다.
일회용 비밀번호
ISL AlwaysOn 설정에서 수동으로 일회용 암호를 생성합니다. 각 일회용 암호는 원격 컴퓨터에 연결하는 데 한 번만 사용할 수 있습니다.
추가 설정
ISL AlwaysOn 설정을 사용하면 무인 컴퓨터에 연결하기 위한 여러 보안 설정을 수정하거나 사용자 지정할 수 있습니다.
Allow computer access also with local user consent and no access password
Allows the operator to connect to a remote computer without an access password. In this case, the local user has to approve the connection. To use this setting you have to use the next command line parameters when starting ISL Light:
ISLLight.exe --username "<isl_online_username>" --password "<password>" --connect-search "<computer_description>/<computer_name>" --consent-message "<message to be displayed>"
Maximum number of active sessions to this computer
Allows to set the maximum number of active sessions to this computer. For example, to limit the access to one simultaneous connection to the computer use value "1". The default is set to Unlimited.
들어오는 연결 알림 표시
클라이언트가 컴퓨터에 연결될 때 카운트다운 알림을 볼 수 있도록 합니다. 시간 초과 및 로컬 사용자가 사용할 수 있는 옵션을 지정할 수 있습니다. 시간 초과 후 원격 사용자가 연결을 거부하도록 허용된 경우 기본 작업이 실행됩니다.
로컬 사용자가 연결을 거부하도록 허용
이 옵션은 "수신하는 연결 알림 표시" 옵션을 활성화한 경우 사용할 수 있습니다. 로컬 사용자는 서포터가 만든 연결을 수락하거나 거부할 수 있는 옵션을 제공하는 알림을 봅니다.
세션 시작 시 컴퓨터 잠금
세션이 시작될 때 원격 컴퓨터를 잠그고 로그인하려면 계정 정보를 입력해야 합니다.
스트리밍 중이고 네트워크에 연결되어 있지 않을 때 컴퓨터 잠금
원격 컴퓨터에 연결되어 있는 동안 연결이 중단되면 원격 컴퓨터가 자동으로 잠깁니다.
세션 종료 시 컴퓨터 잠금
세션이 종료되면 자동으로 원격 컴퓨터를 잠급니다.
세션 시작 시 블랙스크린 활성화
원격 세션이 활성화되면 로컬 사용자에게 블랙 스크린이 표시됩니다.
ESC를 누른 후 블랙 스크린이 중지되기까지의 지연 시간(초)
ESC를 누를 때 시작되는 시간 초과를 초 단위로 설정합니다. 시간이 초과되면 블랙 스크린이 비활성화되고 로컬 클라이언트가 화면을 볼 수 있습니다. 최대 시간 초과는 180초입니다.
액세스 필터
보안상의 이유로 조직 내에서 ISL Online 소프트웨어의 사용을 제한할 수 있습니다. IP 및/또는 MAC 주소를 기반으로 ISL Online 서버에 대한 데이터 액세스를 제한할 수 있습니다. "허용" 기능을 사용하여 원격 지원 세션을 시작하거나 무인 컴퓨터에 액세스하도록 허용되는 IP/MAC 주소 목록을 지정할 수 있습니다. 반면에 "거부" 기능을 사용하여 IP/MAC 주소 목록을 지정할 수 있습니다. 이러한 규칙은 ISL Online 서버의 특정 사용자 또는 전체 도메인에 대해 정의될 수 있습니다.
예를 들어 직원이 사무실에서만 (회사의 IP 주소 대역) 원격 지원 세션에 대한 세션 코드를 생성하도록 허용할 수 있습니다.
deny_ip 192.168.0.14
allow_ip 192.168.0.13/255.255.255.0
allow_mac 00-19-d1-06-c9
중요:
IP 및 MAC 주소는 스푸핑이 될 수 있으므로 필터만으로는 강력한 액세스 암호를 대체할 수 없습니다!
포트 필터링
좋은 원격 데스크톱 소프트웨어는 방화벽을 조정하지 않고도 작동합니다.
ISL Online을 사용하면 ISL Light가 자동으로 나가는 연결을 시작하여 포트 7615, 80 또는 443을 사용하여 연결을 시도하므로 방화벽이 그대로 유지될 수 있습니다.
그러나 대규모 조직에는 일반적으로 방화벽 또는 프록시 구성에 대한 특정 정책이 있습니다. 시스템 관리자는 ISL Online 트래픽을 직접 통과시키고 나머지는 계속 필터링하기 위해서만 포트 7615를 열 수 있습니다. 또한 DNS 예외 또는 IP 예외를 구성할 수도 있습니다.
네트워크 구성에 관계없이 ISL Online은 작동하기 위해 자동으로 다양한 접근 방식을 시도합니다. (프록시 설정 감지, WinINet 사용, 터널 생성, 와일드카드 DNS 사용 등)
기능 제한
원격 데스크톱 소프트웨어는 거의 모든 산업 분야에서 사용되는 보편적인 도구입니다. 따라서 기능에 대한 제한이 고유한 보안 표준을 준수하도록 하는 매우 유연한 솔루션이 필요한 다양한 사용 사례가 있습니다.
ISL Online을 사용하면 세션 내에서 사용 가능한 기능을 제한할 수 있습니다. 원격 컴퓨터 제어, 고객과 운영자 간의 파일 전송 및 기타 여러 기능.
기능 제한이 필수적인 경우의 예: 은행 직원은 고객의 컴퓨터 화면을 볼 수 있어야 하지만 자신의 데스크톱 공유를 시작할 수 없어야 합니다. 이 경우 데스크 측에서 데스크톱 공유를 비활성화할 수 있습니다.
인트라넷 (LAN 전용) 옵션
일부 대규모 조직은 서로 다른 지리적 위치에서 내부 지원을 위해서만 ISL Online을 사용합니다. 이러한 경우 원격 데스크톱 소프트웨어는 LAN(Local Area Network) 내에서만 원격 데스크톱 세션 설정을 허용해야 합니다.
LAN(인트라넷) 내에서만 ISL Online을 사용하려는 경우 공용 IP 주소가 필요하지 않습니다. 개인 네트워크 범위 (RFC 1918에 지정된 대로)의 사설 IP 주소만 필요합니다.
자주하는 질문
-
호스팅 솔루션을 위해 어떤 포트를 열어야 합니까?
포트 7615를 권장하며 22가 SSH, 23 Telnet, 25 SMTP, 3389 RDP 등인 것처럼 표준 ISL Online 포트로 생각할 수 있습니다. 위키피디아의 포트 목록에서도 찾을 수 있습니다.
특정 포트가 있는 것도 매우 편리합니다. 회사의 정책이 있고 방화벽/프록시를 사용하지만 ISL Online 트래픽을 허용하도록 조정하려는 경우 포트 7615를 허용하면 ISL Online 제품은 문제없이 작동합니다. ISL Online이 포트 80/443만 사용했다면 관리자가 ISL Online을 시도하고 허용함에 어려울 것입니다.
일반적으로 프록시 환경을 다룰 때 가장 먼저 고려해야 할 사항은 예외가 가능한지 시스템/네트워크 관리자에게 확인하는 것입니다. 이것은 프록시를 완전히 비활성화한다는 의미가 아니라 ISL Online 트래픽이 직접 통과하도록 하고 나머지는 계속 필터링한다는 의미입니다. 프록시가 DNS 이름 예외를 지원하는 경우 *.islonline.net에 대한 포트 7615의 직접 나가는 tcp 연결을 허용합니다. 프록시가 IP 주소 예외만 지원하는 경우 이 링크를 확인하여 현재 서버 IP 목록을 확인하십시오. 직접 연결은 최고의 성능과 최소한의 지연을 제공합니다.
직접적인 연결과 유연한 보안 정책의 이상적인 환경인 경우 이야기가 여기서 끝납니다. 그러나 http 및 https 트래픽만 허용되고 (포트 80 및 443) 시스템/네트워크 관리자가 예외를 추가하는 것을 원하지 않거나 허용하지 않는 기업의 방화벽/프록시 환경이 있기 때문에 ISL Online은 이러한 상황에서도 작동하기 위한 여러 시도를 합니다. (프록시 설정 감지, wininet 사용, 터널 생성, 일부 프록시 환경에 유용한 와일드카드 DNS 사용, 등)
이러한 필터링이 관련된 상황은 연결 설정 프로세스의 전송 시간 초과로 인해 추가 지연으로 인해 발생할 수 있습니다. ISL 온라인 제품은 항상(레지스트리 또는 명령어를 통해 특정 전송 유형을 강제 연결하지 않는 한) 포트 7615를 사용하여 직접 연결을 시도하며, 실패한 경우 다양한 프록시 방법으로 포트 80 및 443을 시도합니다. 각 전송 유형은 7초의 제한 시간이 있으며 Windows에서는 8개의 전송 유형을 시도하므로 마지막 전송 유형인 경우 거의 1분 지연을 의미합니다. 고객이 장시간 지연에 대해 불만을 제기할 경우 가장 좋은 방법은 문제가 있는 컴퓨터에 연결하여 유틸리티 연결 테스터에서 최적의 전송 방법 찾기를 클릭하는 것입니다. 여기에는 평균 전송 속도, 지연 등과 함께 성공적인 전송 목록이 표시됩니다. 이러한 결과를 통해 최상의 연결을 수행할 수 있습니다.
프록시 환경에서 ISL Online 제품을 사용할 때 도움이 필요한 경우 전화, 이메일 또는 라이브 채팅을 통해 ISL Online 팀에 문의할 수 있습니다.
-
시스템은 ISL Light 세션을 얼마나 오래 유지합니까?
ISL Light가 활성 상태인 동안 세션이 활성 상태입니다. ISL Light가 닫히거나 "세션 종료" 버튼을 눌러 세션만 닫히면 세션이 더 이상 활성화되지 않습니다. 시스템은 기본 세션 정보(ISL Light 및 클라이언트 컴퓨터의 IP, 채팅 내용, 전송된 데이터 양 등)를 유지합니다. 지정된 사용자 유휴 시간(링크) 후에 세션이 자동으로 종료될 수도 있습니다. 유휴 시간은 컴퓨터에서 사용자가 마지막으로 작업한 시간으로 계산됩니다.
-
최적의 ISL Online 사용을 위해 방화벽을 어떻게 구성해야 합니까?
나가는 연결을 필터링하지 않으면 변경할 필요가 없습니다. 그러나 나가는 연결을 필터링하는 경우 방화벽에서 DNS 허용 목록을 허용하는 경우 *.islonline.net에 대한 모든 연결을 허용 목록에 추가하십시오. IP 주소만 허용할 수 있는 경우 다음 질문을 확인하십시오.
-
방화벽이 DNS 허용 목록을 지원하지 않는 경우 최적의 ISL Online 경험을 위해 방화벽을 어떻게 구성해야 합니까? 어떤 IP 주소를 허용해야 합니까?
-
연결이 세션 전체에 걸쳐 암호화되고 서버를 통해 연결됩니까 아니면 직접 (피어 투 피어) 연결됩니까?
연결은 종단 간 SSL 암호화를 사용합니다. 세션이 설정된 후에도 트래픽은 여전히 서버를 통과하지만 서버는 데이터를 읽을 수 없습니다(모든 것이 종단 간 암호화됨). 추가 보안을 위해 서버 라이센스 옵션도 있으므로 서버를 직접 설치할 수 있습니다.
-
ISL Light 는 소프트웨어를 사용하는 동안 "해커"가 내 컴퓨터에 액세스하지 못하도록 얼마나 안전합니까?
ISL Light는 업계 표준 SSL/TLS 암호화를 사용합니다. ISL Light Client에서 ISL Light까지 세션이 비공개이며 종단 간 암호화되어 있는지 확인할 수 있습니다. 클라이언트는 또한 각 작업을 허용해야 하므로 작업이 컴퓨터를 인수할 수 없습니다. 운영 체제 설정에서 아무것도 변경할 필요가 없습니다. 자세한 내용은 보안을 참조하세요.
-
세션 중간에 로컬 IP가 변경되면 세션이 계속됩니까?
예, ISL Light는 서버에 다시 연결합니다. 케이블을 뽑았다가 다시 꽂은 것과 거의 같습니다.
계속 읽기: 보안에 대한 추가 정보
