Skip to main content

검사 설정 및 실행

시작하기 전에

  • 사용하려는 센서가 설치, 활성화 및 시작되었는지 확인합니다.

  • 네트워크가 모든 요구 사항을 충족하는지 확인합니다.

  • 모든 배포 요구 사항 충족하는지 확인합니다.

  • 관리자 또는 매니저 권한이 필요합니다.

참조: Discovery 워크플로 및 사용 권한센서 설치 요구 사항.

필요한 정보 수집

  • 사용하려는 센서의 이름

  • 센서가 할당된 부서 (계정에서 부서를 사용하는 경우)

  • 네트워크를 검사하기 위해 사용하려는 포트

  • 검사에 포함하려는 FQDN 및 IP 주소

  • 한 개의 IP 주소에서 여러 도메인을 서비스하기 위해 SNI(서버 이름 표시)를 사용하는 여부

검사 설정 및 실행

  1. CertCentral 계정의 사이드바 메뉴에서 Discovery > Discovery 관리를 선택합니다.

  2. 검사 관리 페이지에서 검사 추가를 선택합니다.

  3. 검사 설정

    검사 추가 페이지의 검사 만들기 섹션에서 필요한 검사 정보를 제공합니다.

    1. 검사 이름

      검사(Scan)를 쉽게 식별할 수 있도록 검사에 이름을 지정합니다.(이름은 여러 검사가 있을 때 더 중요하게 됩니다.)

    2. 부서

      센서를 사용하여 검사하려는 부서를 선택합니다.

      설치 중에 센서를 부서에 할당합니다. 선택한 부서에 할당된 센서만 볼 수 있습니다.

      참고

      계정에서 부서를 사용하지 않는 경우 조직 이름이 표시됩니다.

    3. 포트

      네트워크에서 SSL/TLS 인증서를 검색하는 데 사용할 포트를 지정합니다.

      모두를 사용하여 특정 범위의 모든 포트를 포함시킵니다.

      기본값을 사용하여 SSL/TLS 인증서에 일반적으로 사용하는 포트(443, 389, 636, 22, 143, 110, 465, 8443, 3389)를 포함합니다.

    4. SNI 사용(옵션)

      SNI(Serve Name Indication)를 사용하여 단일 IP 주소에서 여러 도메인을 서비스하는 경우 검사에 대한 SNI 검사를 사용함으로 설정합니다.(서버당 최대 10개 포트로 제한).

      참고

      SNI 검사에는 결과의 일부분으로 IP 정보가 없을 수 있습니다.

    5. 센서

      검사에 사용하려는 센서를 선택합니다. 선택한 부서에 할당된 센서만 볼 수 있습니다.

      참고

      계정에서 부서를 사용하지 않는 경우 조직 이름이 표시됩니다.

    6. 검사할 IP/FQDN

      FQDN 및 IP 주소 포함:

      검사에 포함하려는 FQDN 및 IP 주소를 입력하고 포함을 선택합니다. 한 개의 IP 주소(10.0.0.1), IP 주소의 범위(10.0.0.1-10.0.0.255) 또는 CIDR 형식의 IP 범위(10.0.0.0/24)를 포함시킬 수 있습니다.

      FQDN 및 IP 주소 제외:

      IP 주소 범위에서 제거하려는 IP 주소를 입력하고 제외를 선택합니다. 한 개의 IP 주소(10.0.0.1), IP 주소의 범위(10.0.0.1-10.0.0.255) 또는 CIDR 형식의 IP 범위(10.0.0.0/24)를 제외할 수 있습니다.

    7. 검사 목록에서 검사에 포함 또는 제외하려는 도메인 및 하위 도메인을 찾습니다. 그 다음, 작업 열에서 적합한 링크를 선택합니다.

      모든 하위 도메인 포함 – 도메인의 모든 하위 도메인을 검사에 포함시킵니다.

      모든 하위 도메인 제외 – 도메인의 모든 하위 도메인을 검사에서 제외시킵니다.

      하위 도메인 추가 또는 하위 도메인 편집 – 검사에 추가 또는 제외하려는 사용 가능한 하위 도메인에서 선택합니다.

      삭제 – 검사 목록에서 IP/FQDN을 삭제합니다.

    8. 완료했으면 다음을 선택합니다.

      참고

      하위 도메인 사용에 관한 내용:

      • 검사에 모든 수준의 하위 도메인을 추가할 수 있습니다.

      • 시스템은 도메인보다 한 수준 낮은 단일 하위 도메인만 표시합니다.

      • 공개적으로 목록에 있는 하위 도메인만 선택할 수 있습니다. 예를 들어, 공개 DNS 또는 CT 로깅하는 하위 도메인만 사용 가능한 검사에 추가할 수 있습니다.

  4. 검사할 때

    검사를 구성하여 지금 실행하거나 실행을 예약합니다.

    완료되지 않은 검사를 중지하기 전까지 작동하는 시간에 제한을 설정하려면 검사 시간 초과하면 중지를 선택하고 최대 실행 시간을 선택합니다.

  5. 설정: 검사 옵션

    최적화된 검사는 기본 SSL/TLS 인증서 및 서버 정보와 함께 발견한 중대한 TLS/SSL 서버 문제를 제공합니다. (Heartbleed, Poodle [SSLv3], FREAK, Logjam, DROWN, RC4, POODLE [TLS], Cross-site scripting, SQL injection, Cross-domain policy 및 CSRF).

    검사할 사항 선택

    검사 결과에 포함할 정보를 사용자 지정합니다.

    • 구성된 암호화 제품 검사: TLS/SSL 핸드셰이크 중에 보안 클라이언트-서버 통신을 수립하기 위해 서버에 구성된 암호화 제품 및 TLS/SSL 프로토콜을 검색합니다.

    • SSLv2, SSLv3, TLSv1.0 및 TLSv1.1 사용: 사용 가능한 이 TLS/SSL 프로토콜을 핸드셰이크에서 사용으로 설정합니다.

    • 모든 검사에서 호스트 IP 주소 업데이트: 호스트의 IP 주소가 자주 변경되는 경우 검사할 때마다 호스트의 IP 주소를 업데이트합니다.

      다음에 관한 업데이트된 정보에 대해 OS서버 애플리케이션 옵션을 선택할 수도 있습니다.

      • 운영 체제

      • 서버 유형

      • 서버 애플리케이션

      • 애플리케이션 버전

    • SSH 키 검색 사용 서버에 구성된 SSH 키를 검색합니다. 검사는 SSH 사용 포트의 서버에 대해 SSH 키 핑거프린트, 알고리즘 및 서버에 대해 구성된 SSH 키 인증의 방법을 식별합니다 (기본값 포트는 22번).

      SSH 키에 대한 자세한 정보는 SSH 키을(를) 참조하세요.

    • 중요 TLS/SSL 서버 문제만 검사 (더 빠름): Heartbleed, Poodle (SSLv3), FREAK, Logjam, DROWN, RC4, POODLE (TLS), Cross-site scripting, SQL injection, Cross-domain policy 및 CSRF와 같은 TLS/SSL를 검색합니다.

    • 검사할 TLS/SSL 서버 문제를 선택: POODLE, BEAST, SWEET32 등과 같이 검사하려는 TLS/SSL 서버 문제(중요 및/또는 중요하지 않은 경우)를 지정하여 검사를 사용자 지정합니다.

      참고

      더 많은 검사 옵션을 추가하면 검사의 네트워크 리소스에 대한 부담이 늘어나며 결과적으로 검사 시간이 더 길어집니다.

  6. 고급 설정: 검사 성능

    검사 성능 옵션을 사용하여 검사가 완료되는 데 걸리는 시간을 구성하거나 검사의 네트워크 리소스에 영향을 제한합니다.

    • 공격적 검사 네트워크 리소스에 더 많은 부담을 주고 네트워크에 많은 수의 검사 패킷을 보냅니다. Discovery는 보내는 패킷 한도를 제한하여 의도하지 않은 수의 패킷을 보내는 것을 방지합니다.

      참고

      공격적 설정을 사용하면 IDS(침입 감지 시스템) 또는 IPS(침입 방지 시스템)에 알림을 발생시킬 수 있습니다.

    • 느린 검사 네트워크 리소스에 대한 검사의 영향을 제한하고 IDS 및 IPS 오탐 알람의 수를 줄입니다. 한 번에 몇 개의 검사 패킷을 보내고 더 많은 패킷을 보내기 전에 응답을 기다립니다.

  7. 고급 설정: 검사에 태그 추가

    이 옵션을 사용하여 검사에 태그를 추가합니다. 태그는 네트워크 검사 중에 찾은 모든 인증서에 적용됩니다. 이것을 사용하여 자신의 네트워크 또는 기타 관리하는 네트워크에 구성된 인증서를 식별하고 관리합니다.

  8. 고급 설정: 기타 설정

    TLS/SSL 서버 확인을 제한하여 방화벽 알람을 줄임

    이 옵션은 TLS/SSL 서버 문제를 놓칠 수 있으므로 검사의 효과를 제한할 수 있다는 것을 이해하고 사용하십시오.

    TLS/SSL 서버 문제(예를 들어, Heartbleed)를 식별하기 위해 검사는 TLS/SSL 서버 문제를 에뮬레이트하여 서버가 안전한지 확인하는 경우가 있습니다. 이런 에뮬레이션으로 네트워크에 방화벽 오탐 알람이 트리거될 수 있습니다. 이런 알람을 피하려면 TLS/SSL 서버 확인을 제한할 수 있습니다.

    호스트 사용 가능성을 확인하기 위해 검사할 포트를 지정

    여기에서 지정하는 포트는 호스트 사용 가능성을 확인하는 데만 사용됩니다.

    검사 절차의 첫 단계에서는 호스트에 ping을 보내서 사용 가능 상태를 확인합니다.

    호스트에서 ICMP(Internet Control Message Protocol) ping을 사용하지 않는 경우, 이 설정을 따라서 호스트 사용 가능 상태를 확인하기 위해 검사할 수 있는 포트를 지정합니다. 더 적은 수의 포트를 지정할수록 검사는 더 빠릅니다.

    포트 디버깅 사용

    이 옵션을 사용하여 방화벽으로 차단한 및 닫은 포트에 데이터를 수집합니다.

  9. 저장 및 예약/저장 및 실행

    완료했으면 검사를 저장해야 합니다.

    • 지금 실행하려는 경우, 저장 및 실행을 선택합니다.

    • 나중에 실행하려면 저장 및 예약을 선택합니다.

다음 단계

검사를 지금 또는 일정에 따라서 실행됩니다. 검사 완료 시간은 네트워크 크기 및 설정 중에 선택한 검사 성능 설정에 따라 다릅니다.

중요

검사가 IDS(침입 감지 시스템) 또는 IPS(침입 방지 시스템)에서 오탐 알람을 트리거하는 경우, IDS/IPS 유틸리티에서 검사를 허용 목록에 추가합니다.

느린 검사는 오탐 알람을 트리거할 가능성이 낮습니다. 또한 방화벽에서 센서를 digicert.com에 통신하도록 허용 목록에 추가할 수도 있습니다.

검사를 관리하려면 검사 관리 페이지(사이드바 메뉴에서 Discovery > Discovery 관리를 선택)로 이동합니다.

검사 세부 사항을 보거나 검사 설정을 수정하려면 검사의 세부 사항 페이지로 이동합니다.(검사 관리 페이지에서 검사 이름을 클릭합니다.)

  • Discovery 위치검사 설정 탭에서 검사 설정을 보거나 수정합니다.

  • 검사 활동 탭에서 시작 시간, 기간, 검사 상태 및 작업과 같은 현재 및 과거 검사 세부 사항을 봅니다.

    • 검사한 인증서 세부 정보를 보려면 인증서 보기를 선택합니다.

    • 방화벽으로 차단한 및 닫은 포트에 대한 정보를 얻으려면 디버그 보고서 다운로드를 선택합니다.

    • 검색된 키 세부 정보를 확인하려면 키 보기를 선택합니다.