스캔을 설정 및 실행

시작하기 전에

  • 사용하려는 센서가 설치, 활성화 및 시작되었는지 확인
  • 모든 네트워크 요구 사항 충족하는지 확인
  • 모든 배포 요구 사항 충족하는지 확인
  • CertCentral 계정에서 관리자 또는 매니저

Discovery 워크플로 및 권한센서 설치 요구 사항을 참조하십시오.

필요한 정보 수집

추가적으로 다음 정보를 수집해야 합니다.

  • 스캔에 사용할 센서의 이름
  • 센서가 할당된 부서 (계정에서 부서를 사용하는 경우)
  • 네트워크를 스캔하기 위해 사용하려는 포트
  • 스캔에 포함하려는 FQDN 및 IP 주소
  • 한 개의 IP 주소에서 여러 도메인을 서비스하기 위해 SNI(서버 이름 표시)를 사용 여부 확인*

스캔을 설정 및 실행

  1. CertCentral 계정의 사이드바 메뉴에서 Discovery > Discovery 관리를 클릭합니다.

  1. 스캔 관리 페이지에서 스캔 추가를 클릭합니다.

  1. 스캔을 설정

    스캔 추가 페이지의 스캔 설정 밑에서 필요한 스캔 정보를 제공합니다.

    1. 스캔 이름
      스캔을 쉽게 식별할 수 있도록 스캔에 이름을 지정합니다.(이름은 여러 스캔이 있을 때 더 중요하게 됩니다.)
    2. 부서
      스캔에 사용하려는 센서의 부서를 선택합니다.
      설치 중에 센서를 부서에 할당합니다. 센서 드롭다운에서 선택한 부서에 할당된 센서만 볼 수 있습니다.
      참고: 계정에서 부서를 사용하는 경우, 조직 이름을 볼 수 있습니다.
    3. 포트
      네트워크에서 SSL/TLS 인증서를 스캔하기 위해 사용하려는 포트를 지정합니다.
      모두를 사용하여 특정 범위의 모든 포트를 포함합니다.
      기본값을 사용하여 SSL/TLS 인증서에 일반적으로 사용하는 포트(80, 443, 389, 636, 22, 143, 110, 465, 8443, 3389)를 포함합니다.
    4. SNI 사용*
      한 개의 IP 주소에서 여러 도메인을 서비스하기 위해 SNI(서버 이름 표시)를 사용하고 있습니까? 이 상자를 확인하여 스캔에 대한 SNI 스캔을 사용합니다.(서버당 최대 10개 포트로 제한)
      참고: SNI 스캔에는 결과의 일부분으로 IP 정보가 없을 수 있습니다.
    5. 센서
      스캔에 대해 사용하려는 센서를 선택합니다. 드롭다운에서는 부서 드롭다운에서 선택한 부서에 할당된 센서만 볼 수 있습니다.
      참고: 계정에서 부서를 사용하지 않는 경우, 조직에 할당된 센서를 볼 수 있습니다.
    6. 스캔할 FQDN / IP
      FQDN 및 IP 주소 포함:

      스캔에 포함하려는 FQDN 및 IP 주소를 입력하고 포함을 클릭합니다.한 개의 IP 주소(10.0.0.1), IP 주소의 범위(10.0.0.1-10.0.0.255) 또는 CIDR 형식의 IP 범위(10.0.0.0/24)를 포함할 수 있습니다.
      FQDN 및 IP 주소 포함:
      IP 주소 범위에서 제외하려는 IP 주소를 입력하고 제외를 클릭합니다. 한 개의 IP 주소(10.0.0.1), IP 주소의 범위(10.0.0.1-10.0.0.255) 또는 CIDR 형식의 IP 범위(10.0.0.0/24)를 제외할 수 있습니다.
    7. 완료했으면 다음을 클릭합니다.
  1. 스캔할 때

    스캔을 구성하여 지금 실행하거나 실행을 예약합니다.

    완료되지 않은 스캔을 중지하기 전까지 작동하는 시간에 제한을 설정하려면 스캔 시간 초과에서 중지[Stop of scan time exceeds]를 확인하고 최대 실행 시간을 선택합니다.

  1. 설정: 스캔 옵션

    최적화된 스캔은 기본 SSL/TLS 인증서 및 서버 정보와 함께 발견한 중대한 TLS/SSL 서버 문제를 제공합니다. (Heartbleed, Poodle[SSLv3], FREAK, Logjam, DROWN, RC4 및 POODLE[TLS])로 보냅니다.

    스캔할 사항 선택

    스캔 결과에 포함할 정보를 사용자 지정하려면 스캔할 사항 선택[Choose what to scan]을 선택합니다. 다음으로 필요에 맞게 스캔을 사용자 지정합니다. 예를 들어, POODLE (TLS) 또는 BEAST와 같이 어떤 TLS/SSL 서버 이슈를 스캔할 것인지 지정하려는 경우, 어떤 TLS/SSL 서버 이슈를 스캔할 것인지 선택을 선택합니다.

더 많은 스캔 옵션을 추가하면 스캔의 네트워크 리소스에 영향과 완료하는 데 걸리는 시간이 늘어납니다.

  1. 고급 설정 스캔 성능

    스캔 성능 옵션을 사용하여 스캔이 완료되는 데 걸리는 시간을 구성하거나 스캔의 네트워크 리소스에 영향을 제한합니다.

    • 공격적 스캔
      네트워크 리소스에 더 많은 영향이 있습니다. 네트워크에 많은 수의 스캔 패킷을 보냅니다. Discovery는 보내는 패킷 한도를 제한하여 의도하지 않은 수의 패킷을 보내는 것을 방지합니다.
      참고: 공격적 설정을 사용하면 IDS(침입 감지 시스템) 또는 IPS(침입 방지 시스템)에 알림을 발생시킬 수 있습니다.
    • 느린 스캔
      네트워크 리소스에 스캔의 영향을 제한하고 IDS 및 IPS 오탐 알람의 수를 줄입니다. 한 번에 몇 개의 스캔 패킷을 보내고 더 많은 패킷을 보내기 전에 응답을 기다립니다.
  1. 고급 설정: 기타 설정

    TLS/SSL 서버 확인을 제한하여 방화벽 알람을 감소

    이 옵션은 TLS/SSL 서버 문제를 놓칠 수 있으므로 스캔의 효과를 제한할 수 있다는 것을 이해하고 사용하십시오.

    TLS/SSL 서버 문제(예를 들어, Heartbleed)를 식별하기 위해 스캔은 TLS/SSL 서버 문제를 에뮬레이트하여 서버가 안전한지 확인하는 경우가 있습니다. 이런 에뮬레이션으로 네트워크에 방화벽 오탐 알람이 트리거될 수 있습니다. 이런 알람을 피하려면 TLS/SSL 서버 확인을 제한할 수 있습니다.

    호스트 사용 가능성을 확인하기 위해 스캔할 포트를 지정

    여기에서 지정하는 포트는 호스트 사용 가능성을 확인하는 데만 사용됩니다.

    스캔 절차의 첫 단계에서는 호스트에 ping을 보내서 사용 가능 상태를 확인합니다.
    호스트에서 ICMP(Internet Control Message Protocol) ping을 사용하지 않는 경우, 이 설정을 따라서 호스트 사용 가능 상태를 확인하기 위해 스캔할 수 있는 포트를 지정합니다. 더 적은 수의 포트를 지정할수록 스캔은 더 빠릅니다.

  1. 저장 및 예약/저장 및 실행

    완료했으면 스캔을 저장해야 합니다.

    • 지금 실행하려는 경우, 저장 및 실행을 클릭합니다.
    • 스캔을 예약한 경우, 저장 및 예약을 클릭합니다.

다음 단계

스캔을 지금 또는 일정에 따라서 실행됩니다. 스캔 완료 시간은 네트워크 크기 및 설정 중에 선택한 스캔 성능 설정에 따라 다릅니다.

스캔이 IDS(침입 감지 시스템) 또는 IPS(침입 방지 시스템)에서 오탐 알람을 트리거하는 경우, IDS/IPS 유틸리티에서 스캔을 허용 목록에 추가합니다. 또한 느린 스캔을 실행하도록 구성할 수 있습니다. 느린 스캔은 오탐 알람을 트리거할 가능성이 낮습니다. 또한 방화벽에서 센서를 digicert.com에 통신하도록 허용 목록에 추가할 수도 있습니다.

스캔을 관리하려면 스캔 페이지(사이드바 메뉴에서 Discovery > Discovery 관리를 클릭)로 이동합니다.

스캔 세부 사항을 보거나 스캔 설정을 수정하려면 스캔의 세부 사항 페이지로 이동합니다.(스캔 페이지에서 스캔 이름 링크 클릭합니다.)

  • Discovery 위치 스캔 설정 탭에서 스캔 설정을 보거나 수정합니다.
  • 스캔 활동 탭에서 시작 시간, 기간, 스캔 상태 및 작업과 같은 현재 및 과거 스캔 세부 사항을 봅니다.