8.1 에대한추가정보 I 교정 A McAfee Network Security Platform 8.1
저작권 Copyright 2014 McAfee, Inc. 권한없이복사하지마십시오. 상표인증 McAfee, McAfee 로고, McAfee Active Protection, McAfee DeepSAFE, epolicy Orchestrator, McAfee epo, McAfee EMM, Foundscore, Foundstone, Policy Lab, McAfee QuickClean, Safe Eyes, McAfee SECURE, SecureOS, McAfee Shredder, SiteAdvisor, McAfee Stinger, McAfee Total Protection, TrustedSource, VirusScan, WaveSecure 는미국및기타국가에서 McAfee, Inc. 또는자회사의등록상표또는상표입니다. 기타이름및브랜드는각소유자의재산으로주장될수있습니다. 제품및기능이름과설명은예고없이변경될수있습니다. 최신제품및기능에대한내용은 mcafee.com 을방문하십시오. 사용권정보 사용권계약서모든사용자에대한고지사항 : 사용자가구입한사용권에대한올바른법적계약서를주의깊게읽으십시오. 정식소프트웨어의사용에대한일반사항과조건이명시되어있습니다. 구입한사용권의종류를잘모르겠으면, 영업부에문의하시거나기타관련사용권허가서또는소프트웨어포장에포함되어있는구입주문서또는구입의일부로서별도로받은사용권허가서 ( 책자, 제품 CD 에있는파일, 소프트웨어패키지를다운로드한웹사이트에있는파일 ) 를참조하십시오. 여기서설명하는모든조건에동의하지않으면소프트웨어를설치하지마십시오. 이경우, 이제품을 MCAFEE 또는구입처에반환하면전액환불해드립니다. 2 McAfee Network Security Platform 8.1 8.1 에대한추가정보 I
목차 1 개요 5 McAfee Network Security Platform 소개........................... 5 2 Virtual IPS Sensor 배포 7 Virtual Sensor - 이점.................................. 9 Virtual IPS Sensor 모델................................. 9 Virtual Sensor 배포에필요한요구사항........................... 10 고려사항..................................... 11 Virtual Sensor 에지원되는모드.......................... 11 Virtual Sensor 가지원하는기능.......................... 11 Virtual Sensor 가지원하지않는기능......................... 13 Virtual Sensor 배포.................................. 13 Virtual Sensor 설치............................... 14 Virtual Sensor 배포시나리오........................... 35 배포확인.................................. 71 Virtual IPS Sensor 사용권컴플라이언스보고서생성...................... 71 3 Manager 의향상된기능 73 Manager 인프라의향상된기능.............................. 73 관리도메인별데이터보기............................... 74 대시보드탭.................................. 75 관리도메인별보고서생성............................ 78 위협탐색기에서관리도메인별보기......................... 78 장치요약보고서................................... 79 장치요약보고서생성.............................. 79 시그니처세트업데이트취소옵션............................. 80 보류중인변경사항을장치에배포......................... 80 Logon Collector 통합의향상된기능............................ 82 GTI 통합의향상된기능................................ 82 McAfee epo 통합의향상된기능............................. 82 Vulnerability Manager 통합의향상된기능.......................... 83 10,000 AD 사용자그룹지원............................... 83 경보세부정보의 DNS 이름............................... 83 단일인스턴스경보의 DNS 이름.......................... 83 IPS 검역의향상된기능................................ 84 Java 에서마이그레이션하기위한 Manager UI 재설계 (extjs 로마이그레이션 )............. 86 방화벽정책보기................................ 88 QoS 정책만들기............................... 101 연결제한규칙의구성요소............................ 108 검역영역관리................................ 114 Sensor 의 DoS 프로파일보기........................... 116 시그니처세트와봇네트탐지기다운로드따로예약...................... 118 IPS 시그니처세트업데이트........................... 119 봇네트탐지기업데이트............................. 120 McAfee Network Security Platform 8.1 8.1 에대한추가정보 I 3
목차 4 IPS 의향상된기능 123 IPS 공격이벤트에직접 syslog 전달............................ 123 Syslog 통보................................. 123 XFF 의향상된기능................................. 129 X-Forwarder-For 헤더정보검사.......................... 130 2048 비트암호화.................................. 132 1024 비트에서 2048 비트암호화로마이그레이션.................... 133 IPS 명령줄인터페이스의향상된기능........................... 138 set l2f-unknown-udp.............................. 138 set threshold-udp-dos-forward-action........................ 138 show l2f-unknown-udp status........................... 138 show malwareserverstats............................ 138 show mem-usage............................... 143 show syslog statistics.............................. 144 show threshold-udp-dos-forward-action status..................... 145 5 NTBA 의향상된기능 147 새 NTBA Appliance: T-600 및 T-1200........................... 147 McAfee EIA 통합의향상된기능............................. 148 화이트리스트에있는해시와블랙리스트에있는해시의향상된기능................ 148 화이트리스트에있는해시와블랙리스트에있는해시가져오기............... 148 엔드포인트실행파일페이지의향상된기능......................... 150 엔드포인트에서실행중인실행파일보기....................... 150 Manager UI 의향상된기능............................... 155 물리적포트페이지의향상된기능......................... 155 관리포트의향상된기능............................. 158 IPS 시그니처세트페이지의기능향상........................ 158 NTBA 통합페이지의향상된기능......................... 160 내보내기페이지의향상된기능.......................... 164 영역정의의향상된기능............................. 166 정적라우트의향상된기능............................ 168 통신규칙의기능향상............................. 169 NTBA 명령줄인터페이스의향상된기능.......................... 173 deinstall.................................. 174 download antimalware updates.......................... 174 factorydefaults................................ 175 installdb.................................. 176 installntba.................................. 178 loadimage.................................. 179 resetconfig................................. 181 set endpointintelligence alertinterval........................ 183 set endpointintelligence demo........................... 184 show exporters................................ 185 show intfport................................. 186 show mgmtport................................ 188 업데이트서버위치................................. 190 A 모델번호별 Virtual IPS Sensor 용량 191 색인 193 4 McAfee Network Security Platform 8.1 8.1 에대한추가정보 I
1 1 개요 이문서는이번 McAfee Network Security Platform 8.1 릴리스의독립형문서입니다. 추가정보는 Network Security Platform 8.0 사용자설명서의이전릴리스에서발표된정보를보완및대체합니다. McAfee Network Security Platform 소개 McAfee Network Security Platform[ 이전 McAfee IntruShield ] 은중요기업, 캐리어및서비스공급자네트워크를위한가장종합적이고정확하며확장가능한네트워크 IPS(Intrusion Prevention System) 및 McAfee Network Threat Behavior Analysis (NTBA) 를제공하는동시에스파이웨어및알려진제로데이암호화된공격에대해완벽한보호를제공합니다. McAfee Network Threat Behavior Analysis Appliance 에서는네트워크를통해이동하는 NetFlow 정보를실시간으로분석하여네트워크트래픽을모니터링하는기능을제공함으로써 McAfee Network Security Sensor 및 NTBA Appliance 가설치되고단일 Manager 를통해관리되는시나리오에서 IPS 기능을보완합니다. McAfee Network Security Platform 8.1 8.1 에대한추가정보 I 5
1 개요 McAfee Network Security Platform 소개 6 McAfee Network Security Platform 8.1 8.1 에대한추가정보 I
2 2 Virtual IPS Sensor 배포 기업은개인및공개클라우드, 서버용가상데이터센터, 클라이언트용가상컴퓨터같은가상 IT 인프라를향해움직이고있습니다. 물리적네트워크와비교해가상네트워크에대한보안요구사항은매우광범위할수있습니다. 예를들면, 가상네트워크에서 P2P 트래픽을모니터하고액세스를제어하는데는각각의어려움이있습니다. 가상 IT 인프라를보호하려면네트워크아키텍처및보안요구사항에기반한가상보안제품이필요합니다. 물리적네트워크에대해서도가상보안제품으로비용및공간면에서절약할수있습니다. Virtual IPS Sensor(Virtual Sensor) 는 McAfee 의차세대가상 IPS 제품입니다. NS- 시리즈 Sensor 소프트웨어의가상인스턴스인본제품은 VMware ESX 서버에가상인스턴스로서설치할수있습니다. Sensor 하드웨어가없어도 Virtual Sensor 를배포할수있습니다. 가상네트워크를보호하는것을주요목적으로만들어졌지만 Virtual Sensor 를배포하여물리적네트워크또한보호할수있습니다. 이문서에서 Virtual IPS Sensor 와 Virtual Sensor 는같은뜻으로사용되는용어입니다. Virtual IPS Sensor 는 OVA 이미지로서사용할수있습니다. Open Virtualization Format(OVF) 은여러가상화플랫폼에서가상컴퓨터에실행될소프트웨어를패키징하고배포하기위한공개표준입니다. OVF 가상컴퓨터는가상컴퓨터파일과이를설명하는파일이포함된한폴더로구성되어있습니다. Open Virtualization Appliance(OVA) 파일은 OVF 폴더의내용이들어있는하나의압축파일입니다. 물리적 Sensor 와마찬가지로, Manager 를사용해 Virtual Sensor 를구성하고관리합니다. 이 Manager 는물리적서버나가상컴퓨터에설치할수있습니다. 또한같은 Manager 를사용하여 Sensor 환경이동일한가상 Sensor 및물리적 Sensor 를모두관리할수있습니다. Virtual Sensor 는물리적 Sensor 가지원하는대부분의기능을지원합니다. 가상환경에 Virtual Sensor 를배포한다는점만제외하면이를구성하고관리하는프로세스는물리적 Sensor 의프로세스와비슷합니다. Virtual Sensor 는네트워크를보호해야할때물리적 Sensor 와비슷한기능으로도작동합니다. 가상인스턴스라는추가적인이점이있으므로 Virtual Sensor 를배포하여다양한네트워크아키텍처를보호할수있습니다. 이문서에서는일반적인시나리오몇가지를다룹니다. 먼저 Virtual Sensor 를 VMware ESX 서버에설치합니다. 그러면 Virtual Sensor 를배포하여다음간의트래픽을검사할수있습니다 : 해당 ESX 서버의가상컴퓨터 (VM). 여러개의 ESX 서버에있는 VM 및해당호스트에있는 VM. McAfee Network Security Platform 8.1 8.1 에대한추가정보 I 7
2 Virtual IPS Sensor 배포 물리적컴퓨터및해당하는 ESX 서버에있는 VM. 해당하는 ESX 서버와같은선상에있는물리적네트워크. 그림 2-1 Virtual Sensor 배포 이문서의정보를이용하려면다음사항에익숙해지는것이좋습니다 : VMware ESXi 호스트에있는가상네트워크를포함하는 VMware ESXi 호스트관리. 게스트가상컴퓨터관리. Network Security Sensor 와 Manager 의설치, 구성및관리. 목차 Virtual Sensor - 이점 Virtual IPS Sensor 모델 8 McAfee Network Security Platform 8.1 8.1 에대한추가정보 I
Virtual IPS Sensor 배포 Virtual Sensor - 이점 2 Virtual Sensor 배포에필요한요구사항고려사항 Virtual Sensor 배포 Virtual IPS Sensor 사용권컴플라이언스보고서생성 Virtual Sensor - 이점 다음은 Virtual Sensor 의이점입니다 : 가상기술을사용하므로 Virtual Sensor 를통해공간, 어플라이언스비용, 유지관리비용, 어플라이언스가동전력, 에어컨전력등의면을절약할수도있습니다. Virtual Sensor 를사용하여 ESX 서버에는남지않는트래픽을검사할수있습니다. 또한해당트래픽에서보안정책 ( 취약성공격, DoS, Firewall, 고급악성프로그램정책 ) 을구현할수있습니다. Virtual Sensor 는배포가매우빠르고간단합니다. 따라서가상네트워크가급속히확대될때까지확장가능합니다. ESX 서버에실제로액세스하지않고 Virtual Sensor 를배포할수있습니다. 가상네트워크보호만의어려운점이있지만 Virtual Sensor 는보안을훼손하지않습니다. 앱식별및가상화, Firewall 정책, 고급악성프로그램정책등의기능을포함하여물리적 Sensor 와비슷하게네트워크를보호합니다. 또한물리적 Sensor 와마찬가지로 Virtual Sensor 는다른 McAfee 제품을통합하고통신할수있습니다. 네트워크크기및네트워크아키텍처같은요소에따라 Virtual Sensor 를사용하여가상네트워크와물리적네트워크를모두보호할수있습니다. 물리적 Sensor 와 Virtual Sensor 를관리하는단일제어수단으로써같은 Manager 를사용할수있습니다. 가상, 물리적또는가상과물리적 Sensor 를함께사용하는유연성을통해네트워크를보호합니다. Sensor 관리가간소화되며중앙집중식입니다. 가상및물리적네트워크모두에대한보안정책을한곳에서정의할수있습니다. 따라서가상네트워크에대한보안정책정의및구현작업은여전히보안전문가의손에있습니다. 가상및물리적 Sensor 모두에대한위협정보를통합하여볼수있습니다. 모든네트워크에대해지속적이고통합된보고서를생성할수있습니다. 해당 Manager 는 VM 에설치할수도있습니다. Virtual Sensor 는자체에네트워크보호기능이들어있습니다. 즉, 가상또는물리적네트워크를보호하기위해타사앱이필요하지않습니다. 가상포트를가상화할수있습니다. 즉, VLAN 또는 CIDR 에따라하위인터페이스를만들어물리적 Sensor 의인터페이스를가상화할수있습니다. 같은절차를통해 Virtual Sensor 의모니터링포트에대한하위인터페이스를만들수있습니다. Virtual IPS Sensor 모델 다음은사용가능한 Virtual IPS Sensor 모델을설명하는표입니다. McAfee Network Security Platform 8.1 8.1 에대한추가정보 I 9
2 Virtual IPS Sensor 배포 Virtual Sensor 배포에필요한요구사항 모델 Sensor 최대처리량모니터링포트수 관리포트응답포트논리 CPU 코어메모리 저장공간 IPS-VM100 100Mbps 4 1 1 3 최소 6GB 필요. 50GB IPS-VM600 600Mbps 6 1 1 4 최소 6GB 필요. 100GB 검사되는트래픽종류와사용하는기능은 Sensor 처리량에영향을주는주요요인에속합니다. Virtual Sensor 의이러한세부정보와기타용량값은 "Network Security Platform 8.1 모범사례안내서 " 의 " 모델번호별 Virtual IPS Sensor 용량 " 섹션을참조하십시오. Virtual Sensor 배포에필요한요구사항 이절에서는 Virtual Sensor 배포에필요한요구사항을설명합니다. VMware ESX 서버요구사항 구성요소 가상화소프트웨어 CPU 최소요구사항 VMware ESX 5.0 이상 터널링된트래픽은 E1000 카드를사용하는 ESX 5.5 에서작동하지않습니다. Intel Xeon 프로세서 5000 시리즈이상 필요한최소프로세서속도 : 1GHz, 권장 : 2GHz 이상 Virtual Sensor 모델에따라논리 CPU 코어 3 개또는 4 개. 이더넷포트 : 최소 4 개, 권장 : 6 개 ( 이더넷포트가많을수록여러개의이더넷포트쌍을모니터링포트쌍으로사용할수있습니다.) 기타요구사항 Virtual Sensor 를설치하려면 ( 즉, OVA 파일을배포하려면 ) VMware vcenter Server 가필요합니다. VMware vsphere Client 를사용하여 Virtual Sensor OVA 파일을배포하는것은권장하지않습니다. VMware ESXi 서버의후속관리를위해서는 VMware vsphere Client 를사용할수도있습니다. 이문서에나온절차는다음을사용하여설명한것입니다 : VMware vcenter Server 버전 5.1.0.10100 빌드 1123965 및 VMware vsphere Web Client 버전 5.1.0 빌드 1063329. 가상또는물리적시스템에 Network Security Manager 8.1.x 이상이설치됨. Virtual Sensor 당한개의사용권이필요합니다. 또한사용권은구매한 Virtual Sensor 에만적용됩니다. 필요한사용권수를확보했는지 McAfee 에서확인하십시오. VMware DRS(Distributed Resource Scheduler) 에서 Virtual Sensor 를제외해야합니다. Virtual Sensor 에 VMware 도구를설치하지마십시오. 성능을최적화하고예측할수있도록다음지침을따르십시오. VM 에 CPU 선호도를할당하여 Sensor 모델에필요한최대한많은코어를실행하려면각각의 Virtual Sensor VM 을구성해야합니다. 예를들면, IPS-VM100 VM 은논리코어 3 개에선호도가높아야합니다. 같은 ESXi 호스트에서실행되는가상시스템이 Virtual Sensor 가상시스템에할당된 CPU 코어를공유하도록허용할수없습니다. 예를들어 ESX 서버에 16 개의 CPU 코어가있을경우 Virtual Sensor VM 에첫 3 개의 CPU 에대해선호도를지정할수있습니다. 같은 ESX 서버에서실행되는나머지모든 VM 은호스트에있는나머지 CPU 를사용하도록선호도를지정하여첫 3 개의 CPU 를사용하지않도록제외해야합니다. 10 McAfee Network Security Platform 8.1 8.1 에대한추가정보 I
Virtual IPS Sensor 배포고려사항 2 고려사항 이절과하위절을검토한후 Virtual Sensor 를배포하십시오. Virtual Sensor 배포방법에따라 VMware ESXi 호스트의 vswitch 일부를다시구성해야할수있습니다. Virtual Sensor 는현재 VMware vmotion 을인식하지않습니다. 즉, VMware ESXi 호스트사이에서 Virtual Sensor 를이동할수없습니다. 다른 VMware ESXi 호스트에서는 Virtual Sensor 를수동으로배포해야합니다. 현재, Virtual Sensor 배포에는표준 vswitch 만관련되며배포된 vswitch 는관련이없습니다. Sensor 모니터링포트를페일오픈모드로배포하려면활성페일오픈키트가필요합니다. 이시나리오는 Virtual Sensor 가 2 개의물리적네트워크장치간에있을때해당됩니다. 가상시스템의트래픽에대한인라인검사의경우페일클로즈모드만적용됩니다. 현재, Virtual Sensor 페일오버배포는지원되지않습니다. Virtual Sensor 를다시시작한후완전히작동되기까지테스트조건에서 1 분미만이걸리는것으로나타났습니다. 이는인라인 Virtual Sensor 모니터링포트가작동하지않음으로써발생하는심각한네트워크장애위험을완화해줍니다. Virtual Sensor 를다시시작하는것때문에네트워크에장애가생기지않도록 [ 활성페일오픈키트 ] 를배포할것을권장합니다. Virtual Sensor 에지원되는모드 다음모드로 Virtual Sensor 를배포할수있습니다 : SPAN 모드. 인라인페일클로즈모드. 인라인페일오픈모드의경우외부의활성페일오픈바이패스키트를사용해야합니다. 탭모드는 Virtual Sensor 에적용되지않습니다. Virtual Sensor 가지원하는기능 다음은 Virtual Sensor 가지원하는기능목록입니다. 표 2-1 지원되는기능기능이름취약성공격에대한 IPS 정책 DoS 공격탐지를위한 IPS 정책및 DoS 정책 DNS DoS 보호정찰정책검역 (IPS 정책을통한자동및 Real-time Threat Analyzer 에서의수동 ) MDR CIDR 및 VLAN 에따른 Virtual Sensor 모니터링포트 Snort 사용자지정공격정의 McAfee 사용자지정공격정의웹응용프로그램서버보호고급트래픽검사 Q 트래픽의 Q 검사계층 2 패스스루모드는지원되지만물리적 Sensor 와비교했을때다르게구현됨 McAfee Network Security Platform 8.1 8.1 에대한추가정보 I 11
2 Virtual IPS Sensor 배포고려사항 표 2-1 지원되는기능 ( 계속 ) 기능이름계층 7 데이터수집 SYN 쿠키보호 ARP 스푸핑방지 IP 스푸핑방지 VLAN 및 CIDR(VIDS) 를사용하여모니터링포트가상화 MPLS 트래픽검사 IPv6 트래픽검사관리포트를위해 IPv6 지원 GRE 터널링된트래픽을포함하여터널링된트래픽검사터널링된트래픽은 E1000 카드를사용하는 ESX 5.5 에서작동하지않습니다. HTTP 응답검색이중 VLAN 태그가지정된트래픽검사 Sensor 성능모니터링 NTP 서버를사용하여 Sensor 시계동기화 Manager 에 Sensor 명령줄인터페이스감사로그이벤트표시감사로그의 TACACS+ 사용자 Sensor 명령줄인터페이스에서파일을안전전송응용프로그램식별및가상화 Firewall 정책고급트래픽검사 IP 평판을사용하여 SmartBlocking 을확대를포함하는공격 SmartBlocking IP 평판및파일평판을위해 McAfee GTI 와통합. 상위위험호스트로부터보호포함. 연결제한정책 X-Forwarder-For 헤더정보검사. 평판조회및 XFF 헤더의클라이언트 IP 주소검역. 계층 7 데이터수집상태비저장 Firewall 액세스규칙시뮬레이션된차단대기시간모니터명령줄인터페이스명령에대한세분화된액세스제어 (TACACS 사용자용 ) McAfee Advanced Threat Defense 및 NTBA Appliance 와의통합을포함하는고급악성프로그램정책봇명령및제어서버활동탐지를포함하는고급봇네트탐지네트워크포렌직수동장치프로파일링 DoS 공격으로부터웹서버보호트래픽우선순위지정 NTBA 로 NetFlow 내보내기 12 McAfee Network Security Platform 8.1 8.1 에대한추가정보 I
Virtual IPS Sensor 배포 Virtual Sensor 배포 2 표 2-1 지원되는기능 ( 계속 ) 기능이름 McAfee Endpoint Intelligence Agent (McAfee EIA) 와통합 Sensor 자동복구 - Virtual IPS Sensor 는복구하는동안소프트웨어에의지하여계층 2 로갈수없으므로모든앱을다시시작하고 Sensor 가정상상태로돌아올때까지트래픽이중단됩니다. Virtual Sensor 를배포하고나면구성및관리프로세스는물리적 Sensor 의프로세스와비슷합니다. 그러므로지원되는기능을구성하는방법에대한내용은해당하는절을참조하십시오. Virtual Sensor 가지원하지않는기능 다음은 Virtual Sensor 가지원하지않는기능목록입니다. 표 2-2 지원되지않는기능 기능이름 SSL 암호해독 VLAN 브리징 Sensor 페일오버 히트가없는재부팅 QoS 정책 데이터패킷캡처 ( 패킷캡처 ) Jumbo Frame 분석 모바일네트워크용 IPS 오프라인시그니처세트및 Sensor 소프트웨어다운로드 Virtual Sensor 에적용되지않는기능 : 탭모드 바이패스모드에서정기적인라인복원 Sensor 관리포트의기본 IP 주소 포트클러스터링 Virtual Sensor 배포 Virtual Sensor 를배포하려면 Virtual Sensor 부터설치한다음 Manager 와신뢰를설정해야합니다. 신뢰를설정하고나면네트워크를보호하기위한 Virtual Sensor 를배포할수있습니다. 하지만 Virtual Sensor 구성방법은네트워크아키텍처및보안필요성에따라다릅니다. 다음은 Virtual Sensor 를설치한다음배포하기위해고려해야하는고급절차입니다 : 1 ESX 서버가하드웨어및소프트웨어요구사항을충족하는지확인합니다. Virtual Sensor 배포에필요한요구사항 10 페이지의을참조하십시오. 2 Virtual Sensor 를배포하고 Virtual Sensor 와 Manager 사이에신뢰할수있는통신채널을설정합니다. Virtual Sensor 설치 14 페이지의를참조하십시오. 3 Virtual Sensor 배포방법을결정한후이에따라구성합니다. Virtual Sensor 배포 13 페이지의를참조하십시오. McAfee Network Security Platform 8.1 8.1 에대한추가정보 I 13
2 Virtual IPS Sensor 배포 Virtual Sensor 배포 Virtual Sensor 설치 Virtual Sensor 를배포하여네트워크를보호하려면먼저 Virtual Sensor 를설치하고 Virtual Sensor 와 Manager 사이에신뢰를설정해야합니다. 다음은 Virtual Sensor 를설치하기위한고급단계입니다 : 1 Virtual Sensor 와 Manager 를배치하려는네트워크를파악합니다. 이에따라관리포트용 vswitch 및스위치포트그룹과 Manager 를파악합니다. VM 네트워크인 vswitch0 의기본스위치포트그룹을사용하여 Sensor 관리포트를연결할수있습니다. 그러나필요한경우 vswitch 를만들어관리포트에연결할수도있습니다. 관리포트를연결하기위해 vswitch 를만들려면관리포트용표준 vswitch 만들기 14 페이지의를참조하십시오. 2 배포하려는모든 Virtual Sensor 에대해 Manager 에필요한사용권을가져옵니다. Virtual IPS Sensor 사용권관리 21 페이지의를참조하십시오. 3 Manager 에 Virtual Sensor 를추가합니다. Manager 에 Virtual Sensor 추가 24 페이지의를참조하십시오. 4 Virtual Sensor 를설치하고 Manager 와신뢰를설정합니다. Virtual Sensor 설치 14 페이지의를참조하십시오 관리포트용표준 vswitch 만들기 시작하기전에 vswitch 를만들려면 ESX 의추가적인물리적 NIC 를연결해야할수있습니다. Virtual Sensor 를설치한후에는 Virtual Sensor 의관리포트를연결할표준 vswitch 가필요합니다. Manager 를같은 ESX 에설치한경우 Manager 도이스위치에연결할수있습니다. 표준 vswitch 를만들면 ESX 에서이 vswitch 에대한기본포트그룹을만듭니다. 작업 1 ESX 의추가적인물리적 NIC 를옆에있는물리적스위치에연결합니다. 이작업은만들고있는 vswitch 에필요합니다. 2 VMware vsphere Web Client 에서루트사용자로 ESX 에로그온합니다. 14 McAfee Network Security Platform 8.1 8.1 에대한추가정보 I
Virtual IPS Sensor 배포 Virtual Sensor 배포 2 3 vsphere [ 홈 ] 탭에서 [ 호스트및클러스터 ] 를선택합니다. 4 필요한 ESX 서버를선택하고 [ 관리 ] [ 네트워킹 ] [ 가상스위치 ] 를선택합니다. McAfee Network Security Platform 8.1 8.1 에대한추가정보 I 15
2 Virtual IPS Sensor 배포 Virtual Sensor 배포 5 [ 호스트네트워킹추가 ] 아이콘을클릭합니다. 6 [ 연결유형선택 ] 에예로서 [ 물리적네트워크어댑터 ] 를선택하고 [ 다음 ] 을클릭합니다. 네트워크설계및요구사항에따라연결유형을선택합니다. 예를들어 Manager 가물리적시스템에설치되어있다면물리적네트워크어댑터를선택해야합니다. Sensor 와 Manager 가통신할수없을경우. Manager 가가상시스템에설치되어있고 Sensor 관리포트와 Manager, 둘다에같은 vswitch 를사용하려면 [ 표준스위치의가상시스템포트그룹 ] 을선택해야할수있습니다. 이문서에서설명하는시나리오에서는 [ 물리적네트워크어댑터 ] 를선택합니다. 7 [ 대상장치선택 ] 에서는 [ 새표준스위치 ] 와필요한포트수를선택한후 [ 다음 ] 을클릭합니다. 16 McAfee Network Security Platform 8.1 8.1 에대한추가정보 I
Virtual IPS Sensor 배포 Virtual Sensor 배포 2 8 [ 표준스위치만들기 ] 단계에서는 [ 어댑터추가 ] 아이콘을클릭합니다. 9 [ 물리적어댑터를스위치에추가 ] 대화상자에서필요한네트워크어댑터를선택하고 [ 확인 ] 을클릭합니다. 선택한네트워크어댑터에해당하는물리적 NIC 가네트워크에연결되어있는지확인합니다. McAfee Network Security Platform 8.1 8.1 에대한추가정보 I 17
2 Virtual IPS Sensor 배포 Virtual Sensor 배포 10 선택한어댑터의속성을확인하고 [ 다음 ] 을클릭한후 [ 마침 ] 을선택합니다. 만든 vswitch 가 [ 가상스위치 ] 섹션에나열됩니다. 11 만든 vswitch 에필요한스위치포트그룹을추가하고해당 vswitch 를선택한다음 [ 호스트네트워킹추가 ] 아이콘을클릭합니다. 18 McAfee Network Security Platform 8.1 8.1 에대한추가정보 I
Virtual IPS Sensor 배포 Virtual Sensor 배포 2 12 [ 연결유형선택 ] 단계에서는 [ 표준스위치의가상시스템포트그룹 ] 을선택한후 [ 다음 ] 을클릭합니다. 13 [ 대상장치선택 ] 단계에서는 [ 기존표준스위치선택 ] 을선택하고만든 vswitch 가선택되었는지확인합니다. 확인했으면 [ 다음 ] 을클릭합니다. 14 [ 네트워크레이블 ] 필드에는스위치를위해마법사가만든기본포트그룹에필요한이름을입력합니다. [ 네트워크레이블 ] 은나중에수정할수있습니다. 관리가쉽도록이름을관리포트그룹으로정할수있습니다. 15 또는 [VLAN ID] 필드에서 [ 모두 (4095)] 와 [ 다음 ] 을차례로선택합니다. 필요한경우네트워크구성별로필요한 VLAN ID 를지정할수있습니다. McAfee Network Security Platform 8.1 8.1 에대한추가정보 I 19
2 Virtual IPS Sensor 배포 Virtual Sensor 배포 16 [ 완료준비 ] 단계에서표시되는세부정보를검토하고 [ 마침 ] 을클릭합니다. 이제만든 vswitch 가스위치포트그룹과함께나열됩니다. 17 물리적어댑터위로마우스를이동하여클릭합니다. 20 McAfee Network Security Platform 8.1 8.1 에대한추가정보 I
Virtual IPS Sensor 배포 Virtual Sensor 배포 2 18 [ 어댑터속도편집 ] 아이콘을클릭합니다. 19 [ 구성된속도, 이중 ] 이 [ 자동협상 ] 으로설정되어있는지확인합니다. 다른속성값은기본값그대로놔두면됩니다. Virtual IPS Sensor 사용권관리시작하기전에 McAfee 에서받은사용권파일은 Manager 클라이언트에서액세스할수있습니다. Manager 에서루트관리도메인에대한액세스권한이있어야합니다. Virtual Sensor 는설치당사용권이허가됩니다. Manager 가관리하는 Virtual Sensor 당사용권이있어야합니다. 또한사용권은모델별로필요합니다. 사용권은모든 Virtual Sensor 모델에적용됩니다. McAfee 는 Manager 로가져올수있는사용권파일을제공합니다. 각사용권파일에는지원되는가상 IPS 센서의수가들어있습니다. 한사용권파일에사용권이한개이상있을수있습니다. Virtual Sensor 를배포하기전에먼저필요한사용권을 Manager 로가져오는것이좋습니다. Virtual Sensor 사용권파일은 Virtual IPS Sensor 사용권페이지에서가져오고삭제할수있습니다. 이페이지는루트관리도메인에서만사용할수있습니다. 따라서하위도메인이관리하는 Virtual Sensor 의경우라하더라도사용권파일은루트관리도메인에서만가져올수있습니다. McAfee Network Security Platform 8.1 8.1 에대한추가정보 I 21
2 Virtual IPS Sensor 배포 Virtual Sensor 배포 Manager 는가져온사용권이충분한지주기적으로확인합니다. 사용권이충분하지않으면해당정보가 Virtual IPS Sensor 사용권페이지의사용권요약섹션에표시됩니다. 또한 Manager 에치명적인시스템상태장애메시지가나타납니다. Manager 는설치된 Virtual Sensor 의수에대한사용권수를주기적으로확인하여이에따라장애메시지를표시합니다. 그림 2-2 Virtual Sensor 사용권컴플라이언스미준수장애메시지 참고 Manager 에서사용권파일을내보내는옵션은현재없습니다. 그러므로 McAfee 에서받은사용권파일을안전하게유지해야합니다. Central Manager 에서 Virtual Sensor 사용권을가져올수없습니다. MDR 의경우현재활성화된 Manager 에서사용권파일을가져와야합니다. 이사용권파일은데이터동기화의일부로피어에푸시됩니다. 사용권수를늘이려면 McAfee 가제공한추가사용권파일을가져오기만하면됩니다. 사용권일부를다른 Manager 로이동하려면 McAfee 지원에문의해야합니다. 사용권파일을삭제하여관리되는 Virtual Sensor 수보다사용권수가적으면여기에맞는사용권요약정보가표시됩니다. Virtual Sensor 를다른 Manager 서버로이동하려고한다고생각해봅시다. 소스 Manager 에서사용권파일을삭제한다음그사용권파일을대상 Manager 로가져옵니다. 가져왔으면소스 Manager 에서 Sensor 를제거한후대상 Manager 에설치합니다. GTI 참여를사용하면다음정보가 McAfee Global Threat Intelligence (McAfee GTI) 에전송됩니다 : 컴플라이언트에필요한 Virtual Sensor 사용권수. 현재관리되는 Virtual Sensor 의수. 현재가져온전체사용권수. 이수는 [Global Threat Intelligence] 페이지 [( 관리 ] [ 루트관리도메인 ] [ 통합 ] [Global Threat Intelligence)] 의 [ 내가보내는내용표시 ] 를클릭하여확인할수있습니다. Virtual Sensor 사용권에대한컴플라이언스보고서를생성하려면 [Virtual IPS Sensor 사용권컴플라이언스 ] 보고서를생성하면됩니다. 22 McAfee Network Security Platform 8.1 8.1 에대한추가정보 I
Virtual IPS Sensor 배포 Virtual Sensor 배포 2 작업 1 Manager 에서 [ 관리 ] [ 루트관리도메인 ] [ 설정 ] [Virtual IPS Sensor 사용권 ] 을선택합니다. 그림 2-3 Virtual IPS Sensor 사용권페이지 2 사용권을가져오려면 [ 추가 ] 를클릭하고사용권이들어있는.zip 또는.jar 파일을찾은다음 [ 확인 ] 을클릭합니다. 그림 2-4 Virtual IPS Sensor 사용권추가됨 McAfee Network Security Platform 8.1 8.1 에대한추가정보 I 23
2 Virtual IPS Sensor 배포 Virtual Sensor 배포 3 Manager 에서사용권파일을삭제하려면필요한사용권파일을선택하고 [ 제거 ] 를클릭합니다. 4 [ 확인 ] 을클릭하여삭제를확인합니다. 사용권파일을삭제함으로써컴플라이언스를준수하지않게될경우경보메시지가표시되며 [ 확인 ] 을클릭해야다음으로진행됩니다. 표 2-3 옵션정의 옵션 설명 [ 사용권상태 ] 현재컴플라이언스상태를나타냅니다. [ 허용된총 Virtual IPS Sensor 수 ] [ 관리되는총 Virtual IPS Sensor 수 ] 이수는해당 Manager 에있을수있는 Virtual Sensor 의수를나타냅니다. Manager 가현재관리하는 Virtual Sensor 의수를나타냅니다. [ 사용권키 ] 사용권파일의사용권키를나타냅니다. [ 생성날짜 ] 사용권파일이생성된날짜입니다. [ 고객 ] 사용권파일을생성한고객입니다. [ 허가 ID] 해당고객의 McAfee 허가 ID 입니다. [ 허용된 Virtual IPS Sensor] 사용권파일당사용권수에해당합니다. [ 가져온시간 ] 사용권파일을 Manager 로가져온타임스탬프입니다. [ 가져온사람 ] 사용권파일을가져온사용자입니다. [ 비고 ] 가져온사용권파일마다비고를추가할수있습니다. [ 비고 ] 필드를두번클릭하여비고를입력합니다. 이필드바깥쪽을클릭하면비고가자동으로저장됩니다. [ 추가 ] 클릭하여사용권파일을가져옵니다. [ 제거 ] 사용권파일을선택한다음 [ 제거 ] 를클릭하여 Manager 에서사용권파일을삭제합니다. 그림 2-5 가져온사용권파일에대한세부정보 Manager 에 Virtual Sensor 추가 시작하기전에 가상또는물리적시스템에버전 8.0.7.x 이상의 Manager 가있어야합니다. Manager 에 Virtual Sensor 추가하여공유암호키를지정할수있습니다. VM 또는물리적서버에설치된 Manager 를사용할수있습니다. 작업 1 Manager 에서 [ 장치 ] [< 도메인이름 >] [ 글로벌 ] [ 장치추가및제거 ] 를선택합니다. 2 [ 새로만들기 ] 를클릭합니다. 24 McAfee Network Security Platform 8.1 8.1 에대한추가정보 I
Virtual IPS Sensor 배포 Virtual Sensor 배포 2 3 [ 장치이름 ], [ 장치유형 ] 및 [ 공유암호 ] 는반드시지정합니다. [IPS Sensor] 를 [ 장치유형 ] 으로선택합니다. Virtual Sensor 를배포할때는같은 [ 장치이름 ] 과공유암호를사용해야합니다. 4 [ 저장 ] 을클릭합니다. 그림 2-6 Manager 에추가된 Virtual Sensor 구성한 Sensor 삭제에대한자세한내용은 "McAfee Network Security Platform IPS 관리안내서 " 의 " 문제해결 " 장, "Sensor 교체방법 " 절, "Manager 에서 Sensor 삭제 " 주제를참조하십시오. Virtual Sensor 설치 시작하기전에 Virtual Sensor 설치파일은.ova 파일입니다. 클라이언트컴퓨터에서이파일에액세스할수있는지확인하십시오. 표준 vswitch 및스위치포트그룹을사용하려는표준 Sensor 관리포트및모니터링포트에사용할수있습니다. 관리포트 1 개, 응답포트 1 개, 모니터링포트가 4 개인 IPS-VM100 을설치한다고생각해보십시오. 현재 vswtich 2 개사이에인라인모드로포트 1-2 를배포하려고합니다. 지금은포트 3 과 4 를사용할계획이없습니다. 이예의경우다음이있는지확인합니다 : 관리포트용스위치포트그룹이있는표준 vswitch. Sensor 는이스위치포트그룹을통해 Manager 와통신할수있어야합니다. 모니터링포트 1 과 2 용스위치포트그룹이있는표준 vswitch 2 개. 다시말해 Sensor 는이 2 개의 vswitch 사이의포트쌍 1-2 인라인과함께 2 개의 vswitch 간의브리지역할을하게됩니다. 지금사용할계획이없는 Sensor 포트의다른더미스위치포트그룹은응답포트와모니터링포트 3 및 4 입니다. Manager 에 Virtual Sensor 를추가했습니다. 작업 1 VMware vsphere Web Client 에서루트사용자로 ESX 에로그온합니다. McAfee Network Security Platform 8.1 8.1 에대한추가정보 I 25
2 Virtual IPS Sensor 배포 Virtual Sensor 배포 2 vsphere [ 홈 ] 탭에서 [ 호스트및클러스터 ] 를선택합니다. 3 리소스풀같은필수노드로이동한후마우스오른쪽단추를클릭하여 [OVF 템플릿배포 ] 를선택합니다. 26 McAfee Network Security Platform 8.1 8.1 에대한추가정보 I
Virtual IPS Sensor 배포 Virtual Sensor 배포 2 4 [ 찾아보기 ] 를클릭하여.ova 파일을찾습니다. 5 세부정보를검토하고 [ 다음 ] 을클릭합니다. McAfee Network Security Platform 8.1 8.1 에대한추가정보 I 27
2 Virtual IPS Sensor 배포 Virtual Sensor 배포 6 [ 이름 ] 필드에 Sensor 이름을입력하고해당하는데이터센터도선택합니다. Manager 에 Sensor 를추가할때입력한이름과같은이름을입력하는것이좋습니다. 7 [ 가상디스크형식선택 ] 목록에서 [ 씬프로비전 ] 을선택합니다. 8 [ 네트워크설정 ] 섹션에서해당하는 Sensor 포트의스위치포트그룹을선택합니다. 예를들어시나리오예 2 의경우, 모니터링포트 1 에 VNSP 클라이언트포트를, 포니터링포트 2 에 VNSP 서버포트를각각할당합니다. 작동하지않는스위치포트그룹을사용하지않는 Sensor 포트, 즉응답포트와포트 3 및 4( 시나리오 2 의경우 ) 에임시로할당합니다. IDS(SPAN) 에 Virtual Sensor 를구성할경우응답포트에작동하는스위치포트그룹을선택합니다. 피어모니터링포트에같은포트그룹을할당해서는안됩니다. 예를들어모니터링포트 3 및 4 를같은포트그룹에할당해서는안됩니다. 할당할경우 ESX 에루프가생깁니다. 관리포트의경우 Sensor 관리포트를위해만든 vswitch 에속한포트그룹을할당합니다. 이스위치포트그룹은 Manager 서버와통신할수있어야합니다. 같은 Virtual Sensor 센서에서는 [ 소스 ]( 모니터링포트또는응답포트 ) 에 Sensor 관리포트와같은 [ 대상 ]( 스위치포트그룹 ) 이있을수없습니다. 28 McAfee Network Security Platform 8.1 8.1 에대한추가정보 I
Virtual IPS Sensor 배포 Virtual Sensor 배포 2 9 [ 템플릿사용자정의 ] 페이지에서 Sensor 설정세부정보를지정합니다. a Manager 에지정한것과같은 Sensor 이름을입력합니다. b 또는 Sensor 의 IPv4 주소를입력합니다. IPv4, IPv6 또는두가지유형의 IP 주소모두를 Sensor 에지정할수있습니다. c IPv4 주소를지정했을경우입력한 IPv4 주소의서브넷마스크를지정합니다. d IPv4 주소를지정했을경우 IPv4 주소의기본게이트웨이를지정합니다. Sensor 가네트워크외부에서통신하려면필수적으로지정해야합니다. Manager 가다른서브넷에있는경우가있을수도있습니다. e 또는, IPv6 주소를 Sensor 에지정합니다. f IPv6 주소를지정했을경우 IPv6 주소의기본게이트웨이를지정합니다. g 배포중인 Virtual Sensor 에있는 VMware ESX 서버등하이퍼바이저의 IPv4 또는 IPv6 주소를지정합니다. McAfee Network Security Platform 8.1 8.1 에대한추가정보 I 29
2 Virtual IPS Sensor 배포 Virtual Sensor 배포 h Manager 의주 IPv4 또는 IPv6 주소를지정합니다. Manager 의보조 IP 주소를지정하려면 Sensor 를설치한후 Sensor 명령줄인터페이스에 set manager secondary ip 명령을사용합니다. i 공유암호키를지정한후다시입력하여확인도합니다. j [ 다음 ] 을클릭합니다. 10 지정한구성을검토하고 [ 배포후전원켜짐 ] 을선택한다음 [ 마침 ] 을클릭합니다. 필요할경우 [ 뒤로 ] 를클릭하여변경합니다. 입력한 Sensor 설정세부정보는 [ 속성 ] 아래에나열됩니다. 30 McAfee Network Security Platform 8.1 8.1 에대한추가정보 I
Virtual IPS Sensor 배포 Virtual Sensor 배포 2 11 Virtual Sensor 를설치했으면 SSH 클라이언트세션을열어 Sensor 에로그온합니다. vsphere Web Client 에서 [ 콘솔시작 ] 을클릭해도됩니다. 12 admin 과 admin123 을로그인이름과암호로 Sensor 명령줄인터페이스에각각입력합니다. 13 status 명령줄인터페이스명령을사용하여 Manager 와신뢰가설정되었는지, Sensor 에시그니처세트가있는지확인합니다. 시그니처세트가없을경우 Manager 의 [ 보류중인변경사항배포 ] 페이지에서시그니처세트를배포할수있습니다. Virtual Sensor 의 CPU 선호도구성 시작하기전에 Virtual Sensor 가설치되어있어야합니다. Virtual Sensor 의성능을최적화하고예측할수있도록아래지침을따라야합니다. VM 에 CPU 선호도를할당하여 Sensor 모델에필요한최대한많은코어를실행하려면각각의 Virtual Sensor VM 을구성해야합니다. 예를들면, IPS-VM100 VM 은논리코어 3 개에선호도가높아야합니다. 같은 ESXi 호스트에서실행되는가상시스템이 Virtual Sensor 가상시스템에할당된 CPU 코어를공유하도록허용할수없습니다. 예를들어 ESX 서버에 16 개의 CPU 코어가있을경우 Virtual Sensor VM 에첫 3 개의 CPU 에대해선호도를지정할수있습니다. 같은 ESX 서버에서실행되는나머지모든 VM 은호스트에있는나머지 CPU 를사용하도록선호도를지정하여첫 3 개의 CPU 를사용하지않도록제외해야합니다. McAfee Network Security Platform 8.1 8.1 에대한추가정보 I 31
2 Virtual IPS Sensor 배포 Virtual Sensor 배포 작업 1 shut 명령줄인터페이스명령을사용하여 Virtual Sensor 를종료하고 Virtual Sensor 전원이꺼졌는지 VMware vsphere 클라이언트에서도확인합니다. 2 VMware vsphere Web Client 에서루트사용자로 ESX 에로그온합니다. 3 vsphere [ 홈 ] 탭에서 [ 호스트및클러스터 ] 를선택합니다. 32 McAfee Network Security Platform 8.1 8.1 에대한추가정보 I
Virtual IPS Sensor 배포 Virtual Sensor 배포 2 4 해당하는 ESX 에서필요한 Virtual Sensor 와 [ 가상시스템설정편집 ] 을차례로선택합니다. McAfee Network Security Platform 8.1 8.1 에대한추가정보 I 33
2 Virtual IPS Sensor 배포 Virtual Sensor 배포 5 [ 설정편집 ] 대화상자에서 [CPU] 를클릭합니다. 6 [HT 공유 ] 드롭다운에서필요한옵션을선택합니다. HT 공유란하이퍼스레드된코어공유를뜻합니다..[ 없음 ] - 최고이자최적이면서예측가능한성능을위해 McAfee 는이옵션을사용할것을권장합니다. [ 내부 ] - 이옵션을사용하면성능은우수하지만성능의최적성과예측가능성은다소떨어집니다. [ 모두 ] - 이옵션을적용할경우 [ 내부 ] 보다최적성이떨어지는보통의성능을보이며성능을예측할수없는경우도간혹있습니다. 이러한옵션에대한설명과옵션에대한차이를알려면 VMware 문서를참조하십시오 34 McAfee Network Security Platform 8.1 8.1 에대한추가정보 I
Virtual IPS Sensor 배포 Virtual Sensor 배포 2 7 [ 선호도예약 ] 입력란에 Virtual Sensor 의논리 CPU 선호도를입력합니다. 입력하는문자열은 Virtual Sensor 모델에따라다릅니다. 예를들면 IPS-VM600 은논리 CPU 코어 4 개를사용합니다. 그러므로위의스냅샷에서 5-8 은프로세서 5, 6, 7, 8 을나타냅니다. 8 [ 확인 ] 을클릭합니다. 9 VMware vsphere Web Client 에서 Virtual Sensor 의전원을켭니다. Virtual Sensor 배포시나리오 다양한배포옵션을이해할수있는몇가지시나리오가다음하위절에설명되어있습니다. 이러한시나리오는설명용으로사용되는예로서실제또는일반적네트워크아키텍처와정확하게일치하지않습니다. 시나리오를사용하여네트워크에대한 Virtual Sensor 배포프로세스를결정할수있습니다. ESX 관리자는네트워크아키텍처및구성을거의변경하지않는프로세스를파악하고있어야합니다. 다음은 Virtual Sensor 를배포하기위해고려할수있는고급절차입니다 : 1 Virtual Sensor 배포방법을결정합니다. 하위절에설명되어있는시나리오를검토하면됩니다. 배포유형을결정할때의고려사항은다음과같습니다 : 네트워크에필요한보호유형. 예 : 모니터링포트를 SPAN 모드가아니라인라인모드로배치해야하는지에대한여부. ESX 구성을최소한으로변경하면서 Virtual Sensor 를배포하는방법. 2 해당시나리오에제공된절차정보를따르십시오. a ESX 배포를평가하고수정및만들어야하는 vswitch 를파악합니다. b 사용할수있는포트그룹과만들어야하는포트그룹을평가합니다. c Sensor 모니터링포트용 vswitch 및포트그룹을파악합니다. d 보호해야하는클라이언트및서버용 vswitch 및포트그룹을파악합니다. 3 배포가예상대로작동하는지확인합니다. 배포확인 71 페이지의을참조하십시오. 시나리오 1: SPAN 모드로가상시스템사이의트래픽검사 이시나리오에서는 SPAN 모니터링포트를사용하여같은 ESX 에있는가상시스템사이의트래픽을검사합니다. 물리적 Sensor 의 SPAN 모드배포와마찬가지로 Virtual Sensor 의 SPAN 모드배포도간단하며비침입식입니다. McAfee Network Security Platform 8.1 8.1 에대한추가정보 I 35
2 Virtual IPS Sensor 배포 Virtual Sensor 배포 Virtual Sensor 배포전시나리오설명 서버는 ESX 의게스트 VM 에설치되어있습니다. 해당서버는표준 vswitch 인 vswitch0 에연결되어있습니다. vswitch0 은 ESX 외부네트워크에연결된물리적어댑터입니다. Virtual Sensor 배포후시나리오설명 무차별모드로설정된새스위치포트그룹을 vswitch0 에만듭니다. Virtual Sensor 는 ESX 에배포되어있습니다. Manager 는 vswitch1 에연결된 VM 에설치되어있다고가정합니다. 이시나리오에서 Manager 는 vswitch1 을통해 Virtual Sensor 의관리포트에연결되어있습니다. vswitch1 에는물리적어댑터 vminc1 이있습니다. 그러므로 ESX 외부에서 Manager 및 Sensor 에액세스할수있습니다. Virtual Sensor 의모니터링포트 1 은 SPAN 모드상태입니다. 이포트는 vswitch0 의무차별스위치포트그룹에연결되어있습니다. 따라서 vswitch0 의모든패킷사본이침입탐지를위해포트 1 로전송됩니다. 그림 2-7 Virtual Sensor 배포후시나리오 36 McAfee Network Security Platform 8.1 8.1 에대한추가정보 I
Virtual IPS Sensor 배포 Virtual Sensor 배포 2 시나리오 1: Virtual Sensor 배포의고급단계 이절에서는시나리오 1 의 Virtual Sensor 배포를따른다고가정합니다. ESX 서버는 Virtual Sensor 배포에필요한요구사항 10 페이지의에설명된요구사항을충족합니다. 사용자에게는 vswitch 및포트그룹을추가하고수정할수있는 ESX 서버에대한권한이있습니다. Virtual Sensor 를설치하고 Manager 와신뢰를성공적으로설정했습니다. 이시나리오에서는예로서관리포트가 vswitch1 에연결되어있습니다. 예로서이절은 IPS-VM100 Virtual Sensor 를사용하여배포를설명합니다. 이시나리오에서는 SPAN 모드에배포된 Sensor 모니터링포트만포함합니다. 이절은 ESX 에서의구성에 vsphere Client 만사용합니다. 작업 1 vswitch0 을수정하여무차별모드로스위치포트그룹을만듭니다. 모니터링포트용기존의표준 vswitch 수정 57 페이지의을참조하십시오. 그런다음이스위치포트그룹을 SPAN 포트에할당합니다. 2 vswitch0 을수정하여스위치포트그룹을만듭니다. 그런다음이스위치포트그룹을 Sensor 응답포트에할당합니다. 3 Manager 의 Virtual Sensor 에 SPAN 포트를구성합니다. a [ 장치 ] 탭을클릭합니다. b [ 도메인 ] 드롭다운목록에서도메인을선택합니다. c 왼쪽창에서 [ 장치 ] 탭을클릭합니다. d [ 장치 ] 드롭다운목록에서장치를선택합니다. e [ 설정 ] [ 물리적포트 ] 를선택합니다. f 모니터링포트 1 을두번클릭한다음 [ 작동모드 ] 드롭다운에서 [SPAN 또는 Hub( 단일포트 )] 를선택합니다. g [ 확인 ] 을클릭합니다. h [ 포트구성 ] 페이지에서 [ 저장 ] 을클릭합니다. i [ 보류중인변경사항배포 ] 를선택하고 [ 보류중인변경사항배포 ] 페이지에서필요한 Virtual Sensor 에대해 [ 구성및시그니처세트 ] 를선택하고 [ 업데이트 ] 를클릭합니다. 4 1 단계및 2 단계에서만든스위치포트그룹을 Sensor SPAN 포트와응답포트에각각할당합니다. 모니터링포트용스위치포트그룹지정63 페이지의을참조하십시오. 5 Virtual Sensor 를올바르게배포했는지와 Virtual Sensor 에서트래픽을검사하고있는지확인합니다. 배포확인71 페이지의을참조하십시오. 시나리오 2: 가상시스템사이트래픽에대한인라인검사이시나리오에서는같은 ESX 에있는가상시스템사이트래픽을검사합니다. McAfee Network Security Platform 8.1 8.1 에대한추가정보 I 37
2 Virtual IPS Sensor 배포 Virtual Sensor 배포 Virtual Sensor 배포전시나리오설명 클라이언트와서버는같은서브넷 (10.10.10.x) 에속합니다. 클라이언트와서버는같은표준 vswitch(vswitch0) 에있는다른가상시스템포트그룹에연결되어있습니다. 이번설명을위해클라이언트와서버는 ESX 외부에서액세스할수없다고가정합니다. 다시말해, vswitch0 과연관된물리적 NIC 가없습니다. Virtual Sensor 배포후시나리오설명 표준 vswitch 2 개 (vswitch1 및 vswitch2) 가이제더추가되었습니다. Virtual Sensor 는 ESX 에배포되어있습니다. 이시나리오에서 Manager 는 vswitch1 에연결된 VM 에설치되어있습니다. 이시나리오에서 Manager 는 vswitch2 를통해 Virtual Sensor 의관리포트에연결되어있습니다. vswitch2 에는물리적어댑터 vminc0 이있습니다. 그러므로 ESX 외부에서 Manager 및 Sensor 에액세스할수있습니다. Virtual Sensor 의모니터링포트쌍 1-2 는클라이언트와서버에인라인으로존재합니다. 클라이언트및모니터링포트 1 은 vswitch0 에있는 2 개의다른포트그룹에연결되어있습니다. 모니터링포트가연결되는포트그룹은무차별모드로설정됩니다. 마찬가지로, 서버및모니터링포트 2 는 vswitch1 에있는 2 개의다른포트그룹에연결되어있습니다. 클라이언트에서서버로이동하는모든트래픽은모니터링포트쌍 1-2 가검사합니다. 38 McAfee Network Security Platform 8.1 8.1 에대한추가정보 I
Virtual IPS Sensor 배포 Virtual Sensor 배포 2 시나리오 2: Virtual Sensor 배포의고급단계 이절에서는시나리오 2 의 Virtual Sensor 배포를따른다고가정합니다. ESX 서버는 Virtual Sensor 배포에필요한요구사항 10 페이지의에설명된요구사항을충족합니다. 사용자에게는 vswitch 및포트그룹을추가하고수정할수있는 ESX 서버에대한권한이있습니다. Virtual Sensor 를설치하고 Manager 와신뢰를성공적으로설정했습니다. 이시나리오에서는예로서관리포트가 vswitch2 에연결되어있습니다. 예로서이절은 IPS-VM100 Virtual Sensor 를사용하여배포를설명합니다. 이시나리오에서는인라인페일클로즈모드로배포된 Sensor 모니터링포트쌍만포함합니다. 이절은 ESX 에서의구성에 vsphere Client 만사용합니다. 작업 1 Sensor 모니터링포트 2 와 10.10.10.16 서버를연결할 vswitch1 을만듭니다. 모니터링포트용표준 vswitch 만들기 47 페이지의를참조하십시오. 2 vswitch0 을수정하여모니터링포트 1 을연결합니다. 모니터링포트용기존의표준 vswitch 수정 57 페이지의을참조하십시오. 3 1 단계에서만든해당하는스위치포트그룹 ( 무차별모드 ) 을모니터링포트 2 에할당합니다. 모니터링포트용스위치포트그룹지정 63 페이지의을참조하십시오. 4 이제 vswitch1 에연결되도록 10.10.10.16 서버의스위치포트그룹을변경합니다. 5 2 단계에서만든해당하는스위치포트그룹 ( 무차별모드 ) 을모니터링포트 1 에할당합니다. 모니터링포트용스위치포트그룹지정 63 페이지의을참조하십시오. 6 Virtual Sensor 를올바르게배포했는지와 Virtual Sensor 에서트래픽을검사하고있는지확인합니다. 배포확인 71 페이지의을참조하십시오. McAfee Network Security Platform 8.1 8.1 에대한추가정보 I 39
2 Virtual IPS Sensor 배포 Virtual Sensor 배포 시나리오 3: 가상서버의트래픽검사 이시나리오에서는 ESX 에설치된가상서버를오가는트래픽을검사합니다. 이배포에서 Sensor 모니터링포트는보호되는서버의게이트웨이역할을합니다. Virtual Sensor 배포전시나리오설명 서버는 ESX 의게스트 VM 에설치되어있습니다. 해당서버는표준 vswitch 인 vswitch0 에연결되어있습니다. vswitch0 은 ESX 외부네트워크에연결된물리적어댑터입니다. Virtual Sensor 배포후시나리오설명 표준 vswitch 2 개 (vswitch1 및 vswitch2) 가이제더추가되었습니다. Virtual Sensor 는 ESX 에배포되어있습니다. Manager 는 vswitch2 에연결된 VM 에설치되어있습니다. Virtual Sensor 의관리포트는 vswitch2 에연결되어있습니다. 이가상스위치에는물리적어댑터가있습니다. 그러므로 ESX 외부에서 Manager 및 Sensor 에액세스할수있습니다. Virtual Sensor 의모니터링포트쌍 1-2 는 vmnic0 은외부네트워크와 ESX 의서버팜사이에인라인으로존재합니다. 서버및모니터링포트 1 은 vswitch0 에있는 2 개의다른포트그룹에연결되어있습니다. 모니터링포트가연결되는포트그룹은무차별모드로설정됩니다. 모니터링포트 2 는 vswitch1 에연결되어있으며, vswitch1 은결과적으로 vmnic0 을통해외부네트워크에연결됩니다. 따라서서버에서외부네트워크로이동하는모든트래픽은모니터링포트쌍 1-2 가검사합니다. 모니터링포트 1 은 vswitch0 의무차별스위치포트그룹에연결됩니다. 따라서인라인이지않더라도서버 1 과서버 2 사이의트래픽도 Sensor 에서검사합니다. 실질적으로모니터링포트 1 이 SPAN 모드상태인것으로가정합니다. Sensor 가서버간트래픽을검사하지않도록하려면 Sensor 의 ACL 을이에맞게정의합니다. 40 McAfee Network Security Platform 8.1 8.1 에대한추가정보 I
Virtual IPS Sensor 배포 Virtual Sensor 배포 2 시나리오 3: Virtual Sensor 배포의고급단계 이절에서는시나리오 3 의 Virtual Sensor 배포를따른다고가정합니다. ESX 서버는 Virtual Sensor 배포에필요한요구사항 10 페이지의에설명된요구사항을충족합니다. 사용자에게는 vswitch 및포트그룹을추가하고수정할수있는 ESX 서버에대한권한이있습니다. Virtual Sensor 를설치하고 Manager 와신뢰를성공적으로설정했습니다. 이시나리오에서는예로서관리포트가 vswitch2 에연결되어있습니다. 예로서이절은 IPS-VM100 Virtual Sensor 를사용하여배포를설명합니다. 이시나리오에서는인라인페일클로즈모드로배포된 Sensor 모니터링포트쌍만포함합니다. 이절은 ESX 에서의구성에 vsphere Client 만사용합니다. 작업 1 Sensor 모니터링포트 2 와 vmnic0 을통해외부네트워크를연결할표준 vswitch 를만듭니다. 이시나리오의경우 vswitch1 을표준 vswitch 로가정합니다. 모니터링포트용표준 vswitch 만들기 47 페이지의를참조하십시오. 이 vswitch 에물리적어댑터가있으며해당하는외부스위치에연결되어있는지확인합니다. 2 vswitch0 을수정하여모니터링포트 1 과가상서버를연결합니다. 이시나리오의경우가상서버의스위치포트그룹을변경하지않아도됩니다. 모니터링포트 1 에대해새스위치포트그룹을만듭니다. 모니터링포트용기존의표준 vswitch 수정 57 페이지의을참조하십시오. 3 해당하는스위치포트그룹 ( 무차별모드 ) 을모니터링포트에할당합니다. 모니터링포트용스위치포트그룹지정 63 페이지의을참조하십시오. 1 단계에서만든스위치포트그룹 (vswitch1) 은모니터링포트 2 에할당해야합니다. 2 단계에서만든스위치포트그룹 (vswitch0) 은모니터링포트 1 에할당해야합니다. 4 Virtual Sensor 를올바르게배포했는지와 Virtual Sensor 에서트래픽을검사하고있는지확인합니다. 배포확인 71 페이지의을참조하십시오. 시나리오 4: 물리적시스템간트래픽검사 Virtual Sensor 를사용하여가상네트워크뿐만아니라물리적네트워크또한보호할수있습니다. 이경우는여러개의물리적 Sensor 를설치하기에공간제약이있는매우큰네트워크에주로사용됩니다. Virtual Sensor 배포전시나리오설명 클라이언트와서버는다른물리적스위치에연결되어있습니다. 단순성을위해클라이언트와서버는같은 VLAN 에있는것으로가정합니다. 스위치 2 개는트렁크포트를통해연결됩니다. 모든시스템이같은 VLAN 에있는것으로가정하기때문에라우팅이필요하지않습니다. McAfee Network Security Platform 8.1 8.1 에대한추가정보 I 41
2 Virtual IPS Sensor 배포 Virtual Sensor 배포 Virtual Sensor 배포후시나리오설명 스위치 2 개의트렁크포트는 ESX 의물리적 NIC 2 개에연결됩니다. 이 NIC 는 2 개의다른 vswitch 에연결되며, vswitch 는결과적으로모니터링포트쌍 1-2 에연결됩니다. vswitch2 는관리포트를연결하는데사용되며, 관리포트는결과적으로물리적시스템의 Manager 에연결됩니다. 이제 Virtual Sensor 의모니터링포트쌍 1-2 가클라이언트와서버에인라인으로존재하게됩니다. 시나리오 4: Virtual Sensor 배포의고급단계 이절에서는시나리오 4 의 Virtual Sensor 배포를따른다고가정합니다. ESX 서버는 Virtual Sensor 배포에필요한요구사항 10 페이지의에설명된요구사항을충족합니다. 사용자에게는 vswitch 및포트그룹을추가하고수정할수있는 ESX 서버에대한권한이있습니다. Virtual Sensor 를설치하고 Manager 와신뢰를성공적으로설정했습니다. 이시나리오에서는예로서관리포트가 vswitch2 에연결되어있습니다. 예로서이절은 IPS-VM100 Virtual Sensor 를사용하여배포를설명합니다. 이시나리오에서는인라인페일클로즈모드로배포된 Sensor 모니터링포트쌍만포함합니다. 이절은 ESX 에서의구성에 vsphere Client 만사용합니다. 작업 1 물리적스위치 1 과 2 의트렁크포트를 ESX 에있는 2 개의다른물리적 NIC 에연결합니다. 2 Sensor 모니터링포트 1 과 2 를연결할표준 vswitch 2 개를만듭니다. 모니터링포트용표준 vswitch 만들기 47 페이지의를참조하십시오. 스위치둘다물리적어댑터가필요합니다. 이시나리오의경우물리적스위치 1 에연결되는물리적어댑터에 vswitch0 을할당해야합니다. 마찬가지로물리적스위치 2 에연결되는물리적어댑터에 vswitch1 을할당해야합니다. 42 McAfee Network Security Platform 8.1 8.1 에대한추가정보 I
Virtual IPS Sensor 배포 Virtual Sensor 배포 2 3 물리적스위치 1 의트렁크포트에해당하는 vswitch0 에스위치포트그룹을만듭니다. a VMware vsphere Web Client 에서루트사용자로 ESX 에로그온합니다. b vsphere [ 홈 ] 탭에서 [ 호스트및클러스터 ] 를선택합니다. McAfee Network Security Platform 8.1 8.1 에대한추가정보 I 43
2 Virtual IPS Sensor 배포 Virtual Sensor 배포 c 필요한 ESX 서버를선택하고 [ 관리 ] [ 네트워킹 ] [ 가상스위치 ] [vswitch0] 을선택합니다. d vswitch0 에대해 [ 호스트네트워킹추가 ] 아이콘을클릭합니다. 44 McAfee Network Security Platform 8.1 8.1 에대한추가정보 I
Virtual IPS Sensor 배포 Virtual Sensor 배포 2 e [ 대상장치선택 ] 에대해 [ 기존표준스위치선택 ] 을선택하고만든 vswitch0 이선택되었는지확인합니다. f [ 네트워크레이블 ] 필드에이름을입력합니다. 예를들어물리적클라이언트포트를입력합니다. g 이스위치포트그룹은물리적스위치의트렁크포트에해당하므로 [VLAN ID( 선택사항 )] 필드에 [ 모두 (4095)] 를선택합니다. h [ 다음 ] 과 [ 마침 ] 을차례로클릭합니다. i [ 표준스위치 :vswitch0(vm 네트워크 )] 에서만든스위치포트그룹을클릭합니다. 이번예에서스위치포트그룹은물리적클라이언트포트입니다. McAfee Network Security Platform 8.1 8.1 에대한추가정보 I 45
2 Virtual IPS Sensor 배포 Virtual Sensor 배포 j 스위치포트그룹을선택했으면스위치포트그룹에대해 [ 설정편집 ] 아이콘을클릭합니다. k [ 설정편집 ] 대화상자에서 [ 보안 ] 탭을선택하고해당필드가다음값으로설정되었는지확인한후 [ 확인 ] 을클릭합니다. [ 무차별모드 - ] 허용. 물리적스위치 1 에연결되어있는모든호스트와관련된트래픽이포함되어있어허용으로설정합니다. [MAC 주소변경 - ] 거부. [ 위조된전송 - ] 허용. 4 이전단계를사용하여 vswitch1 에비슷한스위치포트그룹을만듭니다. 이그룹은물리적스위치 2 의트렁크포트에해당합니다. 5 3 단계에서만든스위치포트그룹을모니터링포트 1 에할당합니다. 모니터링포트용스위치포트그룹지정63 페이지의을참조하십시오. 46 McAfee Network Security Platform 8.1 8.1 에대한추가정보 I
Virtual IPS Sensor 배포 Virtual Sensor 배포 2 6 4 단계에서만든스위치포트그룹을모니터링포트 2 에할당합니다. 모니터링포트용스위치포트그룹지정 63 페이지의을참조하십시오. 모니터링포트 1 은 vswitch0 의해당하는포트그룹 (VNSP100-PG-Port1) 에, 모니터링포트 2 는 vswitch1 의해당하는포트그룹 (VNSP100-PG-Port2) 에연결되어있는지확인합니다. 포트그룹둘다 VLAN ID 가모두 (4095) 여야합니다. 모니터링포트가물리적스위치의트렁크포트에연결되었기때문입니다. 7 Virtual Sensor 를올바르게배포했는지와 Virtual Sensor 에서트래픽을검사하고있는지확인합니다. 배포확인 71 페이지의을참조하십시오. 모니터링포트용표준 vswitch 만들기 시작하기전에 이스위치에연결된 VM 에외부에서액세스하려면 ESX 의추가적인물리적 NIC 를물리적스위치에연결해야합니다. 모니터링포트를표준 vswitch 에연결합니다. 표준 vswitch 를만들면 ESX 에서이 vswitch 에대한기본포트그룹을만듭니다. Virtual Sensor 의모니터링포트각각을다른포트그룹에연결해야합니다. 작업 1 또는 ESX 의추가적인물리적 NIC 를옆에있는물리적스위치에연결합니다. 예를들어시나리오 4 의경우, 추가 NIC 를해당하는물리적스위치에연결해야합니다. 2 VMware vsphere Web Client 에서루트사용자로 ESX 에로그온합니다. McAfee Network Security Platform 8.1 8.1 에대한추가정보 I 47
2 Virtual IPS Sensor 배포 Virtual Sensor 배포 3 vsphere [ 홈 ] 탭에서 [ 호스트및클러스터 ] 를선택합니다. 4 필요한 ESX 서버를선택하고 [ 관리 ] [ 네트워킹 ] [ 가상스위치 ] 를선택합니다. 48 McAfee Network Security Platform 8.1 8.1 에대한추가정보 I
Virtual IPS Sensor 배포 Virtual Sensor 배포 2 5 [ 호스트네트워킹추가 ] 아이콘을클릭합니다. 6 [ 연결유형선택 ] 섹션에서필요한연결유형을선택하고 [ 다음 ] 을클릭합니다. 네트워크설계및요구사항에따라연결유형을선택합니다. 이스위치에연결되는 VM 이 ESX 외부에액세스할필요가없으면 [ 표준스위치의가상시스템포트그룹 ] 을선택합니다. 그러나시나리오 4 의요구사항의경우반드시 [ 물리적네트워크어댑터 ] 를선택해야합니다. 이제 [ 표준스위치의가상시스템포트그룹 ] 을선택한다고생각해봅시다. 7 [ 대상장치선택 ] 에서는 [ 새표준스위치 ] 와필요한포트수를선택한후 [ 다음 ] 을클릭합니다. McAfee Network Security Platform 8.1 8.1 에대한추가정보 I 49
2 Virtual IPS Sensor 배포 Virtual Sensor 배포 8 네트워크요구사항에따라 [ 어댑터추가 ] 아이콘을클릭하고해당하는물리적네트워크어댑터를선택합니다. 선택했으면 [ 다음 ] 을클릭합니다. 어댑터를선택하는경우선택한네트워크어댑터에해당하는물리적 NIC 가네트워크에연결되어있는지확인합니다. 9 [ 네트워크레이블 ] 필드에는스위치를위해마법사가만든기본포트그룹에필요한이름을입력합니다. [ 네트워크레이블 ] 은나중에수정할수도있습니다. 관리가쉽도록예를들면 VNSP100-PG-Port1 로이름을정합니다. 10 [VLAN ID] 에서 [ 모두 (4095)] 와 [ 다음 ] 을차례로선택합니다. 50 McAfee Network Security Platform 8.1 8.1 에대한추가정보 I
Virtual IPS Sensor 배포 Virtual Sensor 배포 2 11 [ 마침 ] 을클릭합니다. 이제 vswitch 가 [ 네트워킹 ] 탭의 [ 가상스위치 ] 아래에나열됩니다. 12 만든 vswitch 를선택하고물리적어댑터위로마우스를이동하여클릭합니다. McAfee Network Security Platform 8.1 8.1 에대한추가정보 I 51
2 Virtual IPS Sensor 배포 Virtual Sensor 배포 13 [ 어댑터속도편집 ] 아이콘을클릭합니다. 14 [ 구성된속도, 이중 ] 이 [ 자동협상 ] 으로설정되어있는지확인합니다. 다른속성값은기본값그대로놔두면됩니다. 52 McAfee Network Security Platform 8.1 8.1 에대한추가정보 I
Virtual IPS Sensor 배포 Virtual Sensor 배포 2 15 vswitch 의보안속성을수정합니다. a vswitch 를선택하고 [ 설정편집 ] 아이콘을클릭합니다. b [ 보안 ] 을선택하고필드가언급된값으로설정되었는지확인한후 [ 확인 ] 을클릭합니다. [ 무차별모드 - ] 거부. [MAC 주소변경 - ] 거부. [ 위조된전송 - ] 허용. 16 기본포트그룹의보안설정을수정합니다. 이그룹을사용하여 Sensor 의모니터링포트를연결한다고가정합니다. a 기본포트그룹위로마우스를이동하여클릭합니다. 이제스위치포트그룹이선택되었습니다. McAfee Network Security Platform 8.1 8.1 에대한추가정보 I 53
2 Virtual IPS Sensor 배포 Virtual Sensor 배포 b 스위치포트그룹에대해 [ 설정편집 ] 아이콘을클릭합니다. c [ 속성 ] 을클릭하고필요한경우네트워크레이블을수정합니다. d [VLAN ID] 가 [ 모두 (4095)] 로설정되었는지확인합니다. 이스위치포트그룹은트렁크포트와비슷한모든 VLAN 트래픽을수신해야합니다. e [ 보안 ] 을클릭하고 [ 무차별모드 ] 옆에있는 [ 재정의 ] 확인란을선택한다음드롭다운에서 [ 허용 ] 을선택합니다. Sensor 모니터링포트에사용할포트그룹에필수적으로선택해야합니다. 17 이 vswitch 에있는다른 VM 을위해새포트그룹을만듭니다. 54 McAfee Network Security Platform 8.1 8.1 에대한추가정보 I
Virtual IPS Sensor 배포 Virtual Sensor 배포 2 예를들어시나리오 2 의경우이포트그룹은 10.10.10.16 서버에사용할포트그룹입니다. 시나리오 4 의경우이단계를건너뜁니다. a 해당하는 vswitch 를선택하고 [ 호스트네트워킹추가 ] 아이콘을클릭합니다. b [ 연결유형선택 ] 단계에서는 [ 표준스위치의가상시스템포트그룹 ] 을선택한후 [ 다음 ] 을클릭합니다. c [ 대상장치선택 ] 단계에서는 [ 기존표준스위치선택 ] 을선택하고만든 vswitch 가선택되었는지확인합니다. 선택했으면 [ 다음 ] 을클릭합니다. McAfee Network Security Platform 8.1 8.1 에대한추가정보 I 55
2 Virtual IPS Sensor 배포 Virtual Sensor 배포 d [ 네트워크레이블 ] 필드에는스위치를위해마법사가만든기본포트그룹에필요한이름을입력합니다. [ 네트워크레이블 ] 은나중에수정할수있습니다. 관리가쉽도록이름을서버포트로정할수있습니다. e [VLAN ID( 옵션 )] 필드에필요한 VLAN 을지정할수있습니다. 예를들어시나리오 1 의경우 [ 없음 (0)] 을선택하고 [ 다음 ] 과 [ 마침 ] 을차례로클릭합니다. [ 없음 (0)] 은트래픽이 VLAN 와태그가지정되지않음을뜻합니다. f 스위치포트그룹위로마우스를이동하여클릭합니다. 이제스위치포트그룹이선택되었습니다. 56 McAfee Network Security Platform 8.1 8.1 에대한추가정보 I
Virtual IPS Sensor 배포 Virtual Sensor 배포 2 g 스위치포트그룹에대해 [ 설정편집 ] 아이콘을클릭합니다. h [ 보안 ] 탭에서해당필드가다음값으로설정되었는지확인한후 [ 확인 ] 을클릭합니다. [ 무차별모드 - ] 거부. [MAC 주소변경 - ] 거부. [ 위조된전송 - ] 허용. 18 [ 확인 ] 을클릭하여 [ 설정편집 ] 대화상자를닫습니다. 모니터링포트용기존의표준 vswitch 수정 모니터링포트를기존 vswitch 에연결하려는경우일부구성을수정해야할수도있습니다. 예를들어시나리오 2 의경우가상스위치 1 을모니터링포트 1 에연결하려면가상스위치 1 을수정해야합니다. 작업 1 VMware vsphere Web Client 에서루트사용자로 ESX 에로그온합니다. McAfee Network Security Platform 8.1 8.1 에대한추가정보 I 57
2 Virtual IPS Sensor 배포 Virtual Sensor 배포 2 vsphere [ 홈 ] 탭에서 [ 호스트및클러스터 ] 를선택합니다. 페이지가표시되는데시간이걸리는경우위에있는페이지새로고침아이콘을클릭합니다. 3 필요한 ESX 서버를선택하고 [ 관리 ] [ 네트워킹 ] [ 가상스위치 ] 를선택합니다. 58 McAfee Network Security Platform 8.1 8.1 에대한추가정보 I
Virtual IPS Sensor 배포 Virtual Sensor 배포 2 4 필요한 vswitch 를선택하고 [ 설정편집 ] 아이콘을클릭합니다. 5 [ 보안 ] 을선택하고필드가언급된값으로설정되었는지확인한후 [ 확인 ] 을클릭합니다. [ 무차별모드 - ] 거부. [MAC 주소변경 - ] 거부. [ 위조된전송 - ] 허용. 6 이스위치의 VM 에사용중인포트그룹을수정합니다. McAfee Network Security Platform 8.1 8.1 에대한추가정보 I 59
2 Virtual IPS Sensor 배포 Virtual Sensor 배포 예를들어시나리오 2 의경우이포트그룹은 10.10.10.15 클라이언트에사용하는포트그룹입니다. 이단계는시나리오 2 에만관련될수있습니다. a 필요한포트그룹위로마우스를이동하여클릭합니다. 이제스위치포트그룹이선택되었습니다. b 스위치포트그룹에대해 [ 설정편집 ] 아이콘을클릭합니다. c [ 속성 ] 을클릭하고필요한경우네트워크레이블을수정합니다. 예를들면클라이언트포트로변경합니다. d VLAN ID( 옵션 ) 필드에필요한 VLAN 을지정할수있습니다. 이절의시나리오에서는없음 (0) 을선택합니다. 60 McAfee Network Security Platform 8.1 8.1 에대한추가정보 I
Virtual IPS Sensor 배포 Virtual Sensor 배포 2 e [ 보안 ] 을클릭하고해당필드가다음값으로설정되었는지확인한후 [ 확인 ] 을클릭합니다. [ 무차별모드 - ] 거부. [MAC 주소변경 - ] 거부. [ 위조된전송 - ] 허용. 7 Sensor 의모니터링포트를연결하기위한포트그룹을만듭니다. a 해당하는 vswitch 를선택하고 [ 호스트네트워킹추가 ] 아이콘을클릭합니다. b [ 연결유형선택 ] 단계에서는 [ 표준스위치의가상시스템포트그룹 ] 을선택한후 [ 다음 ] 을클릭합니다. McAfee Network Security Platform 8.1 8.1 에대한추가정보 I 61
2 Virtual IPS Sensor 배포 Virtual Sensor 배포 c [ 대상장치선택 ] 단계에서는 [ 기존표준스위치선택 ] 을선택하고만든 vswitch 가선택되었는지확인합니다. 선택했으면 [ 다음 ] 을클릭합니다. d [ 네트워크레이블 ] 필드에필요한이름을입력합니다 예를들어 VNSP 클라이언트포트를입력합니다. e VLAN ID 가모두 (4095) 로설정되었는지확인하고 [ 다음 ] 과 [ 마침 ] 을차례로클릭합니다. f 스위치포트그룹위로마우스를이동하여클릭합니다. 이제스위치포트그룹이선택되었습니다. 62 McAfee Network Security Platform 8.1 8.1 에대한추가정보 I
Virtual IPS Sensor 배포 Virtual Sensor 배포 2 g 스위치포트그룹에대해 [ 설정편집 ] 아이콘을클릭합니다. h 보안탭에서 [ 무차별모드 ] 옆에있는 [ 재정의 ] 를선택한다음드롭다운에서 [ 허용 ] 을선택합니다. 완료되면 [ 확인 ] 을클릭합니다. Sensor 모니터링포트에사용할포트그룹에필수적으로선택해야합니다. 모니터링포트용스위치포트그룹지정 Virtual Sensor 를설치하는경우필요한 Sensor 포트에대한스위치포트그룹을선택합니다. 루프백방지를위해 2 개의포트를같은스위치포트그룹에연결할수없습니다. 예방조치로모니터링포트와응답포트는기본적으로연결되어있지않습니다. 필요한 vswitch 와스위치포트그룹을평가하는것이좋습니다. Virtual Sensor 를설치하기전에 ESX 에스위치포트그룹을만들수있습니다. 배포할계획이없는포트에대한더미스위치포트그룹을만들수도있습니다. McAfee Network Security Platform 8.1 8.1 에대한추가정보 I 63
2 Virtual IPS Sensor 배포 Virtual Sensor 배포 처음네트워크어댑터 2 개는각각관리포트와응답포트에해당합니다. 나머지어댑터는모니터링포트에해당합니다. 다음그림은네트워크어댑터와 IPS-VM100 의 Sensor 포트간의매핑을보여줍니다. 그림 2-8 Sensor 포트의네트워크어댑터매핑 왼쪽은 Virtual Sensor 의 vsphere 클라이언트에서액세스할수있는가상시스템속성대화상자입니다. 가상시스템속성대화상자에액세스하려면 vsphere 클라이언트에서 Virtual Sensor 를선택한다음 [ 가상시스템설정편집 ] 을선택합니다. 그림의오른쪽은 Virtual Sensor 의 Manager 에있는 [ 물리적포트 ] 페이지를보여줍니다. IPS-VM600 의경우네트워크어댑터 3 에서 8 은동일한순서의모니터링포트에해당합니다. 네트워크어댑터 1 과 2 는각각관리포트와응답포트에해당합니다. 작업 1 VMware vsphere Web Client 에서루트사용자로 ESX 에로그온합니다. 64 McAfee Network Security Platform 8.1 8.1 에대한추가정보 I
Virtual IPS Sensor 배포 Virtual Sensor 배포 2 2 vsphere [ 홈 ] 탭에서 [ 호스트및클러스터 ] 를선택합니다. 3 해당하는 ESX 에서필요한 Virtual Sensor 를선택합니다. VM 하드웨어섹션에서 Sensor 포트에해당하는네트워크어댑터를볼수있습니다. 해당어댑터의현재상태도표시됩니다. McAfee Network Security Platform 8.1 8.1 에대한추가정보 I 65
2 Virtual IPS Sensor 배포 Virtual Sensor 배포 4 [VM 하드웨어 ] 섹션에서 [ 설정편집 ] 을클릭합니다. 5 [ 설정편집 ] 대화상자에서필요한네트워크어댑터 (Sensor 포트 ) 에대해 [ 연결됨 ] 확인란을선택하고 [ 확인 ] 을클릭합니다. 해당하는네트워크어댑터가이제연결되었음을 [VM 하드웨어 ] 섹션에서확인할수있습니다. 인라인페일오픈모드로 Virtual Sensor 모니터링포트배포 시작하기전에 인라인페일오픈모드로모니터링포트를배포하기전에 Sensor 가인라인페일클로즈모드에서같은포트와함께예상대로작동하고있는지확인합니다. Virtual Sensor 가물리적네트워크장치에서트래픽을수신하면인라인페일오픈모드로인라인쌍을배포할수있습니다. Virtual Sensor 가그림처럼가상시스템간의트래픽을검사하는시나리오 ( 시나리오 4) 를생각해봅시다. 66 McAfee Network Security Platform 8.1 8.1 에대한추가정보 I
Virtual IPS Sensor 배포 Virtual Sensor 배포 2 모니터링포트쌍 1-2 는물리적스위치 1 과 2 사이에인라인으로존재합니다. 기본적으로 Virtual Sensor 의인라인모니터링포트는페일클로즈모드입니다. 다음조건에서는클라이언트와서버사이의네트워크가끊어집니다 : 포트 1 또는 2 의링크장애. vmnic0 또는 vmnic1 의링크장애. Virtual Sensor 의전원또는앱장애. ESX 서버가중단된경우. vswitch0 또는 vswitch1 이중단된경우. 이러한조건때문에네트워크가끊어지는위험을줄이기위해모니터링포트 1-2 를페일오픈모드로배포할수있습니다. Virtual Sensor 모니터링포트의페일오픈이작동하려면외부구리선바이패스스위치를사용해야합니다. McAfee 가인증한 10/100/1000 외부구리선활성페일오픈바이패스키트만지원됩니다. 활성페일오픈바이패스키트를설치하려면네트워크를잠시중단해야합니다. McAfee Network Security Platform 8.1 8.1 에대한추가정보 I 67
2 Virtual IPS Sensor 배포 Virtual Sensor 배포 작업 1 10/100/1000 외부구리선활성페일오픈바이패스키트를설치하고전원소스 2 개를사용하여키트의전원을켭니다. 자세한내용은 "McAfee Network Security Platform 구리선활성페일오픈바이패스키트안내서 " 를참조하십시오. 2 vmnic0 에서물리적스위치 1 의트렁크포트를연결해제하고바이패스키트에 A 로표시된포트에트렁크포트를연결합니다. 3 이와비슷하게 vmnic1 에서물리적스위치 2 의트렁크포트를연결해제하고바이패스키트에 B 로표시된포트에트렁크포트를연결합니다. 4 1 로표시된포트는 vmnic0 에, 2 로표시된포트는 vmnic1 에연결합니다. 5 Manager 에서포트를인라인페일오픈활성모드로설정합니다. a [ 장치 ] 탭을클릭합니다. b [ 도메인 ] 드롭다운목록에서도메인을선택합니다. c 왼쪽창에서 [ 장치 ] 탭을클릭합니다. d [ 장치 ] 드롭다운목록에서장치를선택합니다. e [ 설정 ] [ 물리적포트 ] 를선택합니다. f 필요한포트를두번클릭하고 [ 모드 ] 필드에서 [ 인라인페일오픈활성 ] 을선택합니다. g 확인한다음 [ 저장 ] 을클릭합니다. 68 McAfee Network Security Platform 8.1 8.1 에대한추가정보 I
Virtual IPS Sensor 배포 Virtual Sensor 배포 2 Sensor 명령줄인터페이스에서 show intfport < 포트번호 > 명령을실행하고 [ 페일오픈스위치 ] 에는 [PRESENT], [ 페일오픈포트 ] 에는 [INLINE] 이표시되는지확인합니다. Sensor 가작동하고있는동안해당스위치는설정되어있고 Virtual Sensor 를통해직접모든트래픽을라우팅합니다. McAfee Network Security Platform 8.1 8.1 에대한추가정보 I 69
2 Virtual IPS Sensor 배포 Virtual Sensor 배포 Sensor 가작동하지않으면해당스위치는 Virtual Sensor 를자동으로바이패스상태로전환합니다. 인라인트래픽은네트워크링크를통해계속오가지만, 더이상 Sensor 를통해라우팅되지않습니다. 모니터링포트가중단되는경우 Manager 에포트상태가알수없음으로표시됩니다. 치명적장애메시지또한생성됩니다. 모니터링포트쌍이다시인라인이되면이메시지는지워집니다. 모니터링포트가중단되거나 Sensor 가계층 2 바이패스모드로되면페일오픈바이패스키트가켜지며트래픽이 Sensor 를바이패스합니다. show intfport < 포트번호 > 명령을실행하는경우 [ 페일오픈포트 ] 필드에 [BYPASS] 가표시됩니다. 70 McAfee Network Security Platform 8.1 8.1 에대한추가정보 I
Virtual IPS Sensor 배포 Virtual IPS Sensor 사용권컴플라이언스보고서생성 2 Sensor 가계층 2 바이패스모드일경우 [ 페일오픈포트 ] 필드에 [LAYER2_BYPASS] 가표시됩니다. Sensor 가다시정상작동되면바이패스스위치가해제상태로돌아가므로다시인라인으로모니터링할수있습니다. 외부구리선활성페일오픈바이패스키트작동에대한자세한내용은 "10/100/1000 구리선활성페일오픈바이패스키트안내서 " 를참조하십시오. 6 탭모드로바이패스스위치를구성할수도있습니다. 자세한내용은 "10/100/1000 구리선활성페일오픈바이패스키트안내서 " 를참조하십시오. Manager 의 [ 물리적포트 ] 페이지에는탭모드에대한특정구성이없습니다. 구성은바이패스스위치에만있습니다. 바이패스스위치가탭모드일때 show intfport < 포트번호 > 명령을실행하면 [ 페일오픈포트 ] 필드에 [TAP] 이표시됩니다. 배포확인 다음정보를사용하여 Virtual Sensor 를올바르게배포했는지와 Virtual Sensor 에서트래픽을검사하고있는지확인할수있습니다. 작업 1 Sensor 관리포트와 Manager 를확인하고서로접근할수있는지확인합니다. 2 Sensor 명령줄인터페이스에서 status 및 show 명령을사용하여신뢰가설정되었는지, 채널이작동중인지, Sensor 의상태가양호한지확인합니다. 3 Manager 대시보드에서 [ 시스템상태 ] 모니터를체크하여 Sensor 가작동중인지확인합니다. 4 Manager 에서 [ 장치 ] [< 도메인이름 >] [ 장치 ] [< 도메인이름 >] [ 설정 ] [ 물리적포트 ] 를선택하고모니터링포트가작동중인지체크합니다. 5 클라이언트및서버가서로접근할수있는지확인합니다. 6 클라이언트에서서버로샘플공격 ( 예 : root.exe) 을보내정확한세부정보와함께 Real-time Threat Analyzer 에경보가생성되는지체크합니다. 7 Virtual Sensor 를배포하고나면구성및관리프로세스는물리적 Sensor 의프로세스와비슷합니다. 그러므로내용은해당하는절을참조하십시오. 예를들어모니터링포트의가상화와관련된절차는물리적포트의가상화절차와비슷합니다. Virtual Sensor 의모니터링포트에서하위인터페이스를만드는방법에대한자세한내용은 "McAfee Network Security Platform IPS 관리안내서 " 의 " 가상화이해방법 " 장을참조하십시오. Virtual IPS Sensor 사용권컴플라이언스보고서생성 Virtual Sensor 사용권에대한컴플라이언스보고서를생성하려면 Virtual IPS Sensor 사용권컴플라이언스보고서를생성합니다. 이보고서에는현재 Virtual Sensor 사용권컴플라이언스가요약됩니다. 더불어 Manager 가현재관리하는가상 Sensor 도나열됩니다. McAfee Network Security Platform 8.1 8.1 에대한추가정보 I 71
2 Virtual IPS Sensor 배포 Virtual IPS Sensor 사용권컴플라이언스보고서생성 작업 1 Manager 에서 [ 관리 ] [< 관리도메인 >] [ 보고 ] [ 보고서구성 ] [Virtual IPS Sensor 사용권컴플라이언스 ] 를선택합니다. 2 [ 출력형식 ] 목록에서필요한옵션을선택하고 [ 제출 ] 을클릭합니다. 그림 2-9 Virtual IPS Sensor 사용권컴플라이언스보고서 옵션 설명 [ 사용권상태 ] 현재컴플라이언스상태를나타냅니다. [ 허용된총 Virtual IPS Sensor 수 ] 이수는해당 Manager 에있을수있는 Virtual Sensor 의수를나타냅니다. [ 관리되는총 Virtual IPS Sensor 수 ] Manager 가현재관리하는 Virtual Sensor 의수를나타냅니다. [ 보고서작성시간 ] 보고서를생성한시간입니다. [ 사용권키 ] 사용권파일의사용권키를나타냅니다. [ 생성날짜 ] 사용권파일이생성된날짜입니다. [ 고객 ] 사용권파일을생성한고객입니다. [ 허가 ID] 해당고객의 McAfee 허가 ID 입니다. [ 허용된 Virtual IPS Sensor] 사용권파일당사용권수에해당합니다. [ 가져온시간 ] 사용권파일을 Manager 로가져온타임스탬프입니다. [ 가져온사람 ] 사용권파일을가져온사용자입니다. [ 비고 ] [Virtual IPS Sensor 사용권 ] 페이지에입력된사용자의비고입니다. [Virtual IPS Sensor 이름 ] 관리도메인에서관리되는 Virtual IPS Sensor 의이름입니다. [Virtual IPS Sensor 모델 ] Virtual IPS Sensor 의모델입니다. 72 McAfee Network Security Platform 8.1 8.1 에대한추가정보 I
3 Manager 3 의향상된기능 목차 Manager 인프라의향상된기능관리도메인별데이터보기장치요약보고서시그니처세트업데이트취소옵션 Logon Collector 통합의향상된기능 GTI 통합의향상된기능 McAfee epo 통합의향상된기능 Vulnerability Manager 통합의향상된기능 10,000 AD 사용자그룹지원경보세부정보의 DNS 이름 IPS 검역의향상된기능 Java 에서마이그레이션하기위한 Manager UI 재설계 (extjs 로마이그레이션 ) 시그니처세트와봇네트탐지기다운로드따로예약 Manager 인프라의향상된기능 Manager 소프트웨어릴리스 8.1 에서는 Manager 서버및 Manager 클라이언트에대해다음과같은인프라의향상된기능이지원됩니다 : Manager 서버설치에대한운영체제지원 이전 8.0.5.x Manager 버전에서 Manager 서버설치는다음운영체제에서지원되었습니다 : Windows Server 2008 R2 Standard 또는 Enterprise Edition, SP1( 전체설치 ), 영어운영체제 Windows Server 2008 R2 Standard 또는 Enterprise Edition, SP1( 전체설치 ), 일본어운영체제 Windows Server 2012 Standard Edition(GUI 포함서버 ) 영어운영체제 Windows Server 2012 Standard Edition(GUI 포함서버 ) 일본어운영체제 이릴리스에서는위의운영체제와더불어다음또한지원됩니다 : Windows Server 2012 R2 Standard Edition(GUI 포함서버 ) 영어 Windows Server 2012 R2 Standard Edition(GUI 포함서버 ) 일본어 Windows Server 2012 R2 Datacenter Edition(GUI 포함서버 ) 영어 Windows Server 2012 R2 Datacenter Edition(GUI 포함서버 ) 일본어 Manager 클라이언트보기를위한운영체제지원 McAfee Network Security Platform 8.1 8.1 에대한추가정보 I 73
3 Manager 의향상된기능관리도메인별데이터보기 이전 8.0.5.x Manager 버전에서 Manager 클라이언트보기는다음운영체제에서지원되었습니다 : Windows 7 Windows 8 이릴리스에서는 Windows 8.1 영어또는일본어도지원됩니다. Manager 를위한 VMware ESX 서버지원 이전 8.0.5.x Manager 버전에서는다음과같은 VMware ESX 서버버전이지원되었습니다 : VMware ESX Server 버전 4.0 업데이트 1 및버전 4.1 ESXi 5.0 ESXi 5.1 이릴리스에서는 ESXi 5.1 도지원됩니다. VMware ESX Server 버전 4.0 업데이트 1 및버전 4.1 가상화소프트웨어에대한지원은되지않습니다. Manager 클라이언트보기를위한 IE 지원 이전 8.0.5.x Manager 버전에서는 Manager 클라이언트보기가다음 Internet Explorer 버전에서지원되었습니다 : 9.0 10.0 이릴리스에서는 Internet Explorer 11.0 도지원됩니다. Mac 에서 Manager 클라이언트보기를위한 Safari 지원 이전 8.0.5.x Manager 버전에서는 Safari 6 브라우저에서 Manager 클라이언트보기가지원되었습니다. 이버전의 Manager 는 Safari 7 브라우저도지원합니다. Manager 의 JRE 요구사항 이전 8.0.5.x Manager 버전에서 Manager 와함께제공되는클라이언트 JRE 버전은 1.7.0_25 입니다. 이버전의 Manager 와함께제공되는클라이언트 JRE 버전은 1.7.0_51 입니다. Manager 의 Chrome 지원 Chrome 브라우저를사용할경우 Windows 8 의앱모드상태에서는 Chrome 이지원되지않습니다. 이모드를사용하면 Manager 를보는데필요한구성요소인추가플러그인을설치할수없습니다. 관리도메인별데이터보기 이릴리스에서 Manager 는관리도메인별로데이터를볼수있는추가적인유연성을다음페이지에제공합니다 : 이전에는 Manager 의 [ 대시보드 ] 페이지에표시되는데이터가모든관리도메인에적용되었습니다. 상위도메인및관련하위도메인별데이터는볼수없었습니다. 이릴리스에서는 [ 대시보드 ] 페이지의새 [ 도메인 ] 드롭다운옵션을통해관리도메인별데이터를필터링하고볼수있습니다. 마찬가지로이전에는 [ 분석 ] [Threat Explorer] 에모든관리도메인에대한상위공격, 공격자대상등이표시되었습니다. 이제이러한데이터를필터링하여필요한관리도메인의데이터만볼수있습니다. 74 McAfee Network Security Platform 8.1 8.1 에대한추가정보 I
Manager 의향상된기능관리도메인별데이터보기 3 대시보드탭 Manager 에로그온하면처음에나타나는페이지가 [ 대시보드 ] 탭입니다. [ 대시보드 ] 탭은모든 Manager 인터페이스구성요소를사용할수있는중앙인터페이스입니다. [ 대시보드 ] 탭은논리적으로맨위의메뉴모음섹션과아래의모니터섹션으로구분됩니다. 다음과같은보안및작동관련모니터가기본적으로표시됩니다 : 그림 3-1 대시보드탭 최상위위험엔드포인트 Top Targets( 상위대상 ) Top Active Botnets( 상위활성봇네트 ) Update Status( 업데이트상태 ) 상위악성프로그램탐지 상위응용프로그램 Top Attacks( 상위공격 ) System Health( 시스템상태 ) Top Attackers( 상위공격자 ) Manager Summary(Manager 요약 ) 기본시간범위는 [ 최근 12 시간 ] 이고, [ 자동새로고침 ] 은 10 분으로설정되어있습니다. 또한원하는모니터를추가할수있습니다. [ 대시보드 ] 탭에서이러한모니터를끌어다놓을수도있습니다. 모니터에는선택한관리도메인에따른데이터가표시됩니다. 하위도메인의데이터도표시될수있습니다. 이경우모니터에표시되는데이터에하위도메인의데이터도포함됩니다. 기본적으로모니터에는루트관리도메인에대한데이터가표시됩니다. [ 하위도메인포함 ] 이기본적으로선택되어있습니다. 기본적으로 Manager 의모든로그온은루트관리도메인에대한데이터를대시보드에표시합니다. 다음과같은옵션을사용하여 [ 대시보드 ] 탭보기를사용자지정할수있습니다. McAfee Network Security Platform 8.1 8.1 에대한추가정보 I 75
3 Manager 의향상된기능관리도메인별데이터보기 이름 아이콘설명 Hide( 숨기기 ) 원하는모니터를숨깁니다. Expand( 확장 ) 원하는모니터를표시합니다. 새로고침수동으로페이지를새로고칩니다. 또는 [ 대시보드기본설정 ] 대화상자에서자동새로고침시간을설정합니다. 기본새로고침시간간격은 10 분입니다. 편집 [ 대시보드설정 ] 대화상자를표시합니다. 대시보드설정 [ 대시보드설정 ] 대화상자에서 [ 대시보드 ] 탭보기를사용자지정할수있습니다. 그림 3-2 대시보드설정대화상자 76 McAfee Network Security Platform 8.1 8.1 에대한추가정보 I
Manager 의향상된기능관리도메인별데이터보기 3 다음작업을수행할수있습니다. [ 모니터 ] - 이옵션을사용하여모니터를추가합니다. 기본범주는 [ 모두 ] 입니다. [ 작동 ] 또는 [ 보안 ] 범주를사용하여보려는모니터를선택할수있습니다. 관리도메인과하위도메인에따라모니터에표시되는데이터를사용자지정할수도있습니다. 모니터에는 [ 도메인 ] 드롭다운목록에서선택한관리도메인에따른데이터가표시됩니다. 서로다른범주아래다음과같은모니터가표시됩니다 : 범주모니터설명 All( 모두 ) Operational( 작동 ) [Manager 요약 ] Operational( 작동 ) 및 Security( 보안 ) 모니터를모두표시합니다. 소프트웨어버전, 시그니처세트버전등과같은 Manager 세부정보를표시합니다. [McAfee 의메시지 ] 최신업데이트와 Sensor 에적용된현재시그니처세트버전을표시합니다. [ 실행중인작업 ] Manager 에구성된모든 Sensor 의상태가표시됩니다. [ 시스템상태 ] 장치및 Manager 의상태를표시합니다. [ 업데이트상태 ] 로그인한도메인의 Sensor 소프트웨어및시그니처세트의현재버전을표시합니다. [Manager 요약 ], [McAfee 의메시지 ], 선택한관리도메인과상관없는 [ 실행중인작업 ] 모니터에대한데이터는변하지않습니다. [ 시스템상태 ] 및 [ 업데이트상태 ] 모니터에는선택한관리도메인에연결된모든하위도메인의목록이표시됩니다. Security( 보안 ) [ 상위활성봇네트 ] 네트워크에서상위활성봇네트를표시합니다. [ 상위응용프로그램 ] 네트워크에서상위 N 개응용프로그램을표시합니다. 바이트, 공격또는연결을기준으로하여응용프로그램을필터링할수있습니다 [ 상위공격하위범주 ] 네트워크에서공격하위범주를표시합니다. [ 상위공격자국가 ] 네트워크에서상위공격자국가를표시합니다. [ 상위공격자 ] 네트워크에서상위공격자를표시합니다. [ 상위공격 ] 네트워크에서상위공격을표시합니다. [ 상위엔드포인트실행파일 ] 실행파일을사용하는엔드포인트수또는실행파일이시작한공격수를기준으로상위실행파일을표시합니다. 장치, 공격 ( 기본값 ) 또는엔드포인트, 악성프로그램신뢰도및분류에따라실행파일을필터링할수있습니다. 이모니터는 McAfee EIA 통합을활성화했을경우에만채워집니다. [ 최상위위험엔드포인트 ] 네트워크에서높은위험의엔드포인트를표시합니다. [ 상위악성프로그램탐지 ] 네트워크에서상위악성프로그램다운로드를표시합니다. 악성프로그램의신뢰도및탐지 ( 차단됨, 차단되지않음및모두 ) 에따라악성프로그램을필터링할수있습니다. [ 상위대상국가 ] 네트워크에서상위대상국가를표시합니다. [ 상위대상 ] 네트워크에서상위대상을표시합니다. [ 미확인경보요약 ] 데이터베이스에서미확인경보를경보심각도별로정렬하여표시합니다. McAfee Network Security Platform 8.1 8.1 에대한추가정보 I 77
3 Manager 의향상된기능관리도메인별데이터보기 [ 자동새로고침 ] 이옵션을사용하여자동새로고침시간을설정할수있습니다. 기본시간은 10 분입니다. 자동새로고침의최소시간및최대시간은 1 분과 10 분입니다. 수동으로새로고치려면 [ 사용안함 ] 을선택하여자동새로고침을사용하지마십시오. [ 레이아웃 ] 이옵션을사용하여 [ 대시보드 ] 탭에표시되는열의수를사용자지정할수있습니다. 기본레이아웃은 3 개열입니다. 표시할수있는최소열개수및최대열개수는 2 개와 4 개입니다. [ 최상위위험엔드포인트 ] 모니터에표시되는데이터는 Manager 에의해 1 시간마다자동으로새로고쳐집니다. 이기능은사용자가구성할수없습니다. 관리도메인별보고서생성 왼쪽창의관리도메인필터는생성되는보고서에영향을주지않습니다. 그러나보고서에제공된관리도메인필터는선택한관리도메인에대해생성되는보고서와데이터에영향을미칩니다. 아래그림은왼쪽창에서사용가능한관리도메인필터와보고서를위한관리도메인필터간의차이를보여줍니다. 1- 이관리도메인필터는생성되는보고서에영향을주지않습니다. 2- 이관리도메인필터는선택한관리도메인에따라보고서를생성하는데사용할수있습니다. 관리도메인필터가생성되는보고서에미치는이영향은구성보고서, 차세대보고서및기존보고서에적용됩니다. 구성보고서를생성하려면 [ 관리 ] [ 보고 ] [ 구성보고서 ] 를선택합니다. 차세대또는기존보고서를생성하려면 [ 분석 ] [ 이벤트보고 ] [ 차세대보고서 / 기존보고서 ] 로이동합니다. 위협탐색기에서관리도메인별보기 이전에는위협탐색기에루트관리도메인에대한데이터가표시되었습니다. 새관리도메인필터가제공되면서선택한관리도메인별데이터를볼수있습니다. 각상위 N 보안테이블에는필터를시작할수있는하나의핵심특성이있습니다. [ 분석 ] [ 위협탐색기 ] 로이동하여 [ 도메인 ] 드롭다운에서필요한관리도메인을선택합니다. 위협탐색기페이지에선택한관리도메인에만해당하는데이터가표시됩니다. [ 하위도메인포함 ] 이기본적으로선택되어있습니다. 관리도메인의데이터에하위도메인의데이터가포함되지않아도될경우선택해제할수있습니다. 핵심특성을클릭하면선택한특성의세부정보를볼수있습니다. 관리도메인필터는다음핵심특성에영향을미칩니다. 상위 N 테이블이름 핵심특성 [ 상위공격 ] 공격이름 [ 상위공격자 ] 공격자 IP 주소 [ 상위대상 ] 대상 IP 주소 [ 상위공격응용프로그램 ] 응용프로그램이름 78 McAfee Network Security Platform 8.1 8.1 에대한추가정보 I
Manager 의향상된기능장치요약보고서 3 상위 N 테이블이름 핵심특성 [ 상위실행파일 ] 실행가능한해시 [ 상위악성프로그램 ] 악성프로그램파일해시 장치요약보고서 이번 8.1 Manager 에서는배포시구성한 Sensor 및 NTBA Appliance 정보를나열하는새 [ 장치요약 ] 보고서를지원합니다. 보고서에는각장치에대한 Sensor 및 NTBA Appliance 정보가따로들어있습니다. 이보고서에서구성한모든장치에대한정보를볼수있습니다. 표시되는정보는장치유형에따라다릅니다. 장치요약보고서는 [ 관리 ] [ 보고서 ] [ 구성보고서 ] [ 장치요약 ] 에서생성할수있습니다. 장치요약보고서생성 장치요약보고서에는모든 IPS, Virtual IPS, NTBA 및구성한 Virtual NTBA 장치에대한정보가들어있습니다. 보고서는비슷하게구성한 Sensor 모델수와관계없이장치당정보를요약하여제공합니다. 장치개수는구성된모든장치의요약된개수입니다. 장치요약보고서를생성하려면다음을수행합니다 : 작업 1 [ 관리 ] 탭을클릭합니다. 2 [ 보고 ] [ 구성보고서 ] [ 장치요약 ] 을선택합니다. 3 [ 출력형식 ] 을선택합니다. 4 [ 제출 ] 을클릭합니다. 이보고서의필드에대한설명은다음과같습니다 : [ 요약 ] 장치모델 - 구성된 Sensor 모델 개수 - 비슷한 Sensor 모델의요약된개수표시 [Sensor 이름 (IPS, Virtual IPS, NTBA, Virtual NTBA)] 필드이름설명해당하는 Sensor 모델 [ 이름 ] Sensor 의이름을표시합니다. IPS, Virtual IPS, NTBA, Virtual NTBA [ 모델 ] Sensor 모델번호를표시합니다. IPS, Virtual IPS, NTBA, Virtual NTBA [ 일련번호 ] 물리적 Sensor 에지정된일련번호를표시합니다. IPS, NTBA, Virtual NTBA [ 소프트웨어버전 ] Sensor 에구성된현재소프트웨어버전을표시합니다. IPS, Virtual IPS, NTBA, Virtual NTBA [ 연락처정보 ] Sensor 구성당시사용자가제공한연락처정보를표시합니다. [ 위치 ] Sensor 구성당시사용자가제공한지리적위치를표시합니다. [ 업데이트모드 ] Sensor 구성업데이트모드를표시합니다. 온라인또는오프라인으로업데이트할수있습니다. IPS, Virtual IPS, NTBA, Virtual NTBA IPS, Virtual IPS, NTBA, Virtual NTBA IPS, Virtual IPS McAfee Network Security Platform 8.1 8.1 에대한추가정보 I 79
3 Manager 의향상된기능시그니처세트업데이트취소옵션 필드이름설명해당하는 Sensor 모델 [ 시그니처버전 ] Sensor 에구성된현재시그니처버전을표시합니다. IPS, Virtual IPS [ 하드웨어버전 ] Sensor 에서실행되고있는현재하드웨어버전을표시합니다. [Manager 에연결된 IP 주소 ] Manager 와의연결에 Sensor 가사용하는 IP 주소를표시합니다. IPS IPS, Virtual IPS, NTBA, Virtual NTBA [ 서브넷마스크 ] 서브넷마스크 IP 주소를표시합니다. IPS, Virtual IPS [ 기본게이트웨이 ] 기본게이트웨이의 IP 주소를표시합니다. IPS, Virtual IPS [ 가동시간 ] Sensor 실행시작부터지금까지시간을표시합니다. IPS, Virtual IPS, NTBA, Virtual NTBA [ 마지막재부팅 ] 이전재부팅의날짜및시간을표시합니다. IPS, Virtual IPS, NTBA, Virtual NTBA [ 최신시그니처세트업데이트 ] 이전시그니처세트를업데이트한날짜및시간을표시합니다. IPS, Virtual IPS, NTBA, Virtual NTBA [FIPS 모드 ] FIPS 모드의사용여부를표시합니다. IPS, Virtual IPS 시그니처세트업데이트취소옵션 이전에는 Sensor 에배포된시그니처파일업데이트를취소할수없었습니다. 이릴리스에는 Sensor 의시그니처파일업데이트를취소할수있는새옵션이있습니다. [ 대기 ] 상태에서필요한 Sensor 의업데이트를취소할수있습니다. Manager 는시그니처파일업데이트가진행됨에따른다양한상태도표시합니다. 이옵션은 [ 장치 ] [ 보류중인변경사항배포 ] 에서 Sensor 의대량업데이트에만사용할수있습니다. 보류중인변경사항을장치에배포 구성을변경하거나 Manager 의정책을변경하거나 McAfee 에서새롭거나업데이트된시그니처세트를사용할수있을경우변경사항이효력을발생하도록배포된장치 ( 예 : Sensor 및 NTBA Appliance) 에이러한업데이트를적용해야합니다. 참고 : 포트구성, 비표준포트및인터페이스트래픽유형과같은구성변경사항은 Sensor, 인터페이스 / 하위인터페이스와상관없이업데이트됩니다. NTBA 구성업데이트는장치노드의다양한탭에서수행한변경사항을의미합니다. 새로적용된정책이나현재적용중인정책의변경사항인경우정책변경에따라 Sensor 또는 NTBA Appliance 가업데이트됩니다. 시그니처업데이트에는최신공격에적용할수있는새로운시그니처및 / 또는수정된시그니처가있습니다. [ 글로벌 ] 탭의관리도메인에있는모든장치에구성변경사항을배포할수있습니다. 이작업의이동경로는 [ 장치 ] [< 관리도메인이름 >] [ 글로벌 ] [ 보류중인변경사항배포 ] 입니다. [ 장치 ] [< 관리도메인노드 >] [ 장치 ] [< 장치이름 >] [ 보류중인변경사항배포 ] 를선택하여장치수준에서구성변경사항을배포할수도있습니다. 이경우 [ 보류중인변경사항배포 ] 옵션은장치가활성화되어있을경우에만메뉴에서사용가능합니다. 작업 1 [ 장치 ] [< 관리도메인이름 >] [ 글로벌 ] [ 보류중인변경사항배포 ] 를선택합니다. 80 McAfee Network Security Platform 8.1 8.1 에대한추가정보 I
Manager 의향상된기능시그니처세트업데이트취소옵션 3 [ 보류중인변경사항배포 ] 페이지가표시됩니다. 그림 3-3 보류중인변경사항배포페이지 테이블에있는열은다음과같습니다 : [Device Name( 장치이름 )] 각장치의고유한이름 [Last Update( 마지막업데이트 )] 장치구성을마지막으로업데이트한날짜와시간 [Updating Mode( 업데이트모드 )] 장치에대해선택한온라인또는오프라인업데이트메커니즘 [Pending Changes( 보류중인변경사항 )] 수행된변경내용의요약 [Configuration & Signature Set( 구성및시그니처세트 )] 확인란이선택되어있으면장치가 SSL 키관리와관련된사항이외의구성변경사항으로인해업데이트될것이라는표시입니다. [ 상태 ] - 업데이트중 Sensor 와 Manager 의상태를표시합니다. 2 [ 배포 ] 를클릭합니다. Manager 는이러한업데이트를 3 단계 ( 대기, 배포중, 완료 ) 로처리하며, 현재상태는 [ 상태 ] 열에표시됩니다. 그림 3-4 구성업데이트 상태 설명 [ 대기 ] [ 대기 ] 상태는 Manager 가장치에업데이트를배포하려고준비중임을나타냅니다. 두개이상의장치가업데이트되는경우다운로드가완료될때까지한번에하나씩장치가업데이트됩니다. 특정장치의업데이트를취소하려면 [X] 를클릭합니다. 다음을고려하십시오 : [ 배포중 ] 구성변경또는시그니처파일업데이트배포는대량업데이트에대해서만취소할수있습니다. 개별장치에배포된경우업데이트를취소할수없습니다. [ 배포 ] 를클릭했으면 5 초후장치에대한업데이트를취소할수있습니다. 취소한후에는업데이트가취소되었음을나타내는확인란을선택해제합니다. 업데이트취소를나타내기위한상태변경은없습니다. 이상태에서는구성변경사항이장치에적용됩니다. 업데이트배포가이미진행중인장치에대한업데이트프로세스를중단할수있는옵션은없습니다. 장치에대한배포를취소할경우명확하게선택해제하지않는한해당항목은앞으로의업데이트에여전히선택됩니다. [ 완료 ] 장치에업데이트된모든구성변경사항을표시합니다. McAfee Network Security Platform 8.1 8.1 에대한추가정보 I 81
3 Manager 의향상된기능 Logon Collector 통합의향상된기능 3 배포변경사항을보고오프라인 Sensor 에내보내려면 [ 오프라인업데이트파일 ] 을클릭합니다. 그런다음명령줄인터페이스명령창을사용하여 Sensor 에변경사항을수동으로배포할수있습니다. 4 [ 새로고침 ] 을클릭하여페이지와배포상태를새로고칩니다. 5 [ 상태지우기 ] 를클릭하여 UI 의상태열을지웁니다. 상태를지워도배포가취소되지않습니다. 업데이트프로세스는배경에서실행됩니다. Logon Collector 통합의향상된기능 Sensor 가관리할수있는관리도메인사용자그룹이 2,000 개에서 10,000 개로늘었습니다. Sensor 가관리할수있는사용자이름수는변함이없습니다. 이기능은 8.1 M- 시리즈 Sensor 에서사용할수있습니다. GTI 통합의향상된기능 Network Security Platform 과통합하는목적은 McAfee 가사용자의보호기능을최적화할수있도록 Network Security Platform 사용에대한유용한정보를원할하게 McAfee 에제공하는것입니다. 이러한통합을통해네트워크평판및공격이시작된국가를기반으로공격관련호스트를보고하고, 필터링하고정렬할수있습니다. 이번 Network Security Platform 릴리스에는 Virtual IPS, McAfee Advanced Threat Defense(Manager 에서 ATD 로표시됨 ), McAfee EIA 에대한정보전달을지원합니다. 고급수준에서 Manager 는각제품별로다음의세부정보를수집합니다 : Virtual IPS 의경우 Virtual IPS 사용권구성 McAfee ATD 의경우 ATD 의공격분석 여기에는파일이름, 파일길이, 파일유형, 파일 MD5 해시, 파일 UUID 및악성프로그램점수가포함됩니다. 고급악성프로그램정책정의 ATD 구성 McAfee EIA 의경우 살행파일신뢰도에따른상위 10 개 McAfee EIA 공격 McAfee EIA 통합을사용하는 NTBA 장치수 해당옵션은 [ 관리 ] [<Admin_Domain_Name>] [ 통합 ] [Global Threat Intelligence] 에서볼수있습니다. McAfee epo 통합의향상된기능 이전 Manager 는 McAfee Endpoint Intelligence Agent (McAfee EIA) 버전 4.6 및 5.0 과의통합을지원했습니다. 이번릴리스에서 Manager 는 McAfee EIA 버전 5.1 과의통합도지원합니다. Network Security Platform 와 McAfee epo 통합을구성하려면 Manager 에로그온하여 [ 관리 ] [< 관리도메인이름 >] [ 통합 ] [epolicy Orchestrator] 로이동합니다. 82 McAfee Network Security Platform 8.1 8.1 에대한추가정보 I
Manager 의향상된기능 Vulnerability Manager 통합의향상된기능 3 Vulnerability Manager 통합의향상된기능 이전릴리스에서 Manager 는 Vulnerability Manager 버전 6.8, 7.0, 7.5 와통합되었습니다. 릴리스 8.1 에서 Manager 는 7.0 과 7.5 와의통합을지원합니다. Network Security Platform 과 Vulnerability Manager 통합은두가지방법으로구성할수있습니다 : 취약성검색을사용하여특정 IP 주소에있는 Manager 에실행합니다. 취약성검색을사용하여관련도점수계산을활용합니다. 관련도는 Manager 의 Threat Analyzer 에표시됩니다. Network Security Platform 과 Vulnerability Manager 통합을구성하려면 Manager 에로그온하여 [ 관리 ] [< 관리도메인이름 >] [ 통합 ] [ 취약성평가 ] 로이동한후사용하려는기능을선택합니다. 10,000 AD 사용자그룹지원 만들수있는사용자그룹수에대한사용자기반액세스규칙이향상되었습니다. 이전에는 Sensor 가관리할수있는사용자그룹수가관리도메인사용자그룹 2,000 개였습니다. 릴리스 8.1 은 10,000 개의관리도메인사용자그룹관리를지원합니다. 액세스규칙에대한고려사항의자세한내용은 "McAfee Network Security Platform IPS 관리안내서 " 의 "Firewall 정책 ", " 사용자기반액세스규칙 " 장, " 액세스규칙에대한고려사항 " 절의주제를참조하십시오. 사용자기반액세스규칙문제해결에대한자세한내용은 "McAfee Network Security Platform IPS 관리안내서 " 의 "Firewall 정책 " 장, " 사용자기반액세스규칙 " 절에서 " 사용자기반액세스규칙문제해결 " 주제를참조하십시오. 경보세부정보의 DNS 이름 생성된경보의세부정보는 Threat Analyzer 에서볼수있습니다. 이제소스와대상시스템의 DNS 이름도 [ 경보세부정보 ] 창에서볼수있습니다. 확인된 DNS 이름을보려면 [ 분석 ] [Threat Analyzer] [Real-time Threat Analyzer/Historical Threat Analyzer] [ 경보 ] [ 경보세부정보 ] 로이동합니다. 확인된 DNS 이름은 [ 위협탐색기 ] 에표시되는경보세부정보에서볼수있습니다. 단일인스턴스경보의 DNS 이름 Threat Analyzer 의경보세부정보창에서확인된 DNS 이름을볼수있습니다. 경보를두번클릭하면 [ 경보세부정보 ] 창이열립니다. 모든유형의경보에대한 DNS 이름을볼수있습니다. 다음은취약성경보유형중하나인단일인스턴스경보의예로서확인된 DNS 이름을표시합니다. McAfee Network Security Platform 8.1 8.1 에대한추가정보 I 83
3 Manager 의향상된기능 IPS 검역의향상된기능 [DNS 이름 ] - 소스및대상시스템의 DNS 이름으로서 IP 주소를확인하기위해 Sensor 가사용합니다. 그림 3-5 취약성공격세부정보 - 단일인스턴스 확인된 DNS 이름을보는것에대한자세한내용은 "McAfee Network Security Platform Manager 관리안내서 " 의 "Threat Analyzer" 장, " 경보세부정보표시 " 절에서 " 특정공격의세부정보표시 " 주제를참조하십시오. IPS 검역의향상된기능 사용자경험을더욱향상하기위해릴리스 8.1 부터 IPS 검역기능의메뉴와용어가변경되었습니다. 기능적인면에서 8.1 의 IPS 검역기능에는다음을제외하고변경사항이없습니다 : 릴리스 8.0 부터는 McAfee NAC 통보또는호스트유형기반검역을사용할수없습니다. 릴리스 8.1 부터 NAC(Network Access Control) 를사용할수없으므로이제 NAZ 및 NAC 제외목록같은일반구성이 IPS 검역에만적용됩니다. 표 3-1 용어변경 8.1 이전용어 8.1 이상에해당 IPS 검역 검역 네트워크액세스영역 (NAZ) 검역영역 84 McAfee Network Security Platform 8.1 8.1 에대한추가정보 I
Manager 의향상된기능 IPS 검역의향상된기능 3 표 3-1 용어변경 ( 계속 ) 8.1 이전용어 8.1 이상에해당 NAC 제외목록 호스트 표 3-2 이동경로변경 검역예외 엔드포인트. 따라서호스트 IPv4 및호스트 IPv6 같은규칙개체가이제는 IPv4 엔드포인트및 IPv6 엔드포인트입니다. 작업 8.1 이전 8.1 이상 규칙개체관리. 페이지이름 : 규칙개체 경로 : [ 정책 ] [< 도메인 _ 이름 >] [ 침입방지 ] [ 개체 ] [ 규칙개체 ]. [ 정책 ] [< 도메인 _ 이름 >] [ 침입방지 ] [IPS 검역 ] [ 규칙개체 ]. 페이지이름 : 규칙개체 경로 : [ 정책 ] [< 도메인 _ 이름 >] [ 침입방지 ] [ 개체 ] [ 규칙개체 ]. 일치하는검역규칙을 syslog 서버에전달 ( 관리도메인구성 ). 페이지이름 : Syslog 경로 : [ 정책 ] [< 도메인 _ 이름 >] [ 침입방지 ] [IPS 검역 ] [Syslog]. [ 관리 ] [< 도메인 _ 이름 >] [ 설정 ] [ 통보 ] [NAC 액세스이벤트 ] [Syslog] 페이지이름 : Syslog 경로 : [ 관리 ] [< 도메인 _ 이름 >] [ 설정 ] [ 통보 ] [ 검역액세스이벤트 ] [Syslog] 일치하는검역규칙을 syslog 서버에전달 (Sensor 수준구성 ). 페이지이름 : 로깅 경로 : 1 [ 장치 ] 탭을클릭합니다. 2 [ 도메인 ] 드롭다운목록에서작업할도메인을선택합니다. 3 왼쪽창에서 [ 장치 ] 탭을클릭합니다. 4 [ 장치 ] 드롭다운목록에서장치를선택합니다. 5 [ 정책 ] [IPS 검역 ] [ 로깅 ] 을선택합니다. 페이지이름 : 로깅 경로 : 1 [ 장치 ] 탭을클릭합니다. 2 [ 도메인 ] 드롭다운목록에서작업할도메인을선택합니다. 3 왼쪽창에서 [ 장치 ] 탭을클릭합니다. 4 [ 장치 ] 드롭다운목록에서장치를선택합니다. 5 [ 설정 ] [ 검역 ] [ 로깅 ] 을선택합니다. 검역액세스규칙 ( 영역 ) 관리. 검역브라우저메시지사용자지정 Remediation Portal 설정구성 관리도메인의검역요약보기 페이지이름 : 네트워크액세스영역 경로 : [ 정책 ] [< 도메인 _ 이름 >] [ 침입방지 ] [IPS 검역 ] [ 네트워크액세스영역 ] 페이지이름 : 브라우저메시지 경로 : [ 정책 ] [< 도메인 _ 이름 >] [ 침입방지 ] [IPS 검역 ] [ 브라우저메시지 ] 페이지이름 : Remediation Portal 경로 : [ 정책 ] [< 도메인 _ 이름 >] [ 침입방지 ] [IPS 검역 ] [Remediation Portal] 페이지이름 : 요약 경로 : [ 정책 ] [< 도메인 _ 이름 >] [ 침입방지 ] [IPS 검역 ] [ 요약 ] 페이지이름 : 검역영역 경로 : [ 정책 ] [< 도메인 _ 이름 >] [ 침입방지 ] [ 개체 ] [ 검역영역 ] 페이지이름 : 브라우저메시지 경로 : [ 정책 ] [< 도메인 _ 이름 >] [ 침입방지 ] [ 검역 ] [ 브라우저메시지 ] 페이지이름 : Remediation Portal 경로 : [ 정책 ] [< 도메인 _ 이름 >] [ 침입방지 ] [ 검역 ] [Remediation Portal] 페이지이름 : 요약 경로 : [ 정책 ] [< 도메인 _ 이름 >] [ 침입방지 ] [ 검역 ] [ 요약 ] McAfee Network Security Platform 8.1 8.1 에대한추가정보 I 85
3 Manager 의향상된기능 Java 에서마이그레이션하기위한 Manager UI 재설계 (extjs 로마이그레이션 ) 표 3-2 이동경로변경 ( 계속 ) 작업 8.1 이전 8.1 이상 검역마법사를사용하여관리도메인의검역설정 페이지이름 : IPS 검역구성마법사 경로 : [ 정책 ] [< 도메인 _ 이름 >] [ 침입방지 ] [IPS 검역 ] [ 기본포트설정 ] 페이지이름 : 검역구성마법사 경로 : 1 [ 장치 ] 탭을클릭합니다. 2 [ 도메인 ] 드롭다운목록에서작업할도메인을선택합니다. 3 [ 글로벌 ] 탭을클릭합니다. 4 [ 기본장치설정 ] [IPS 장치 ] [ 검역 ] [ 기본포트설정 ] 을선택합니다. Sensor 의검역요약보기 페이지이름 : 요약 경로 : 페이지이름 : 요약 경로 : 1 [ 장치 ] 탭을클릭합니다. 2 [ 도메인 ] 드롭다운목록에서작업할도메인을선택합니다. 3 왼쪽창에서 [ 장치 ] 탭을클릭합니다. 4 [ 장치 ] 드롭다운목록에서장치를선택합니다. 5 [ 정책 ] [IPS 검역 ] [ 요약 ] 을선택합니다. 1 [ 장치 ] 탭을클릭합니다. 2 [ 도메인 ] 드롭다운목록에서작업할도메인을선택합니다. 3 왼쪽창에서 [ 장치 ] 탭을클릭합니다. 4 [ 장치 ] 드롭다운목록에서장치를선택합니다. 5 [ 설정 ] [ 검역 ] [ 요약 ] 을선택합니다. 인라인모니터링포트에대해검역사용 페이지이름 : 포트설정 경로 : 1 [ 장치 ] 탭을클릭합니다. 2 [ 도메인 ] 드롭다운목록에서작업할도메인을선택합니다. 3 왼쪽창에서 [ 장치 ] 탭을클릭합니다. 4 [ 장치 ] 드롭다운목록에서장치를선택합니다. 5 [ 정책 ] [IPS 검역 ] [ 포트설정 ] 을선택합니다. 페이지이름 : 포트설정 경로 : 1 [ 장치 ] 탭을클릭합니다. 2 [ 도메인 ] 드롭다운목록에서작업할도메인을선택합니다. 3 왼쪽창에서 [ 장치 ] 탭을클릭합니다. 4 [ 장치 ] 드롭다운목록에서장치를선택합니다. 5 [ 설정 ] [ 검역 ] [ 포트설정 ] 을선택합니다. Java 에서마이그레이션하기위한 Manager UI 재설계 (extjs 로마이그레이션 ) Network Security Manager 는클라이언트쪽 Java 에서벗어나 extjs 를사용하기위한프로세스로이동하면서전반적인성능개선및사용자경험향상을꾀하고있습니다. 8.1 릴리스에서 extjs 프레임워크를사용할수있도록다음기존 UI 페이지가개선되었습니다 : Firewall, QoS, 연결제한정책및검역영역 86 McAfee Network Security Platform 8.1 8.1 에대한추가정보 I
Manager 의향상된기능 Java 에서마이그레이션하기위한 Manager UI 재설계 (extjs 로마이그레이션 ) 3 8.1 에서는 extjs 프레임워크에적용되는 Manager UI 설계표준이다음페이지에적용되어있습니다 : [ 침입방지 ] [Firewall 정책 ] [ 침입방지 ] [QoS 정책 ] [ 침입방지 ] [ 연결제한정책 ] [ 침입방지 ] [ 개체 ] [ 검역영역 ]( 이전에는 [ 침입방지 ] [IPS 검역 ] [ 네트워크액세스영역 ]) 이전에는 [ 새로만들기 ], [ 복제 ], [ 보기 / 편집 ] 및 [ 삭제 ] 단추가페이지맨위에나타났었습니다. 8.1 Manager 에서는 [ 새로만들기 ], [ 복사 ], [ 편집 ], [ 삭제 ] 가페이지아래에나타납니다. 관련정책페이지에다음열이표시됩니다 : [ 이름 ] [ 설명 ](8.1 이전에는설명열이표시되지않았습니다.) [ 소유권및가시성 ](8.1 이전에는이열의이름이소유자였습니다. 8.1 릴리스의경우이열에는하위열인소유자도메인, 가시성및여기서편집가능도있습니다 ). [ 유형 ](8.1 이전에는유형열이 Firewall 및 QoS 정책에표시되지않았습니다.) [ 마지막업데이트 ](8.1 이전에는이열의이름이최종수정날짜였습니다. 8.1 릴리스의경우이열에는하위열인시간및수행자도있습니다 ). [ 할당 ] 이전에는 [ 속성 ] 탭에 [ 하위관리도메인에표시 ] 확인란이있어작성된모든하위관리도메인에정책이적용되었습니다. 8.1 릴리스에는 [ 가시성 ] 옵션이드롭다운목록으로있어다음을선택할수있습니다 : [ 소유자및하위도메인 ] 및 [ 소유자도메인만 ]. 해당페이지에있던 [ 보기 / 편집 ] 옵션은제거되었습니다. 정책은정책에해당하는행을두번클릭하여볼수있습니다. [ 액세스규칙 ] 탭에서액세스규칙행을두번클릭하면규칙세부정보가같은페이지의오른쪽창에표시됩니다. [ 액세스규칙 ] 탭의삭제아이콘은 - 에서 x 로수정되었습니다. [ 할당 ] 페이지에있는다음레이블의변경사항은아래와같습니다 : [ 사용가능한리소스 ] 는 [ 사용가능한인터페이스 ] 로변경됨 [ 선택한리소스 ] 는 [ 선택한인터페이스 ] 로변경됨 [ 리소스검색 ] 이제거되고 [ 인터페이스검색 ] 텍스트가텍스트필드에표시됨. [ 할당 ] 페이지에있는다음확인란옵션이 8.1 에서제거되었습니다 : 장치수준리소스표시 물리적포트쌍표시 인터페이스및하위인터페이스표시 DoS 프로파일 8.1 에서는 extjs 프레임워크에적용되는 Manager UI 설계표준이다음페이지에적용되어있습니다 : [ 정책 ] [ 서비스거부 ] [ 프로파일 ]. 8.1 이전에는도표를보려면 [ 방향 ] 및 [ 측정값선택 ] 드롭다운목록에서관련옵션을선택한후 [ 보기 ] 단추를클릭해야했습니다. 8.1 에서는 [ 방향 ] 및 [ 측정값선택 ] 드롭다운목록에서옵션을선택하면 [ 프로파일 ] 페이지에도표가자동으로표시됩니다. McAfee Network Security Platform 8.1 8.1 에대한추가정보 I 87
3 Manager 의향상된기능 Java 에서마이그레이션하기위한 Manager UI 재설계 (extjs 로마이그레이션 ) 작업 88 페이지의방화벽정책보기 101 페이지의 QoS 정책만들기 114 페이지의검역영역관리 116 페이지의 Sensor 의 DoS 프로파일보기 방화벽정책보기방화벽정책을보려면다음과같이합니다 : 작업 1 [ 정책 ] 탭을클릭합니다. 2 [ 도메인 ] 드롭다운목록에서작업할도메인을선택합니다. 3.[ 침입방지 ] [Firewall 정책 ] 을선택합니다 선택한관리도메인과그상위도메인에서만든 Firewall 정책이나열됩니다. 방화벽정책의세부정보가열에표시됩니다. 열 설명 [ 이름 ] 방화벽정책의이름을표시합니다. [ 설명 ] 방화벽정책의설명을표시합니다. [ 소유권및가시성 ] [ 소유자도메인 :] 도메인의소유권을지정합니다. [ 가시성 :] 도메인의가시성수준을지정합니다. [ 여기서편집가능 :] [ 예 ] 상태는정책이현재관리도메인소유라는것을나타냅니다. [ 유형 ] 정책유형을지정합니다. [ 마지막업데이트 ] [ 시간 :] 방화벽정책이마지막으로업데이트된시간을표시합니다 [ 수행자 : ] 방화벽정책을수정한사용자를표시합니다. [ 할당 ] 정책이할당될 Sensor 리소스수를나타냅니다. 열제목을클릭하여임의의열을기준으로목록을오름차순이나내림차순으로정렬할수있습니다. 관련확인란을선택하거나선택해제하여열표시를사용또는사용하지않도록 [ 열 ] 옵션을확인할수도있습니다. 4 해당정책의규칙을보려면정책을선택하고 [ 편집 ] 을클릭하거나정책의행을두번클릭합니다. 5 주어진검색기준에대한액세스규칙을보려면 [ 액세스규칙 ] 탭의검색텍스트필드에입력합니다. 그림 3-6 방화벽정책보기작업 89 페이지의조각화된트래픽에대한액세스규칙구성 90 페이지의방화벽정책작성 100 페이지의방화벽정책수정 88 McAfee Network Security Platform 8.1 8.1 에대한추가정보 I
Manager 의향상된기능 Java 에서마이그레이션하기위한 Manager UI 재설계 (extjs 로마이그레이션 ) 3 조각화된트래픽에대한액세스규칙구성 L3 방화벽액세스규칙을사용하면 Network Security Platform 이조각화된트래픽의재조립처리를건너뛰는지여부를기준으로호스트또는네트워크에선택적으로규칙을지정할수있습니다. 이기능은지정된네트워크나호스트에서조각화된트래픽으로인한지연시간단축에도움이됩니다. L3 방화벽액세스규칙은비조각화된트래픽에는적용되지않습니다. 이기능은신뢰할수있는호스트에서대단히많은양의조각화된트래픽을수신하는경우에만사용하는것이좋습니다. 예를들어 NFS 서버가 Sensor 를통해대단히많은양의조각화된트래픽을전송중인경우 L3 Firewall 액세스규칙을사용할수있습니다. 알수없는호스트의트래픽을수신하는동안이기능을사용하면 IP 주소조각을사용한회피가발생할수있습니다. Network Security Platform 에서 L3 방화벽액세스규칙에설정할수있는규칙 : 무시 : 적용된 L3 방화벽액세스규칙과일치하는조각화된트래픽이재조립없이인라인으로전송됩니다. 검색 : 적용된 L3 방화벽액세스규칙과일치하는조각화된트래픽이 IPS 처리전에재조립됩니다. 삭제 : 적용된 L3 방화벽액세스규칙과일치하는조각화된트래픽을 Sensor 에서삭제합니다. 트래픽이 L3 ACL 규칙과일치하지않는경우모든조각화된트래픽은 IPS 처리전에재조립됩니다. Network Security Platform 에서는조각화된 ICMP, TCP 및 UDP 를지원하기위해세가지기본서비스규칙개체를제공합니다. 기본서비스규칙개체는 ICMP-Fragmented, TCP-Fragmented 및 UDP-Fragmented 입니다. 사용자지정프로토콜번호는지원되지않습니다. Manager 에서조각화된트래픽에대한액세스규칙을구성할수있습니다. 작업 1 [ 정책 ] 탭을클릭합니다. 2 [ 도메인 ] 드롭다운목록에서작업할도메인을선택합니다. 3 [ 침입방지 ] [ 방화벽정책 ] 을선택합니다 4 [New( 새로만들기 )] 를클릭합니다. 5 [ 속성 ] 탭에서정책의 [ 이름 ] 과 [ 설명 ] 을입력합니다. [ 소유자 ] 필드는선택한관리자에해당합니다. 6 [ 가시성 ] 필드에서 [ 소유자및하위도메인 ] 을선택합니다. 7 [ 유형 ] 드롭다운에서 [ 고급 ] 또는 [ 일반 ] 을선택합니다. 8 [ 액세스규칙 ] 탭을보려면 [ 다음 ] 을클릭합니다. 9 해당단추를클릭하여액세스규칙목록내적절한위치에새액세스규칙을삽입합니다. 10 [ 응용프로그램 ] 섹션의목록에서필요한옵션을선택합니다. 11 조각화된 ICMP, 조각화된 TCP 또는조각화된 UDP 중에서프로토콜을선택합니다. L3 Firewall 액세스규칙이구성된경우 [TCP 플로위반 ] 은 [ 잘못된순서허용 ]( 기본설정 ) 으로설정합니다. a [ 장치 ] 탭을클릭합니다. b [ 도메인 ] 드롭다운목록에서도메인을선택합니다. c 왼쪽창에서 [ 장치 ] 탭을클릭합니다. d [ 장치 ] 드롭다운목록에서장치를선택합니다. McAfee Network Security Platform 8.1 8.1 에대한추가정보 I 89
3 Manager 의향상된기능 Java 에서마이그레이션하기위한 Manager UI 재설계 (extjs 로마이그레이션 ) e [ 정책 ] [ 고급 ] [TCP 설정 ] 을선택합니다. f [TCP 설정 ] 페이지의 [TCP 플로위반 ] 드롭다운목록에서 [ 잘못된순서허용 ] 을선택합니다. g [TCP 플로위반 ] 에해당되는 [TCP 업데이트 ] 를클릭합니다. 방화벽정책작성 시작하기전에 Firewall 액세스규칙을만들때규칙개체를만들수있습니다. 하지만체계적인접근방식은 Firewall 액세스규칙을만들기전에필요한규칙개체를만드는것입니다. 액세스규칙을구성요소로사용하여 Firewall 정책을만듭니다. 일반방화벽정책이필요한지고급방화벽정책이필요한지확인합니다. " 고급방화벽정책과일반방화벽정책간의차이 " 절을검토하십시오. 인증필요액세스규칙, 사용자기반액세스규칙및응용프로그램기반액세스규칙과같은고급기능을사용하려면고급방화벽정책이필요합니다. 액세스규칙을만들때는주어진트래픽에대해 Sensor 가하향식으로규칙을실행하며규칙이일치하면실행을중지한다는점에유의합니다. 다음은고려할수있는몇가지권장사항입니다 : 예방조치로 AD, DHCP 및 McAfee epo 와같은기본네트워크인프라서버를허용하는규칙을만듭니다. 이규칙이목록의첫번째규칙인지확인합니다. Firewall 정책을통해호스트가 IP 주소를수신하거나사용자가 AD 인증을받는것을차단하지않도록하기위한것입니다. 필요한경우인프라서버에트래픽을허용하는규칙직후에모든필요한인증액세스규칙을만듭니다. 광범위한규칙위에특정규칙을정의합니다. 예를들어 Facebook, Google, Yahoo 등에대한규칙은 HTTP 규칙위에있어야합니다. 사용자기반액세스규칙을만들려면사용자및사용자그룹규칙개체를사용합니다. 참고 : 이러한규칙은고급방화벽정책에서만만들수있습니다. 이들규칙을만들려면먼저 McAfee Logon Collector 2.0 과 Manager 를통합해야합니다. 규칙을만들기전에 AD 서버가사용자를인증할수있고세부정보가 McAfee Logon Collector 에올바르게반영되도록합니다. Kerberos 스누핑이필요한경우 Active Directory 서버세부정보와신뢰할수있는도메인컨트롤러를 Manager 의해당페이지에서구성해야합니다. 인증필요규칙을실행하려면 Sensor 의 Guest Portal 이작동해야하고해당하는모니터링포트에대한 IP 주소설정도구성해야합니다. 작업 1 [ 정책 ] 탭을클릭합니다. 2 [ 도메인 ] 드롭다운목록에서작업할도메인을선택합니다. 3 [ 침입방지 ] [Firewall 정책 ] [ 새로만들기 ] 를선택합니다. 90 McAfee Network Security Platform 8.1 8.1 에대한추가정보 I
Manager 의향상된기능 Java 에서마이그레이션하기위한 Manager UI 재설계 (extjs 로마이그레이션 ) 3 4 [ 속성 ] 탭에서세부정보를지정합니다. 표 3-3 속성옵션정의 옵션 정의 [ 이름 ] 정책을쉽게식별할수있는고유이름을입력합니다. [ 설명 ] 필요한경우다른사용자가정책의목적을파악하도록정책을설명합니다. [ 소유자 ] 정책이속한관리도메인을표시합니다. [ 가시성 ] 선택한경우해당하위관리도메인에서정책을사용가능합니다. 그러나정책은하위관리도메인에서편집하거나삭제할수없습니다. [ 여기서편집가능 ] [ 예 ] 상태는정책이현재관리도메인소유라는것을나타냅니다. [ 유형 ] 유형을 [ 고급 ] 또는 [ 일반 ] 으로선택합니다. 속성을저장한후에는고급에서일반으로변경할수없습니다. [ 통계 ] [ 마지막업데이트날짜 ] [ 마지막업데이트수행자 ] 검역영역이마지막으로수정된타임스탬프를표시합니다. 마지막으로검역영역을수정한사용자를표시합니다. [ 할당 ] 정책이할당될 Sensor 리소스수를나타냅니다. [ 인바운드규칙 ] 현재인바운드트래픽에정의된액세스규칙수를표시합니다. [ 아웃바운드규칙 ] 현재아웃바운드트래픽에정의된액세스규칙수를표시합니다. [ 저장후할당여부묻기 ] 선택한경우정책을할당하려는 Sensor 리소스선택을묻는메시지가자동으로표시됩니다. [ 다음 ] [ 다음 ] 을클릭하여 [ 속성 ] 탭의변경사항을저장하고 [ 액세스규칙 ] 탭에액세스합니다. [ 다음 ] 을클릭한후에는고급에서일반으로유형을변경할수없습니다. [ 저장 ] 변경사항을 [ 액세스규칙 ] 탭에저장합니다. 이역시기존정책을연경우에만표시됩니다. [ 취소 ] 마지막으로저장된구성으로되돌립니다. 5 [ 액세스규칙 ] 탭에서적절한단추를클릭하여새규칙을삽입합니다. 표 3-4 액세스규칙단추정의 단추 정의 새규칙을현재선택한규칙위에삽입합니다. 새규칙을현재선택한규칙아래에삽입합니다. 현재선택한규칙을복제합니다. 현재선택한규칙을삭제합니다. 현재선택한규칙을한행위로이동합니다. 현재선택한규칙을한행아래로이동합니다. McAfee Network Security Platform 8.1 8.1 에대한추가정보 I 91
3 Manager 의향상된기능 Java 에서마이그레이션하기위한 Manager UI 재설계 (extjs 로마이그레이션 ) 6 액세스규칙의섹션을선택하고선택사항을지정합니다. 그림 3-7 Firewall 액세스규칙추가 고급 Firewall 정책의경우 [ 소스주소, 방향, 소스사용자, 대상주소, 응용프로그램 ], [ 유효시간 ] 및 [ 응답 ] 값을변경합니다. 일반 Firewall 정책의경우 [ 소스주소, 대상주소, 서비스, 방향 ] 및 [ 응답 ] 값을변경합니다. 표 3-5 액세스규칙옵션정의 옵션 정의 [#] 규칙의일련번호를표시합니다. [ 사용 ] 규칙사용또는비활성화여부를표시합니다. Sensor 는비활성화된규칙을적용하지않습니다. 이옵션은문제해결시도움이될수있습니다. [ 설명 ] 필요한경우규칙에대한추가정보를입력합니다. syslog 서버로전달된로그를쉽게이해하는데도움이될수있습니다. 설명을최대 64 자로입력하고 [ 확인 ] 을클릭합니다. [ 방향 ] 인바운드 : 이규칙을외부포트에서표시되는트래픽에만적용합니다. 아웃바운드 : 이규칙을내부포트에서표시되는트래픽에만적용합니다. 모두 : 이규칙을두포트에모두적용합니다. [ 소스 주소 ] [ 사용가능 ] 목록에서트래픽의소스에해당되는규칙개체를선택합니다. 다음 아이콘을클 릭하여규칙개체를추가합니다. 다음아이콘을클릭하여새규칙개체를추가합니다. 다음아이콘을클릭하여규칙개체를편집하거나봅니다. 다음아이콘을클릭하여규칙개체를삭제합니다. 92 McAfee Network Security Platform 8.1 8.1 에대한추가정보 I
Manager 의향상된기능 Java 에서마이그레이션하기위한 Manager UI 재설계 (extjs 로마이그레이션 ) 3 표 3-5 액세스규칙옵션정의 ( 계속 ) 옵션 정의 [ 대상 주소 ] [ 사용가능 ] 목록에서트래픽의대상에해당되는규칙개체를선택합니다. 다음 아이콘을클 릭하여선택한규칙개체를추가합니다. 다음아이콘을클릭하여새규칙개체를추가합니다. 다음아이콘을클릭하여규칙개체를편집하거나봅니다. 다음아이콘을클릭하여규칙개체를삭제합니다. [ 응용프 로그램 ] [ 사용가능 ] 목록에서응용프로그램에해당되는규칙개체를선택합니다. 다음 아이콘을클릭 하여선택한규칙개체를추가합니다. 다음아이콘을클릭하여새규칙개체를추가합니다. 다음아이콘을클릭하여규칙개체를편집하거나봅니다. [ 소스사용자 ] 다음아이콘을클릭하여규칙개체를삭제합니다. 이옵션은사용자기반규칙용입니다. Manager 가 McAfee Logon Server 에서사용자및사용자그룹을수신하여자동으로규칙개체로표시합니다. 사용자그룹이기본적으로나열됩니다. 사용자그룹이기본적으로나열됩니다. [ 사용가능 ] 드롭다운목록에서사용자그룹을선택합니다. 다음 아이콘을클릭하여선택한사용자그룹을목록에추가합니다. 다음아이콘을클릭하여목록에서사용자그룹을삭제합니다. 사용자선택방법 : 1 [ 유형 ] 드롭다운목록에서 [ 사용자 ] 를선택합니다. 2 [ 사용자검색 ] 텍스트필드에찾으려는이름의처음몇글자를입력하고 [ 찾기 ] 단추를클릭합니다. 검색기준에맞는사용자목록이 [ 사용가능 ] 드롭다운목록에나열됩니다. 3 다음아이콘을클릭하여선택한사용자를목록에추가합니다. 4 다음아이콘을클릭하여목록에서사용자를삭제합니다. McAfee Network Security Platform 8.1 8.1 에대한추가정보 I 93
3 Manager 의향상된기능 Java 에서마이그레이션하기위한 Manager UI 재설계 (extjs 로마이그레이션 ) 표 3-5 액세스규칙옵션정의 ( 계속 ) 옵션 정의 [ 서비 스 ] [ 사용가능 ] 목록에서응용프로그램또는서비스관련규칙개체를선택합니다. 다음 아이콘 을클릭하여선택한서비스를추가합니다. 다음아이콘을클릭하여새규칙개체를추가합니다. 다음아이콘을클릭하여규칙개체를편집하거나봅니다. 다음아이콘을클릭하여규칙개체를삭제합니다. 서비스또는응용프로그램관련규칙개체를보유할수있지만둘다보유할수는없습니다. [ 유효시간 ] 시간을기준으로규칙개체를선택하여 [ 사용가능 ] 목록에서 Sensor 가규칙을실시해야하는시간을 지정합니다. 다음아이콘을클릭하여선택한서비스를추가합니다. 다음아이콘을클릭하여새규칙개체를추가합니다. 다음아이콘을클릭하여규칙개체를편집하거나봅니다. 다음아이콘을클릭하여규칙개체를삭제합니다. [ 응답 ] 규칙과일치하는트래픽에대해 Sensor 가취해야하는응답액션을지정합니다. [ 기본액션 ]: [ 거부 ]: 트래픽을삭제하고트래픽소스와의연결을재설정합니다. [ 삭제 ]: 트래픽을삭제합니다. [ 무시 ]: 트래픽이더이상의검사없이통과되도록허용합니다. [ 검색 ]: 트래픽을허용하지만공격이있는지검사합니다. [ 우선순위로검색 ]: 중요한네트워크트래픽을우선순위로할수있습니다. 트래픽우선순위는성능을최적화하기위해높은우선순위를가진패킷에사용가능한대역폭을증가시킵니다. 높은우선순위의트래픽은지연에민감한데, 즉다른트래픽에비해저지연입니다. 또한이옵션은다른인터페이스에다른액세스규칙을적용하여 SPAN 포트에비해인라인포트에더우선순위를할당할때유용합니다. 이옵션은고급방화벽정책에서만사용할수있습니다. [ 저장후할당여부묻기 ] [ 상태비저장삭제 ] 및 [ 상태비저장무시 ] 에대한정보는 " 상태비저장액세스규칙을사용하여 Sensor 리소스저장 " 을참조하십시오. [ 인증필요 ] 에대한정보는다음단계를참조하십시오. [Syslog 에로그 ]: 규칙과일치하는트래픽의세부정보를로그하려면선택합니다. 이옵션을선택취소하면정책을저장하고다음섹션에설명된대로 Sensor 리소스에할당할수있습니다. 이옵션을선택하면정책을저장할때 [ 할당 ] 창이자동으로열리고필요한 Sensor 리소스에할당할수있습니다. [ 저장 ] Manager 데이터베이스에액세스규칙을저장합니다. 방화벽정책은 [ 방화벽정책 ] 목록에나열됩니다. 94 McAfee Network Security Platform 8.1 8.1 에대한추가정보 I
Manager 의향상된기능 Java 에서마이그레이션하기위한 Manager UI 재설계 (extjs 로마이그레이션 ) 3 7 인증필요규칙을만들려면다음을수행하십시오 : a [ 설명 ] 필드에설명을입력합니다. b 규칙의 [ 응답 ] 필드에서 [ 인증필요 ] 를선택한다음 [ 확인 ] 을클릭합니다. c [ 응용프로그램 ] 필드에서기본 HTTP 서비스규칙개체만선택합니다. 인증필요규칙에서는 HTTP 응용프로그램규칙개체또는사용자지정 HTTP 서비스규칙개체도유효하지않습니다. d [ 소스주소 ], [ 대상주소, 유효시간 ] 및 [ 방향 ] 에대한값을지정합니다. [ 소스사용자 ] 는 [ 모두 ] 로설정한상태를유지해야합니다. 8 위의단계를반복하여더많은액세스규칙을추가합니다. 작업 이단계에따라 Firewall 규칙을복제하고편집할수있습니다. 95 페이지의 Sensor 리소스에방화벽정책할당 Sensor 리소스에방화벽정책할당 시작하기전에 필요한액세스규칙이적용된방화벽정책을작성했는지확인합니다. 방화벽정책은특정트래픽에대한검사없이통과시키면서지정된트래픽에대해서는전체를검사하지않고거부함으로써 Sensor 의탐지및차단기능을극대화하는데도움이됩니다. Sensor 수준에서는 Sensor 의특정포트 / 포트쌍에대한규칙뿐만아니라전체 Sensor 에대한방화벽정책도할당할수있습니다. 특정포트 / 포트쌍에대해 Sensor 수준에서할당된정책은모든포트 / 인터페이스 / 하위인터페이스에상속되지만할당된정책은해당인터페이스및하위인터페이스 ( 해당되는경우 ) 에상속됩니다. 방화벽정책의경우, 인터페이스는해당포트또는포트쌍의하위세트입니다. 즉, Sensor 수준에서포트 / 포트쌍을위해구성한액세스규칙은모든하위인터페이스및해당인터페이스에서상속됩니다. 그러나인터페이스수준에서생성된규칙은다음과같은정책적용규칙을기반으로하위인터페이스트래픽흐름에서인터페이스트래픽흐름을분리하는규칙으로인해해당하위인터페이스에서상속되지않습니다 : 여러액세스규칙을구성한경우액세스규칙은하향식순서로실행되므로순서에유의합니다 : 즉, 목록맨위에있는규칙을가장먼저체크하고그아래규칙들로이어지며맨아래규칙까지체크합니다. Network Security Platform 은최초일치프로세스를사용하며순서상일치하는첫번째규칙이시행됩니다. 정책을상속된정책과다른하위인터페이스에적용할경우, 인터페이스수준에서실행된정책이하위인터페이스에지정되지않은모든트래픽을보호합니다. 따라서액세스규칙의경우, 상속규칙에따라 Sensor 또는물리적포트 / 포트쌍수준에서글로벌규칙을만들어야합니다 : 인터페이스규칙은인터페이스에만적용되며하위인터페이스규칙은하위인터페이스에만적용됩니다. Sensor 수준에서적용된액세스규칙은 Sensor 의모든인터페이스와하위인터페이스에상속됩니다. 인터페이스와하위인터페이스수준에서는규칙을추가할수있지만하위수준에서는상속받은규칙을삭제할수없습니다. Sensor 수준에서할당한규칙이없더라도인터페이스와하위인터페이스수준에서규칙을할당할수있습니다. Firewall 정책에서는인바운드및아웃바운드트래픽에대한고유한액세스규칙을각각만들수있습니다. 인바운드는외부소스에서내부네트워크로향하는모든트래픽을의미합니다. 아웃바운드는내부네트워크에서시작되는모든트래픽을의미합니다. [ 보호프로파일 ] 페이지를사용하여 Sensor/ 포트 / 인터페이스또는하위인터페이스에규칙을할당하고해당보호프로파일페이지의 [ 효과적인 Firewall 규칙 ] 필드에서 [ 인바운드규칙 ] 또는 [ 아웃바운드규칙 ] 을클릭하여포트, 인터페이스또는하위인터페이스에서규칙의순서를확인합니다. Sensor, 포트및인터페이스의경우관리도메인에서만든규칙을선택하여엔티티에적용할수있습니다. McAfee Network Security Platform 8.1 8.1 에대한추가정보 I 95
3 Manager 의향상된기능 Java 에서마이그레이션하기위한 Manager UI 재설계 (extjs 로마이그레이션 ) 작업 1 [ 정책 ] 탭을클릭합니다. 2 [ 도메인 ] 드롭다운목록에서작업할도메인을선택합니다. 3 [ 침입방지 ] [Firewall 정책 ] 을선택합니다. 4 할당할정책의 [ 할당 ] 값을클릭합니다. [ 할당 ] 창이표시됩니다. 관리도메인에사용할수있는리소스가나열됩니다. 96 McAfee Network Security Platform 8.1 8.1 에대한추가정보 I
Manager 의향상된기능 Java 에서마이그레이션하기위한 Manager UI 재설계 (extjs 로마이그레이션 ) 3 5 정책을필요한 Sensor 리소스에할당합니다. 그림 3-8 할당창 표 3-6 옵션정의 - 방화벽정책을 Sensor 리소스에할당 옵션 [ 인터페이스검색 ] [ 사용가능한인터페이스 ] 정의 사용가능한리소스와선택한리소스목록을필터링하려면 [ 사용가능한리소스 ] 또는 [ 선택한인터페이스 ] 중일부문자열을입력합니다. 관리도메인에대한 Sensor 리소스목록을나열됩니다. 예를들어, 관리도메인에상위도메인에서할당한 Sensor 포트만있고자체 Sensor 는없을경우나열되는장치수준리소스가없습니다. 또한이목록의항목은필터기준에따라필터링됩니다. Sensor 가페일오버인경우 Sensor 의상호연결에사용된포트가표시되지않습니다. 상호연결포트에 Firewall 정책을할당한경우페일오버를만들때해당할당이자동으로제거됩니다. 리소스를선택하고아이콘을클릭하여 [ 선택한인터페이스 ] 로이동합니다. [ 현재정책 ] 현재리소스에할당된방화벽정책입니다. 현재할당중인정책으로정책을바꾸려면리소스를 [ 선택한리소스 ] 로이동합니다. [ 선택한인터페이스 ] 정책을할당한 Sensor 리소스목록을나열합니다. [ 재설정 ] 마지막으로저장된구성으로되돌립니다. [ 저장 ] Manager 데이터베이스에변경내용을저장합니다. [ 취소 ] 변경내용을저장하지않는상태로 [ 할당 ] 창을닫습니다. McAfee Network Security Platform 8.1 8.1 에대한추가정보 I 97
3 Manager 의향상된기능 Java 에서마이그레이션하기위한 Manager UI 재설계 (extjs 로마이그레이션 ) 6 해당포트, 인터페이스또는하위인터페이스에서효과적인인바운드및아웃바운드규칙의목록을확인합니다. Sensor 는하향식으로유효규칙을기준으로트래픽을확인합니다. 인터페이스및하위인터페이스수준의 [ 보호프로파일 ] 페이지에서 [ 유효방화벽규칙 ] 을볼수있습니다. 7 Sensor 가정책을시행하도록구성업데이트를수행합니다. 방화벽정책을할당하는다른방법 Firewall 정책을 Sensor 리소스에할당하기위한여러가지옵션이있습니다. 특정 Sensor 리소스의 [ 보호프로파일 ] 페이지로가서해당리소스에대한 Firewall 정책을선택할수도있습니다. 이러한옵션이여기에설명되어있습니다. 동일한 Firewall 정책을두개이상의 Sensor 리소스에할당하지마십시오. 사전장치또는사후장치방화벽정책을할당하려면다음을수행합니다. 1 [ 장치 ] 탭을클릭합니다. 2 [ 도메인 ] 드롭다운목록에서도메인을선택합니다. 3 왼쪽창에서 [ 장치 ] 탭을클릭합니다. 4 [ 장치 ] 드롭다운목록에서장치를선택합니다. 5 [ 정책 ] [ 보호프로파일 ] 을선택합니다. 6 [ 보호프로파일 ] 페이지의 [ 방화벽정책 ] 섹션으로이동하여 [ 할당논리 ] 드롭다운목록에서방화벽정책을할당할 Sensor 수준리소스를선택합니다. 7 드롭다운목록에서다음옵션중하나를선택합니다 [ 방화벽정책을할당하지않음 ]( 이옵션이기본적으로선택됨 ) [ 사전장치방화벽만 ] [ 사후장치방화벽만 ] [ 사전장치및사후장치 ] [ 새로만들기 ] 단추를클릭하여새정책을만들수있습니다. [ 방화벽정책을할당하지않음 ]( 이옵션이기본적으로선택됨 ) [ 사전장치방화벽만 ] [ 사후장치방화벽만 ] [ 사전장치및사후장치 ] [ 방화벽정책을할당하지않음 ]( 이옵션이기본적으로선택됨 ) [ 사전장치방화벽만 ] [ 사후장치방화벽만 ] [ 사전장치및사후장치 ] 8 [Save( 저장 )] 를클릭합니다. 9 Sensor 가정책을시행하도록구성업데이트를수행합니다. 방화벽정책을포트나인터페이스에할당하려면다음을수행합니다 : 1 [ 장치 ] 탭을클릭합니다. 2 [ 도메인 ] 드롭다운목록에서도메인을선택합니다. 98 McAfee Network Security Platform 8.1 8.1 에대한추가정보 I
Manager 의향상된기능 Java 에서마이그레이션하기위한 Manager UI 재설계 (extjs 로마이그레이션 ) 3 3 왼쪽창에서 [ 장치 ] 탭을클릭합니다. 4 [ 장치 ] 드롭다운목록에서장치를선택합니다. 5 [IPS 인터페이스 ] [< 인터페이스 -x 이름 >] [ 보호프로파일 ] 을선택합니다 6 [ 보호프로파일 ] 페이지에서 [ 방화벽정책 ] 섹션으로가서 [ 할당논리 ] 드롭다운목록에서방화벽정책을할당할리소스를선택합니다. 7 선택한리소스에방화벽정책을할당합니다. 그림 3-9 포트및인터페이스에방화벽정책할당 8 [Save( 저장 )] 를클릭합니다. 9 인바운드및아웃바운드 [Effective Firewall Rules( 효과적방화벽규칙 )] 를확인합니다. 10 Sensor 에대한구성업데이트를수행하여정책을시행합니다. 방화벽정책을하위인터페이스에할당하려면다음을수행합니다 : 1 [ 장치 ] 탭을클릭합니다. 2 [ 도메인 ] 드롭다운목록에서도메인을선택합니다. 3 왼쪽창에서 [ 장치 ] 탭을클릭합니다. 4 [ 장치 ] 드롭다운목록에서장치를선택합니다. 5 [IPS 인터페이스 ] [< 인터페이스-x 이름 >] [< 하위인터페이스-x 이름 >] [ 보호프로파일 ] 을선택합니다 6 [ 보호프로파일 ] 페이지에서 [ 방화벽정책 ] 섹션으로가서 [ 하위인터페이스정책 ] 을선택합니다. 7 목록에서정책을선택하거나 [ 새로만들기 ] 를클릭하여만듭니다. 새정책을만들면이정책은자동으로이하위인터페이스에할당됩니다. 그림 3-10 하위인터페이스에방화벽정책할당 8 [Save( 저장 )] 를클릭합니다. McAfee Network Security Platform 8.1 8.1 에대한추가정보 I 99
3 Manager 의향상된기능 Java 에서마이그레이션하기위한 Manager UI 재설계 (extjs 로마이그레이션 ) 9 인바운드및아웃바운드 [Effective Firewall Rules( 효과적방화벽규칙 )] 를확인합니다. 10 Sensor 에대한구성업데이트를수행하여정책을시행합니다. 방화벽정책수정 [Firewall 정책 ] 페이지에서나열된정책에대한할당을변경할수있지만선택한관리도메인에서만든정책에대해서만액세스규칙을수정할수있습니다. [ 여기서편집가능 ] 필드가있는그와같은정책에는상태가 [ 예 ] 로표시됩니다. 작업 1 [ 정책 ] 탭을클릭합니다. 2 [ 도메인 ] 드롭다운목록에서작업할도메인을선택합니다. 3 [ 침입방지 ] [Firewall 정책 ] 을선택합니다. [Firewall 정책 ] 페이지가표시됩니다. 4 할당을변경하려면다음을수행합니다 : a 정책의 [ 할당 ] 값을클릭합니다. b 할당창의 [ 사용가능한인터페이스 ] 목록에서선택하고아이콘을클릭합니다. 현재세션에서수행한할당 을취소하려면 [ 재설정 ] 을클릭합니다. SHIFT 키 ( 연속선택 ) 및 CTRL 키 ( 비연속선택 ) 를눌러여러인터페이스를선택한다음있습니다. 아이콘을누를수 c [ 저장 ] 을클릭하여저장하고 [ 할당 ] 창을종료합니다. 5 정책의속성, 규칙또는할당내용을수정하려면정책을선택하고 [ 편집 ] 을클릭합니다. 6 [ 액세스규칙 ] 탭에서적절한단추를클릭하여규칙을관리합니다. 표 3-7 액세스규칙단추정의 단추 정의 새규칙을현재선택한규칙위에삽입합니다. 새규칙을현재선택한규칙아래에삽입합니다. 현재선택한규칙을복제합니다. 현재선택한규칙을삭제합니다. 현재선택한규칙을한행위로이동합니다. 현재선택한규칙을한행아래로이동합니다. 7 필요한규칙의값을수정합니다. 8 [ 저장 ] 을클릭합니다. [ 저장후할당여부묻기 ] 를선택한경우현재할당을수정할수있는 [ 할당 ] 창이열립니다. 9 변경사항을적용하려면구성업데이트를수행합니다. 100 McAfee Network Security Platform 8.1 8.1 에대한추가정보 I
Manager 의향상된기능 Java 에서마이그레이션하기위한 Manager UI 재설계 (extjs 로마이그레이션 ) 3 작업 101 페이지의일반방화벽정책을고급으로변환일반방화벽정책을고급으로변환일반 Firewall 정책을고급으로변환할수있습니다. 그러나고급유형을일반유형으로변환할수는없습니다. Virtual IPS Sensor 및 M- 시리즈 Sensor 만고급 Firewall 정책을실시할수있습니다. 작업 1 [ 정책 ] 탭을클릭합니다. 2 [ 도메인 ] 드롭다운목록에서작업할도메인을선택합니다. 3 [ 침입방지 ] [Firewall 정책 ] 을선택합니다. 4 필요한일반 Firewall 정책을두번클릭합니다. 정책의 [ 여기서편집가능 ] 열이 [ 예 ] 로표시되어야합니다. 아닐경우정책을소유한도메인으로이동하여변환합니다. 5 [ 속성 ] 탭의 [ 유형 ] 드롭다운에서 [ 고급 ] 을선택합니다. 6 [ 액세스규칙 ] 탭을클릭하여해당하는규칙을확인합니다. 고급 Firewall 정책에만적용되는추가매개변수를이제이규칙에도사용할수있습니다. 7 액세스규칙마다필요한기준을검토하고지정합니다. 8 변경사항을적용하려면해당 Sensor 에대해구성업데이트를수행합니다. QoS 정책만들기 시작하기전에 편리한사용을위해 QoS 규칙을만들때규칙개체를만들수있는옵션이제공됩니다. 그러나 QoS 정책을만들기전에필수규칙개체와 ( 속도제한규칙을사용할경우 ) 속도제한프로파일을만드는것이체계적인방법입니다. QoS 규칙을구성블록으로사용하여 QoS 정책을만듭니다. 그런다음정책을필수 Sensor 포트에할당해야합니다. QoS 정책의가져오기나내보내기는지원되지않습니다. 작업 1 [ 정책 ] 탭을클릭합니다. 2 [ 도메인 ] 드롭다운목록에서작업할도메인을선택합니다. 3 [ 침입방지 ] [QoS 정책 ] 을선택합니다. 현재도메인에사용할수있는 QoS 정책이나열됩니다. 이것은상위도메인에서상속된정책을포함합니다. 상속된정책은편집할수없습니다. 4 [New( 새로만들기 )] 를클릭합니다. [QoS Policies(QoS 정책 )] 페이지가표시됩니다. McAfee Network Security Platform 8.1 8.1 에대한추가정보 I 101
3 Manager 의향상된기능 Java 에서마이그레이션하기위한 Manager UI 재설계 (extjs 로마이그레이션 ) 5 [ 속성 ] 탭에서세부정보를지정합니다. 표 3-8 속성옵션정의 옵션 정의 [ 이름 ] 정책을쉽게식별할수있는고유이름을입력합니다. [ 설명 ] 필요한경우다른사용자가정책의목적을파악하도록정책을설명합니다. [ 소유자 ] 정책이속한관리도메인을표시합니다. [ 가시성 ] 선택한경우해당하위관리도메인에서정책을사용가능합니다. 그러나정책은하위관리도메인에서편집하거나삭제할수없습니다. 드롭다운목록에서규칙개체의가시성수준을선택합니다. 사용할수있는옵션은 [ 소유자및하위도메인 ] 과 [ 소유자도메인만 ] 입니다. [ 여기서편집가능 ] [ 예 ] 상태는정책이현재관리도메인소유라는것을나타냅니다. [ 유형 ] 유형을고급또는일반으로선택합니다. 속성을저장한후에는유형을변경할수없습니다. [ 통계 ] [ 마지막업데이트날짜 ] [ 마지막업데이트수행자 ] 정책이마지막으로수정된타임스탬프를표시합니다. 마지막으로정책을수정한사용자를표시합니다. [ 할당 ] 정책이할당될인라인포트수를나타냅니다. [ 속도제한규칙 ] 현재정책에정의된속도제한규칙수를표시합니다. [Diff Serv 태그지정규칙 ] [802.1P 태그지정규칙 ] [ 저장후할당여부묻기 ] 현재정책에정의된 Diff Serv 태그지정규칙수를표시합니다. 현재정책에정의된 802.1P 태그지정규칙수를표시합니다. 선택한경우정책을할당하려는 Sensor 리소스선택을묻는메시지가자동으로표시됩니다. [ 저장 ] [ 속성 ] 탭의변경사항을저장합니다. 이옵션은기존정책을연경우에만표시됩니다. [ 다음 ] 클릭하여 [ 속성 ] 탭의변경사항을저장하고 [ 속도제한규칙 ] 탭이있는영역에액세스합니다. 이단추는정책을만든경우에만사용가능합니다. [ 다음 ] 을클릭한후에는정책유형을변경할수없습니다. [ 취소 ] 마지막으로저장된구성으로되돌립니다. 6 해당탭에서속도제한, Diff Serv 및 802.1p 에대한 QoS 규칙을정의합니다. 규칙개체를구성블록으로사용하여규칙을만들수있습니다. Sensor 는하향식으로규칙과일치하고첫번째일치다음에나오는일련의규칙을처리하지않습니다. 따라서특정규칙은맨위에정의되고더광범위한범위의규칙은목록끝에정의되어야합니다. 7 [ 속도제한규칙 ], [Diff Serv 규칙 ] 및 [802.P 규칙 ] 탭에서적절한단추를클릭하여새규칙을삽입합니다. 102 McAfee Network Security Platform 8.1 8.1 에대한추가정보 I
Manager 의향상된기능 Java 에서마이그레이션하기위한 Manager UI 재설계 (extjs 로마이그레이션 ) 3 표 3-9 QoS 규칙단추정의 단추 정의 새규칙을현재선택한규칙위에삽입합니다. 새규칙을현재선택한규칙아래에삽입합니다. 현재선택한규칙을복제합니다. 현재선택한규칙을삭제합니다. 현재선택한규칙을한행위로이동합니다. 현재선택한규칙을한행아래로이동합니다. [Diff Serve 규칙 ] 탭에서 [ 분류되지않은트래픽 - Diff Serve 규칙 ] 에대해다음중어느것이나옵션으로선택할수있습니다 : [0 으로설정 ] - 분류되지않은트래픽을값이 0 인태그로태그를다시지정합니다. [ 회선에표시된값유지 ] - 원래표시된태그를유지합니다. [802.1P 규칙 ] 탭에서 [ 분류되지않은트래픽 - 802.1P 규칙 ] 에대해다음중어느것이나옵션으로선택할수있습니다 : [0 으로설정 ] - 분류되지않은트래픽을값이 0 인태그로태그를다시지정합니다. [ 회선에표시된값유지 ] - 원래표시된태그를유지합니다. 특정규칙에대해검색하려면 [ 검색 ] 필드에규칙을설명하는처음몇글자를입력합니다. 입력한문자의설명이포함된규칙이표시됩니다. McAfee Network Security Platform 8.1 8.1 에대한추가정보 I 103
3 Manager 의향상된기능 Java 에서마이그레이션하기위한 Manager UI 재설계 (extjs 로마이그레이션 ) 8 액세스규칙의행을두번클릭하고선택사항을지정합니다. 그림 3-11 기본속도제한규칙 고급 QoS 정책의경우 [ 소스주소, 소스사용자, 대상주소, 응용프로그램 ] 및 [ 유효시간 ] 과 [ 클래스할당 ] 값을변경합니다. 일반 QoS 정책의경우 [ 서비스 ] 를변경합니다. Firewall 액세스규칙또는 QoS 규칙의경우한필드에는 IPv4 기반규칙개체를지정하고기타해당필드에는 IPv6 기반규칙개체를지정할수없습니다. 예를들어, [ 소스 ] 필드에서 IPv6 기반규칙개체를선택하면 [ 대상 ] 또는 [ 소스사용자 ] 필드에 IPv4 기반규칙개체를지정할수없습니다. [ 대상 ] 값으로 IPv6 기반규칙개체또는모두를지정하고 [ 소스사용자 ] 값으로모두만지정할수있습니다. McAfee Logon Collector 2.0 은 IPv6 호스트에서사용자정보를수집하지않으므로사용자및사용자그룹규칙개체는 IPv4 기반규칙개체로간주됩니다. 마찬가지로, 국가및호스트 DNS 이름도 IPv4 기반규칙개체입니다. QoS 규칙에서는일반적으로필드당최대 10 개의규칙개체를추가할수있습니다. 표 3-10 QoS 규칙옵션정의 옵션 정의 [ 상태 ] 규칙 [ 사용 ] 또는 [ 비활성화 ] 여부를표시합니다. Sensor 는비활성화된규칙을적용하지않습니다. 이옵션은문제해결시도움이될수있습니다. [ 설명 ] 필요한경우규칙에대한추가정보를입력합니다. 설명을최대 64 자로입력하고 [ 확인 ] 을클릭합니다. [ 소스주소 ] [ 사용가능 ] 목록에서트래픽의소스에해당되는규칙개체를선택합니다. 다음아이콘을클릭하여규칙개체를추가합니다. 다음아이콘을클릭하여새규칙개체를추가합니다. 다음아이콘을클릭하여규칙개체를편집하거나봅니다. [ 소스사용자 ] 유형드롭다운목록에서사용자유형을선택한다음 [ 사용가능 ] 목록에서사용자에해당되는규칙 개체를선택합니다. 다음아이콘을클릭하여선택한규칙개체를추가합니다. 이옵션은사용자기반규칙용입니다. Manager 가 McAfee Logon Server 에서사용자및사용자그룹을수신하여자동으로규칙개체로표시합니다. 사용자그룹이기본적으로나열됩니다. 104 McAfee Network Security Platform 8.1 8.1 에대한추가정보 I
Manager 의향상된기능 Java 에서마이그레이션하기위한 Manager UI 재설계 (extjs 로마이그레이션 ) 3 표 3-10 QoS 규칙옵션정의 ( 계속 ) 옵션 [ 대상주소 ] 정의 [ 사용가능 ] 목록에서트래픽의대상에해당되는규칙개체를선택합니다. 다음아이콘을클릭하여선택한규칙개체를추가합니다. 다음아이콘을클릭하여새규칙개체를추가합니다. 다음아이콘을클릭하여규칙개체를편집하거나봅니다. [ 응용프로그 램 ] [ 사용가능 ] 목록에서응용프로그램에해당되는규칙개체를선택합니다. 다음 아이콘 을클릭하여선택한규칙개체를추가합니다. 다음아이콘을클릭하여새규칙개체를추가합니다. 다음아이콘을클릭하여규칙개체를편집하거나봅니다. 서비스또는응용프로그램관련규칙개체를보유할수있지만둘다보유할수는없습니다. [ 유효시간 ] 시간을기준으로규칙개체를선택하여 [ 사용가능 ] 목록에서 Sensor 가규칙을실시해야하는시간을지정합니다. 다음아이콘을클릭하여선택한서비스를추가합니다. 다음아이콘을클릭하여새규칙개체를추가합니다. 작업 다음아이콘을클릭하여규칙개체를편집하거나봅니다. [ 클래스할당 ] 드롭다운목록에서필요한클래스를선택합니다. 이클래스는규칙과일치하는트래픽에할당된대역폭에영향을미칩니다. [Diff Serv 태그 ] 이옵션은 Diff Serv 규칙탭을선택하면표시됩니다. 드롭다운목록에서필요한 DiffServ 태그를선택하고 [ 확인 ] 을클릭합니다. [802.1P 태그 ] 이옵션은 802.1P 탭을선택하면표시됩니다. [ 저장후할당여부묻기 ] 드롭다운목록에서필요한 802.1P 태그를선택하고 [ 확인 ] 을클릭합니다. 이옵션을선택취소하면정책을저장하고다음섹션에설명된대로 Sensor 리소스에할당할수있습니다. 이옵션을선택하면정책을저장할때 [ 할당 ] 창이자동으로열리고필요한 Sensor 리소스에할당할수있습니다. [ 저장 ] Manager 데이터베이스에액세스규칙을저장합니다. QoS 정책은 [ 서비스품질 (QoS) 정책 ] 목록에나열됩니다. 이단계에따라 QoS 규칙을복제하고편집할수있습니다. 105 페이지의인라인포트쌍에 QoS 할당 인라인포트쌍에 QoS 할당 시작하기전에 필요한액세스규칙이적용된 QoS 정책을작성했는지확인합니다. 도메인수준에서해당도메인의필수인라인포트쌍에 QoS 정책을할당합니다. 인바운드및아웃바운드에대해개별적으로 QoS 정책을할당해야합니다. QoS 정책을할당할경우에만 Sensor 는트래픽을일치시켜야하는규칙과일치하는트래픽에허용해야하는해당대역폭을알수있습니다. 도메인에속하는모든인라인포트에동일한 QoS 정책을할당할수있습니다. McAfee Network Security Platform 8.1 8.1 에대한추가정보 I 105
3 Manager 의향상된기능 Java 에서마이그레이션하기위한 Manager UI 재설계 (extjs 로마이그레이션 ) 할당하는 QoS 정책은도메인에속하거나상위도메인에서상속될수있습니다. 위임된 Sensor 포트에는 Sensor 를소유하는도메인에서만 QoS 정책을할당할수있습니다. 작업 1 [ 정책 ] 탭을클릭합니다. 2 [ 도메인 ] 드롭다운목록에서작업할도메인을선택합니다. 3 [ 침입방지 ] [QoS 정책 ] 을선택합니다 4 할당할정책의 [ 할당 ] 값을클릭합니다. [ 할당 ] 창이표시됩니다. 관리도메인에사용할수있는리소스가나열됩니다. 그림 3-12 QoS 정책할당옵션 106 McAfee Network Security Platform 8.1 8.1 에대한추가정보 I
Manager 의향상된기능 Java 에서마이그레이션하기위한 Manager UI 재설계 (extjs 로마이그레이션 ) 3 5 정책을필요한 Sensor 리소스에할당합니다. 그림 3-13 QoS 정책할당페이지 표 3-11 옵션정의 - QoS 정책을 Sensor 리소스에할당 옵션 [ 인터페이스검색 ] [ 사용가능한인터페이스 ] 정의 사용가능한리소스목록을필터링하려면 [ 사용가능한인터페이스 ] 중일부문자열을입력합니다. 관리도메인에대한 Sensor 리소스목록을나열됩니다. 예를들어, 관리도메인에상위도메인에서할당한 Sensor 포트만있고자체 Sensor 는없을경우나열되는장치수준리소스가없습니다. 또한이목록의항목은필터기준에따라필터링됩니다. Sensor 가페일오버인경우 Sensor 의상호연결에사용된포트가표시되지않습니다. 상호연결포트에 QoS 정책을할당한경우페일오버를만들때해당할당이자동으로제거됩니다. 리소스를선택하고아이콘을클릭하여 [ 선택한인터페이스 ] 로이동합니다. [ 현재정책 ] 현재리소스에할당된 QoS 정책입니다. 현재할당중인정책으로정책을바꾸려면리소스를 [ 선택한인터페이스 ] 로이동합니다. [ 선택한인터페이스 ] 정책을할당한 Sensor 리소스목록을나열합니다. [ 재설정 ] 마지막으로저장된구성으로되돌립니다. [ 저장 ] Manager 데이터베이스에변경내용을저장합니다. [ 취소 ] 변경내용을저장하지않는상태로 [ 할당 ] 창을닫습니다. 6 Sensor 에대한구성업데이트를수행합니다. McAfee Network Security Platform 8.1 8.1 에대한추가정보 I 107
3 Manager 의향상된기능 Java 에서마이그레이션하기위한 Manager UI 재설계 (extjs 로마이그레이션 ) 연결제한규칙의구성요소 연결제한정책에서연결제한규칙을정의합니다. 효과적으로연결제한정책을사용하려면연결제한정책을구성하는구성요소에익숙해져야합니다. 그림 3-14 연결제한규칙옵션 표 3-12 연결제한규칙옵션정의 옵션 정의 [#] 규칙의일련번호를표시합니다. 경보에서이번호를참조합니다. [ 상태 ] 규칙사용또는비활성화여부를표시합니다. Sensor 는비활성화된규칙을적용하지않습니다. 이옵션은문제해결시도움이될수있습니다. [ 설명 ] 옵션으로규칙에대한추가정보를입력합니다. 설명을최대 64 자로입력하고 [ 확인 ] 을클릭합니다. [ 방향 ] [ 인바운드 ] 이규칙을외부포트에서표시되는트래픽에만적용합니다. [ 아웃바운드 ] 이규칙을내부포트에서표시되는트래픽에만적용합니다. [ 모두 ] - 이규칙을두포트에모두적용합니다. [ 규칙유형 ] [ 프로토콜 ] - 호스트에서 TCP/UDP/ICMP 활성연결또는연결속도를제한합니다. [GTI] - 외부호스트의평판및 / 또는지리적위치를기반으로연결속도를제한합니다. McAfee GTI 기반규칙은 McAfee GTI IP 평판을사용하는경우에만적용할수있습니다. 두가지규칙유형은모두방향 ( 인바운드 / 아웃바운드 ) 별로지정됩니다. [ 임계값 ] [ 유형 ]: [ 연결속도 ] - 초당정의된연결속도입니다. [ 활성연결수 ] - 활성상태연결의수. McAfee GTI 규칙에는 [ 연결속도 ] 만사용할수있습니다. [ 값 ]: 선택한임계값유형에따라초당연결수또는활성연결의수를정의합니다. 108 McAfee Network Security Platform 8.1 8.1 에대한추가정보 I
Manager 의향상된기능 Java 에서마이그레이션하기위한 Manager UI 재설계 (extjs 로마이그레이션 ) 3 표 3-12 연결제한규칙옵션정의 ( 계속 ) 옵션정의 [ 외부 ] [ 평판 ]: 외부 McAfee GTI 평판중하나를선택합니다 ( 위험도수준 ): [ 높은위험도 ] [ 중간위험도또는높은위험도 ] [ 확인안됨, 중간또는높은위험도 ] [ 모두 ] 이옵션은 McAfee GTI 규칙유형에만적용할수있습니다. [ 위치 ]: 외부의지리적위치 (McAfee GTI 국가 ) 를선택합니다. 이옵션은 McAfee GTI 규칙유형에만적용할수있습니다. [ 서비스 ] [ 전송프로토콜 ] 드롭다운목록에서다음전송프로토콜중하나를선택합니다 : [TCP](TCP 프로토콜에대해포트번호를지정할수있습니다.) [UDP](UDP 프로토콜에대해포트번호를지정할수있습니다.) [Ping(ICMP 에코요청 )] [ 모든 TCP 및 UDP] 그림 3-15 서비스옵션 서비스구성요소는프로토콜규칙유형에만적용가능합니다. [ 응답 ] 트래픽이연결제한규칙에지정한옵션과일치하는경우 Sensor 가수행해야하는응답액션을선택합니다. 다음은응답옵션입니다 : [ 저장후할당여부묻기 ] [ 경보만 ] [ 초과연결경보및삭제 ] [ 초과연결경보및거부 ] [ 경보및검역 ] 이옵션을선택하면정책을저장할때 [ 할당 ] 창이열리고필요한 Sensor 리소스에정책을할당할수있습니다. 선택하지않으면규칙이 Manager 데이터베이스에저장되며, 정책이 [ 연결제한정책 ] 목록에나타납니다. [ 저장 ] Manager 데이터베이스에연결제한규칙을저장합니다. 연결제한정책은 [ 연결제한정책 ] 목록에나열됩니다. 연결제한정책만들기, 복제및수정 관리도메인수준에서연결제한정책을만들고관리할수있습니다. 관리도메인에연결제한정책을만든후에는해당 Sensor 인터페이스및하위인터페이스에할당할수있습니다. 작업 1 [ 정책 ] 탭을클릭합니다. 2 [ 도메인 ] 드롭다운목록에서작업할도메인을선택합니다. McAfee Network Security Platform 8.1 8.1 에대한추가정보 I 109
3 Manager 의향상된기능 Java 에서마이그레이션하기위한 Manager UI 재설계 (extjs 로마이그레이션 ) 3 [ 침입방지 ] [ 연결제한정책 ] 을선택합니다. 그림 3-16 연결제한정책페이지 4 [ 새로만들기 ] 를클릭하여새정책을만듭니다. [ 속성 ] 탭이표시됩니다. 110 McAfee Network Security Platform 8.1 8.1 에대한추가정보 I
Manager 의향상된기능 Java 에서마이그레이션하기위한 Manager UI 재설계 (extjs 로마이그레이션 ) 3 5 [ 속성 ] 탭에서세부정보를지정합니다. 그림 3-17 속성탭 표 3-13 속성옵션정의 옵션 정의 [ 이름 ] 정책을쉽게식별할수있는고유이름을입력합니다. [ 설명 ] 필요한경우다른사용자가정책의목적을파악하도록정책을설명합니다. [ 소유자 ] 정책이속한관리도메인을표시합니다. [ 가시성 ] [ 소유자도메인만 ] 을선택하여정책을사용자도메인에만사용하거나 [ 소유자및하위도메인 ] 을선택하여해당하는하위관리도메인에정책을사용합니다. 그러나정책은하위관리도메인에서편집하거나삭제할수없습니다. [ 여기서편집가능 ] [ 예 ] 상태는정책이현재관리도메인소유라는것을나타냅니다. [ 통계 ] [ 마지막업데이트날짜 ]: 정책이마지막으로수정된타임스탬프를표시합니다. [ 저장후할당여부묻기 ] [ 마지막업데이트수행자 ]: 마지막으로정책을수정한사용자를표시합니다. [ 이정책의할당 ]: 정책이할당될인터페이스및하위인터페이스수를나타냅니다. [ 인바운드연결제한규칙 ]: 현재인바운드트래픽에정의된연결제한규칙수를표시합니다. [ 아웃바운드연결제한규칙 ]: 현재아웃바운드트래픽에정의된연결제한규칙수를표시합니다. 선택한경우정책을할당하려는 Sensor 리소스선택을묻는메시지가자동으로표시됩니다. [ 저장 ] [ 속성 ] 탭의변경사항을저장합니다. 기존정책을연경우에만표시됩니다. [ 다음 ] [ 속성 ] 탭의변경사항을저장하고 [ 연결제한규칙 ] 탭이있는영역에액세스합니다. 이단추는정책을만든경우에만사용가능합니다. [ 취소 ] 마지막으로저장된구성으로되돌립니다. McAfee Network Security Platform 8.1 8.1 에대한추가정보 I 111
3 Manager 의향상된기능 Java 에서마이그레이션하기위한 Manager UI 재설계 (extjs 로마이그레이션 ) 6 [ 연결제한규칙 ] 에서적절한단추를클릭하여새규칙을삽입합니다. 표 3-14 연결제한규칙단추정의 단추 정의 새규칙을현재선택한규칙위에삽입합니다. 새규칙을현재선택한규칙아래에삽입합니다. 현재선택한규칙을복제합니다. 현재선택한규칙을삭제합니다. 현재선택한규칙을한행위로이동합니다. 현재선택한규칙을한행아래로이동합니다. 7 연결제한규칙의각열을두번클릭하여선택사항을지정합니다. 그림 3-18 연결제한규칙옵션 표 3-15 연결제한규칙옵션정의 옵션 정의 [#] 규칙의일련번호를표시합니다. 경보에서이번호를참조합니다. [ 사용 ] 규칙사용또는비활성화여부를표시합니다. Sensor 는비활성화된규칙을적용하지않습니다. 이옵션은문제해결시도움이될수있습니다. [ 설명 ] 필요한경우규칙에대한추가정보를입력합니다. 설명을최대 64 자로입력하고 [ 확인 ] 을클릭합니다. [ 방향 ] [ 인바운드 ] 이규칙을외부포트에서표시되는트래픽에만적용합니다. [ 아웃바운드 ] 이규칙을내부포트에서표시되는트래픽에만적용합니다. [ 모두 ] 이규칙을두포트에모두적용합니다. 112 McAfee Network Security Platform 8.1 8.1 에대한추가정보 I
Manager 의향상된기능 Java 에서마이그레이션하기위한 Manager UI 재설계 (extjs 로마이그레이션 ) 3 표 3-15 연결제한규칙옵션정의 ( 계속 ) 옵션 [ 규칙유형 ] 정의 [ 프로토콜 ] - 호스트에서 TCP/UDP/ICMP 활성연결또는연결속도를제한하기위한것입니다. [GTI] - 외부호스트의평판및 / 또는지리적위치를기반으로연결속도를제한합니다 McAfee GTI 기반규칙은 McAfee GTI IP 평판을사용하는경우에만적용할수있습니다. 두가지규칙유형은모두방향 ( 인바운드 / 아웃바운드 ) 별로지정됩니다. [ 임계값 ] [ 유형 ]: [ 연결속도 ] - 초당정의된연결속도입니다. [ 활성연결수 ] - 활성상태연결의수. McAfee GTI 규칙에는 [ 연결속도 ] 만사용할수있습니다. [ 값 ]: 선택한 [ 임계값유형 ] 에따라초당연결수또는활성연결의수를정의합니다. [ 외부 ] [ 평판 ]: 외부 McAfee GTI 평판중하나를선택합니다 ( 위험도수준 ): [ 높은위험도 ] [ 중간위험도또는높은위험도 ] [ 확인안됨, 중간또는높은위험도 ] [ 모두 ] 이옵션은 McAfee GTI 규칙유형에만적용할수있습니다. [ 위치 ]: 외부의지리적위치 (McAfee GTI 국가 ) 를선택합니다. 이옵션은 McAfee GTI 규칙유형에만적용할수있습니다. [ 서비스 ] 전송프로토콜드롭다운목록에서프로토콜을선택합니다 : [TCP](TCP 프로토콜에대해포트번호를지정할수있습니다.) [UDP](UDP 프로토콜에대해포트번호를지정할수있습니다.) [Ping(ICMP 에코요청 )] [ 모든 TCP 및 UDP] 그림 3-19 서비스옵션 서비스구성요소는프로토콜규칙유형에만적용가능합니다. [ 응답 ] 트래픽이연결제한규칙에지정한옵션과일치하는경우 Sensor 가수행해야하는응답액션을선택합니다. [ 저장후할당여부묻기 ] 이옵션을선택하면정책을저장할때 [ 할당 ] 창이열리고필요한 Sensor 리소스에정책을할당할수있습니다. 선택하지않으면규칙이 Manager 데이터베이스에저장되며, 정책이 [ 연결제한정책 ] 목록에나타납니다. [ 저장 ] Manager 데이터베이스에연결제한규칙을저장합니다. 연결제한정책은 [ 연결제한정책 ] 목록에나열됩니다. McAfee Network Security Platform 8.1 8.1 에대한추가정보 I 113
3 Manager 의향상된기능 Java 에서마이그레이션하기위한 Manager UI 재설계 (extjs 로마이그레이션 ) 검역영역관리 관리도메인및 Sensor 포트수준에서 [ 검역 ] 을구성하는경우호스트검역에사용해야하는 [ 검역영역 ] 을지정해야합니다. Sensor 포트수준에서 [ 검역영역 ] 이관리도메인에구성된상태로유지하거나다른 [ 검역영역 ] 에재정의할수있습니다. [ 검역 ] 을신속하게구성할수있도록몇가지사전정의 [ 검역영역 ] 이제공됩니다. 사전정의검역영역이사용자의요구사항을충족하지않으면복제하여편집할수있습니다. 아니면요구사항에따라 [ 검역영역 ] 을만듭니다. 참고 : 사전정의 [ 검역영역 ] 을편집하거나삭제할수는없습니다. 사전정의 [ 검역영역 ] 은루트관리도메인에속하며모든하위관리도메인에표시됩니다. Syslog 전달은사전정의 [ 검역영역 ] 의액세스규칙에는사용으로설정되지않습니다. 상위도메인에정의된 [ 검역영역 ] 은편집하거나삭제할수없습니다. 도메인이나 Sensor 포트에적용된경우 [ 검역영역 ] 을삭제할수없습니다. [ 검역영역 ] 의변경사항을적용하려면 Sensor 구성업데이트를수행해야합니다. 액세스규칙을만들더라도규칙개체를만들거나편집할수없습니다. 그러나설명을위해이절에서는액세스규칙을만들기전에필요한규칙개체를만들었다고가정합니다. 작업 1 [ 정책 ] 탭을클릭합니다. 2 [ 도메인 ] 드롭다운목록에서작업할도메인을선택합니다. 3 [ 침입방지 ] [ 개체 ] [ 검역영역 ] 을선택합니다. 표 3-16 옵션정의 옵션 정의 [ 새로만들기 ] [ 검역영역 ] 을만듭니다. [ 복사 ] [ 검역영역 ] 을복제합니다. [ 편집 ] [ 검역영역 ] 의세부정보를표시합니다. 현재관리도메인에속한 [ 검역영역 ] 도편집할수있습니다. [ 삭제 ] 현재관리도메인에속한사용자지정 [ 검역영역 ] 을삭제합니다. [ 이름 ] [ 검역영역 ] 의이름을표시합니다. [ 설명 ] [ 검역영역 ] 의설명을표시합니다. [ 소유권및가시성 ] [ 소유자도메인 ] [ 검역영역 ] 이속한관리도메인을나타냅니다. 모든기본 [ 검역영역 ] 은루트관리도메인에속합니다. [ 가시성 ] 도메인의가시성수준을나타냅니다. [ 여기서편집가능 ] [ 예 ] 상태는정책이현재관리도메인소유라는것을나타냅니다. [ 마지막업데이트 ] [ 시간 ] [ 검역영역 ] 이마지막으로수정된시간을표시합니다. [ 수행자 ] [ 검역영역 ] 을수정한사용자를표시합니다. 열제목을클릭하여임의의열을기준으로목록을오름차순이나내림차순으로정렬할수있습니다. 관련확인란을선택하거나선택해제하여열표시를사용또는사용하지않도록 [ 열 ] 옵션을확인할수도있습니다. 4 [ 검역영역 ] 을만들려면 [ 새로만들기 ] 를클릭합니다. 114 McAfee Network Security Platform 8.1 8.1 에대한추가정보 I
Manager 의향상된기능 Java 에서마이그레이션하기위한 Manager UI 재설계 (extjs 로마이그레이션 ) 3 5 [ 속성 ] 탭에세부정보를지정합니다. 표 3-17 옵션정의 옵션 정의 [ 이름 ] [ 검역영역 ] 을쉽게식별할수있는고유이름을입력합니다. [ 설명 ] 다른사용자가검역영역의목적을파악하도록 [ 검역영역 ] 을설명합니다. [ 소유자 ] [ 검역영역 ] 이속한관리도메인을표시합니다. [ 가시성 ] 선택한경우해당하위관리도메인에서 [ 검역영역 ] 을사용할수있습니다. 그러나 [ 검역영역 ] 은하위관리도메인에서편집하거나삭제할수없습니다. [ 여기서편집가능 ] [ 예 ] 상태는정책이현재관리도메인소유라는것을나타냅니다. [ 통계 ] [ 마지막업데이트날짜 ] [ 마지막업데이트수행자 ] [ 검역영역 ] 이마지막으로수정된타임스탬프를표시합니다. 마지막으로 [ 검역영역 ] 을수정한사용자를표시합니다. [ 규칙 ] 현재 [ 검역영역 ] 에정의된액세스규칙수를표시합니다. [ 다음 ] [ 속성 ] 탭의변경사항을저장하고 [ 액세스규칙 ] 탭을표시합니다. [ 취소 ] 마지막으로저장된구성으로되돌립니다. McAfee Network Security Platform 8.1 8.1 에대한추가정보 I 115
3 Manager 의향상된기능 Java 에서마이그레이션하기위한 Manager UI 재설계 (extjs 로마이그레이션 ) 6 [ 액세스규칙 ] 탭에서적절한단추를클릭하여새규칙을삽입합니다. 표 3-18 옵션정의 옵션 정의 새규칙을현재선택한규칙위에삽입합니다. 새규칙을현재선택한규칙아래에삽입합니다. 현재선택한규칙을복제합니다. 현재선택한규칙을삭제합니다. 현재선택한규칙을한행위로이동합니다. 현재선택한규칙을한행아래로이동합니다. 7 액세스규칙의각열을두번클릭하여선택사항을지정합니다. 표 3-19 옵션정의 옵션 정의 [ 상태 ] 액세스규칙사용또는비활성화여부를표시합니다. Sensor 는비활성화된규칙을적용하지않습니다. 이옵션은문제해결시도움이될수있습니다. [ 설명 ] 필요한경우규칙에대한추가정보를입력합니다. syslog 서버로전달된로그를쉽게이해하는데도움이될수있습니다. [ 대상 ] IPv4 엔드포인트또는 IPv4 네트워크규칙개체를선택합니다. 다음아이콘을클릭하여새규칙개체를추가합니다. 다음아이콘을클릭하여규칙개체를편집하거나봅니다. [ 서비스 ] IP 프로토콜, ICMP 코드또는 TCP/UDP 포트번호를기반으로트래픽을제한합니다. 다음아이콘을클릭하여새규칙개체를추가합니다. 다음아이콘을클릭하여규칙개체를편집하거나봅니다. [ 응답 ] 규칙과일치하는트래픽을 Sensor 가허용또는차단할지를지정합니다. [ 삭제 ] 를선택하여트래픽을삭제하거나 [ 허용 ] 을클릭또는선택하여트래픽을전달합니다. 특정액세스규칙에대해서만일치하는트래픽세부정보를로그하고싶다고생각해보십시오. 그러면해당규칙에대해 [Syslog 에로그 ] 를선택합니다. Sensor 의 [ 로깅 ] 페이지에있는 [ 로깅 ] 필드에 [ 일치한규칙이기록하도록구성되어있을경우에만트래픽기록 ] 옵션을선택합니다. [Syslog 에로그 ] 옵션은 [ 기록 ] 페이지의 [ 기록 ] 필드에다른옵션을선택한경우영향을주지않습니다. [ 저장 ] Manager 데이터베이스에 [ 검역영역 ] 액세스규칙을저장합니다. [ 검역영역 ] 이 [ 검역영역 ] 목록에나열됩니다. 위의단계에따라사용자지정 [ 검역영역 ] 을 [ 복제 ], [ 편집 ] 또는 [ 삭제 ] 할수있습니다. Sensor 의 DoS 프로파일보기 DoS 프로파일에는선택한프로파일에대한단기및장기배포에대한비교가표시됩니다. 116 McAfee Network Security Platform 8.1 8.1 에대한추가정보 I
Manager 의향상된기능 Java 에서마이그레이션하기위한 Manager UI 재설계 (extjs 로마이그레이션 ) 3 작업 1 [ 장치 ] 탭을클릭합니다. 2 [ 도메인 ] 드롭다운목록에서도메인을선택합니다. 3 왼쪽창에서 [ 장치 ] 탭을클릭합니다. 4 [ 장치 ] 드롭다운목록에서장치를선택합니다. 5 [ 정책 ] [ 서비스거부 ] [ 프로파일 ] 을선택합니다. [DoS 프로파일 ] 페이지에는인터페이스나하위인터페이스에적용되는 DoS 학습모드정책의현재상태가자세히표시됩니다. Sensor 추가시 DoS 정책이도메인에서상속되었으나인터페이스나하위인터페이스수준에서다른정책이적용되어변경되었을수있습니다. 그림 3-20 DoS 프로파일탭 표 3-20 옵션정의 옵션 정의 [ 프로파일 ] 하위인터페이스또는 DoS 프로파일이적용된 VLAN/CIDR ID 입니다. [ 기본 NI] 는인터페이스하위분할, 즉하위인터페이스, VLAN 태그또는 CIDR 차단의일부가아닌모든트래픽을가리킵니다. [ 상태 ] 프로파일이현재학습중인지또는탐지중인지를나타냅니다. [ 학습 ] 은프로파일기준을구축하고있음을의미합니다. [ 활성 ] 은학습프로파일이종료되었으며트래픽을기준에따라체크중임을의미합니다. [ 변환시간 ] 학습프로파일이분석을시작하거나또는학습프로파일에대한활발한탐지가시작되는정확한시간을의미합니다. [ 상태 ] 필드에는현재실행중인프로세스가표시됩니다. McAfee Network Security Platform 8.1 8.1 에대한추가정보 I 117
3 Manager 의향상된기능시그니처세트와봇네트탐지기다운로드따로예약 6 DoS 프로파일을선택하고 [ 보기 ] 를클릭합니다. 그림 3-21 DoS 프로파일 - 고급검색 7 또는방향 ( 예 : 인바운드 ) 및측정 ( 예 : tcp-control) 을선택하여선택한인터페이스에적용한 DoS 프로파일의측정값에대한속도데이터를표시합니다. 차트를검토할때다음사항을명심하십시오 : 장기프로파일은단기프로파일을컴파일한것입니다. 가로축에는다양한패킷속도의버킷이있습니다. 세로축은각버킷에해당하는패킷속도비율을나타냅니다. 8 [ 닫기 ] 를클릭하여 Dos 프로파일페이지로돌아갑니다. 시그니처세트와봇네트탐지기다운로드따로예약 8.1 이전에는시그니처세트와봇네트탐지기모두다운로드하거나배포하기위해예약하려면 [ 관리 ] [ 자동 ] [ 자동다운로드및배포 ] 페이지에서같이해야했습니다. 8.1 에서는 Manager 가유연성을제공하여 IPS 시그니처세트와봇네트탐지기의다운로드및배포를따로예약할수있습니다 : IPS 시그니처세트 : [ 관리 ] [ 업데이트 ] [ 자동업데이트 ] [IPS 시그니처세트 ]. 봇네트탐지기 : [ 관리 ] [ 업데이트 ] [ 자동업데이트 ] [ 봇네트탐지기 ]. 작업 119 페이지의 IPS 시그니처세트업데이트 120 페이지의봇네트탐지기업데이트 118 McAfee Network Security Platform 8.1 8.1 에대한추가정보 I
Manager 의향상된기능시그니처세트와봇네트탐지기다운로드따로예약 3 IPS 시그니처세트업데이트 Manager 에서 IPS 시그니처세트의자동다운로드를구성할수있습니다. 작업 1 [ 관리 ] [ 업데이트 ] [ 자동업데이트 ] [IPS 시그니처세트 ] 를선택합니다. 2 페이지의 [ 자동 IPS 시그니처세트다운로드 ] 패널에서자동다운로드를예약합니다. 그림 3-22 자동 IPS 시그니처세트다운로드 필드이름 [ 자동다운로드사용 ] 설명 [ 예 ] 를선택하여자동다운로드를사용합니다. [ 스케줄 ] 다운로드주기를지정합니다. 지원되는값은다음과같습니다 : [ 자주 ] - [ 시작시간 ], [ 종료시간 ] 및 [ 반복간격 ] 을나타냅니다 [ 매일 ] - [ 시작시간 ] 을나타냅니다 [ 매주 ] - [ 시작시간 ] 과 [ 반복간격 ] 을나타냅니다 [ 시작시간 :] [(24 시간시계 ) ] [ 종료시간 :] [(24 시간시계 ]) 다운로드가시작되는시간을 24 시간기준의시 : 분형식으로지정합니다. 다운로드가중지되는시간을 24 시간기준의시 : 분형식으로지정합니다. [ 반복간격 ] 특정시간빈도로반복해서다운로드할수있습니다. 매일다운로드할경우반복기간은분 / 시이며, 매주다운로드할경우반복기간은해당주의요일이됩니다. 3 [ 저장 ] 을클릭합니다. McAfee Network Security Platform 8.1 8.1 에대한추가정보 I 119
3 Manager 의향상된기능시그니처세트와봇네트탐지기다운로드따로예약 4 페이지의 [ 자동 IPS 시그니처세트배포 ] 패널에서자동배포를예약합니다. 그림 3-23 자동 IPS 시그니처세트배포 필드이름 설명 [ 실시간으로배포 ] 봇네트탐지기를 Manager 에다운로드한후장치에배포하려면 [ 예 ] 를선택합니다. [ 예약된간격으로배포 ] [ 예 ] 를선택하여자동배포를사용합니다. [ 일정 ] 배포주기를지정합니다. 지원되는값은다음과같습니다 : [ 자주 ] - [ 시작시간 ], [ 종료시간 ] 및 [ 반복간격 ] 을나타냅니다 [ 매일 ] - [ 시작시간 ] 을나타냅니다 [ 매주 ] - [ 시작시간 ] 과 [ 반복간격 ] 을나타냅니다 [ 시작시간 : ] [(24 시간시계 )] [ 종료시간 : ] [(24 시간시계 )] 배포가시작되는시간을 24 시간기준의시 : 분형식으로지정합니다. 배포가중지되는시간을 24 시간기준의시 : 분형식으로지정합니다. [ 반복간격 ] 특정시간간격으로반복해서배포할수있습니다. 매일배포할경우반복기간은분 / 시이며, 매주배포할경우반복기간은해당주의요일이됩니다. 봇네트탐지기업데이트 Manager 에서봇네트탐지기의자동다운로드를구성할수있습니다. 120 McAfee Network Security Platform 8.1 8.1 에대한추가정보 I
Manager 의향상된기능시그니처세트와봇네트탐지기다운로드따로예약 3 작업 1 [ 관리 ] [ 업데이트 ] [ 자동업데이트 ] [ 봇네트탐지기 ] 를선택합니다. 2 페이지의 [ 자동봇네트탐지기다운로드 ] 패널에서자동다운로드를예약합니다. 그림 3-24 자동봇네트탐지기다운로드 필드이름 [ 자동다운로드사용 ] 설명 [ 예 ] 를선택하여자동다운로드를사용합니다. [ 일정 ] 다운로드주기를지정합니다. 지원되는값은다음과같습니다 : [ 자주 ] - [ 시작시간 ], [ 종료시간 ] 및 [ 반복간격 ] 을나타냅니다 [ 매일 ] - [ 시작시간 ] 을나타냅니다 [ 매주 ] - [ 시작시간 ] 과 [ 반복간격 ] 을나타냅니다 [ 시작시간 :] [(24 시간시계 ) ] [ 종료시간 :] [(24 시간시계 ]) 다운로드가시작되는시간을 24 시간기준의시 : 분형식으로지정합니다. 다운로드가중지되는시간을 24 시간기준의시 : 분형식으로지정합니다. [ 반복간격 ] 특정시간빈도로반복해서다운로드할수있습니다. 매일다운로드할경우반복기간은분 / 시이며, 매주다운로드할경우반복기간은해당주의요일이됩니다. 3 [ 저장 ] 을클릭합니다. 4 페이지의 [ 자동봇네트탐지기배포 ] 패널에서자동배포를예약합니다. 그림 3-25 자동봇네트탐지기배포 McAfee Network Security Platform 8.1 8.1 에대한추가정보 I 121
3 Manager 의향상된기능시그니처세트와봇네트탐지기다운로드따로예약 필드이름 설명 [ 실시간으로배포 ] 봇네트탐지기를 Manager 에다운로드한후장치에배포하려면 [ 예 ] 를선택합니다. [ 예약된간격으로배포 ] [ 예 ] 를선택하여자동배포를사용합니다. [ 일정 ] 배포주기를지정합니다. 지원되는값은다음과같습니다 : [ 자주 ] - [ 시작시간 ], [ 종료시간 ] 및 [ 반복간격 ] 을나타냅니다 [ 매일 ] - [ 시작시간 ] 을나타냅니다 [ 매주 ] - [ 시작시간 ] 과 [ 반복간격 ] 을나타냅니다 [ 시작시간 : ] [(24 시간시계 )] [ 종료시간 : ] [(24 시간시계 )] 배포가시작되는시간을 24 시간기준의시 : 분형식으로지정합니다. 배포가중지되는시간을 24 시간기준의시 : 분형식으로지정합니다. [ 반복간격 ] 특정시간간격으로반복해서배포할수있습니다. 매일배포할경우반복기간은분 / 시이며, 매주배포할경우반복기간은해당주의요일이됩니다. 5 [ 저장 ] 을클릭합니다. 122 McAfee Network Security Platform 8.1 8.1 에대한추가정보 I
4 IPS 4 의향상된기능 목차 IPS 공격이벤트에직접 syslog 전달 XFF 의향상된기능 2048 비트암호화 IPS 명령줄인터페이스의향상된기능 IPS 공격이벤트에직접 syslog 전달 지금까지 syslog 전달은 Manager 에공격정보를보내는 Sensor 에제한되어있어보안컨텍스트가더포함되어있었습니다. Manager 는이공격정보를수집하여구성된 syslog 서버에전달했습니다. 즉, syslog 서버에보낸공격정보는해당 Manager 에속한모든 Sensor 에서모은공격세부정보였습니다. 릴리스 8.1 에서는각 Sensor 에 syslog 전달을구성할수있습니다. 도메인별로설정을구성하여모든 Sensor 가설정을상속하게하거나각 Sensor 로드릴다운하여해당 Sensor 에대한특정 syslog 서버를설정할수있습니다. 네트워크의모든 Sensor 에 syslog 전달을구성하려면 [ 장치 ] [< 관리도메인이름 >] [ 글로벌 ] [ 기본장치설정 ] [IPS 장치 ] [IPS 이벤트로깅 ] 을선택합니다. 개별 Sensor 에 syslog 전달을구성하려면 [ 장치 ] [< 관리도메인이름 >] [ 장치 ] [< 장치이름 >] [ 설정 ] [IPS 이벤트로깅 ] 으로이동합니다. 특정공격에대한공격세부정보를전달하도록도메인또는 Sensor 각각을구성할수도있습니다. 다음에따라공격세부정보를보내도록필터를설정할수있습니다 : 공격심각도 보내야하는공격세부정보의최소공격심각도를지정할수있습니다. 공격정의 - Sensor 가선택한공격의공격세부정보만전달하게할수있습니다. 이접근법을채택하는경우공격정의에 syslog 전달을사용해야합니다. 각 Sensor 에통보용템플릿을정의할수도있습니다. 조직의요구사항에따라 Sensor 이름, 공격이름, 심각도, 소스및대상 IP 주소등과같은세부정보를템플릿에포함할수있습니다. show syslog statistics 명령줄인터페이스명령을사용하여경보수통계를볼수있습니다. Syslog 통보 경보정보를 syslog 서버에전달하도록 Sensor 와 Manager 를개별적으로구성할수있습니다. 기본적으로 Sensor 가경보정보를 Manager 에전달하지만구성하면 Manager 가이정보를 syslog 서버에전달합니다. 그러나단일 Manager 와연관된 Sensor 가둘이상인조직을생각해봅시다. 각 Sensor 는사업부를나타낸다고가정해보겠습니다. 각사업부의보안분석가가자신의사업부와관련된경보정보만수신하기를요청할수있습니다. 이러한환경을수용하기위해 Sensor 가통보를특정 syslog 서버에전달하도록구성할수있는옵션이있습니다. McAfee Network Security Platform 8.1 8.1 에대한추가정보 I 123
4 IPS 의향상된기능 IPS 공격이벤트에직접 syslog 전달 Syslog 서버에경보통보를전달하려면따라야하는단계는다음과같이요약할수있습니다 : Syslog 서버가 Sensor 또는 Manager 에액세스할수있도록구성합니다. Sensor 가통보를직접 syslog 서버로보내도록구성하거나 syslog 통보를사용하는모든장치에서경보정보를통합한후해당통보를보내도록 Manager 를구성합니다. Manager 수준, 글로벌수준또는장치수준에서 Manager 의 syslog 전달을사용합니다. 모든경보통보를수신할것인지, 공격이나공격심각도에따라일부경보통보만수신할것인지를결정합니다. 공격정의에따른 syslog 통보수신을선택한경우해당공격을구성합니다. 공격심각도와정의모두에따른경보통보수신을선택한경우통보전달여부를결정할때 Sensor 가공격심각도에기본설정을부여합니다. 다음그림은 syslog 전달시나리오의예를보여줍니다. 그림 4-1 Syslog 전달시나리오의예 Sensor 에서의경보통보도메인수준이나 Sensor 수준에서경보통보를전달하도록 Sensor 를구성할수있습니다. 다음두절에서는다른수준에서 Sensor 를구성할수있는방법에대해설명합니다. 도메인수준에서경보통보를위해 syslog 전달사용 시작하기전에해당 Sensor 에접근할수있는 IP 주소를가진 syslog 서버를구성했는지확인합니다. 해당페이지에서설정을구성하면도메인의모든장치에 syslog 를전달할수있습니다. 124 McAfee Network Security Platform 8.1 8.1 에대한추가정보 I
IPS 의향상된기능 IPS 공격이벤트에직접 syslog 전달 4 작업 1 [ 장치 ] [< 관리도메인이름 >] [ 글로벌 ] [ 기본장치설정 ] [IPS 장치 ] [IPS 이벤트로깅 ] 을선택합니다. 2 다음필드를구성합니다. 필드 설명 [ 로깅사용 ] [ 사용 ] 을선택하면설정구성옵션이표시됩니다. [Syslog 서버 IP 주소 ] [Syslog 서버포트 (UDP)] 모든장치가보내는경보통보의대상이되는 syslog 서버의 IP 주소입니다. syslog 메시지를받도록인증된대상 syslog 서버의포트입니다. Sensor 에서 syslog 전달의기본프로토콜은 UDP 입니다. 따라서이포트를변경해서는안됩니다. [Syslog 기능 ] 표준 syslog 우선순위값입니다. 다음을선택할수있습니다 : [ 보안 / 인증 ( 코드 4)] [ 보안 / 인증 ( 코드 10)] [ 로그감사 ( 노트 1)] [ 로그경보 ( 노트 1)] [ 시계데몬 ( 노트 2)] [ 로컬사용자 0(local0)] [ 로컬사용자 1(local1)] [ 로컬사용자 2(local2)] [ 로컬사용자 3(local3)] [ 로컬사용자 4(local4)] [ 로컬사용자 5(local5)] [ 로컬사용자 6(local6)] [ 로컬사용자 7(local7)] [Syslog 우선순위에공격심각도매핑 ] [ 테스트메시지보내기 ] 각심각도 ( 높음, 중간, 낮음또는정보용 ) 를다음표준 syslog 심각도로매핑할수있습니다 : [ 긴급 ] - 시스템사용불능 [ 경고 ] - 경고상황 [ 경보 ] - 즉각적인작업필요 [ 통지 ] - 정상적이지만중요한상황 [ 치명적 ] - 치명적상황 [ 정보용 ] - 정보용메시지 [ 오류 ] - 오류상황 [ 디버그 ] - 디버그수준의메시지이옵션을클릭하면 Manager 에서 syslog 서버로테스트메시지가전송됩니다. 이기능은 syslog 서버에접근할수있는지여부를체크하는데사용됩니다. 3 제공하려는모든필터링매개변수를입력하십시오. 필드 [ 경보로깅 ] 설명 [ 모든공격로그 ] 는 Sensor 에전달되는모든공격에대한통보를보냅니다. [ 일부공격로그 ] 는심각도또는공격정의의설정에따라특정공격에대한통보를보냅니다. [ 공격정의에 syslog 통보가명시적으로사용되어있습니다 ] 를선택하면 syslog 통보를보내기전에 Sensor 에서공격정의를체크합니다. 이확인란만선택하고 syslog 통보에대한공격정의를구성하지않으면서버에통보가전달되지않습니다. [ 최소심각도 ] 를선택하면통보를전달하기전에 Sensor 에서공격의심각도를체크합니다. 지정된심각도이상공격만전달되므로심각도가가장낮은공격을지정해야합니다. 예를들어이확인란만선택하고 [ 낮음 ] 을지정하는경우심각도가낮음이상인모든공격이서버에통보됩니다. 4 통보에표시할메시지를선택합니다. McAfee Network Security Platform 8.1 8.1 에대한추가정보 I 125
4 IPS 의향상된기능 IPS 공격이벤트에직접 syslog 전달 필드 설명 [ 메시지 ] 기본메시지는인식하기쉽도록경보를두필드로요약한것입니다 : 필드는각각 [ 공격이름 ] 및 [ 공격심각도 ] 입니다. 기본메시지는다음과같습니다 : Attack $IV_ATTACK_NAME$ ($IV_ATTACK_SEVERITY$). Sensor 는테이블에표시되는변수를지원합니다. 표 4-1 경보통보와해당하는 Threat Analyzer 열의 Syslog 변수 Syslog 변수이름 설명 Threat Analyzer 열 $IV_ADMIN_DOMAIN$ 공격이속한것을감지한 Sensor 의도메인입니다. 관리도메인 $IV_ALERT_TYPE$ $IV_APPLICATION_PROTOCOL$ $IV_ATTACK_CONFIDENCE$ $IV_ATTACK_COUNT$ $IV_ATTACK_ID$ Sensor 가경보유형을결정합니다. 내부처리를위해주로 Manager 가사용합니다. 공격범주또는공격하위범주와관련이없습니다. 경보유형의몇가지예로는시그니처, 통계이상, 임계값이상, 포트검색및호스트스윕이있습니다. 공격트래픽과관련된응용프로그램계층프로토콜입니다. 이프로토콜은응용프로그램식별기능과관련이없으며, 이정보는응용프로그램식별기능를사용하지않더라도표시됩니다. Sensor 가프로토콜을탐지하지못하는경우도있을수있습니다. 1 에서 7 사이의값입니다. 예를들면, 신뢰수준 7 은공격이오탐 (false-positive) 일가능성이낮다는것을나타냅니다. 공격신뢰수준값은공격시그니처의호의적트리거가능성 (BTP) 값과역관계입니다. 신뢰수준 1 = BTP 7( 높음 ) 신뢰수준 2 = BTP 6( 높음 ) 신뢰수준 3 = BTP 5( 중간 ) 신뢰수준 4 = BTP 4( 중간 ) 신뢰수준 5 = BTP 3( 중간 ) 신뢰수준 6 = BTP 2( 낮음 ) 신뢰수준 7 = BTP 1( 낮음 ) 발생한공격유형수입니다. 이정보는억제된경보와더관련되어있습니다. 30 초이내에공격이 5 회나타날경우에만경보가발생하는경보억제를활성화했다고가정해봅시다. 이후 Sensor 에서 30 초이내에이공격을열번탐지했습니다. 그럼이경보의공격수는 10 이됩니다. McAfee Labs 에서각공격에범용적으로고유한 16 진수값을할당합니다. 이필드는 McAfee Labs 에서할당한 16 진수 ID 의정수값을표시합니다. 사용할수없음. 응용프로그램프로토콜 사용할수없음. 공격수 ( 경보세부정보페이지에서확인가능 ). 해당하는 16 진수값은 [Intruvert ID] 로 [ 공격정보및설명 ] 페이지에표시됩니다. $IV_ATTACK_NAME$ McAfee Labs 에서공격에할당한이름입니다. 공격이름 126 McAfee Network Security Platform 8.1 8.1 에대한추가정보 I
IPS 의향상된기능 IPS 공격이벤트에직접 syslog 전달 4 표 4-1 경보통보와해당하는 Threat Analyzer 열의 Syslog 변수 ( 계속 ) Syslog 변수이름 설명 Threat Analyzer 열 $IV_ATTACK_SEVERITY$ 해당하는공격정의에지정된공격의심각도값을나타냅니다. 0 - 정보용 1 ~ 3 - 낮음 4 ~ 6 - 중간 7 ~ 9 - 높음 심각도 ( 높음, 중간, 낮음또는정보용 ) $IV_ATTACK_SIGNATURE$ 공격트래픽과일치하는시그니처 ID 입니다. Threat Analyzer 에서사용할수없습니다. $IV_ATTACK_TIME$ Sensor 에서경보가생성된시간입니다. 시간. $IV_CATEGORY$ 공격이속한범주입니다. McAfee Labs 에서결정합니다. 범주의몇가지예로는취약성공격, 정책위반및정찰이있습니다. 공격범주별로그룹화하면 IPS 정책편집기에서공격범주를볼수있습니다. 공격범주 $IV_DESTINATION_IP$ 공격이향하는대상 IP 주소입니다. 대상 IP $IV_DESTINATION_PORT$ $IV_DEST_APN$ $IV_DEST_IMSI$ $IV_DEST_OS$ $IV_DEST_PHONE_NUMBER$ 공격트래픽이전송되는대상호스트의포트번호입니다. 대상액세스포인트이름 (APN) 입니다. 이정보는모바일가입자의 ID 데이터일부이며모바일네트워크를모니터링하기위해 Sensor 를배포했을경우에만상관이있습니다. 이데이터를보려면 set mnsconfig Sensor 명령줄인터페이스명령을사용하여경보의모바일가입자데이터캡처및태그지정을활성화해야합니다. 대상인터내셔널모바일가입자 ID(IMSI) 입니다. 위의 APN 에제공되는세부정보가여기에도적용됩니다. 대상호스트에설치된운영체제입니다. 릴리스 7.5.3 에서이정보를보려면능동또는수동장치프로파일링을사용해야합니다. 대상휴대폰번호입니다. 위의 APN 에제공되는세부정보가여기에도적용됩니다. $IV_DETECTION_MECHANISM$ 공격을탐지하기위해 Sensor 가사용하는방법입니다. 예를들면시그니처, 멀티 - 플로 - 상관, 임계값등이있습니다. 각각의방법은구체적인공격범주와연결됩니다. $IV_DIRECTION$ $IV_INTERFACE$ 공격트래픽이네트워크에서시작되었는지외부네트워크에서시작되었는지를나타냅니다. 예를들면인바운드방향은공격트래픽이외부네트워크에서시작되었으며네트워크의호스트를대상으로하고있음을의미합니다. Sensor 가탐지한공격트래픽의인터페이스또는하위인터페이스입니다. 대상포트 대상 APN 대상 IMSI 대상 OS 대상휴대폰 탐지메커니즘 방향 인터페이스 $MALWARE_CONFIDENCE$ 엔진이탐지한악성프로그램의신뢰수준입니다사용할수없음 $MALWARE_DETECTION_ENGINE$ 악성프로그램을탐지한엔진입니다 (GAM, GTI, PDF-JS 등 ). 사용할수없음 $MALWARE_FILE_LENGTH$ 악성프로그램파일의길이입니다. 사용할수없음 $MALWARE_FILE_MD5_HASH$ 악성프로그램파일의 MD5 해시입니다 ( 지문 ). 사용할수없음 McAfee Network Security Platform 8.1 8.1 에대한추가정보 I 127
4 IPS 의향상된기능 IPS 공격이벤트에직접 syslog 전달 표 4-1 경보통보와해당하는 Threat Analyzer 열의 Syslog 변수 ( 계속 ) Syslog 변수이름 설명 Threat Analyzer 열 $ MALWARE_FILE_NAME$ 악성프로그램파일의이름입니다. SMTP 트래픽의경우첨부파일의파일이름을표시하며, HTTP 트래픽의경우파일의 URL 을표시합니다. 사용할수없음 $ MALWARE_FILE_TYPE$ 악성프로그램파일의파일유형입니다사용할수없음 $MALWARE_VIRUS_NAME$ GAM 이탐지한바이러스이름입니다. 사용할수없음 $IV_NETWORK_PROTOCOL$ TCP 등, 공격트래픽의네트워크프로토콜입니다. 경보세부정보페이지에서확인가능한네트워크프로토콜. $IV_QUARANTINE_END_TIME$ 공격호스트를검역할수없을때의시간입니다. [ 검역 ] 기능을사용한경우에만해당됩니다. $IV_RESULT_STATUS$ $IV_SENSOR_ALERT_UUID$ Threat Analyzer 의호스트탭에있는검역종료열에서검역종료시간을볼수있습니다. 공격트래픽이공격대상자호스트에도달했는지에대한여부를나타냅니다. Sensor 가경보에대해할당한범용적으로고유한 ID 입니다. 특정 Sensor 에서발생된특정경보에대해 Central Manager 도같은 ID 를표시합니다. 사용할수없음. 결과 경보 ID $IV_SENSOR_CLUSTER_MEMBER$ 경보를생성한페일오버쌍의 Sensor 수입니다. 사용할수없음. $IV_SOURCE_IP$ 공격호스트의 IP 주소입니다. 소스 IP $IV_SOURCE_PORT$ $IV_SRC_APN$ $IV_SRC_IMSI$ $IV_SRC_PHONE_NUMBER$ $IV_SUB_CATEGORY$ 공격트래픽이전송되는공격호스트의포트번호입니다. 소스액세스포인트이름 (APN) 입니다. 이정보는모바일가입자의 ID 데이터일부이며모바일네트워크를모니터링하기위해 Sensor 를배포했을경우에만상관이있습니다. 이데이터를보려면 set mnsconfig Sensor 명령줄인터페이스명령을사용하여경보의모바일가입자데이터캡처및태그지정을활성화해야합니다. 소스인터내셔널모바일가입자 ID(IMSI) 입니다. 위의 APN 에제공되는세부정보가여기에도적용됩니다. 소스휴대폰번호입니다. 위의 APN 에제공되는세부정보가여기에도적용됩니다. 공격이속한하위범주입니다. McAfee Labs 에서결정하며공격범주에속하는분류입니다. 몇가지예로는무차별, 버퍼오버플로, 호스트스윕및제한된응용프로그램이있습니다. 공격하위범주별로그룹화하면 IPS 정책편집기에서공격하위범주를볼수있습니다. 소스포트 소스 APN 소스 IMSI $IV_VLAN_ID$ 공격트래픽에표시되는 VLAN ID 입니다. VLAN 5 [ 저장 ] 을클릭합니다. 소스휴대폰 공격하위범주 128 McAfee Network Security Platform 8.1 8.1 에대한추가정보 I
IPS 의향상된기능 XFF 의향상된기능 4 이제도메인에속하는모든 Sensor 에 syslog 전달을사용할수있습니다. 방금구성한모든설정이각 Sensor 에자동상속되는것을 Sensor 의 [IPS 이벤트로깅 ] 페이지에서볼수있습니다. 각 Sensor 에서구성업데이트만수행하면통보전송을시작하기위한단계가모두끝납니다. 그림 4-2 도메인설정을자동상속한 Sensor 수준의 IPS 이벤트로깅 그러나어느한 Sensor 의설정을수정하려고할경우각 Sensor 의해당설정을개별적으로구성해야합니다. Syslog 를전달하도록 Sensor 를구성하려면 sensor 수준에서경보통보를위해 syslog 전달사용 129 페이지의으로이동하십시오. sensor 수준에서경보통보를위해 syslog 전달사용 시작하기전에 해당 Sensor 에접근할수있는 IP 주소를가진 syslog 서버를구성했는지확인합니다. 이페이지에서설정을구성하면 Sensor 에 syslog 를전달할수있습니다. 도메인에서설정을상속하지않는한이페이지의모든구성이도메인수준에서정의한설정을무시합니다. 작업 1 [ 장치 ] [< 관리도메인이름 >] [ 장치 ] [< 장치이름 >] [ 설정 ] [ 로깅 ] [IPS 이벤트로깅 ] 을선택합니다. 2 도메인에구성된설정을사용하려는경우 [ 설정상속 ] 확인란을선택합니다. 3 구성을완료하려면 [ 저장 ] 을클릭합니다. 그러나 Sensor 수준에서설정을구성하려는경우도메인수준에서경보통보를위해 syslog 전달사용 124 페이지의을참조하십시오. 해당설정의구성을끝내고나면 Sensor 에 syslog 전달을사용할수있습니다. XFF 의향상된기능 이전에는 Sensor 가원본 IP 주소를가져오기위해 XFF(X-forwarded-for) HTTP 헤더만구문분석하여 Threat Analyzer 에표시되었습니다. 원본 IP 주소는다음기능에사용될수있습니다 : ACL 검색 - ACL [ 거부 ], [ 거부 ], [ 검색 ] 또는 [ 무시 ] 를실행하면 Sensor 에서원본 IP 주소를사용합니다. 검역 - 공격으로인한모든검역은원본 IP 주소를검역하며 IP 헤더의 IP 주소는검역하지않습니다. McAfee Network Security Platform 8.1 8.1 에대한추가정보 I 129
4 IPS 의향상된기능 XFF 의향상된기능 X-Forwarder-For 헤더정보검사 웹서버에대한클라이언트연결은 HTTP 프록시또는부하분산장치를통해이루어질수있습니다. 명시적 ( 투명하지않은 ) 프록시서버 ( 또는부하분산장치팜 ) 를사용하면원래의클라이언트연결은종료되고자신과의도한대상 IP 주소간에보조연결이만들어집니다. Sensor 모니터링포트가연결의프록시쪽에있을경우모든경보에는프록시서버의외부 IP 주소가원본 IP 주소대신소스또는대상 IP 주소 ( 공격의방향에따라다름 ) 로표시됩니다. 따라서실제 IP 주소는경보에사용할수없습니다. Sensor 에서 XFF(X-Forwarded-For) 헤더구문분석을사용하는경우 Sensor 가 HTTP 헤더의 XFF 필드를구문분석하여원본 IP 주소를식별할수있습니다. 자신의프록시서버나부하분산장치가 XFF 헤더를지원하는경우, Sensor 는 HTTP 연결에대해 XFF 헤더를구문분석하고그에따라데이터패킷이통과한프록시서버나부하분산장치를인식할수있습니다. Sensor 가연결의프록시쪽에있는동안생성된경보에는외부프록시 IP 주소와원래엔드포인트 IP 주소가모두포함되어있습니다. Sensor 는공격이탐지되면원본 IP 주소는물론프록시 IP 주소까지모두경보메커니즘으로전달하고 Manager 로전송된경보메시지에이들을표시합니다. XFF 기능은인터페이스또는하위인터페이스에따라사용 / 사용안함을지원합니다. 또한 IPv4 주소와 IPv6 주소를모두지원합니다. Sensor 에 XFF 헤더구문분석을사용하면방화벽정책과검역에원본 IP 주소를사용할수있습니다. 방화벽정책의경우 ACL [ 삭제 ], [ 거부 ], [ 검색 ] 또는 [ 무시 ] 를실행하면 Sensor 에서원본 IP 주소를사용합니다. 프록시 IP 주소인소스또는대상 IP 주소에 [ 삭제 ] 또는 [ 거부 ] 같은 ACL 규칙을구성한경우이러한규칙부터실행됩니다. 그이유는 HTTP 헤더에서 XFF 헤더를구문분석하기전에 Sensor 가해당규칙에따라작동하기때문입니다. 검역의경우공격으로인한모든검역은원본 IP 주소를검역하며프록시 IP 주소는검역하지않습니다. XFF(X-Forwarded-For) 헤더분석구성 필요한방향에서인터페이스및하위인터페이스에대한 XFF(X-Forwarded-For) 헤더분석을사용할수있습니다. 작업 1 [ 장치 ] 탭을클릭합니다. 2 [ 도메인 ] 드롭다운목록에서도메인을선택합니다. 3 왼쪽창에서 [ 장치 ] 탭을클릭합니다. 4 [ 장치 ] 드롭다운목록에서장치를선택합니다. 5 [IPS 인터페이스 ] [< 인터페이스이름 >] [ 보호프로파일 ] 을선택합니다. 6 인바운드트래픽 ([ 인바운드사용?] 선택 ) 및 / 또는아웃바운드트래픽 ([ 아웃바운드사용?] 선택 ) 에대해 [XFF(X-Forwarded-For) 헤더구문분석 ] 을선택합니다. 7 [ 저장 ] 을클릭합니다. NTBA 를구성한경우 Sensor 가원본 IP 주소를포함한 NetFlow 레코드를 NTBA 에보내, Sensor 가 IP 평판이불량한호스트를검역할수있습니다. 자세한내용은 "NTBA 관리안내서 " 의 "XFF 통신규칙만들기 " 절을참조하십시오. 8 관련 Sensor 의구성업데이트를수행합니다. Threat Analyzer 에서원본 IP 주소보기시작하기전에 Sensor 의한포트에서 [XFF 헤더구문분석 ] 을사용하고있어야합니다. 130 McAfee Network Security Platform 8.1 8.1 에대한추가정보 I
IPS 의향상된기능 XFF 의향상된기능 4 원본 IP 주소를보려면 Manager 의 Threat Analyzer 로이동해야합니다. 이러한 IP 주소는 IP 주소가실제소스 IP 주소임을나타내는특정아이콘으로플래그되어있습니다. 이는결과적으로실제소스와 Sensor 간에프록시서버가있음을의미합니다. 프록시서버의세부정보를보려면해당경보의경보세부정보를확인해야합니다. 작업 1 [ 분석 ] [< 관리도메인이름 >] [Threat Analyzer] [Real-Time] 을선택합니다. 2 [Real-Time Threat Analyzer 시작 ] 을클릭합니다. 3 [Threat Analyzer] 창이열리면 [ 경보 ] 탭을클릭합니다. 4 경보목록에서원본 IP 주소를표시하는아이콘을찾아클릭합니다. 이아이콘은보고있는 IP 주소옆에공격을 실행한클라이언트의원본 IP 주소가있음을나타냅니다. 그림 4-3 원본 IP 주소아이콘이표시된모든경보페이지 McAfee Network Security Platform 8.1 8.1 에대한추가정보 I 131
4 IPS 의향상된기능 2048 비트암호화 5 이경보를마우스오른쪽단추로클릭하여 [ 세부정보표시 ] 를선택합니다. 그림 4-4 원본 IP 주소아이콘위로마우스를이동하여프록시서버에대한세부정보표시 6 [ 경보세부정보 ] 페이지에서 [ 소스및대상 ] 페이지에나열된 IP 주소를찾습니다. 7 원본 IP 주소아이콘위로마우스를이동하여프록시 IP 주소에대한세부정보를확인합니다. 2048 비트암호화 Manager 와 Sensor 는 1024 비트인증서를사용하여신뢰가잘설정되어있습니다. 보안강화에대한필요성이커짐에따라 2048 비트인증서를사용하여연결을암호화하는것으로업그레이드하고있습니다. Network Security Platform 8.1 은 1024 비트및 2048 비트암호화모두수용하는이기종환경을지원합니다. 다시말해 Manager 는 1024 비트와 2048 비트에모두사용가능하며 2048 비트및 /1024 비트를사용하는소프트웨어버전에서실행되는 Sensor 관리에사용할수있습니다. 업그레이드이후각인스턴스에대한신뢰설정설명은다음과같습니다 : 1024 비트암호화 Sensor 에 2048 비트암호화를지원하지않는소프트웨어가로드되어있고 Manager 는 2048 비트암호화를지원하는버전으로업그레이드된경우, Sensor 는 1024 비트인증서를사용하여 Manager 와신뢰를설정합니다. 2048 비트암호화 Sensor 와 Manager 에 2048 비트암호화를지원하는소프트웨어가로드된경우업그레이드가끝나면 Sensor 가신뢰를설정합니다. 132 McAfee Network Security Platform 8.1 8.1 에대한추가정보 I
IPS 의향상된기능 2048 비트암호화 4 Sensor 는먼저 1024 비트인증서를사용하는기존암호화를사용합니다. 신뢰가설정되고나면 Sensor 는 2048 비트인증서로업그레이드요청을시작합니다. Sensor 가 2048 비트암호화용포트에접근할수있으면 2048 비트암호화에성공한것입니다. 1024 비트에서 2048 비트암호화로업그레이드하는작업은사용자의개입없이자동으로완료됩니다. 1024 비트에서 2048 비트암호화로마이그레이션 Sensor-Manager 통신은 1048 비트와 2048 비트채널모두에서발생합니다. 이기종배포일경우이두채널의설정옵션을통해현재사용중인 1024 비트암호화가 2048 비트암호화를사용하는이후버전과통신할수있도록할수있습니다. Manager 와 Sensor 는 Network Security Platform 8.1 이상에 2048 비트암호화키를사용하여신뢰를설정합니다. 이기종또는동일환경일수있는기존배포에대해마이그레이션을원활하기위한사용자의역할은매우경미합니다. 이기종환경에대해알아보려면 "McAfee Network Security Platform 업그레이드안내서 " 의 " 이종환경관리 " 장을참조하십시오. 1024 비트암호화만지원하는이전버전 ( 예 : 6.x 또는 7.x Sensor 나 Manager) 소프트웨어에있는이기종배포는 2048 비트암호화를지원하는 8.1 이상버전과함께사용할수있습니다. 업그레이드의일반적순서는다음과같습니다 : 이순서는현재 Manager 와 Sensor 가모두신뢰설정에 1024 비트암호화만지원하는버전에설치되어있는것으로가정합니다. 1 2048 비트암호화에필요한포트가열림상태로확인됩니다. 2 Manager 가 2048 비트암호화를지원하는버전으로업그레이드됩니다. 업그레이드가완료되면 Sensor 는 1024 비트암호화를사용하여신뢰를설정함으로써 Manager 와의연결상태를유지합니다. 3 Sensor 중하나가 2048 비트암호화를지원하는버전으로업그레이드됩니다. 업그레이드가완료되면 Sensor 는 1024 비트암호화를사용하여연결상태를유지합니다. 그런다음업그레이드된 Sensor 가인증서를업그레이드하여 Manager 에서 2048 비트암호화에할당된포트에연결을시도합니다. 인증서가업데이트되고나면 Sensor 와 Manager 는 2048 비트인증서를사용하여통신할수있습니다. 2048 비트암호화로업그레이드 시작하기전에 Sensor 와 Manager 가서로통신할수있는지확인합니다. 신뢰가설정되어있을필요는없지만신뢰를형성할수는있어야합니다. 네트워크에방화벽을사용하고있을경우모든필수포트를열어둡니다. 다음표에 2048 비트인증서로신뢰설정에사용되는포트가나와있습니다. 표 4-2 2048 비트암호화로신뢰설정에사용되는포트 포트 설명 8506 설치채널 (TCP) 8507 경보채널 (TCP) 8508 패킷로그채널 (TCP) SSL 암호해독을사용하는경우 Sensor 가 1024 비트인증서를사용하여계속연결상태를유지하며, 2048 인증서로변환할수없습니다. 그이유는현재 Sensor 에보관된인증서가 1024 비트로암호화되 McAfee Network Security Platform 8.1 8.1 에대한추가정보 I 133
4 IPS 의향상된기능 2048 비트암호화 어있어 2048 비트암호화된인증서를허용할수있는상태가아니기때문입니다. 따라서 SSL 암호해독을사용하여 2048 비트암호화에성공하려면다음단계를수행해야합니다 : 1 Sensor 를제거한후다시설치합니다. 이렇게하면 Sensor 가 SSL 암호해독을사용하지않는기본설정으로복원됩니다. 또는 Manager 에서 SSL 암호해독을사용하지않습니다. 2 2048 비트암호화로업그레이드를완료합니다. 3 SSL 암호해독을다시사용합니다. 다음은 2048 비트인증서를업그레이드하기위한절차를설명하는단계입니다. 작업 1 2048 비트암호화를지원하는버전으로 Manager 를업그레이드합니다. 현재배포가이업그레이드를지원하는지확인해야합니다. Manager 업그레이드에대한자세한내용은 "McAfee Network Security Platform 업그레이드안내서 " 의 "Manager 업그레이드요구사항 " 절을참조하십시오. Manager 가업그레이드되면 Sensor 는 1024 비트인증서를사용하여연결상태를유지합니다. 2 2048 비트인증서를지원하는버전으로 Sensor 소프트웨어를업그레이드합니다. Manager 와마찬가지로현재배포가해당업그레이드를지원하는지확인해야합니다. Sensor 업그레이드에대한자세한내용은 "McAfee Network Security Platform 업그레이드안내서 " 의 "Sensor 업그레이드요구사항 " 절을참조하십시오. Sensor 가업그레이드되면 1024 비트인증서를사용하여 Manager 와연결상태를유지합니다. 그런다음 Sensor 는 2048 비트인증서를위한업그레이드를시작합니다. Sensor 는 2048 비트인증서를사용하는연결에할당된 Manager 의특정포트에접근할수있는지체크합니다. 포트에접근할수있을경우업그레이드가완료됩니다. 이단계동안 Manager 버전이업그레이드를지원하지않으면 2048 비트인증서를사용하여 Sensor 및 Manager 를연결하지못할수도있습니다. loadimage 명령줄인터페이스명령을사용하여 Sensor 소프트웨어를업그레이드했을경우 2048 비트연결을하지못했다는알림을받게됩니다. 기존의 1024 비트인증서로진행여부를확인하는메시지도표시됩니다. 진행하지않으려면 N 을입력하여프로세스를중단하고문제를해결할수있습니다. 그러나 2048 비트암호화를지원하지않는 Manager 에서 Sensor 소프트웨어를업그레이드했을경우 Sensor 는 1024 비트인증서를사용하여신뢰설정을계속합니다. 암호화유형보기 시작하기전에 Sensor 와 Manager 간의신뢰는암호화되어있으므로신뢰를설정한후에만암호화수준을볼수있습니다. Sensor 와 Manager 간의신뢰설정에사용된암호화유형을보려면 Sensor CLI( 명령줄인터페이스 ) 에액세스해야합니다. Sensor 와 Manager 간의신뢰는 1024 비트암호화에사용된것과는별도로 2048 비트암호화포트를사용하여설정됩니다. 수행단계를통해암호화유형과명령줄인터페이스의포트확인방법을알수있습니다. 작업 1 하이퍼터미널을사용하여명령줄인터페이스에액세스할 Sensor IP 주소를입력합니다. 2 Sensor 에대한자격증명을입력합니다. 134 McAfee Network Security Platform 8.1 8.1 에대한추가정보 I
IPS 의향상된기능 2048 비트암호화 4 3 명령줄인터페이스에서 status 를입력하여 Sensor 와 Manager 간의신뢰설정에사용된암호화유형을확인합니다. 그림 4-5 2048 비트인증서를사용하여설정된신뢰 2048 비트암호화에성공했을경우명령줄인터페이스에 [RSA 2048-bit] 가표시됩니다. McAfee Network Security Platform 8.1 8.1 에대한추가정보 I 135
4 IPS 의향상된기능 2048 비트암호화 4 show 를입력하여 2048 비트암호화에사용된 8506, 8507, 8508 포트를표시합니다. 그림 4-6 2048 비트암호화에사용된포트 136 McAfee Network Security Platform 8.1 8.1 에대한추가정보 I
IPS 의향상된기능 2048 비트암호화 4 2048 비트암호화사용안함 시작하기전에 시작하기전에 Manager 서비스를중지합니다. 배포에서언제든 2048 비트암호화를사용하지않으려면다음단계를통해할수있습니다. 작업 1 Manager 서버에서 ems.properties 파일을찾습니다. 이파일은기본적으로 C:\Program Files (x86)\mcafee \Network Security Manager\App\config\ 에있습니다. 2 적합한텍스트편집기 ( 예 : Windows 메모장 ) 에서이파일을엽니다. 3 파일에서 iv.core.controlchannel.is2048enabled= 문자열을찾습니다. 기본설정에서는이문자열이 true 로설정되어있습니다. 그림 4-7 2048 비트암호화를사용하지않음을보여주는 ems 속성파일 4 이값을 false 로변경합니다. 5 비고임을나타내는해시 (#) 기호를제거합니다. 6 파일을저장한후닫습니다. 7 Manager 를재부팅합니다. Manager 가다시켜지면모든 Sensor 와 Manager 의연결이해제되어사용자가수동으로개입하여 Sensor 를다시연결해야합니다. Manager 와신뢰를설정하는자세한내용은 "McAfee Network Security Platform 설치안내서 " 를참조하십시오. McAfee Network Security Platform 8.1 8.1 에대한추가정보 I 137
4 IPS 의향상된기능 IPS 명령줄인터페이스의향상된기능 IPS 명령줄인터페이스의향상된기능 이번 8.1 릴리스는다음과같은새명령줄인터페이스명령을정상모드및디버그모드로지원합니다 : set l2f-unknown-udp show syslog statistics set threshold-udp-dos-forward-action show threshold-udp-dos-forward-action status show l2f-unknown-udp status 다음의기존명령줄인터페이스명령에추가정보가표시됩니다 : show mem-usage show malwareserverstats set l2f-unknown-udp 이명령을사용하면 1024 이상의소스및대상포트번호를처리하지않고트래픽을전달합니다. 따라서알수없는 UDP 트래픽이전달되어대기시간및네트워크정체가감소됩니다. 기본적으로이명령은사용되어있지않습니다. 구문 : set l2f-unknown-udp enable/ disable set threshold-udp-dos-forward-action 특정 DoS 공격이임계값제한을넘으면처리하지않고 UDP 트래픽이전달됩니다. 임계값제한이내의모든 UDP 트래픽은처리됩니다. 기본적으로이명령은사용되어있지않습니다. DoS 공격의임계값제한은 Manager 의 [ 정책 ] [ 침입방지 ] [ 고급 ] [ 기본 IPS 공격설정 ] 에서구성할수있습니다. 자세한내용은 "McAfee Network Security Platform IPS 관리안내서 " 의 " 서비스거부공격 " 장, "DoS 공격탐지매커니즘 " 절을참조하십시오. 구문 : set threshold-udp-dos-forward-action enable/ disable show l2f-unknown-udp status 알수없는 UDP 트래픽전달상태를나타냅니다. 구문 : show l2f-unknown-udp status 샘플출력 : intrushell@john> show l2f-unknown-udp status Layer 2 forward unknown UDP : enabled show malwareserverstats 파일형식및검색엔진에대한악성프로그램클라이언트와서버통계를표시합니다. 구문 : show malwareserverstats 샘플출력 : IntruDbg#> show malwareserverstats 138 McAfee Network Security Platform 8.1 8.1 에대한추가정보 I
IPS 의향상된기능 IPS 명령줄인터페이스의향상된기능 4 Packet Holder Statistics: ------------------------- Pkt Hldr Alloc Cnt: 389763. Pkt Hldr Free Cnt: 389759. 패킷홀더할당오류개수 : 0. 패킷홀더오류통계 : ------------------------------- 사용및다시할당된패킷홀더버퍼 : 0. 패킷홀더버퍼이중해제 : 0. 쓰기홀더통계 : ------------------------ Write Hldr Alloc Cnt: 115202. Write Hldr Free Cnt: 115202. 쓰기홀더할당오류개수 : 0. 세션노드통계 : ------------------------ Session Node Alloc Cnt: 38167. Session Node Free Cnt: 38042. Session Close Cnt: 38042. 세션노드할당오류개수 : 0. FileManager 노드통계 : ---------------------------- FM Node Alloc Cnt: 4092. FM Node Free Cnt: 4078. FM Alloc Err Cnt: 34075. FM 해제오류개수 : 0. 세션타이머통계 : ------------------------- Session Timer Add Cnt: 38167. Session Timer Delete Cnt: 38042. Session Timer Trigger Cnt: 27. 세션타이머다시업데이트트리거개수 : 0. Ctrl Msg Session Timer Cnt: 27. McAfee Network Security Platform 8.1 8.1 에대한추가정보 I 139
4 IPS 의향상된기능 IPS 명령줄인터페이스의향상된기능 세션타이머추가오류개수 : 0. 검색타이머통계 : ----------------------- 검색타이머추가개수 : 0. 검색타이머삭제개수 : 0. 검색타이머트리거개수 : 0. 제어메시지검색타이머개수 : 0. 검색타이머추가오류개수 : 0. SOFA 스레드로드통계 : ----------------------------- 서버스레드로드 : 0. 외부쓰기로드 : 0. 내부쓰기로드 : 0. PDF-JS 검색로드 : 0. NSM Write Load: 0. NSM 로드에파일업로드 : 0. SOFA 제어메시지통계 : -------------------------------- Ctrl Msg via Socket Pkt Cnt: 302. Ctrl Msg Pkt Processed by SOFA-Server: 338. Ctrl Msg Read Error Cnt: 0. Ctrl Msg Sigfile Parse Msg Cnt: 1. SOFA 프로토콜통계 : ------------------------- Sibyte to SBC Pkt Read Cnt: 309583. Sibyte to SBC Pkt Processed by SOFA-Server: 309583. SBC 패킷의 Sibyte 읽기폐기개수 : 0. Sofa-Protocol New File Dwnld Req Pkt Cnt: 38167. Sofa-Protocol File Data Pkt Cnt: 195385. Sofa-Protocol Scan Req Pkt Cnt: 589. Sofa-Protocol Error Msg In Pkt Cnt: 75442. Sofa-Protocol Pkt seq num mismatch cnt: 13. Sofa-프로토콜새파일다운로드응답패킷개수 : 0. 140 McAfee Network Security Platform 8.1 8.1 에대한추가정보 I
IPS 의향상된기능 IPS 명령줄인터페이스의향상된기능 4 Sofa-Protocol Error Msg Out Pkt Cnt: 27. Sofa-Protocol Scan Rsp Pkt Cnt: 76979. Scan Rsp File Info Pkt Cnt: 589. UDF 통계 : --------------- UDF Scan-Q Add Cnt: 589. Scan Rsp UDF Pkt Cnt: 589. Raiden 통계 : ------------------ Raiden 검색-Q 추가개수 : 0. 컨트롤메시지 Raiden 결과개수 : 0. 검색응답 Raiden 패킷개수 : 0. Artemis 통계 : ------------------- Artemis Scan-Q Add Cnt: 10. Ctrl Msg Artemis Rslt Cnt: 10. Scan Rsp Artemis Pkt Cnt: 10. PDF-JS 에뮬레이터통계 : --------------------------- PDF-JS Emulataor Scan-Q Add Cnt: 9. PDF-JS Emulataor Scan-DQ Cnt: 9. PDF-JS Emulataor Scan Discard Cnt: 9. Ctrl Msg PDF-JS Emulator Rslt Cnt: 8. Scan Rsp PDF-JS Emulator Pkt Cnt: 8. 파일저장통계 : --------------------- 파일저장 Q 추가개수 : 0. 파일저장 DQ 개수 : 0. 파일저장폐기개수 : 0. 제어메시지파일저장결과개수 : 0. 검색반응파일저장패킷개수 : 0. 게이트웨이악성프로그램방지통계 : -------------------------------- McAfee Network Security Platform 8.1 8.1 에대한추가정보 I 141
4 IPS 의향상된기능 IPS 명령줄인터페이스의향상된기능 검색-Q 추가개수 : 0. 검색응답패킷개수 : 0. MATD 역동분석통계 : --------------------------------- Scan-Q Add Cnt: 19. Scan Rsp Pkt Cnt: 38186. NTBA 및 MATD 프로토콜통계 : --------------------------------- 상태쿼리패킷개수 : 0 0 새다운로드요청패킷개수 : 0 0 파일데이터패킷개수 : 0 0 검색요청패킷개수 : 0 0 오류메시지송신패킷개수 : 0 0 오류메시지송신패킷오류개수 : 0 0 새다운로드응답패킷개수 : 0 0 검색응답패킷개수 : 0 0 오류메시지수신패킷개수 : 0 0 상태쿼리패킷오류개수 : 0 0 New Dwnld Req Pkt Error Cnt: 0 38167 파일데이터패킷오류개수 : 0 0 Scan Req Pkt Error Cnt: 0 19 NTBA 및 MATD 채널통계 : ---------------------------------- 콜백패킷개수 : 0. 제어메시지 NTBA/MATD 패킷개수 : 0. Pkt Buf Alloc Cnt: 3469. Pkt Buf Free Cnt: 3465. 패킷버퍼할당실패개수 : 0. 패킷버퍼해제실패개수 : 0. 큰패킷때문에잘못할당된패킷버퍼개수 : 0. 패킷널 (Null) 예외 : 0. 수신버퍼널 (Null) 개수 : 0. 잘못된채널구성 : 0. 142 McAfee Network Security Platform 8.1 8.1 에대한추가정보 I
IPS 의향상된기능 IPS 명령줄인터페이스의향상된기능 4 SSL 패킷수신오류 : 0 0 연결유지전송오류개수 : 0 0 연결유지누락개수 : 0 0 전송된연결유지개수 : 0 0 연결유지응답개수 : 0 0 채널초기화시도개수 : 0 0 NSM Protocol Statistics: ---------------------------------- MD5 Hash Query Pkt Cnt: 0 MD5 Hash Query Error Pkt Cnt: 0 New Dwnld Req Pkt Cnt: 0 New Dwnld Req Error Pkt Cnt: 0 File Data Pkt Cnt: 0 File Data Error Pkt Cnt: 0 End of File Pkt Cnt: 0 End of File Error Pkt Cnt: 0 New Dwnld Response Pkt Cnt: 0 New Dwnld Error Response Pkt Cnt: 0 MD5 Hash Query Response Pkt Cnt: 0 [McAfee NTBA Communication] 상태 : 중지중지이유 : 구성에따름 [McAfee MATD Communication] 상태 : 중지중지이유 : 구성에따름 [McAfee sofa Primary NSM Communication] Status : Up [McAfee sofa MDR NSM Communication] Status : Up 적용대상 : M-시리즈및 NS-시리즈 Sensor. show mem-usage 이명령은장치의시스템메모리사용량에대한세부정보를표시합니다. McAfee Network Security Platform 8.1 8.1 에대한추가정보 I 143
4 IPS 의향상된기능 IPS 명령줄인터페이스의향상된기능 이명령에는매개변수가없습니다. 구문 : show mem-usage show mem-usage 명령은모든처리요소에서이러한엔터티의평균사용비율 (Avg.) 및최대사용비율 (Max.) 도제공합니다. 샘플출력 : IntruDbg#> show mem-usage Avg. Used TCP and UDP Flows across all PEs : 98% Max. Used TCP and UDP Flows on a single PE : 100% Avg. Used Fragmented IP Flows across all PEs : 3% Max. Used Fragmented IP Flows on a single PE : 3% Avg. Used ICMP Flows across all PEs : 0% Max. Used ICMP Flows on a single PE : 0% Avg. Used SSL Flows across all PEs : 0% Max. Used SSL Flows on a single PE : 0% Avg. Used Fragment Reassembly Buffers across all PEs : 3% Max. Used Fragment Reassembly Buffers on a single PE : 3% Avg. Used Packet Buffers across all PEs : 0% Max. Used Packet Buffers on a single PE : 1% Avg. Used Attack Marker Nodes across all PEs : 13% Max. Used Attack Marker Nodes on a single PE : 14% Avg. Used Shell Marker Nodes across all PEs : 34% Max. Used Shell Marker Nodes on a single PE : 38% Avg. Used L7 Dcap Alert Buffers across all PEs : 0% Max. Used L7 Dcap Alert Buffers on a single PE : 0% Avg. Used L7 Dcap flows across all PEs : 0% Max. Used L7 Dcap flows on a single PE : 0% 적용대상 : M- 시리즈와 NS- 시리즈및 NTBA Appliance. show syslog statistics 이명령은 Sensor 가탐지했거나 Sensor 분석에서수신된경보수, Sensor 가 syslog 서버에보낸경보수, Sensor 가 syslog 서버에보내지않은경보수 ( 즉, 억제된경보수 ) 를표시합니다. 구문 : show syslog statistics 144 McAfee Network Security Platform 8.1 8.1 에대한추가정보 I
IPS 의향상된기능 IPS 명령줄인터페이스의향상된기능 4 샘플출력 : intrushell@john> show syslog statistics [syslog Alert] Received : 34062 Sent : 15451 Suppressed : 18611 적용대상 : M-시리즈 Sensor 만해당. show threshold-udp-dos-forward-action status DoS 임계값제한을초과하면구문분석을하지않고 UDP 트래픽을전달하는옵션의사용여부를표시합니다. 구문 : show threshold-udp-dos-forward-action status 샘플출력 : intrushell@john> show threshold-udp-dos-forward-action status Threshold UDP DoS forward action : enabled McAfee Network Security Platform 8.1 8.1 에대한추가정보 I 145
4 IPS 의향상된기능 IPS 명령줄인터페이스의향상된기능 146 McAfee Network Security Platform 8.1 8.1 에대한추가정보 I
5 NTBA 의향상된기능 이릴리스에서는 T600 및 T1200, 2 개의새로운 NTBA 하드웨어를소개하고 Manager 에서 NTBA 를구성하는절차를간략히설명합니다. 목차 새 NTBA Appliance: T-600 및 T-1200 McAfee EIA 통합의향상된기능화이트리스트에있는해시와블랙리스트에있는해시의향상된기능엔드포인트실행파일페이지의향상된기능 Manager UI 의향상된기능 NTBA 명령줄인터페이스의향상된기능업데이트서버위치 새 NTBA Appliance: T-600 및 T-1200 이릴리스에서 Network Security Platform 은 2 개의새 NTBA Appliance 를선보입니다 : T-600 및 T-1200. 두모델에는관리포트 1 개와라우터및 IPS Sensor 에서 netflow 를배포하기위한수집포트 3 개가있습니다. 관리포트는차례로 Manager 에연결되는네트워크장치에연결합니다. NTBA Appliance 는 Manager 를통해관리됩니다. [ 구성 ] [< 관리도메인이름 >] [ 장치목록 ] [ 장치 ] [ 새로만들기 ] 를선택하여 Manager 에 NTBA Appliance 를추가할수있습니다. McAfee 는 [ 장치추가마법사 ] 링크를사용하여모든장치를추가하고 Manager 와 NTBA 장치간의신뢰를설정할것을권장합니다. 새 T-1200 및 T-600 NTBA Appliance 의일부기능은아래의표를참조하십시오. T-1200 T-600 폼팩터 2U 1U 전면패널 하드드라이브베이 (12) 전면제어판 하드드라이브베이 8 개에만드라이브가있습니다. 하드드라이브베이 (4) 전면제어판 USB 포트 (2) 비디오커넥터 후면패널 이중전원공급장치 USB 포트 (3) 관리포트 (1) 비디오커넥터 수집포트 (3) 초당흐름 (fps) 100k 이중전원공급장치 관리포트 (1) 수집포트 (3) 60k USB 포트 (3) 비디오커넥터 McAfee Network Security Platform 8.1 8.1 에대한추가정보 I 147
5 NTBA 의향상된기능 McAfee EIA 통합의향상된기능 자세한내용은 "McAfee Network Security Platform T-1200 및 T-600 빠른시작안내서 " 및 "McAfee Network Security Platform NTBA 관리안내서 " 를참조하십시오. McAfee EIA 통합의향상된기능 이전에는 NTBA 는 McAfee EIA 버전 2.0 과 2.1 과의통합을지원했습니다. 이번릴리스에서 NTBA 는 McAfee EIA 버전 2.2.0 과의통합도지원합니다. NTBA 와 McAfee EIA 통합을구성하려면 Manager 에로그온하여 [ 장치 ] [ 장치 ] [<NTBA Appliance>] [ 설정 ] [EIA 통합 ] 으로이동합니다. 자세한내용은 "McAfee " "Endpoint Intelligence Agent 제품안내서 " 및 "McAfee Network Security Platform NTBA 관리안내서 " 를참조하십시오. 화이트리스트에있는해시와블랙리스트에있는해시의향상된기능 8.0 의경우자동으로블랙리스트에있는실행가능한해시가 Manager 글로벌목록에추가되었습니다. 8.1 에서는자동으로화이트리스트에있는실행가능한해시도 Manager 글로벌목록에있습니다. [ 정책 ] [ 고급악성프로그램 ] [ 화이트리스트에있는해시와블랙리스트에있는해시 ] 페이지로이동하여 [ 화이트리스트에있는해시 ] 탭을선택할수있습니다. [ 비고 ] 열에서자동으로화이트리스트에있는실행파일에대한세부정보를확인합니다. 화이트리스트에있는해시와블랙리스트에있는해시가져오기 이페이지를사용하여해시를화이트리스트및블랙리스트로가져올수있습니다. 지원되는파일형식은 XML 과 CSV 입니다. XML 형식은 Endpoint Baseline Generator 유틸리티를사용하여 McAfee EIA 를실행중인엔드포인트에서내보내진해시목록을가져오는데사용됩니다. Manager 는목록을 CSV 형식으로내보내므로 CSV 는이전내보내기를가져오는데사용할수있습니다. 목록을수동으로만들수있는직접적인방법을제공하기도합니다. CSV 파일형식 가져오려는파일은다음과같은 CSV 형식이어야합니다 : < 파일이름 >, < 파일크기 >, < 해시유형 >, < 파일해시 >, < 설명 >. 예 : Application.exe, 1024, MD5, 30a4edd18db6dd6aaa20e3da93c5f425, 내설명여기서 : Application.exe 는파일이름입니다. 파일이름은문자열값이어야하며적어도 1 자이상이어야합니다. 1024 는파일크기입니다. 파일크기는정수값이어야하며적어도 1 자이상이어야합니다. 현재는사용되지않습니다. MD5 는해시유형입니다. 해시유형은 MD5 만가능합니다. 30a4edd18db6dd6aaa20e3da93c5f425 는파일해시입니다. 파일해시는올바른 MD5 해시값이어야합니다. 내설명은설명입니다. 설명은문자열값이어야하며적어도 1 자이상이어야합니다. 여러파일을가져오는경우각파일을새줄에입력해야합니다. 148 McAfee Network Security Platform 8.1 8.1 에대한추가정보 I
NTBA 의향상된기능화이트리스트에있는해시와블랙리스트에있는해시의향상된기능 5 해시를가져왔으면사용가능한모든해시의목록이표시됩니다. Manager 는가져온모든해시를사용가능한 NTBA Appliance 와 IPS Sensor 모두에게푸시합니다. 자동으로화이트리스트에있는실행가능한해시와자동으로블랙리스트에있는실행가능한해시가 Manager 글로벌목록에추가됩니다. [ 정책 ] [ 고급악성프로그램 ] [ 화이트리스트에있는해시및블랙리스트에있는해시 ] 페이지의 [ 비고 ] 열에같은세부정보가표시됩니다. Manager 는최대 100,000 개의해시항목을지원합니다 ( 화이트리스트에있는것과블랙리스트에있는것결합 ). 작업 1 [ 정책 ] [< 관리도메인노드 >] [ 침입방지 ] [ 고급악성프로그램 ] [ 화이트리스트에있는해시및블랙리스트에있는해시 ] 를선택합니다. [ 화이트리스트에있는해시및블랙리스트에있는해시 ] 페이지가표시됩니다. [ 악성프로그램탐지 ] 페이지나 [ 엔드포인트실행파일 ] 페이지에서 [ 화이트리스트및블랙리스트관리 ] 링크를클릭하여 [ 화이트리스트에있는해시및블랙리스트에있는해시 ] 페이지로이동할수도있습니다. 2 가져올해시유형에따라 [ 화이트리스트에있는해시 ] 또는 [ 블랙리스트에있는해시 ] 탭을선택합니다. 자동으로화이트리스트에있는실행파일및자동으로블랙리스트에있는실행파일의 [ 비고 ] 를확인하여가져올해시를결정합니다. 3 [ 가져오기 ] 를클릭합니다. [ 가져오기 ] 페이지가표시됩니다. 그림 5-1 해시를화이트리스트에가져오기 4 파일이있는위치를찾아 [ 가져오기 ] 를클릭합니다. 목록이채워집니다. 기본적으로목록은파일이름에따라오름차순으로정렬됩니다. 직접선택하여목록을정렬하려면어느한열의이름을클릭한후드롭다운목록에서옵션을선택합니다. 5 [ 추가 ] 옵션을클릭하여기존목록에추가할수있습니다. 이옵션은기본적으로선택되어있습니다. [ 바꾸기 ] 옵션사용법에대한자세한내용은 " 화이트리스트및블랙리스트의해시제거또는바꾸기 " 섹션을참조하십시오. 6 [ 검색 ] 옵션을사용하여파일해시, 파일이름또는분류자별로항목을찾습니다. 7 [ 비고 ] 필드에설명을추가하여파일해시가화이트리스트에있거나블랙리스트에있는이유를설명할수있습니다. [ 비고 ] 필드에는 250 자까지입력할수있습니다. McAfee Network Security Platform 8.1 8.1 에대한추가정보 I 149
5 NTBA 의향상된기능엔드포인트실행파일페이지의향상된기능 엔드포인트실행파일페이지의향상된기능 8.0 의경우 McAfee GTI 가제공하는평판을볼수있는옵션이없었습니다. 8.1 에서는 [ 분석 ] [ 엔드포인트실행파일 ] 페이지에서실행파일에대한 McAfee GTI 평판세부정보를볼수있습니다. 실행파일을선택하고 [EIA 세부정보 ] 탭을클릭하여실행파일의세부정보를스크롤합니다. [GTI 평판 ] 의올바른값으로는 [ 매우낮음 ], [ 낮음 ], [ 보통 ], [ 높음 ], [ 매우높음 ], [ 알수없음 ] 이있습니다. 엔드포인트에서실행중인실행파일보기 [ 분석 ] 탭의 [ 엔드포인트실행파일 ] 은네트워크를호출한내부엔드포인트에서실행중인모든실행파일에대한스냅샷을제공합니다. 또한몇개의엔드포인트가실행파일을실행중인지, 연결된것이몇개인지와선택한기간동안실행파일이트리거한이벤트에대한네트워크가시성을제공합니다. McAfee EIA 서비스가실행되고있는모든 NTBA Appliance 가 [ 장치 ] 드롭다운목록에표시됩니다. NTBA Appliance 선택에기준하여데이터를필터링할수있습니다. 여기에나열된실행파일은프로세스및실행파일의라이브러리 (DLL) 입니다. 실행파일은화이트리스트, 블랙리스트에있거나분류되지않은상태일수있습니다. 이페이지를사용하여실행파일을분류하는요인을자세히조사한다음수동으로분류를변경할수있습니다. 기본적으로엔드포인트에따라순서가정렬되므로가장많이연결되는엔드포인트가있는실행파일이먼저표시됩니다. [ 엔드포인트실행파일 ] 페이지에표시되는실행파일의최대수는 4,096 개입니다. 기록데이터및비활성실행파일데이터는 30 일동안보관됩니다. 페이지는 [ 실행파일 ] 패널과 [ 세부정보 ] 패널로구분되어있습니다. [ 세부정보 ] 패널에있는실행가능한해시에대한추가정보를보려면 [ 실행파일 ] 패널의행을클릭합니다. 그림 5-2 기본설정을사용하는엔드포인트실행파일페이지항목설명 1 필터및검색옵션 2 실행파일패널 3 세부정보패널다음은사용가능한필터및검색옵션입니다 : 150 McAfee Network Security Platform 8.1 8.1 에대한추가정보 I
NTBA 의향상된기능엔드포인트실행파일페이지의향상된기능 5 필드설명기본값 악성프로그램신뢰도 [ 모든악성프로그램신뢰도 ] - 악성프로그램신뢰도와관계없이모든실행파일을표시합니다 [ 중간 + 악성프로그램신뢰도 ] - 악성프로그램신뢰도가중간, 높음및매우높음인실행파일을표시합니다 [ 높음 + 악성프로그램신뢰도 ] - 악성프로그램신뢰도가높음및매우높음인실행파일을표시합니다 높음 + 악성프로그램신뢰도 분류 [ 모든분류 ] - 블랙리스트에있음, 화이트리스트에있음, 분류되지않음과관계없이모든실행파일을표시합니다 [ 블랙리스트에있음 ] - 블랙리스트에있는실행파일만표시합니다 [ 분류되지않음 ] - 블랙리스트에있지도않고화이트리스트에있지도않은실행파일을표시합니다 [ 화이트리스트에있음 ] - 블랙리스트에있는실행파일만표시합니다 모든분류 장치 McAfee EIA 서비스가실행되고있는 NTBA Appliance 목록을표시합니다 장치이름은알 파벳순서대로 표시됩니다. 시간간격 지난 5 분 지난 1 시간 지난 6 시간 지난 12 시간 지난 24 시간 지난 48 시간 지난 7 일 지난 14 일 지난 12 시간 검색파일해시또는실행파일의이진이름별로실행파일을검색할수있습니다비어있음 선택한 NTBA Appliance 의 [ 실행파일 ] 패널은다음으로구성되어있습니다 : 표 5-1 실행파일의필드설명패널 필드 설명 [ 실행파일 ] [ 액션 ] - [ 액션실행 ] 을클릭하여실행파일을화이트리스트에있음, 블랙리스트에있음또는분류되지않음으로분류합니다 [ 악성프로그램신뢰도 ] [ 해시 ] - 실행파일의파일해시를표시합니다 [ 이름 ] - 실행파일의이진이름을표시합니다 [ 버전 ] - 제품버전을표시합니다 구성된 McAfee EIA 에서반환한악성프로그램신뢰도수준을표시합니다. 악성프로그램신뢰도는매우높음, 높음, 중간, 낮음, 매우낮음및알수없음으로되어있습니다. [ 분류 ] 블랙리스트에있음, 화이트리스트에있음또는분류되지않음과상관없이실행파일분류를표시합니다 [ 처음표시 ] 선택한기간에 McAfee EIA 가 NTBA Appliance 에실행파일을처음보고할경우이를표시합니다 [ 마지막표시 ] McAfee EIA 가 NTBA Appliance 에실행파일을마지막으로보고할경우이를표시합니다 [ 개수 ] 기본적으로엔드포인트에따라순서가정렬되므로가장많이연결되는엔드포인트가있는실행파일이먼저표시됩니다. [ 엔드포인트 ] - 선택한기간동안실행파일을실행하는엔드포인트수를표시합니다 [ 이벤트 ] - 선택한기간동안실행파일이트리거한공격수를표시합니다 [ 연결 ] - 선택한기간동안실행파일이연결한수를표시합니다 [ 비고 ] 실행파일변경에대한이유입니다 McAfee Network Security Platform 8.1 8.1 에대한추가정보 I 151
5 NTBA 의향상된기능엔드포인트실행파일페이지의향상된기능 [ 세부정보 ] 패널에있는실행가능한해시의추가정보를보려면아무행이나클릭합니다. [ 세부정보 ] 패널은다음과같이구성되어있습니다 : [EIA 세부정보 ] 이탭에는프로세스또는라이브러리 (DLL) 정보가표시됩니다. 정보는다음과같습니다 : [ 속성 ] - 평판결정에도움이된악성프로그램표시기와함께실행파일에대한악성프로그램신뢰도를표시합니다. 그림 5-3 실행파일세부정보 표 5-2 EIA 세부정보의필드설명탭 필드 설명 [ 탐지보기 ] [ 악성프로그램탐지 ] 페이지로이동하여개별엔진이계산한악성프로그램신뢰도와실행파일의전체적인악성프로그램신뢰도를봅니다 [ 해시 ] 파일해시를표시합니다. 이링크를통해해시및선택한시간의필터를사용하여 [ 위협탐색기 ] 로이동합니다. [ 이진이름 ( 유형 ) ] 이진이름과유형 ( 프로세스또는라이브러리 ) 을표시합니다 [ 제품이름 ] 실행파일의제품이름을표시합니다 [ 버전 ] 제품버전번호를표시합니다 [ 악성프로그램신뢰도 ] 구성된 McAfee EIA 에서반환한악성프로그램신뢰도수준을표시합니다. 악성프로그램신뢰도는매우높음, 높음, 중간, 낮음, 매우낮음및알수없음으로되어있습니다. [ 분류 ] 블랙리스트에있음, 화이트리스트에있음또는분류되지않음과상관없이실행파일분류를표시합니다 [ 분류됨 ] 분류된실행파일에국한하여분류방법 (NTBA Appliance 가실행파일을자동으로분류했을경우자동또는수동으로분류했을경우수동 ) 및타임스탬프를표시합니다 [ 인증서상태 ] 인증서가신뢰할수있는 CA 에서제공된것인지에대한여부를표시합니다. 실행파일의올바른값은 [ 서명됨 ] [ 서명됨및신뢰할수있음 ] 입니다. 실행파일에서명이없을경우상태가공란으로표시됩니다. [ 인증서서명자 ] 인증서서명자이름을표시합니다. [GTI 평판 ] GTI 에서수신한파일평판을표시합니다. 올바른값으로는 [ 매우낮음 ], [ 낮음 ], [ 보통 ], [ 높음 ], [ 매우높음 ], [ 알수없음 ] 이있습니다. 152 McAfee Network Security Platform 8.1 8.1 에대한추가정보 I
NTBA 의향상된기능엔드포인트실행파일페이지의향상된기능 5 [ 악성프로그램표시기 ] - 실행파일평판을계산하는데사용한몇가지방법을표시합니다. 그림 5-4 악성프로그램표시기 [ 호출된라이브러리 ] - 실행파일이호출한모든라이브러리 (DLL) 를나열합니다. DLL 은 McAfee EIA 에서해당하는악성프로그램신뢰도가 McAfee epo 평판임계값이상이라고확인한경우에만표시됩니다. 기본적으로 McAfee epo 평판임계값은중간입니다. 그림 5-5 실행파일이호출한라이브러리이름 호출된라이브러리는실행파일이프로세스일때표시됩니다. 표 5-3 호출된라이브러리의필드설명패널 필드 설명 [ 이름 ] 실행파일이호출한라이브러리파일의이름를표시합니다 [ 해시 ] 파일해시를표시합니다. 이링크를통해해시및선택한시간의필터를사용하여 [ 위협탐색기 ] 로이동합니다. [ 악성프로그램신뢰도 ] 구성된 McAfee EIA 에서반환한악성프로그램신뢰도수준을표시합니다 [ 이라이브러리를사용하는프로세스 ] - 라이브러리 (DLL) 와관련된모든상위프로세스를나열합니다. 프로세스는실행파일이라이브러리 (DLL) 일때표시됩니다. 표 5-4 이라이브러리를사용하는프로세스의필드설명패널 필드 설명 [ 이름 ] 이라이브러리를사용하는프로세스의이름을표시합니다 [ 해시 ] 파일해시를표시합니다. 이링크를통해해시및선택한시간의필터를사용하여 [ 위협탐색기 ] 로이동합니다. [ 악성프로그램신뢰도 ] 구성된 McAfee EIA 에서반환한악성프로그램신뢰도수준을표시합니다 [ 엔드포인트 ] 이탭에는선택한기간동안실행파일을실행하는엔드포인트목록이표시됩니다. 그림 5-6 엔드포인트정보 McAfee Network Security Platform 8.1 8.1 에대한추가정보 I 153
5 NTBA 의향상된기능엔드포인트실행파일페이지의향상된기능 표 5-5 엔드포인트의필드설명탭 필드 [IP 주소 ] 설명 엔드포인트의 IP 주소를표시합니다. 이링크를통해공격자 IP 주소인 IP 주소및선택한시간의필터를사용하여 [ 위협탐색기 ] 로이동합니다. [ 호스트이름 ] 관리되는호스트의이름을표시합니다 [OS] 엔드포인트에서실행중인운영체제의버전을표시합니다. 예 : Windows 7. [ 사용자 ] 실행파일또는 DLL 을호출한사용자이름을표시합니다. 사용자이름에는시스템사용자및로컬사용자가포함될수있습니다. [ 개수 ] [ 이벤트 ] - 선택한기간동안실행파일이트리거한공격수를표시합니다 [ 연결 ] - 선택한기간동안실행파일이연결한수를표시합니다 [ 검색 ] 필드를통해 IP 주소, 호스트이름, 운영체제또는사용자열별로검색할수있습니다. [ 응용프로그램 ] 이탭에는선택한기간동안실행파일이호출한응용프로그램목록이표시됩니다. 그림 5-7 실행파일이호출한응용프로그램 표 5-6 응용프로그램의필드설명탭 필드 설명 [ 응용프로그램 ] 응용프로그램의이름를표시합니다. 이링크를통해응용프로그램이름및선택한시간의필터를사용하여 [ 위협탐색기 ] 로이동합니다. [ 위험도 ] 응용프로그램의위험도가높음, 중간또는낮음인지를표시합니다. McAfee Labs 는응용프로그램을취약성과, 그응용프로그램이악성프로그램을전달할가능성을기반으로분류합니다. [ 범주 ] 응용프로그램이속하는범주를표시합니다. 예를들면 HTTP 는인프라서비스범주에속합니다. [ 개수 ] [ 이벤트 ] - 선택한기간동안실행파일이트리거한공격수를표시합니다 [ 연결 ] - 선택한기간동안실행파일이연결한수를표시합니다 [ 검색 ] 필드를통해응용프로그램이름, 위험도또는범주별로검색할수있습니다. [ 이벤트 ] 이탭에는선택한기간동안실행파일이트리거한이벤트목록이표시됩니다. [ 엔드포인트실행파일 ] 페이지에표시되는이벤트의최대수는 1,000 입니다. 그림 5-8 실행파일이트리거한이벤트 154 McAfee Network Security Platform 8.1 8.1 에대한추가정보 I
NTBA 의향상된기능 Manager UI 의향상된기능 5 표 5-7 이벤트의필드설명탭 필드 설명 [ 시간 ] 이벤트가발생한시간을표시합니다 [ 공격 ] [ 정보 ] - 자세한공격정보및설명을표시합니다 [ 공격 ] - 공격의이름을표시합니다. 공격링크를통해공격이름및선택한시간의필터를사용하여 [ 위협탐색기 ] 로이동합니다. [ 결과 ] - 네트워크에대한공격결과를표시합니다 [ 방향 ] - 인바운드또는아웃바운드여부가탐지된공격에대한트래픽방향을표시합니다 [ 공격자 ] [IP 주소 ] - 공격자의 IP 주소를표시합니다. 이링크를통해공격자 IP 주소및선택한시간의필터를사용하여 [ 위협탐색기 ] 로이동합니다. [ 국가 ] - 공격자의국가를표시합니다 [ 대상 ] [IP 주소 ] - 대상의 IP 주소를표시합니다. 이링크를통해대상 IP 주소및선택한시간의필터를사용하여 [ 위협탐색기 ] 로이동합니다. [ 국가 ] - 대상의국가를표시합니다 [ 포트 ] - 대상의포트수를표시합니다 [ 장치 ] 공격을탐지하는장치의이름을표시합니다 McAfee EIA 가트리거한경보의경우 [ 방향 ] 및 [ 프로토콜 ] 은알수없음으로표시되며, [ 공격자국가 ] 및 [ 대상국가 ] 는공란으로, [ 결과 ] 는확실치않음으로표시됩니다. [ 검색 ] 필드를통해공격이름, 결과, 대상 IP 주소, 공격자 IP 주소또는장치이름별로검색할수있습니다. Manager UI 의향상된기능 NTBA 에대한 Manager 사용자인터페이스의향상된기능은영역, 통신규칙, 물리적포트, 라우트, NTBA 와 Sensor 통합같은부분에주로있습니다. 구성절차가간소화되어포트설정, 영역요소, NTBA 인터페이스등의요소를더욱빨리설정할수있습니다. 목차 물리적포트페이지의향상된기능관리포트의향상된기능 IPS 시그니처세트페이지의기능향상 NTBA 통합페이지의향상된기능내보내기페이지의향상된기능영역정의의향상된기능정적라우트의향상된기능통신규칙의기능향상 물리적포트페이지의향상된기능 [ 장치 ] [ 장치 ] [<NTBA Appliance>] [ 설정 ] [ 물리적포트 ] [ 모니터링포트 ] 이름이 [ 수집포트 ] 로변경되었습니다. 마찬가지로모니터링포트가이제 NTBA 의수집포트로불립니다. 이전에는 [ 수집포트설정 ] 페이지에서구성되었던 IP 주소설정이제거되었습니다. 지금은 [ 장치 ] [ 장치 ] [<NTBA Appliance>] [ 설정 ] [ 물리적포트 ] 페이지에서설정할수있습니다. 수집포트의속도및 IP 주소에대한추가열은 [ 수집포트 ] 탭에표시됩니다. 포트상태에는 [ 작동 ], [ 중단 ] 또는 [ 사용안함 ] 중하나로표시됩니다. 각수집포트의속도및 IP 주소를설정할수있습니다. 가상 NTBA Appliance 의경우할당된네트워크어댑터가표시됩니다. McAfee Network Security Platform 8.1 8.1 에대한추가정보 I 155
5 NTBA 의향상된기능 Manager UI 의향상된기능 목차 수집포트구성수집포트사용또는사용안함 수집포트구성 [ 물리적포트 ] 페이지에있는 [ 수집포트 ] 탭에서특정 NTBA Appliance 에대한수집포트의매개변수를보거나편집할수있습니다. 수집포트를구성하면 NTBA Appliance 배포모드를변경하거나포트속도를선택하거나포트사용여부를지정할수있습니다. 수집포트를구성하려면 [ 장치 ] [] [ 장치 ] [<NTBA Appliance>] [ 설정 ] [ 물리적포트 ] 를선택합니다. [ 물리적포트 ] 페이지에 [ 수집포트 ] 탭이표시됩니다. [ 수집포트 ] 탭에 NTBA Appliance 에사용가능한포트목록이표시됩니다. 그림 5-9 수집포트탭 - T-1200 표 5-8 수집포트세부정보열설명 [ 포트 ] 수집포트를지정합니다. [ 링크 ] 수집포트상태를지정합니다. 사용가능한상태는다음과같습니다 : [ 작동중 ] [ 중단 ] [ 비활성화됨 ] [ 커넥터유형 ] 커넥터유형을표시합니다. T-200,T-600, T-1200 Appliance 에는커넥터유형 [RJ-45] 만표시됩니다. T-500 Appliance 에는커넥터유형 [RJ-45] 와 [LC Fiber] 가표시됩니다. [ 속도 ] 포트의속도와이중을지정합니다. 속도에사용할수있는옵션은다음과같습니다 : [ 자동협상 ] [100Mbps( 반 )] [1Gbps( 전체 )] [10Mbps( 전체 )] [100Mbps( 전체 )] [10Mbps( 반 )] [IP 주소 ] 수집포트에할당된 IP 주소와네트워크마스크를지정합니다. 이러한세부정보는각포트에대해표시됩니다. 156 McAfee Network Security Platform 8.1 8.1 에대한추가정보 I
NTBA 의향상된기능 Manager UI 의향상된기능 5 NTBA Appliance 의설정을보거나구성하려면다음작업을수행합니다 : 작업 1 [ 수집포트 ] 탭에서수집포트의행을두번클릭합니다. [ 수집포트세부정보 ] 창이표시됩니다. 그림 5-10 수집포트세부정보창 2 다음항목을구성합니다 : 상태드롭다운목록에서 [ 활성화됨 ] 또는 [ 비활성화됨 ] 을선택합니다. [ 속도 ( 이중 )] 드롭다운목록에서속도와이중유형을선택합니다. 사용할수있는옵션은다음과같습니다 : [ 자동협상 ] [100Mbps( 반 )] [1Gbps( 전체 )] [10Mbps( 전체 )] [100Mbps( 전체 )] [10Mbps( 반 )] 3 [IP 설정 ] 에수집포트의 [IP 주소 ] 와 [ 네트워크마스크 ] 를입력합니다. [ 물리적포트 ] 페이지에구성한수집포트가표시됩니다 4 [ 저장 ] 을클릭하여구성변경사항을저장합니다. 변경사항을확인하는창이표시됩니다. [ 확인 ] 을클릭하여변경사항을확인합니다. McAfee Network Security Platform 8.1 8.1 에대한추가정보 I 157
5 NTBA 의향상된기능 Manager UI 의향상된기능 수집포트사용또는사용안함 이섹션에서는 [ 수집포트 ] 탭에서수집포트를사용하고사용하지않는것에대해설명합니다. McAfee Network Security Platform NTBA Appliance 의수집포트설정을보거나구성하려면 [ 장치 ] [ 장치 ] [<NTBA Appliance>] [ 설정 ] [ 물리적포트 ] 의구성페이지에액세스합니다. 선택한장치에사용가능한포트목록이 [ 수집포트 ] 탭에표시됩니다. 수집포트를사용하지않으려면다음을수행합니다 : 1 사용하지않으려는수집포트의행을클릭합니다. 여러개의수집포트를사용하지않으려면 Shift 키를누른채로사용하지않으려는수집포트여러개를클릭합니다. 2 [ 사용안함 ] 을클릭합니다. 수집포트를사용하지않는것으로설정되었습니다. 수집포트를사용하려면다음을수행합니다 : 1 사용하려는수집포트의행을클릭합니다. 여러개의수집포트를사용하려면 Shift 키를누른채로사용하려는수집포트여러개를클릭합니다. 2 [ 사용 ] 을선택합니다. 수집포트를사용하는것으로설정되었습니다. 관리포트의향상된기능 릴리스 8.1 에서는 NTBA 관리포트를구성하여 netflow 를수신할수있습니다. 구성된수집포트가없을경우관리포트가기본적으로선택됩니다. 이로써이미가동되어실행중인 IP 주소또는포트를사용할수있습니다. 자세한내용은 "McAfee Network Security Platform NTBA 관리안내서 " 를참조하십시오. IPS 시그니처세트페이지의기능향상 릴리스 8.1 에서는모든 Sensor 뿐만아니라 NTBA Appliance 에대해서도시그니처파일업데이트를자동화할수있습니다. NTBA 의시그니처세트를배포하려면 Manger 에서 [ 관리 ] [ 업데이트 ] [ 자동업데이트 ] [IPS 시그니처세트 ] 를선택하여설정을구성합니다. Sensor 또는 NTBA Appliance 구성업데이트 구성업데이트는포트구성, 비표준포트, 인터페이스트래픽유형과같은장치및인터페이스 / 하위인터페이스구성에대한변경사항과 Sensor 또는 NTBA Appliance 에대한구성변경사항을의미합니다. 시그니처업데이트는선택된정책에서실시하는공격에적용할수있는새로운시그니처및수정된시그니처를가지고있습니다. 새로적용된정책이나현재시행중인정책의변경사항인경우정책변경에따라장치가업데이트됩니다. [ 관리 ] [< 관리도메인이름 >] [ 자동업데이트 ] [IPS 시그니처세트 ] 에서구성을예약하여 NTBA Appliance 및 Sensor 로푸시할수있습니다. [ 자동 IPS 시그니처세트배포 ] 옵션을사용하면 Sensor 및 NTBA 에해당구성을배포할수있는시간을설정할수있습니다. 구성은예약에따라자동배포됩니다. Sensors 또는 NTBA Appliance 에적용되는 [ 정책 ] 페이지의모든구성은 [ 장치 ] [< 관리도메인이름 >] [ 글로벌 ] [ 보류중인변경사항배포 ]( 한도메인에있는모든 Sensor 및 NTBA Appliance) 또는 [ 장치 ] [< 관리도메인이름 >] [ 장치 ] [<NTBA Appliance>] [ 보류중인변경사항배포 ]( 단일 Sensor 또는 NTBA Appliance 에대해 ) 액션에서수동으로푸시할수도있습니다. 158 McAfee Network Security Platform 8.1 8.1 에대한추가정보 I
NTBA 의향상된기능 Manager UI 의향상된기능 5 예약배포 1 [ 관리 ] [< 관리도메인이름 >] [ 자동업데이트 ] [IPS 시그니처세트 ] 를선택합니다. [IPS 시그니처세트 ] 페이지가표시됩니다. 그림 5-11 IPS 시그니처세트페이지 2 [ 자동 IPS 시그니처세트배포 ] 옵션에서시그니처업데이트를배포할일정을설정합니다 : [ 실시간으로배포 ] 에 [ 예 ] 를선택합니다. ( 이옵션은시그니처세트업데이트를 Manager 로다운로드한직후에모든 Sensor 및 NTBA Appliance 에푸시합니다.) 기본옵션은 [ 아니요 ] 입니다. [ 예약된간격으로배포 ] 에 [ 예 ] 를선택하여시그니처세트의자동배포를예약합니다. [ 일정 ] 에 Manager 가새로다운로드한시그니처세트를체크하는빈도를설정합니다. 다음을선택할수있습니다 : [ 자주 ] - [ 반복간격 ] 옵션에지정된기간동안지정된간격으로매일수차례 [ 매일 ] - 하루 1 회 [ 매주 ] - 주 1 회 [ 시작시간 ], [ 종료시간 ] 및 [ 반복간격 ] 옵션을선택하여간격을지정합니다. [ 일정 ] 빈도에따라이필드에서옵션을선택할수있습니다. 3 [ 저장 ] 을클릭합니다. 주문형배포 작업 1 [ 장치 ] [< 관리도메인이름 >] [ 장치 ] [<NTBA Appliance> ] [ 보류중인변경사항배포 ] 를선택합니다. [ 보류중인변경사항배포 ] 페이지가표시됩니다. 그림 5-12 보류중인변경사항배포페이지 2 업데이트정보를봅니다. 변경한경우 [Configuration & Signature Set( 구성및시그니처세트 )] 열이기본적으로선택됩니다. 3 [Update( 업데이트 )] 를클릭합니다. 구성다운로드상태가팝업창에표시됩니다. McAfee Network Security Platform 8.1 8.1 에대한추가정보 I 159
5 NTBA 의향상된기능 Manager UI 의향상된기능 NTBA 통합페이지의향상된기능 IPS Sensor 를 NTBA 의내보내기로설정하는옵션은 [ 내보내기 ] 페이지에서사용할수있었습니다. 8.1 Manager 에서는이페이지가제거되었습니다. 이제 [ 장치 ] [ 장치 ] [<IPS Sensor>] [ 설정 ] [NTBA 통합 ] 페이지에서해당설정을바로구성할수있습니다. [NTBA 통합 ] 드롭다운에는플로내보내기및고급악성프로그램분석을위한통합에사용할수있는옵션이있습니다. [ 연결확인 ] 단추를사용하여 IPS Sensor 와구성된 NTBA Appliance 간에전송된레코드데이터를확인할수있습니다. 통합을위해포트를쉽게구성할수있도록작동중인 IP 주소와할당된 IP 주소포트를확인할수있습니다. NTBA 통합을 IPS Sensor 에사용하고 [ 고급악성프로그램분석에대해서만사용 ] 으로설정한경우대상 NTBA Appliance 만선택하면됩니다. 목차 Network Security Sensor 를내보내기로구성내보내기인터페이스를내부또는외부로표시 Network Security Sensor 를내보내기로구성 시작하기전에 이절차를수행하기전에 [ 계층 7 데이터수집 ] 페이지에서계층 7 데이터내보내도록 Sensor 를구성해야합니다 ([ 장치 ] [< 관리도메인이름 >] [ 장치 ] [<IPS/vIPS Sensor> ] [ 설정 ] [ 계층 7 데이터수집 ]). 플로정보를특정 NTBA Appliance 로내보내거나고급악성프로그램분석의세부정보를 GAM(Gateway Anti-Malware) 으로전달하거나또는두경우모두를위해 Sensor 또는 Virtual IPS Sensor(Virtual Sensor) 를구성할수있습니다. Sensor 는패킷심층분석을수행하므로해당플로레코드에계층 7 데이터가포함됩니다. 160 McAfee Network Security Platform 8.1 8.1 에대한추가정보 I
NTBA 의향상된기능 Manager UI 의향상된기능 5 작업 1 [ 장치 ] [< 관리도메인이름 >] [ 장치 ] [<IPS Sensor>] [ 설정 ] [NTBA 통합 ] 을선택합니다. 그림 5-13 NTBA 통합페이지 2 다음구성선택항목을설정합니다 : [NTBA 통합 ] 드롭다운목록에서플로내보내기또는 GAM 엔진에파일전달혹은둘다를선택합니다. 통합이전에는기본적으로 [ 사용안함 ] 으로설정되어있습니다. 다음옵션중하나를선택할수있습니다 : [ 플로내보내기및고급악성프로그램분석을위해사용 ] [ 플로내보내기만을위해사용 ] [ 고급악성프로그램분석만을위해사용 ] NTBA 를 Sensor 와통합하고 7.5 또는 8.0 에서 8.1 로업그레이드하는경우 [NTBA 통합 ] 옵션에선택한것처럼 [ 플로내보내기및고급악성프로그램분석을위해사용 ] 이표시되어야합니다. Sensor 버전이 7.1 이고 NTBA 를 7.1 에서 8.1 로업그레이드하는경우 [ 플로내보내기만을위해사용 ] 이표시됩니다. [ 대상 NTBA Appliance] 드롭다운목록에서플로또는고급악성프로그램정보혹은둘다를전송할 NTBA Appliance 를선택합니다. NTBA Appliance 수집및수신포트를선택합니다. [ 트래픽내보내기에사용할 IPS 모니터링포트 ] 에있는 [ 플로내보내기에지정된포트 ] 드롭다운목록에서플로를선택하여이플로를내보낼포트를선택합니다. McAfee Network Security Platform 8.1 8.1 에대한추가정보 I 161
5 NTBA 의향상된기능 Manager UI 의향상된기능 [ 포트 IP 주소 ] 필드에포트 IP 주소를입력합니다. [ 네트워크마스크 ] 필드에네트워크마스크를입력합니다. [ 기본게이트웨이 ] 필드에기본게이트웨이를입력합니다. [VLAN ID] 필드에 VLAN ID 를입력합니다. [ 연결확인 ] 을클릭하여 Sensor 와 NTBA Appliance 간에내보내기연결이설정되었는지확인합니다. [NTBA 에전달할트래픽 ] 에서나열된포트의 [NTBA 에전달 ] 확인란을선택하여인그레스트래픽이플로레코드를생성해야하는 Sensor 모니터링포트를지정합니다. 3 [ 저장 ] 을클릭합니다. [ 플로내보내기에지정된포트 ] 로지정된포트가플로내보내기에만사용되는경우 (IPS 모니터링에는사용되지않음 ), 이포트를반드시 SPAN 포트로구성해야합니다. 4 새로추가된인터페이스가 [ 내보내기 ] 페이지에표시됩니다. 내보내기인터페이스를내부또는외부로표시 IPS 장치를내보내기로구성한경우포트를내부또는외부영역으로구성할수있습니다. 예를들어포트 1A 를인바운드로구성했으면해당인터페이스를외부영역으로구성할수있으며, 포트 1A 를아웃바운드로구성했으면인터페이스를내부영역으로구성할수있습니다. 162 McAfee Network Security Platform 8.1 8.1 에대한추가정보 I
NTBA 의향상된기능 Manager UI 의향상된기능 5 작업 1 [ 장치 ] [< 관리도메인이름 >] [ 장치 ] [ <IPS Sensor> ] [ 설정 ] [NTBA 통합 ] 을선택합니다. 그림 5-14 NTBA 통합페이지 - 또는 - 해당없는포트만구성할수있습니다. [NTBA 방향 ] 드롭다운목록에서선택하여포트를내부또는외부로표시합니다. [ 장치 ] [< 관리도메인이름 >] [ 장치 ] [<NTBA Appliance>] [ 내보내기 ] [< 내보내기 >] [ 인터페이스 ] 를선택합니다. [ 인터페이스 ] 페이지가표시됩니다. 그림 5-15 인터페이스페이지 McAfee Network Security Platform 8.1 8.1 에대한추가정보 I 163
5 NTBA 의향상된기능 Manager UI 의향상된기능 2 [External( 외부 )] 확인란을선택하여인터페이스를외부로표시합니다. 인터페이스를내부로표시하려면이확인란의선택을취소합니다. 3 [ 저장 ] 을클릭합니다. 인터페이스에대한현재영역할당이 [ 이름 ] 에괄호로묶여표시됩니다. 내부또는외부로방향을변경하면인터페이스가자동으로해당기본영역으로이동됩니다. 내보내기를다른 NTBA Appliance 에추가하려면 [ 장치 ] [< 관리도메인이름 >] [ 장치 ] [<NTBA Appliance>] [ 내보내기 ] [ 내보내기 ] 를선택하여기존내보내기부터삭제합니다. 내보내기를선택하고 [ 삭제 ] 를클릭합니다. 내보내기페이지의향상된기능 이전에는 [ 장치 ] [ 장치 ] [<NTBA Appliance>] [ 내보내기 ] [ 내보내기 ] [ 새로만들기 ] [ 내보내기추가 ] 페이지는라우터만구성할수있는읽기전용페이지였습니다. 이제내보내기설정을바로편집할수있습니다. [ 내보내기 ] 페이지에서 IPS Sensor 또는라우터를내보내기로선택할수있습니다. 필요한통합설정을정의하여플로내보내기및고급악성프로그램분석을위해통합을사용할수있습니다. [ 내보내기추가 ] 페이지에서수집포트, IPS 모니터링포트, NTBA 플로방향을구성한후 [ 저장 ] 을클릭합니다. [ 내보내기 ] 페이지에서 [ 연결확인 ] 단추를클릭하여정의된각내보내기의데이터레코드를확인합니다. 이렇게하면 IPS Sensor 또는라우터와의연결을동적으로확인할수있습니다. 목차 라우터를내보내기로추가라우터에인터페이스추가 라우터를내보내기로추가 라우터및 IPS Sensor 같은네트워크장치는 Manager 의 [ 장치 ] 페이지에있는 NTBA_Appliance_ 이름노드아래의 [ 내보내기 ] 에서추가하여나열할수있습니다. 추가된장치는플로정보를 NTBA Appliance 로내보내도록구성할수있습니다. SNMP 액세스를하지않으면라우터를내보내기로추가할수없습니다. 작업 1 [ 장치 ] [< 관리도메인이름 >] [ 장치 ] [<NTBA Appliance>] [ 내보내기 ] [ 내보내기 ] 를선택합니다. [ 내보내기 ] 페이지가표시됩니다. 164 McAfee Network Security Platform 8.1 8.1 에대한추가정보 I
NTBA 의향상된기능 Manager UI 의향상된기능 5 2 [ 새로만들기 ] 를클릭합니다. [ 내보내기유형 ] 에서 [ 라우터 ] 를선택합니다. [IPS Sensor] 가기본적으로선택되어있습니다. 그림 5-16 내보내기추가페이지 : 라우터옵션 3 다음선택항목을설정합니다 : [ 내보내기이름 ] 필드에라우터이름을입력합니다. [ 내보내기 IP 주소 ] 필드에라우터의 IP 주소를입력합니다. [ 설명 ] 필드에라우터에대한설명을입력합니다. 라우터에특정한 SNMP 매개변수를설정하려면 [ 글로벌설정사용 ] 확인란의선택을취소합니다. [ 글로벌설정사용 ] 을선택하지않는경우에는 [UDP 포트 ] 필드에 UDP 포트를입력합니다. [SNMP 버전 ] 드롭다운목록에서 [SNMP 버전 (2c 또는 3)] 을선택합니다. [ 읽기전용커뮤니티문자열 ] 필드에서읽기전용커뮤니티문자열을입력합니다. [SNMP 폴링간격 ( 분 )] 필드에서간격을설정합니다. [ 사용자이름 ] 필드에사용자이름을입력합니다. [ 암호 ] 필드에암호를입력합니다. [ 암호쓰기 ] 필드에라우터암호를다시입력합니다. 4 [ 테스트연결 ] 을클릭하여라우터에 SNMP 연결을테스트합니다. 5 [ 옵션 ] NTBA Appliance 를경보에응답하여검역하도록구성했을경우 SSH 를사용하여액세스규칙 (Manager 의 ACL 과유사 ) 을내보내기에추가하고싶으면사용자이름을지정한다음 [ 연결테스트 ] 를클릭합니다. 이옵션을통해 NTBA Appliance 에라우터정보가들어오면라우터에대한 SSH 를테스트합니다. 6 [ 저장 ] 을클릭합니다. 새로추가된라우터가 [ 내보내기 ] 페이지에나열됩니다. McAfee Network Security Platform 8.1 8.1 에대한추가정보 I 165
5 NTBA 의향상된기능 Manager UI 의향상된기능 라우터에인터페이스추가 라우터를추가했으면플로데이터를수집하도록구성할수있는라우터에인터페이스를추가해야합니다. SNMP 설정을구성했다면인터페이스목록이보입니다. 작업 1 [ 내보내기 ] 에서추가한내보내기를선택하고 [ 인터페이스 ] 탭을클릭합니다. [ 인터페이스 ] 페이지가표시됩니다. 그림 5-17 인터페이스페이지 2 [ 새로만들기 ] 를클릭합니다. [ 인터페이스추가 ] 페이지가표시됩니다. 이내보내기에있는인터페이스목록이표시됩니다. 3 인터페이스를선택하려면라디오단추를선택합니다. [ 외부?] 확인란을선택하여인터페이스를외부로표시합니다. 4 [ 저장 ] 을클릭합니다. 선택한인터페이스가 [ 인터페이스 ] 페이지에표시됩니다. 5 인터페이스를삭제하려면해당인터페이스의라디오단추를선택하고 [ 삭제 ] 를클릭합니다. 영역정의의향상된기능 이전에는새영역요소를추가하려면 [ 영역요소추가창 ] 에요소를정의해야했습니다. 8.1 릴리스에서는이페이지가제거되었습니다. 이제내부및외부영역과영역요소를 [ 장치 ] [ 장치 ] [<NTBA Appliance>] [ 설정 ] [ 영역 ] [ 요약 ] [ 새로만들기 ] [ 내부 / 외부영역추가 ] 페이지에서정의할수있습니다. 이페이지에는하위패널이있어영역의인터페이스유형에대해여러요소를추가할수있습니다. 목차 내부영역정의외부영역정의 내부영역정의 내부영역은비정상적인동작에대해트래픽을분석해야하는내부엔드포인트그룹을나타냅니다. 영역은 CIDR 차단및내보내기인터페이스를기반으로할수있습니다. 기본내부영역을선택하거나새로운내부영역을정의할수있습니다. NTBA Appliance 가 Manager 에추가되면모든 RFC 1918 IP 주소가기본내부영역에추가됩니다. 166 McAfee Network Security Platform 8.1 8.1 에대한추가정보 I
NTBA 의향상된기능 Manager UI 의향상된기능 5 작업 1 [ 장치 ] [< 관리도메인이름 >] [ 장치 ] [<NTBA Appliance>] [ 영역 ] [ 내부영역 ] [ 요약 ] 을선택합니다. 내부영역에대한 [ 요약 ] 페이지가표시됩니다. 그림 5-18 요약페이지 2 [ 새로만들기 ] 를클릭합니다. 내부영역의이름과설명을입력합니다. 3 [ 영역요소 ] 에서 [ 유형 ] 으로 [CIDR] 을선택합니다. 4 [CIDR] 에 CIDR 주소를입력합니다. 5 [ 추가 ] 를클릭하여내부 CIDR 영역을만듭니다. 영역요소가표시됩니다. 6 [ 영역요소 ] 에서 [ 유형 ] 으로 [ 인터페이스 ] 를선택합니다. [ 내보내기 ] 및 [ 인터페이스 ] 옵션이표시됩니다. 7 [ 내보내기 ] 에서내보내기로구성된네트워크장치중하나를선택합니다. 8 [ 인터페이스 ] 에서인터페이스를선택합니다. ( 여러개를선택하려면 CTRL 키를누른채선택합니다.) 9 [Interfaces( 인터페이스 )] 필드에나열된인터페이스를선택합니다. ( 여러개를선택하려면 CTRL 키를누른채선택합니다.) 10 [ 추가 ] 와 [ 저장 ] 을차례로클릭하여내부인터페이스영역을만듭니다. 외부영역정의 외부영역은비정상적인동작에대해트래픽을분석해야하는내부엔드포인트그룹을나타냅니다. 영역은 CIDR 차단및내보내기인터페이스를기반으로할수있습니다. 기본외부영역을선택하거나새로운외부영역을정의할수있습니다. 작업 1 [ 장치 ] [< 관리도메인이름 >] [ 장치 ] [<NTBA Appliance>] [ 영역 ] [ 외부영역 ] [ 요약 ] 을선택합니다. 외부영역에대한 [ 요약 ] 페이지가표시됩니다. 그림 5-19 외부영역에대한요약페이지 2 [ 새로만들기 ] 를클릭합니다. 외부영역의이름과설명을입력합니다. 3 [ 영역요소 ] 에서 [ 유형 ] 으로 [CIDR] 을선택합니다. 4 [CIDR] 에 CIDR 주소를입력합니다. 5 [ 추가 ] 를클릭하여외부 CIDR 영역을만듭니다. 영역요소가표시됩니다. 6 [ 영역요소 ] 에서 [ 유형 ] 으로 [ 인터페이스 ] 를선택합니다. [ 내보내기 ] 및 [ 인터페이스 ] 옵션이표시됩니다. McAfee Network Security Platform 8.1 8.1 에대한추가정보 I 167
5 NTBA 의향상된기능 Manager UI 의향상된기능 7 [ 내보내기 ] 에서내보내기로구성된네트워크장치중하나를선택합니다. 8 [ 인터페이스 ] 에서인터페이스를선택합니다. ( 여러개를선택하려면 CTRL 키를누른채선택합니다.) 9 [ 추가 ] 와 [ 저장 ] 을차례로클릭하여외부인터페이스영역을만듭니다. 정적라우트의향상된기능 8.0 의경우 [ 장치 ] [ 장치 ] [<NTBA Appliance>] [ 설정 ] [ 고급 ] [ 정적라우트 ] 페이지에서정척라우트를정의할수있었습니다. 8.1 에서는이페이지가 [ 설정 ] 바로밑에있으며 [ 라우팅 ] 페이지로이름이변경되었습니다. 라우트를정의하면서수집포트상태와할당된 IP 주소를볼수있습니다. NTBA 와 IPS Sensor 포트간의연결을확인하고진단하기위해 NTBA Appliance 에정적라우트를구성할수있습니다. 수집포트에서아웃바운드트래픽을라우팅하려고할경우에도정적라우터가필요합니다. [ 옵션 ] 정적라우트구성 NTBA 와 IPS Sensor 포트간의연결을확인하고진단하기위해 NTBA Appliance 에정적라우트를구성할수있습니다. 수집포트에서아웃바운드트래픽을라우팅하려고할경우에도정적라우터가필요합니다. 작업 1 [ 장치 ] [< 관리도메인이름 >] [ 장치 ] [<NTBA Appliance>] [ 설정 ] [ 라우팅 ] [ 새로만들기 ] 를선택합니다. [ 정적라우트추가 ] 페이지가표시됩니다. 그림 5-20 정적라우트추가페이지 2 드롭다운목록에서어플라이언스포트를선택합니다. 포트상태를체크합니다. 포트를선택하면 [ 포트상태 ] 에 [ 작동 ], [ 중단 ] 또는 [ 사용안함 ] 중하나로상태가표시됩니다. 사용하지않는포트의경우정적라우트가정의될수없습니다. [ 장치 ] [< 관리도메인이름 >] [ 장치 ] [<NTBA Appliance>] [ 설정 ] [ 물리적포트 ] 로이동하여어플라이언스포트에 IP 주소를할당합니다. 포트를 IP 주소 0.0.0.0 에할당하면정적라우트가포트에접근하지못할수있습니다. 그림 5-21 물리적포트페이지 168 McAfee Network Security Platform 8.1 8.1 에대한추가정보 I
NTBA 의향상된기능 Manager UI 의향상된기능 5 3 대상주소및마스크길이를입력합니다. 4 같은네트워크에서어플라이언스포트로존재하는게이트웨이주소를입력합니다. 5 [ 저장 ] 을클릭합니다. 정적라우트페이지에어플라이언스포트, 포트상태, 대상및게이트웨이주소같은라우트세부정보가표시됩니다. 그림 5-22 정적라우트페이지 목록에서여러개의정적라우트를선택하고삭제할수있습니다. 6 변경하려면라우트를선택한후 [ 편집 ] 또는 [ 삭제 ] 를클릭합니다. 통신규칙의기능향상 이전에는트래픽이해당조건과일치하면경보가트리거되도록설정할수있는한정자가 [ 일치하는트래픽편집 ] 페이지에있었습니다. 8.1 에서는간소화를위해이러한한정자를제거하여트래픽이선택한값과항상같다고가정합니다. [ 정책 ] [Network Threat Behavior Analysis] [NTBA] [ 새로만들기 / 보기 / 편집 ] [ 통신규칙 ] [ 새로만들기 ] [ 일치시킬트래픽 ] [ 보기 / 편집 ] [ 일치하는트래픽편집 ] 페이지로이동하여한정자를선택할수있습니다. 새통신규칙구성 작업 1 [ 정책 ] [Network Threat Behavior Analysis] [NTBA] 를선택합니다. [NTBA 정책 ] 페이지가표시됩니다. [NTBA 정책 ] 페이지에는 [ 기본 NTBA 정책 ] 과사용자가만든다른정책이나열됩니다. 2 NTBA 정책을선택하고 [ 보기 / 편집 ] 을클릭합니다. [NTBA 정책편집 ] 페이지가표시됩니다. 3 [ 통신규칙 ] 탭을클릭합니다. [ 통신규칙 ] 페이지가표시됩니다. McAfee Network Security Platform 8.1 8.1 에대한추가정보 I 169
5 NTBA 의향상된기능 Manager UI 의향상된기능 4 [ 새로만들기 ] 를클릭합니다. [ 통신규칙추가 ] 페이지가표시됩니다. 그림 5-23 통신규칙추가페이지 5 다음항목을구성합니다 : [ 활성화됨 ] 을선택하여통신규칙을활성화합니다. [ 이름 ] 에규칙이름을입력합니다. [ 설명 ] 에설명을입력합니다. [ 심각도 ] 드롭다운목록에서심각도를설정합니다. [ 하루중시간 ] 드롭다운목록에서하루중시간 ([ 최고트래픽시간, 해제트래픽시간, 주말트래픽시간 ]) 또는 [ 정상트래픽시간 ] 을선택합니다. 170 McAfee Network Security Platform 8.1 8.1 에대한추가정보 I
NTBA 의향상된기능 Manager UI 의향상된기능 5 6 [ 일치시킬트래픽 ] 에서 [ 보기 / 편집 ] 을클릭합니다. [ 일치하는트래픽편집 ] 페이지가표시됩니다. 그림 5-24 일치하는트래픽편집페이지 7 [ 일치하는트래픽편집 ] 페이지에서선택한옵션에따라트래픽이해당조건과일치할경우경보가트리거됩니다. [ 포트 ] 옵션을선택하면서표준포트의표준응용프로그램에나온 [ 서비스 ] 옵션을선택하면사용자지정포트번호와포트번호의범위를지정할수있습니다. 예를들어서비스로 [ 파일전송프로토콜 ] 을, 포트로 [TCP 21] 을선택했을경우포트 21 에서트래픽이 FTP 와일치했을때규칙이트리거됩니다. [ 일치하는트래픽편집 ] 페이지가선택한항목에대한옵션과함께표시됩니다. 그림 5-25 일치하는트래픽편집페이지옵션 [ 파일 ] 에 file1, file2 및 file3 과같이여러파일이름을쉼표로구분하여입력할수있습니다. [URL] 에 URL1, URL2 및 URL3 과같이여러개의 URL 을쉼표로구분하여입력할수있습니다. McAfee Network Security Platform 8.1 8.1 에대한추가정보 I 171
5 NTBA 의향상된기능 Manager UI 의향상된기능 8 [ 확인 ] 을클릭하여 [ 통신규칙추가 ] 페이지로돌아갑니다. 9 [ 옵션 ] [ 트리거임계값 ] 에서 [ 보기 / 편집 ] 을클릭합니다. [ 트래픽임계값편집 ] 페이지가표시됩니다. 그림 5-26 트래픽임계값편집페이지 10 [ 모든활성화된트리거임계값에대한작업 ] 드롭다운목록에서 [OR] 또는 [AND] 를선택합니다. 모든활성화된임계값이나선택한트리거임계값중하나를활성화하려면 [OR] 를선택하고, 모든활성화된임계값과선택한트리거임계값을모두활성화하려면 [AND] 를선택합니다 11 나열된트래픽임계값을선택하고 [ 보기 / 편집 ] 을클릭합니다. [ 트래픽임계값편집 ] 페이지가표시됩니다. 여기서선택한임계값을편집할수있습니다. Ctrl 키를사용하여여러임계값을선택하고 [ 일괄편집 ] 을클릭하면편집된값이선택된모든임계값에적용됩니다. 그림 5-27 트래픽임계값편집페이지 경보를 [ 트리거임계값 ] 으로구성하면경보가대역폭초과로표시됩니다. 그이유는 [ 트리거임계값 ] 이 [ 일치시킬트래픽 ] 경보보다높은우선순위를받기때문입니다. 따라서 [ 일치시킬트래픽 ] 에대한규칙을트리거하려면통신규칙기준에서 [ 트리거임계값 ] 을제외하십시오. 트리거된경보의이름은규칙의트래픽과일치하는값에따라하드코딩되므로규칙이서비스를 [ 텔넷프로토콜 ] 로구성했을경우일치하는트래픽에서트리거된경보의이름은텔넷프로토콜탐지가아니라불법서비스탐지가됩니다. 마찬가지로규칙이응용프로그램을 [FTP] 로구성했을경우트리거된경보는불법응용프로그램탐지가됩니다. 172 McAfee Network Security Platform 8.1 8.1 에대한추가정보 I
NTBA 의향상된기능 NTBA 명령줄인터페이스의향상된기능 5 12 다음항목을구성합니다 : 임계값을선택하려면 [ 선택함 ] 을선택합니다. 임계값을비활성화하려면 [ 선택되지않음 ] 을선택합니다. 임계값을선택한경우 1~65535 의임계값을입력합니다. 13 [ 확인 ] 을클릭하여 [ 트래픽임계값편집 ] 페이지로돌아갑니다. 14 [ 확인 ] 을클릭하여 [ 통신규칙추가 ] 페이지로돌아갑니다. 15 Sensor 규칙을만족하는경우 [Sensor 액션 ] 을선택하여트래픽을검역합니다. 16 [ 통보 ] 아래의 [ 이메일, 호출기, 스크립트, SNMP, 자동수신확인 ] 및 [Syslog] 중에서적절한통보모드를선택합니다. 17 [ 확인 ] 을클릭하여 [ 통신규칙 ] 페이지로돌아갑니다. 18 [ 저장 ] 을클릭하여통신규칙설정을저장합니다. 업데이트에성공했다는메시지를받게되며이제변경사항을리소스에푸시해야합니다. 19 [ 장치 ] 페이지에서 [ 보류중인변경사항배포 ] 를클릭한다음 [ 구성및시그니처세트 ] 확인란을선택하고 [ 업데이트 ] 를클릭합니다. [ 다운로드상태 ] 창이표시됩니다. 20 업데이트가완료되어창이닫힐때까지기다립니다. NTBA 영역의통신규칙을구성하는절차는여기에설명된것과유사합니다. 각 NTBA 영역에대해통신규칙을설정할수있습니다. 영역에대한통신규칙은 [ 장치 ] [< 관리도메인이름 >] [ 장치 ] [<NTBA Appliance>] [ 영역 ] [ 내부영역 / 외부영역 ] [ 기본내부 / 외부영역 ] [ 통신규칙 ] 을선택하여구성할수있습니다. 내부영역에대한절차도유사합니다. 7.1, 7.5 또는 8.0 에서 8.1 로업그레이드하는경우 [ 같지않음 ] 한정자가있는통신규칙이제거됩니다. 일치하는조건에대해 [ 같음 ] 한정자가있는규칙만보존됩니다. NTBA 명령줄인터페이스의향상된기능 릴리스 8.1 에는소수의 NTBA 명령줄인터페이스명령에대해표시되는메시지가향상되었습니다. 해당하는명령줄인터페이스명령을실행하면다양한작업과하위작업을실행중인시스템의여러가지상태를설명하는메시지를볼수있습니다. 설명식오류메시지는오류의원인이된특정문제를해결하기위한액션항목또는해결책을제공합니다. 목차 deinstall download antimalware updates factorydefaults installdb installntba loadimage resetconfig set endpointintelligence alertinterval set endpointintelligence demo show exporters show intfport show mgmtport McAfee Network Security Platform 8.1 8.1 에대한추가정보 I 173