검사를 설정 및 실행

시작하기 전에

  • 사용하려는 센서가 설치, 활성화 및 시작되었는지 확인
  • 모든 네트워크 요구 사항 충족하는지 확인
  • 모든 배포 요구 사항 충족하는지 확인
  • CertCentral 계정에서 관리자 또는 매니저

Discovery 워크플로 및 권한센서 설치 요구 사항을 참조하십시오.

필요한 정보 수집

추가적으로 다음 정보를 수집해야 합니다.

  • 검사에 사용할 센서의 이름
  • 센서가 할당된 부서 (계정에서 부서를 사용하는 경우)
  • 네트워크를 검사하기 위해 사용하려는 포트
  • 검사에 포함하려는 FQDN 및 IP 주소
  • 한 개의 IP 주소에서 여러 도메인을 서비스하기 위해 SNI(서버 이름 표시)를 사용 여부 확인*

검사를 설정 및 실행

  1. CertCentral 계정의 사이드바 메뉴에서 Discovery > Discovery 관리를 클릭합니다.

  1. 검사 관리 페이지에서 검사 추가를 클릭합니다.

  1. 검사를 설정

    검사 추가 페이지의 검사 설정 밑에서 필요한 검사 정보를 제공합니다.

    1. 검사 이름
      검사를 쉽게 식별할 수 있도록 검사에 이름을 지정합니다.(이름은 여러 검사가 있을 때 더 중요하게 됩니다.)
    2. 부서
      검사에 사용하려는 센서의 부서를 선택합니다.
      설치 중에 센서를 부서에 할당합니다. 센서 드롭다운에서 선택한 부서에 할당된 센서만 볼 수 있습니다.
      참고: 계정에서 부서를 사용하는 경우, 조직 이름을 볼 수 있습니다.
    3. 포트
      네트워크에서 SSL/TLS 인증서를 검사하기 위해 사용하려는 포트를 지정합니다.
      모두를 사용하여 특정 범위의 모든 포트를 포함합니다.
      기본값을 사용하여 SSL/TLS 인증서에 일반적으로 사용하는 포트(443, 389, 636, 22, 143, 110, 465, 8443, 3389)를 포함합니다.
    4. SNI 사용*
      한 개의 IP 주소에서 여러 도메인을 서비스하기 위해 SNI(서버 이름 표시)를 사용하고 있습니까? 이 상자를 확인하여 검사에 대한 SNI 검사를 사용합니다.(서버당 최대 10개 포트로 제한)
      참고: SNI 검사에는 결과의 일부분으로 IP 정보가 없을 수 있습니다.
    5. 센서
      검사에 대해 사용하려는 센서를 선택합니다. 드롭다운에서는 부서 드롭다운에서 선택한 부서에 할당된 센서만 볼 수 있습니다.
      참고: 계정에서 부서를 사용하지 않는 경우, 조직에 할당된 센서를 볼 수 있습니다.
    6. 검사할 FQDN / IP
      FQDN 및 IP 주소 포함:
      검사에 포함하려는 FQDN 및 IP 주소를 입력하고 포함을 클릭합니다.한 개의 IP 주소(10.0.0.1), IP 주소의 범위(10.0.0.1-10.0.0.255) 또는 CIDR 형식의 IP 범위(10.0.0.0/24)를 포함할 수 있습니다.
      FQDN 및 IP 주소 포함:
      IP 주소 범위에서 제외하려는 IP 주소를 입력하고 제외를 클릭합니다. 한 개의 IP 주소(10.0.0.1), IP 주소의 범위(10.0.0.1-10.0.0.255) 또는 CIDR 형식의 IP 범위(10.0.0.0/24)를 제외할 수 있습니다.
    7. 완료했으면 다음을 클릭합니다.

  1. 검사할 때

    검사를 구성하여 지금 실행하거나 실행을 예약합니다.

    완료되지 않은 검사를 중지하기 전까지 작동하는 시간에 제한을 설정하려면 검사 시간 초과에서 중지[Stop of scan time exceeds]를 확인하고 최대 실행 시간을 선택합니다.

  1. 설정: 검사 옵션

    최적화된 검사는 기본 SSL/TLS 인증서 및 서버 정보와 함께 발견한 중대한 TLS/SSL 서버 문제를 제공합니다. (Heartbleed, Poodle[SSLv3], FREAK, Logjam, DROWN, RC4 및 POODLE[TLS])로 보냅니다.

    검사할 사항 선택

    검사 결과에 포함할 정보를 사용자 지정하려면 검사할 사항 선택[Choose what to scan]을 선택합니다. 다음으로 필요에 맞게 검사를 사용자 지정합니다. 예를 들어, POODLE (TLS) 또는 BEAST와 같이 어떤 TLS/SSL 서버 이슈를 검사할 것인지 지정하려는 경우, 어떤 TLS/SSL 서버 이슈를 검사할 것인지 선택을 선택합니다.

더 많은 검사 옵션을 추가하면 검사의 네트워크 리소스에 영향과 완료하는 데 걸리는 시간이 늘어납니다.

  1. 고급 설정 검사 성능

    검사 성능 옵션을 사용하여 검사가 완료되는 데 걸리는 시간을 구성하거나 검사의 네트워크 리소스에 영향을 제한합니다.

    • 공격적 검사
      네트워크 리소스에 더 많은 영향이 있습니다. 네트워크에 많은 수의 검사 패킷을 보냅니다. Discovery는 보내는 패킷 한도를 제한하여 의도하지 않은 수의 패킷을 보내는 것을 방지합니다.
      참고: 공격적 설정을 사용하면 IDS(침입 감지 시스템) 또는 IPS(침입 방지 시스템)에 알림을 발생시킬 수 있습니다.
    • 느린 검사
      네트워크 리소스에 검사의 영향을 제한하고 IDS 및 IPS 오탐 알람의 수를 줄입니다. 한 번에 몇 개의 검사 패킷을 보내고 더 많은 패킷을 보내기 전에 응답을 기다립니다.

  1. 고급 설정: 기타 설정

    TLS/SSL 서버 확인을 제한하여 방화벽 알람을 감소

    이 옵션은 TLS/SSL 서버 문제를 놓칠 수 있으므로 검사의 효과를 제한할 수 있다는 것을 이해하고 사용하십시오.

    TLS/SSL 서버 문제(예를 들어, Heartbleed)를 식별하기 위해 검사는 TLS/SSL 서버 문제를 에뮬레이트하여 서버가 안전한지 확인하는 경우가 있습니다. 이런 에뮬레이션으로 네트워크에 방화벽 오탐 알람이 트리거될 수 있습니다. 이런 알람을 피하려면 TLS/SSL 서버 확인을 제한할 수 있습니다.

    호스트 사용 가능성을 확인하기 위해 검사할 포트를 지정

    여기에서 지정하는 포트는 호스트 사용 가능성을 확인하는 데만 사용됩니다.

    검사 절차의 첫 단계에서는 호스트에 ping을 보내서 사용 가능 상태를 확인합니다.
    호스트에서 ICMP(Internet Control Message Protocol) ping을 사용하지 않는 경우, 이 설정을 따라서 호스트 사용 가능 상태를 확인하기 위해 검사할 수 있는 포트를 지정합니다. 더 적은 수의 포트를 지정할수록 검사는 더 빠릅니다.

    필터링된 포트 로깅 사용

    이 옵션을 사용하여 방화벽으로 차단한 및 닫은 포트에 데이터를 수집합니다.

  1. 저장 및 예약/저장 및 실행

    완료했으면 검사를 저장해야 합니다.

    • 지금 실행하려는 경우, 저장 및 실행을 클릭합니다.
    • 검사를 예약한 경우, 저장 및 예약을 클릭합니다.

다음 단계

검사를 지금 또는 일정에 따라서 실행됩니다. 검사 완료 시간은 네트워크 크기 및 설정 중에 선택한 검사 성능 설정에 따라 다릅니다.

검사가 IDS(침입 감지 시스템) 또는 IPS(침입 방지 시스템)에서 오탐 알람을 트리거하는 경우, IDS/IPS 유틸리티에서 검사를 허용 목록에 추가합니다. 또한 느린 검사를 실행하도록 구성할 수 있습니다. 느린 검사는 오탐 알람을 트리거할 가능성이 낮습니다. 또한 방화벽에서 센서를 digicert.com에 통신하도록 허용 목록에 추가할 수도 있습니다.

검사를 관리하려면 검사 페이지(사이드바 메뉴에서 Discovery > Discovery 관리를 클릭)로 이동합니다.

검사 세부 사항을 보거나 검사 설정을 수정하려면 검사의 세부 사항 페이지로 이동합니다.(검사 페이지에서 검사 이름 링크 클릭합니다.)

  • Discovery 위치 검사 설정 탭에서 검사 설정을 보거나 수정합니다.
  • 검사 활동 탭에서 시작 시간, 기간, 검사 상태 및 작업과 같은 현재 및 과거 검사 세부 사항을 봅니다.
    • 검사한 인증서 세부 정보를 보려면 인증서 보기를 클릭합니다.
    • 방화벽으로 차단한 및 닫은 포트에 대한 정보를 얻으려면 필터링한 포트 보고서 다운로드를 클릭합니다.

정보

DigiCert is the world's leading provider of scalable TLS/SSL, IoT and PKI solutions for identity and encryption. The most innovative companies, including 89% of the Fortune 500 and 97 of the 100 top global banks, choose DigiCert for its expertise in identity and encryption for web servers and Internet of Things devices. DigiCert supports TLS and other digital certificates for PKI deployments at any scale through its certificate lifecycle management solution, CertCentral®. The company is recognized for its enterprise-grade certificate management platform, fast and knowledgeable customer support, and market-leading security solutions. For the latest DigiCert news and updates, visit digicert.com or follow @digicert.

©2020 DigiCert, Inc. All rights reserved. DigiCert, its logo and CertCentral are registered trademarks of DigiCert, Inc. Norton and the Checkmark Logo are trademarks of NortonLifeLock Inc. used under license. Other names may be trademarks of their respective owners.