검사를 설정 및 실행

시작하기 전에

  • 사용하려는 센서가 설치, 활성화 및 시작되었는지 확인
  • 모든 네트워크 요구 사항 충족하는지 확인
  • 모든 배포 요구 사항 충족하는지 확인
  • CertCentral 계정에서 관리자 또는 매니저

Discovery 워크플로 및 권한센서 설치 요구 사항을 참조하십시오.

필요한 정보 수집

추가적으로 다음 정보를 수집해야 합니다.

  • 검사에 사용할 센서의 이름
  • 센서가 할당된 부서 (계정에서 부서를 사용하는 경우)
  • 네트워크를 검사하기 위해 사용하려는 포트
  • 검사에 포함하려는 FQDN 및 IP 주소
  • 한 개의 IP 주소에서 여러 도메인을 서비스하기 위해 SNI(서버 이름 표시)를 사용 여부 확인*

검사를 설정 및 실행

  1. CertCentral 계정의 사이드바 메뉴에서 Discovery > Discovery 관리를 클릭합니다.

  1. 검사 관리 페이지에서 검사 추가를 클릭합니다.

  1. 검사를 설정

    검사 추가 페이지의 검사 설정 밑에서 필요한 검사 정보를 제공합니다.

    1. 검사 이름
      검사를 쉽게 식별할 수 있도록 검사에 이름을 지정합니다.(이름은 여러 검사가 있을 때 더 중요하게 됩니다.)
    2. 부서
      검사에 사용하려는 센서의 부서를 선택합니다.
      설치 중에 센서를 부서에 할당합니다. 센서 드롭다운에서 선택한 부서에 할당된 센서만 볼 수 있습니다.
      참고: 계정에서 부서를 사용하는 경우, 조직 이름을 볼 수 있습니다.
    3. 포트
      네트워크에서 SSL/TLS 인증서를 검사하기 위해 사용하려는 포트를 지정합니다.
      모두를 사용하여 특정 범위의 모든 포트를 포함합니다.
      기본값을 사용하여 SSL/TLS 인증서에 일반적으로 사용하는 포트(443, 389, 636, 22, 143, 110, 465, 8443, 3389)를 포함합니다.
    4. SNI 사용*
      한 개의 IP 주소에서 여러 도메인을 서비스하기 위해 SNI(서버 이름 표시)를 사용하고 있습니까? 이 상자를 확인하여 검사에 대한 SNI 검사를 사용합니다.(서버당 최대 10개 포트로 제한)
      참고: SNI 검사에는 결과의 일부분으로 IP 정보가 없을 수 있습니다.
    5. 센서
      검사에 대해 사용하려는 센서를 선택합니다. 드롭다운에서는 부서 드롭다운에서 선택한 부서에 할당된 센서만 볼 수 있습니다.
      참고: 계정에서 부서를 사용하지 않는 경우, 조직에 할당된 센서를 볼 수 있습니다.
    6. 검사할 FQDN / IP
      FQDN 및 IP 주소 포함:

      검사에 포함하려는 FQDN 및 IP 주소를 입력하고 포함을 클릭합니다.한 개의 IP 주소(10.0.0.1), IP 주소의 범위(10.0.0.1-10.0.0.255) 또는 CIDR 형식의 IP 범위(10.0.0.0/24)를 포함할 수 있습니다.
      FQDN 및 IP 주소 포함:
      IP 주소 범위에서 제외하려는 IP 주소를 입력하고 제외를 클릭합니다. 한 개의 IP 주소(10.0.0.1), IP 주소의 범위(10.0.0.1-10.0.0.255) 또는 CIDR 형식의 IP 범위(10.0.0.0/24)를 제외할 수 있습니다.
    7. 완료했으면 다음을 클릭합니다.
  1. 검사할 때

    검사를 구성하여 지금 실행하거나 실행을 예약합니다.

    완료되지 않은 검사를 중지하기 전까지 작동하는 시간에 제한을 설정하려면 검사 시간 초과에서 중지[Stop of scan time exceeds]를 확인하고 최대 실행 시간을 선택합니다.

  1. 설정: 검사 옵션

    최적화된 검사는 기본 SSL/TLS 인증서 및 서버 정보와 함께 발견한 중대한 TLS/SSL 서버 문제를 제공합니다. (Heartbleed, Poodle[SSLv3], FREAK, Logjam, DROWN, RC4 및 POODLE[TLS])로 보냅니다.

    검사할 사항 선택

    검사 결과에 포함할 정보를 사용자 지정하려면 검사할 사항 선택[Choose what to scan]을 선택합니다. 다음으로 필요에 맞게 검사를 사용자 지정합니다. 예를 들어, POODLE (TLS) 또는 BEAST와 같이 어떤 TLS/SSL 서버 이슈를 검사할 것인지 지정하려는 경우, 어떤 TLS/SSL 서버 이슈를 검사할 것인지 선택을 선택합니다.

더 많은 검사 옵션을 추가하면 검사의 네트워크 리소스에 영향과 완료하는 데 걸리는 시간이 늘어납니다.

  1. 고급 설정 검사 성능

    검사 성능 옵션을 사용하여 검사가 완료되는 데 걸리는 시간을 구성하거나 검사의 네트워크 리소스에 영향을 제한합니다.

    • 공격적 검사
      네트워크 리소스에 더 많은 영향이 있습니다. 네트워크에 많은 수의 검사 패킷을 보냅니다. Discovery는 보내는 패킷 한도를 제한하여 의도하지 않은 수의 패킷을 보내는 것을 방지합니다.
      참고: 공격적 설정을 사용하면 IDS(침입 감지 시스템) 또는 IPS(침입 방지 시스템)에 알림을 발생시킬 수 있습니다.
    • 느린 검사
      네트워크 리소스에 검사의 영향을 제한하고 IDS 및 IPS 오탐 알람의 수를 줄입니다. 한 번에 몇 개의 검사 패킷을 보내고 더 많은 패킷을 보내기 전에 응답을 기다립니다.
  1. 고급 설정: 기타 설정

    TLS/SSL 서버 확인을 제한하여 방화벽 알람을 감소

    이 옵션은 TLS/SSL 서버 문제를 놓칠 수 있으므로 검사의 효과를 제한할 수 있다는 것을 이해하고 사용하십시오.

    TLS/SSL 서버 문제(예를 들어, Heartbleed)를 식별하기 위해 검사는 TLS/SSL 서버 문제를 에뮬레이트하여 서버가 안전한지 확인하는 경우가 있습니다. 이런 에뮬레이션으로 네트워크에 방화벽 오탐 알람이 트리거될 수 있습니다. 이런 알람을 피하려면 TLS/SSL 서버 확인을 제한할 수 있습니다.

    호스트 사용 가능성을 확인하기 위해 검사할 포트를 지정

    여기에서 지정하는 포트는 호스트 사용 가능성을 확인하는 데만 사용됩니다.

    검사 절차의 첫 단계에서는 호스트에 ping을 보내서 사용 가능 상태를 확인합니다.
    호스트에서 ICMP(Internet Control Message Protocol) ping을 사용하지 않는 경우, 이 설정을 따라서 호스트 사용 가능 상태를 확인하기 위해 검사할 수 있는 포트를 지정합니다. 더 적은 수의 포트를 지정할수록 검사는 더 빠릅니다.

    필터링된 포트 로깅 사용

    이 옵션을 사용하여 방화벽으로 차단한 및 닫은 포트에 데이터를 수집합니다.

  1. 저장 및 예약/저장 및 실행

    완료했으면 검사를 저장해야 합니다.

    • 지금 실행하려는 경우, 저장 및 실행을 클릭합니다.
    • 검사를 예약한 경우, 저장 및 예약을 클릭합니다.

다음 단계

검사를 지금 또는 일정에 따라서 실행됩니다. 검사 완료 시간은 네트워크 크기 및 설정 중에 선택한 검사 성능 설정에 따라 다릅니다.

검사가 IDS(침입 감지 시스템) 또는 IPS(침입 방지 시스템)에서 오탐 알람을 트리거하는 경우, IDS/IPS 유틸리티에서 검사를 허용 목록에 추가합니다. 또한 느린 검사를 실행하도록 구성할 수 있습니다. 느린 검사는 오탐 알람을 트리거할 가능성이 낮습니다. 또한 방화벽에서 센서를 digicert.com에 통신하도록 허용 목록에 추가할 수도 있습니다.

검사를 관리하려면 검사 페이지(사이드바 메뉴에서 Discovery > Discovery 관리를 클릭)로 이동합니다.

검사 세부 사항을 보거나 검사 설정을 수정하려면 검사의 세부 사항 페이지로 이동합니다.(검사 페이지에서 검사 이름 링크 클릭합니다.)

  • Discovery 위치 검사 설정 탭에서 검사 설정을 보거나 수정합니다.
  • 검사 활동 탭에서 시작 시간, 기간, 검사 상태 및 작업과 같은 현재 및 과거 검사 세부 사항을 봅니다.
    • 검사한 인증서 세부 정보를 보려면 인증서 보기를 클릭합니다.
    • 방화벽으로 차단한 및 닫은 포트에 대한 정보를 얻으려면 필터링한 포트 보고서 다운로드를 클릭합니다.