Loading...

Network Security Platform에 대한 FAQ
기술 문서 ID:   KB75269
마지막으로 수정한 날짜:  2017-08-03
등급:


환경

McAfee Network Security Platform(NSP) 8.x

요약

목차
일반 제품 정보 및 기타 주제
호환성 다른 제품과 소프트웨어 간의 상호 작용
설치/업그레이드 설치, 업그레이드, 마이그레이션 및 제거에 대한 정보
구성 모범 사례, 최적화, 구성 및 사용자 지정에 대해 설명
기능 제품 특성 및 기능
공유 비밀 키 SSL 키 갱신을 포함한 공유 비밀 키 및 SSL에 대한 공통적인 질문
NSP 및 GTI NSP와 Global Threat Intelligence(GTI)의 기능 및 상호 작용에 대한 공통적인 질문
공격 범위 특정 공격의 범위에 대한 정보
NSP 및 NAC NSP와 Network Access Control(NAC)의 연동에 대한 질문과 대답
이기종 시그니처 세트 이기종 시그니처 세트에 대한 정보
히트가 없는 Sensor 재부팅 Sensor 주기의 영향을 줄이는 기능
진화한 악성 프로그램 탐지 진화한 악성 프로그램 탐지에 대한 질문
Network Security Platform 8.3 NSP 8.3에서 추가된 기능에 대한 질문


일반

Sensor와 Manager는 Sensor가 작동 중인지 확인하기 위해 얼마나 자주 정보를 교환합니까?
일반적으로 폴링은 2분마다 수행됩니다. 그러나 Sensor가 실패를 탐지하면 폴링 간격이 30초마다 한 번으로 줄어듭니다. 이는 오류 경보를 발생시키는 패킷 손실과 같은 문제를 방지하기 위한 것입니다. 10분 후에도 Sensor에 연결할 수 없는 경우 폴링 빈도가 일반 값인 2분으로 되돌려집니다.

 
이 폴링에 의해 얼마나 많은 데이터 전송이 발생합니까?
폴링은 SNMP UDP 패킷을 통해 수행되며 4개의 MIB 변수가 폴링됩니다. 전체 SNMP 응용프로그램 요청 페이로드는 약 100바이트입니다.

 
Manager가 시스템 상태에서 Sensor를 연결 끊김 상태로 플래그를 표시하기까지 얼마나 걸립니까?
초기 폴링이 2분마다 수행되고 일반 시간 초과 값이 60초이므로 실패를 표시하는 최선의 사례는 60초이지만 최대 180(120+60)초에 달할 수 있습니다.


페일오픈 키트는 Auto-MDIX를 수행합니까?
아니요. 이는 Sensor에 설치된 McAfee SFP의 Auto-MDIX 기능이 하는 역할입니다.


구리선 페일오픈 키트는 광학 바이패스 단일 모드(SM) 및 다중 모드(MM) 페일오픈 키트와 동일한 방식으로 작동합니까?
페일오픈 키트(광학 바이패스 스위치)는 TX/RX 쌍을 교차하지 않습니다. 사용 중인 Sensor/Sensor 소프트웨어 버전의 기가비트 광학 페일오픈 바이패스 키트 빠른 안내서를 참조하십시오. 이 안내서에는 적절한 설치를 보여 주는 다이어그램과 추가 설치 및 연결 세부 정보가 포함되어 있습니다.

 
10/100/1000 구리선 활성 페일오픈(AFO) 바이패스 키트 모드를 인라인에서 탭 모드로 변경한 후 AFO 전원이 꺼졌다가 켜집니다. 재부팅 시 탭 모드가 비활성화되었습니다. 이유가 무엇입니까?
AFO가 설계 의도대로 작동하고 있습니다. 탭 모드 설정은 AFO에 저장되지 않습니다. AFO 전원이 꺼졌다가 켜지면 기본 설정인 TAP mode Off(탭 모드 해제)가 복원됩니다. 이는 의도된 설계입니다.


ARP: MAC 주소 플립플롭 경보가 CIDR 인터페이스 수준에서만 표시됩니다. 이 경보가 하위 인터페이스 이름을 표시하지 않는 이유가 무엇입니까?
하위 인터페이스 지원에 대한 CIDR 기반 조회는 IPv4 패킷(PTYPE = 0x800)에 대해서만 수행됩니다. ARP는 이 범주에 해당하지 않으므로 ARP 패킷에 대해 포트 및 VLAN 수준을 기반으로 한 인터페이스 분류만 기록됩니다. 이는 예상된 것입니다.


Sensor 로그 파일이 암호화되는 이유는 무엇입니까?
Sensor 로그 파일은 주로 기술 지원 및 개발 팀이 문제를 해결하는 데 필요한 정보를 기록하도록 설계되었습니다. 이 파일의 주 사용자는 McAfee 내부 사용자로 국한되므로 파일에 내부 정보나 독점 정보가 포함될 수 있습니다. 따라서 파일이 암호화되어야 합니다. NSP는 Sensor CLI 명령을 사용하여 알아야 할 모든 중요 이벤트를 제공합니다. 필요한 정보가 있지만 현재 사용할 수 없는 경우 언제든지 PER을 제출하십시오. 이러한 요청은 이후 NSP 유지 관리 릴리스에 통합됩니다.


NSP는 시간 동기화 중 네트워크 지연을 보상합니까?
아니요. NSP는 동기화 중 네트워크 지연 문제를 해결하기 위한 보상을 하지 않습니다.

Sensor와 Manager 간에 100밀리초의 네트워크 지연이 있을 경우 Sensor 시간이 Manager의 실제 시간보다 100밀리초 느립니다. Sensor에는 Sensor와 Manager를 동기화된 상태로 유지하기 위해 Manager에서 시간 설정을 가져오는 내부 클록이 있습니다. Sensor와 Manager의 연결이 끊기면 내부 클록이 주기적으로 Sensor의 시간을 업데이트합니다. Sensor와 Manager 간의 시간 지연은 해당 Sensor와 Manager 간의 네트워크 지연입니다. Manager와 배포된 다른 Sensor 간에 더 길거나 짧은 지연이 있을 수 있습니다.

Sensor에는 배터리 백업 클록이 없으므로 자체 플래시 메모리에 시간을 기록합니다. 정전이 발생하여 Sensor가 재부팅되고 온라인으로 전환된 경우 Sensor가 관련 Manager에 즉시 연결하지 못할 수 있습니다. 이 경우 Sensor는 플래시에 마지막으로 저장된 시간을 사용합니다. 이 경우에만 Sensor가 플래시에서 시간을 검색합니다. 그렇지 않은 경우에는 플래시에 저장된 시간은 관련이 없습니다.


Sensor는 검역된 호스트에 대한 트래픽을 어떻게 처리합니까?
IPS 검역 기능은 Sensor가 비-컴플라이언트 호스트를 검역하는 동안 호스트가 교정에 액세스할 수 있게 해 줍니다. IPS 검역이 활성화된 경우 Sensor 인라인 모니터링 포트에서 공격이 탐지되면 Sensor는 NAC 제외 목록에 없는 호스트에 대해서만 호스트의 소스 IP 주소 관련 검역 규칙을 만듭니다. Sensor는 NAC 제외 목록에 있는 호스트에서 오는 트래픽은 차단하지 않습니다. 호스트가 NAC 제외 목록에 없을 경우 지정된 기간 동안 검역 테이블에 놓입니다.

Sensor는 포트를 통과하는 모든 트래픽을 검역 테이블을 기준으로 검사하고 검역된 호스트에서 전송되는 패킷을 차단합니다. 따라서 비-컴플라이언트 호스트가 네트워크의 다른 시스템에 피해를 입힐 수 없습니다. 검역되는 동안 호스트가 액세스할 수 있는 특정 IP 주소(예: Remediation Portal 또는 DNS 서버)로 IPS 네트워크 액세스 영역을 구성할 수 있습니다. 따라서 검역된 호스트는 네트워크의 전체 보안을 손상시키지 않으면서 교정 자료에 액세스할 수 있습니다. 검역 대응 옵션이 사용하도록 설정된 시그니처 또는 NAC 정책을 일치시켜 호스트를 검역 테이블에 추가할 수 있습니다.


Manager Disaster Recovery(MDR)에 두 개의 Manager를 구성하여 NSM을 설치한 경우 두 Manager 모두 Sensor 경보 데이터로 업데이트되어야 합니다. Sensor는 경보 정보를 업데이트하기 위해 NSM과 어떻게 통신합니까?
Sensor는 MDR 구성의 두 NSM 모두로 경보를 보내려고 합니다. 경보가 한 NSM으로 성공적으로 전송되면 Sensor 버퍼에서 경보를 제거해도 됩니다. Sensor가 NSM 중 하나로 경보를 보낼 수 없을 경우 경보가 Sensor 버퍼에 저장됩니다. 두 Manager는 다음에 통신할 때 서로의 데이터베이스를 동기화하여 다른 Manager에 수신되지 않았을 수 있는 경보를 업데이트합니다. Manager 간의 원활한 동기화를 위해 각 경보는 고유한 특성으로 태그가 지정됩니다.


NSP의 IPS 검역과 액세스 제어 목록(ACL) 기능은 어떻게 다릅니까?

  • IPS 검역 규칙은 ACL 규칙과는 독립적으로 처리되며 ACL 규칙보다 먼저 평가됩니다.
  • IPS 검역 규칙은 소스 IP로부터 오는 모든 트래픽을 삭제하는 반면 ACL 규칙을 사용하면 삭제할 트래픽의 유형을 더 구체적으로 지정할 수 있습니다.
  • IPS 검역 규칙은 동적으로 생성됩니다. ACL 규칙은 정책을 만들 때 명시적으로 추가해야 합니다.
  • IPS 검역 규칙은 미리 정의된 기간이 지난 후 동적으로 제거할 수 있습니다. ACL 규칙은 정책 업데이트를 통해 명시적으로 제거해야 합니다.


봇네트 공격은 Threat Analyzer에 어떻게 표시됩니까?
트래픽이 발생하면 IP 또는 도메인 이름이 알려진 봇네트 주소인지 확인하기 위해 봇네트 DAT 파일에 대해 주소가 조회됩니다.

데이터가 일치하면 경보가 트리거되고 명령 및 제어(C&C) IP 또는 도메인이 공격자로 표시됩니다. 공격자 주소는 Threat Analyzer 내의 소스 IP 열에 저장됩니다. C&C 주소에 연결 중인 호스트의 주소는 피해자로 레이블이 표시됩니다. 피해자는 Threat Analyzer의 대상 IP 열에 표시됩니다.

플로 방향은 연결을 시작한 쪽을 기반으로 결정되며 시작 플로가 인바운드인지 또는 아웃바운드인지를 나타냅니다.


구성 업데이트 없이 Manager 액션 설정이 즉시 활성화되는 이유는 무엇입니까?
시스템 관리자가 정책 편집기에서 Manager에 대한 액션 설정(예: 자동 수신 확인, SNMP 및 Syslog)을 변경한 경우 구성 업데이트가 필요합니다. 그러나 이러한 설정은 구성 업데이트 없이 즉시 활성화됩니다. 이 동작은 의도된 설계입니다. 현재 NSP 설계 추적 구성은 세부적인 정책 수준에서 변경되며 정책의 변경은 Sensor에 대해 시그니처 파일 푸시가 필요함을 나타냅니다. NSP에는 캐싱 및 증분 업데이트의 도입을 통해 Sensor에 대한 시그니처 파일 업데이트를 개선하기 위한 많은 노력이 이루어졌습니다. 현재 계획은 더 세분화된 수준에서 정책 변경 사항을 추적하는 것이 아니라 시그니처 파일 푸시의 효율성을 개선하는 데 집중하는 것입니다.

즉시 활성화되는 항목 공격 심각도*; 통보, 이메일, 스크립트, 자동 수신 확인, 호출기, SNMP, Syslog
구성 업데이트가 필요한 항목 공격 심각도*, Sensor 액션, 로깅

*공격 심각도 변경 사항은 Manager와 Sensor 모두에 사용됩니다. Threat Analyzer에 표시되는 심각도 변경과 같은 Manager 측 변경은 즉시 적용됩니다. NAC와 같은 Sensor 측 변경은 Sensor 업데이트가 필요합니다.


저위험 및 정보 경고가 Real Time Threat Analyzer(RTTA)에 표시되지 않는 이유는 무엇입니까?
이는 의도된 설계입니다. Historical Threat Analyzer를 사용하여 저위험 및 정보 경보를 보십시오. 


정책 편집기에서 공격이 차단되도록 구성할 수 있습니다. 공격에 대해 'Send alert to the Manager(경고를 Manager로 전송)'가 선택 취소된 경우에도 Sensor가 Manager로 경고를 보내는 이유가 무엇입니까?
이는 의도된 설계입니다. 공격이 차단되기 때문에 Sensor는 관리자가 공격을 차단한 Sensor가 어떤 것인지에 대한 알림을 받을 수 있도록 Send alert to the Manager(경보를 Manager로 전송) 설정에 관계없이 경고를 보냅니다.


RTTA에서 Inbound/Outbound UDP Packet Volume Too High(인바운드/아웃바운드 UDP 패킷 볼륨이 너무 높음) 경보에 대한 경보 세부 정보 화면의 DoS Analysis(DoS 분석) 섹션에 DoS IP Range(DoS IP 범위) 및 Top 3 Attack IP Ranges(상위 3개 공격 IP 범위)가 표시됩니다. 간혹 IP 범위 정보가 표시되지 않고 이 섹션이 비어 있는 이유는 무엇입니까?
이는 의도된 설계입니다. Sensor는 공격을 발견하는 즉시 IP 주소 수집을 시작합니다. Sensor는 IP 주소 정보를 보고하기 위해 경보를 발생시키기 전에 잠시 기다립니다. 그러나 이후 즉시 공격이 중지될 경우 Sensor가 IP 주소 정보를 얻지 못하므로 IP 주소 없이 경보를 발생시킵니다.


NSP Sensor 또는 기타 하드웨어에 대한 기본 설정은 무엇입니까?
하드웨어 전송 속도 데이터 패리티 중지 플로 제어 기본 사용자 기본 암호 SSH 포트
I-시리즈 9600 8 없음 1 없음 관리자 admin123 22
M-시리즈 38400 8 없음 1 없음 관리자 admin123 22
N-시리즈 38400 8 없음 1 없음 관리자 admin123 22
NS-시리즈 115200 8 없음 1 없음 관리자 admin123 22
NTBA 9600 8 없음 1 없음 관리자 admin123 22
XC240 115200 8 없음 1 없음 관리자 admin123 22
AFO 키트 19200 8 없음 1 없음 McAfee McAfee  


네트워크에 MPLS 트래픽이 있을 때 SYN 쿠키가 작동하지 않는 이유는 무엇입니까?
NSP는 Sensor 프록시가 SYN 패킷에 응답할 때 반환 방향에서 사용할 MPLS 태그가 무엇인지 알지 못하므로 MPLS 트래픽에서 SYN 쿠키가 지원될 수 없습니다.

 
MPLS 트래픽을 감지하기 위해 하나의 포트가 구성되어 있고 MPLS 트래픽을 감지하지 못하는 다른 포트가 인라인으로 구성되어 있을 경우 Sensor에서 SYN 쿠키를 사용하도록 설정하면 Sensor가 SYN 플러드를 방지합니까?
예.  인라인 포트 쌍의 정상 트래픽에 대해서는 SYN 쿠키가 계속 작동합니다.

 
트래픽에 VLAN 태그를 사용할 경우 SYN 쿠키를 사용할 수 있습니까? 예를 들어 모든 트래픽에 VLAN 태그가 포함되어 있을 경우 Sensor가 한 VLAN의 트래픽은 감지하지만 다른 VLAN에서는 트래픽을 수신하지 못할 경우 SYN 쿠키가 여전히 작동합니까 또는 SYN 쿠키가 작동하려면 모든 인라인 트래픽에서 VLAN 태그가 없어야 합니까?
VLAN 태그가 지정된 트래픽에 대해 SYN 쿠키가 작동합니다. VLAN 트래픽과 VLAN 태그가 없는 트래픽이 혼합되어 있어도 됩니다. 동일한 인터페이스를 통해 패킷이 반환될 경우 몇 가지 제한이 있습니다.


Sensor 인터페이스가 인라인으로 구성되어 있을 경우 트래픽이 Sensor를 통과할 때 포트 간에 혼선이 발생합니까?
아니요. Sensor는 트래픽 전환이나 라우팅을 수행하지 않습니다. 하나의 인터페이스 쌍(1A/1B, 2A/2B 등)으로 구성된 두 개의 인터페이스는 고정된 방식으로 서로에 바인딩됩니다. 한 인터페이스(예: 1A)의 들어오는 트래픽은 쌍의 일치하는 인터페이스(예: 1B)에서만 Sensor를 떠날 수 있습니다. 이는 Sensor 소프트웨어의 기본 설계 요소입니다. Sensor는 라우팅 또는 전환과 관련된 결정을 내리지 않으므로 Sensor는 장치의 다른 인터페이스로 패킷을 전달하는 기능을 지원하지 않습니다.


인그레스와 이그레스를 포함한 모든 트래픽의 합계가 주어진 특정 시점에 특정 Sensor의 검사 용량보다 클 수 있습니까(예: NS9100의 성능은 10Gbps IPS임)?
아니요. 검사 용량은 Sensor의 모든 포트에 공통/공유됩니다.  Sensor의 정격 용량을 결정하는 것은 이러한 검사 용량입니다.


Sensor DOS 탐지를 학습 모드로 강제 전환/변경하려면 어떻게 해야 합니까?
Denial of Service(서비스 거부), Data Management(데이터 관리)를 선택하고 Rebuild DoS Profile(DOS 프로파일 재구성)을 선택합니다(처음부터 학습 시작).


“정찰 상관 공격”과 “정찰 시그니처 공격”의 차이는 무엇입니까? 두 정찰 공격 모두 “기본 정찰 정책”의 일부입니까?
사용 중인 NSP/NSM 버전에 따라 다릅니다.  8.1 이하의 경우 IPS 정책과 정찰 정책이 모두 사용됩니다. IPS 정책에는 시그니처 기반 공격이 포함되어 있고 정찰 정책에는 상관 기반 공격이 포함되어 있습니다. 그러나 8.2부터는 정찰 공격이 더 이상 존재하지 않으며 시그니처 기반 공격 및 상관 기반 공격 모두 IPS 정책에 포함되어 있습니다.
IPS 정책 편집기에서 둘을 구분하기 위해 McAfee는 각각에 대해 특정 공격 범주(정찰 상관 공격 및 정찰 시그니처 공격)를 도입했습니다.


NS7x00 Sensor의 최대 전력 소비는 250W입니다. 제공된 PSU의 전력 등급이 650W인 이유는 무엇입니까?
McAfee는 NS7x00 시리즈 어플라이언스에 대한 폼 팩터 요구 사항 때문에 이 650W PSU를 사용합니다.


수동으로 검역된 호스트의 웹 브라우저에 검역된 메시지 또는 경고가 표시되지 않으며 Remediation Portal로의 리디렉션이 제공되지 않습니다. 이유가 무엇입니까?
검역된 클라이언트에 브라우저 메시지를 표시하거나 Remediation Portal로 리디렉션하도록 Sensor를 구성할 경우 Sensor에 의해 자동으로 검역된 호스트에 대해서만 이 기능이 구현됩니다. 이는 의도된 설계입니다. 사용자가 Threat Analyzer에서 호스트를 수동으로 검역할 경우 브라우저 메시지와 Remediation Portal 모두 제공되지 않으며 유일한 조치는 호스트를 해당 검역 영역에 추가하는 것입니다.

목차로 돌아가기

 

호환성

M-시리즈 Sensor에서 지원되는 XFP는 무엇입니까?
M-시리즈 Sensor에서는 다음 XFP만 지원됩니다.

  • IAC-1550-CG1(Extended Reach, 단일 모드, 1550nm XFP)
  • IAC-1310-CG1(Long Reach, 단일 모드, 1310nm XFP)
  • IAC-X850-CG1(Short Reach, 다중 모드, 850nm XFP)

중요: 타사 XFP는 지원되지 않습니다.


페일클로즈 또는 SPAN 모드의 M-1250 및 M-1450 Sensor에서 모니터링 포트에 페일클로즈 동글을 구성해야 합니까?  
아니요. I-시리즈 Sensor와는 달리 페일클로즈 또는 SPAN 모드일 때도 M-1250 및 M-1450 Sensor의 모니터링 포트에 페일클로즈 동글을 구성할 필요가 없습니다. 이제 동글 기능이 모니터링 포트 자체에 통합되었습니다.


영어 이외의 모바일 기기에서 NSM에 액세스할 수 없는 이유는 무엇입니까?
영어로 설정된 기기만 지원되므로 영어 이외의 모바일 기기에서 NSM에 액세스할 경우 NSM이 올바르게 작동하지 않습니다. Manager에 액세스하려면 운영 체제의 언어 설정을 영어로 변경하십시오.


NSM이 지원하는 Nessus 버전은 무엇입니까?
Nessus 4 및 Nessus 5.x 스캐너를 사용하여 생성된 Nessus 보고서는 NSM으로 성공적으로 가져올 수 있습니다. 생성된 보고서에 호스트 IP가 정규화된 도메인 이름(FQDN) 또는 NetBIOS 이름으로 포함되어 있을 경우 NSM은 보고서에서 대상 호스트 IP를 확인하지 못하며 해당 호스트에 대한 취약성을 Manager 데이터베이스로 가져오지 못합니다. 점 형식의 유효한 호스트 IP 주소가 포함된 .nessus 형식의 Nessus 4 또는 Nessus 5.x 보고서는 Manager 데이터베이스로 가져옵니다.


트래픽이 PPPoE로 캡슐화되어 있을 경우 Sensor가 공격을 탐지하지 못하는 이유는 무엇입니까? 
PPPoE는 지원되지 않습니다. PPPoE로 캡슐화된 모든 패킷은 탐지되지 않은 채 Sensor에 의해 전달됩니다. 이는 의도된 설계입니다.


다운로드한 시그니처 세트를 모든 장치에 자동 배포하도록 NSM이 구성된 경우 자동 배포가 NSP Sensor에 대해서는 작동하지만 Network Threat Behavior Analysis(NTBA) Sensor에 대해서는 작동하지 않습니다. 이유가 무엇입니까?
NTBA에 대한 자동 배포는 NSM 8.1 이상에서 지원됩니다. 자동 배포를 구현하려면 NSM 8.1.3.6 이상으로 업그레이드하십시오.


M-시리즈 Sensor에 대해 GTP 구문 분석이 지원됩니까?
아니요. GTP 구문 분석은 NS-시리즈 Sensor에서만 지원됩니다.

 
NSP가 이 프로토콜을 사용하여 GRE로 캡슐화된 트래픽 탐지 공격을 검사할 수 있습니까? 
NSP는 GRE로 캡슐화된 트래픽을 검사하고 공격을 탐지할 수 있습니다. 그러나 기본 Sensor 구성은 GRE 터널링 트래픽을 검사하지 않는 것이므로 이 기능을 사용하도록 설정해야 합니다.

 
NSP는 새 HTTP/2 프로토콜(HTTP 2.0) 검색을 지원합니까?
NSP는 현재 HTTP/2를 지원하지 않습니다. 그러나 이후 NSP 릴리스에서는 지원이 제공될 예정입니다.


네트워크 스위치가 AutoMDI/MDI-X를 지원할 경우 Sensor가 AutoMDI/MDI-X를 사용하여 스위치와 Sensor 간에 링크를 설정할 수 있습니까?
예. 그러나 Sensor 포트에서 자동 협상이 비활성화되어 있으면 AutoMDI/MDI-X가 제대로 작동하지 않습니다.  AutoMDI/MDI-X를 사용하여 스위치와 Sensor 간에 링크를 설정하기 전에 Sensor 포트에서 자동 협상을 활성화해야 합니다.

목차로 돌아가기

 

설치/업그레이드

어플라이언스 RMM 소프트웨어를 통해 NSM 어플라이언스 소프트웨어 설치를 수행할 수 있습니까?
아니요. 어플라이언스 RMM 소프트웨어를 통해 NSM 어플라이언스 설치 DVD를 사용하는 것은 지원되지 않습니다. 어플라이언스와 함께 제공된 Intel RMM 소프트웨어를 통해 NSM 어플라이언스 설치 DVD를 사용하려고 하면 예기치 않거나 바람직하지 않은 결과가 발생할 수 있습니다. 서버 위치에서 서버에 직접 연결된 키보드와 마우스를 통해 설치 미디어 인터페이스에 액세스해야 합니다.

여러 NSM 사용권을 단일 설치에 통합하거나 결합할 수 있습니까? 예를 들어 표준 사용권을 보유하고 있는 경우 스타터 팩을 구입하여 8 관리 장치를 사용할 수 있습니까? 
아니요. NSM 사용권은 누적형 사용권이 아닙니다. 단일 NSM에서 6개를 초과하는 Sensor를 관리하려면 Global NSM 사용권을 구입해야 합니다.


Manager를 업그레이드한 후 수동으로 수행하지 않은 Sensor 업데이트 프로세스가 있습니다. downloadstatus 명령을 실행하면 Sensor가 활성 다운로드를 표시하지 않으며 Manager에 최신 시그니처 세트가 있습니다. Manager를 재부팅하면 잠시 후 업데이트 프로세스가 다시 시작됩니다. 그러나 Ems.log에 명확한 푸시가 표시되지 않으며 업데이트된 구성을 Sensor에 푸시하는 사용자 작업이 Sudit 로그에 표시되지 않습니다. 이 업데이트 프로세스가 발생하는 원인은 무엇입니까?
Manager 업그레이드 후 NSM은 최신 시그니처 세트를 컴파일하고 이를 자동으로 Sensor에 푸시합니다.

참고: Sensor에 이미 최신 시그니처 세트가 있으면 이 업데이트가 실패합니다.
 
목차로 돌아가기



구성

SPAN 모드에서 모니터 포트를 사용하여 Sensor 페일오버 쌍을 실행할 수 있습니까?
아니요. 모니터 포트가 인라인 모드에 있을 때만 페일오버 쌍을 만들 수 있습니다. 쌍을 만든 후에는 포트 모드를 변경하거나 수정할 수 없습니다.


NSM에서 삭제할 수 없는 기본 신원 기반 액세스 제어 정책은 무엇입니까?
다음 정책은 삭제할 수 없습니다. 그러나 정책 설정을 편집하여 네트워크 액세스 부여 시 시스템 상태를 고려할지 여부, 그리고 부여할 실제 액세스 수준을 지정할 수 있습니다.

  • Default(기본값)
  • Guest User(게스트 사용자)
  • Self Registered(자체 등록)

공격 이름을 추가하지 않고 무시 규칙을 만들 수 있습니까?
아니요. 무시 규칙에는 공격 이름이 있어야 합니다. 그렇지 않으면 Sensor가 이 유형의 경보 필터를 이해할 수 없습니다. 


특정 IP 주소를 검사에서 제외하려면 어떻게 해야 합니까?
액션을 Stateless Ignore(상태 비저장 무시)로 설정하여 방화벽 규칙을 추가하십시오. 이렇게 하면 FW 규칙 조회/일치를 제외하고 규칙과 일치하는 모든 패킷이 검사를 받지 않고 전달됩니다.


NSP Sensor를 사용하여 액티브-액티브 방식의 고가용성을 구현할 수 있습니까?
Sensor는 항상 액티브-액티브 방식의 고가용성을 제공합니다. 이는 Sensor가 액티브-패시브(한 네트워크 경로가 차단됨)로 사용되는지, 아니면 액티브-액티브로 사용되는지 결정하는 피어 네트워크 장치입니다.


TOR 및 TOR 변종을 차단하려면 어떻게 해야 합니까?
방화벽 정책을 사용하여 차단 또는 허용하거나 검사에서 제외할 측면/개체를 정의하는 액세스 규칙을 만드는 것이 좋습니다. 기존 규칙 개체 아래에 이미 정의된 몇 가지 TOR 및 TOR 변종 응용프로그램이 있습니다. 이 응용프로그램 및 허용하지 않을 다른 P2P 응용프로그램을 사용하여 고유한 응용프로그램 그룹을 만들 수 있습니다.

이 응용프로그램 그룹을 소스/대상 설정과 함께 사용하면 대부분의 TOR 연결 및 변종을 중지할 수 있습니다.


내부 네트워크를 소스(공격자)로 지정하고 임의를 대상으로 지정하여 정찰 공격(취약성 스캐너에서 검색)을 무시하기 위한 무시 정책을 만들었습니다. 그러나 RTTA에 여전히 경보가 표시됩니다. 이유가 무엇입니까? 
무시 규칙을 사용하는 것은 취약성 스캐너를 사용하는 올바른 방법이 아닙니다. 대신 취약성 스캐너로 들어오는 모든 트래픽(상태 비저장 무시 사용)을 무시하는 액세스 규칙방화벽 정책에 추가하고 스캐너에서 나오는 모든 트래픽에 대한 규칙을 하나 더 추가하십시오(두 가지 규칙 사용).



기능

NSP UDS 편집기는 NOT 작업을 지원합니까?
아니요. UDS 편집기는 NOT 작업을 지원하지 않습니다. Sensor 패턴 일치 가속화 하드웨어는 NOT 표현식과 함께 지정된 문자열을 제외한 모든 문자열에 대해 문자열 일치를 수행해야 합니다.
이 유형의 검색은 심각한 성능 문제를 야기하며 효율적인 해결책이 아니므로 수행하지 않는 것이 좋습니다.


UDS 편집기는 와일드카드 문자 검색을 지원합니까?
아니요. 검색에 와일드카드만 사용할 경우 데이터베이스의 모든 레코드가 검색되므로 이 기능은 지원되지 않습니다.


NSP를 호스트하는 서버에서 DCOM 서비스를 끌 수 있습니까?
예. NSP Manager 실행에 영향을 주지 않고 DCOM을 끌 수 있습니다. DCOM 서비스 비활성화와 함께 이것이 다른 프로그램 및 서비스에 주는 영향에 대한 자세한 내용은 http://support.microsoft.com/default.aspx?kbid=825750을 참조하십시오.


UDS 편집기를 사용하여 단일 공백 문자를 검색하려면 어떻게 해야 합니까?
표현식에서 단일 공백을 검색해야 할 경우(예: xyz xyz) xyz xyz를 입력하여 문자열 검색을 수행할 수 있습니다. 단일 공백 검색이나 매우 짧은 문자열 검색은 성능 문제를 야기하고 잘못된 긍정을 생성할 수 있으므로 수행하지 않는 것이 좋습니다.


광섬유 GBIC와 구리선 GBIC 인라인을 Sensor의 동일한 인터페이스 쌍에서 사용할 수 있습니까?
아니요. 동일한 인터페이스 쌍에서 서로 다른 GBIC를 사용할 수 없습니다.


Sensor가 서로 다른 SFP+ 모듈의 두 연결(SR & LR 광섬유 연결)로 구성된 이더채널을 지원할 수 있습니까?
예. Sensor는 이러한 연결로 구성된 이더채널을 지원할 수 있습니다.


MySQL의 오류 코드를 확인하려면 어떻게 해야 합니까?
MySQL에서 perror 명령을 사용하여 생성된 오류 코드를 확인할 수 있습니다. 명령줄 세션을 열고(시작, 실행을 클릭하고 CMD를 입력한 후 확인 클릭) mysql\bin 디렉터리에서 perror <error code> 명령을 입력한 다음 Enter 키를 누릅니다. 예: perror 28 Error code 28: No space left on device(perror 28 오류 코드 28: 장치에 남아 있는 공간이 없습니다.)


NSP Manager 또는 Sensor는 경보 필터에 대한 내부 또는 외부 주소를 어떻게 정의합니까?
구성된 모드에 따라 내부 또는 외부 주소가 정의됩니다.

  • 탭/인라인 모드: 포트 구성에서 내부 포트와 외부 포트를 지정합니다. 경보 필터는 동일한 사양을 사용하여 각각 내부 또는 외부를 정의합니다.
  • SPAN 모드: SPAN에 대한 내부/외부를 검색 및 표시하려면 사용자가 CIDR 기반 VIDS를 구성해야 합니다. CIDR 기반 VIDS가 없으면 Sensor가 패킷을 알 수 없음으로 표시합니다.

양방향 DoS 경보에 패킷 속도 탭이 포함되지 않는 이유는 무엇입니까?
양방향으로 분류된 통계 DoS 경보에 대해 패킷 속도 탭이 없는 이유는 다음과 같습니다.
  • 이러한 통계 경보는 둘 이상의 패킷 유형과 관련됩니다.
  • 두 방향 간에 패킷 플로의 양이 다릅니다.


Threat Analyzer 공격 결과 상태에서 성공과 성공 가능의 차이는 무엇입니까?
공격의 성공 여부를 결정하기 위해 NSP는 공격의 탐지 및 사후 탐지 측면을 모두 검토합니다. NSP는 유선으로 인식된 응답을 기반으로 공격의 성공 여부를 식별합니다.

성공 공격이 성공함
성공 가능 알 수 없는 결과. NSP가 공격의 성공 여부를 결정할 수 없습니다.


Sensor가 RJ-45 포트에서 외부 구리선 바이패스 스위치 구성을 지원합니까?
예. 현재로서는 다음 Sensor 모델에서 포트가 페일클로즈 모드로 구성되어 있으면 RJ-45 포트에 외부 구리선 바이패스 스위치를 구성할 수 있습니다.
  • NS9300
  • NS9200
  • NS9100
  • M-2950
  • M-2850
  • M-1450
  • M-1250
다음 단계에 따라 페일클로즈 모드를 구성하십시오.
  1. Manager에서 Device List(장치 목록)Sensor Name(Sensor 이름)Physical Sensor(물리적 Sensor)Port Settings(포트 설정)를 선택합니다.
  2. 모니터링 포트에서 구성할 포트(번호가 지정된 포트)를 선택합니다.
    현재 포트 설정이 표시된 Configure Monitoring Port(모니터링 포트 구성) 창이 나타납니다.
  3. Operating Mode(작동 모드) 드롭다운 목록에서 In-line Fail-Closed(Port Pair)(인라인 페일클로즈(포트 쌍))를 선택합니다.

    참고: 외부 구리선 바이패스 스위치의 상태는 Manager에 표시되지 않습니다. 마찬가지로, Sensor CLI에서 show intfport 명령을 실행해도 상태가 표시되지 않습니다.
Network Security Platform은 Akamai와 같은 콘텐츠 전송 네트워크에서 오는 실제 클라이언트 IP 주소를 식별할 수 있습니까?
예. XFF(X-Forwarded-For) 옵션을 사용하면 Network Security Sensor가 실제 클라이언트 IP를 기반으로 공격을 탐지하고 차단할 수 있습니다.
참고: 이 기능은 HTTP에만 적용됩니다.


NSP는 SHA-2 서명 인증서에 포함된 비공개 키의 사용을 지원합니까?  
예. SHA-2 서명 인증서가 지원됩니다. 인바운드 SSL 암호 해독 기능은 서버 인증서에 대해 원시 데이터 일치만 수행하고 인증서의 유효성을 검사하지는 않습니다. 따라서 NSP는 SHA-2 서명 인증서에 포함된 비공개 키를 사용하여 암호 해독할 수 있습니다.


clrstat 명령을 사용하여 Sensor 통계를 지운 다음 show sensor-load 명령을 실행하면 Sensor를 통과하는 트래픽이 거의 없는 경우에도 Sensor-load에 90%와 같은 매우 높은 값이 나열됩니다. 이유가 무엇입니까? 
이는 의도된 설계입니다. Sensor의 부하를 계산하는 데 사용되는 카운터가 clrstat에 의해 지워집니다. Sensor가 최신 카운터를 생성하고 정확한 부하가 반영되도록 하려면 20-30초 정도 기다린 후 show sensor-load를 다시 실행하십시오.


TIE/DXL 통합은 모든 Sensor 모델에서 지원됩니까?
아니요. 이러한 기능은 NS-시리즈 Sensor에서만 지원됩니다.
 

명령줄 인터페이스(CLI)에서 Sensor 전원 공급 장치(PSU)의 일련 번호를 얻을 수 있습니까?
아니요. 현재로서는 Sensor 일련 번호를 나열하는 명령이 없습니다.


MD5 파일 해시를 NSP에 업로드하여 파일을 차단할 수 있습니까?
예. 이는 NSP의 고유한 기능이므로 사용자 지정 공격 정의를 만들 필요가 없습니다. NSP Sensor는 해시 블랙리스트 및 화이트리스트를 모두 유지 관리하며 악성 프로그램 정책에 명시된 경우 HTTP, SMTP 및 FTP 플로에서 추출된 파일에 이러한 리스트를 적용합니다. 해시 값을 가져오는 방법에 대한 지침은 해당 릴리스의 IPS 관리 안내서에서 Advanced Malware Policies(진화한 악성 프로그램 정책) 장을 참조하십시오.


Sensor 응답 포트를 사용하여 Sensor를 NTBA 어플라이언스에 연결할 수 있습니까?
아니요. 응답 포트를 모니터 포트로 사용할 수 없습니다.


NSP가 Skype 트래픽을 차단할 수 있습니까?
NSP는 현재 Skype 트래픽을 차단하지 않지만 이후 릴리스에 이 기능이 포함될 예정입니다.


NSP는 진화한 악성 프로그램 정책에 대한 파일 유형을 어떻게 결정합니까?
NSP는 콘텐츠 유형, 파일 확장명, 파일 속성, McAfee 기술의 조합을 사용합니다.


네트워크 케이블을 Sensor 포트에서 분리한 후 포트가 비활성화되어 Manager를 통해 다시 활성화해야 합니다. 이는 올바른 동작입니까?
예. 이는 의도된 설계입니다. Sensor는 포트 "오류"의 원인을 모르므로 포트가 비활성 상태로 표시됩니다. 링크 오류가 해결되면 포트를 다시 활성화할 수 있습니다.
Sensor가 자동으로 포트를 활성화하려고 하면 네트워크가 불안정해질 수 있습니다. 포트가 활성화되지만 오류가 발생하며 기본 문제가 해결되지 않은 상태로 남아 있습니다.


이 동작을 수정할 수 있습니까?
수동 페일오픈 키트(외부 또는 기본 제공)를 사용 중이면 이 동작을 수정할 수 있습니다.
자세한 내용은 사용 중인 릴리스의 CLI 안내서에서 setfailopencfg restore-inline 명령에 대한 정보를 참조하십시오.


공격 패킷이 Sensor에 의해 차단될 경우 NSP가 XFF(X-Forwarded-For) 헤더 정보를 검색하지 않는 이유는 무엇입니까?
NSP Sensor가 공격 패킷을 차단한 경우 Forwarded Layer7 정보를 볼 수 없습니다. 이는 의도된 설계입니다.


사용자 지정 UDS를 만들면 이 UDS가 다른 모든 시그니처 위에 배치됩니까 아니면 다른 모든 시그니처의 끝에 배치됩니까 ?
사용자 지정 UDS는 공격/시그니처의 정의를 지원하며 모든 공격 목록에 추가됩니다. 그러나 방화벽 ACL 규칙과는 달리 공격 탐지에 대한 특별한 순서는 없습니다.


페일오버(FO) 어플라이언스를 예비로 전환할 수 있습니까?
아니요. 가능하지 않습니다. FO 모델을 표준 모델로 업그레이드할 수는 있지만 FO 모델을 예비 모델로 다운그레이드할 수는 없습니다. 자세한 내용은 영업 담당자에게 문의하십시오.
 

Top 10 Attack Source Countries(상위 10개 공격 소스 국가) 보고서에 있는 항목 중 하나의 제목이 AP입니다. 이것은 무엇을 의미합니까?
특정 발생 국가가 알려지지 않은 경우에 사용되는 문자입니다. 자세한 내용은 http://dev.maxmind.com/geoip/legacy/codes/iso3166/을 참조하십시오.


페일오버 Sensor는 액티브-액티브 설정에서 작동합니까 아니면 페일오버 액션을 트리거하는 하트비트와 함께 액티브-대기 설정에서 작동합니까?
NSP Sensor는 항상 액티브-액티브로 작동합니다. 페일오버 케이블은 항상 각 Sensor의 모든 트래픽을 다른 Sensor에 복사합니다. 따라서 오류가 발생할 경우에도 트래픽이 항상 흐릅니다.


Sensor는 트래픽을 라우팅합니까?
아니요. Sensor는 트래픽 라우팅/페일오버에 참여하지 않습니다. 이 작업은 전적으로 네트워크 스위칭/라우팅 아키텍처에 의해 수행됩니다.

NSP는 검색을 위해 PNG, JPG 또는 기타 그림 유형 파일을 ATD에 제출할 수 있습니까?
NSP는 플로에서 그림 파일을 추출할 수 없습니다. 이러한 파일은 NSP가 추출하고 ATD로 보내는 zip 파일의 일부일 수는 있습니다. 그러나 NSP는 독립형 그림 파일을 추출하지 않습니다.

목차로 돌아가기


공유 비밀 키

 

어떤 상황에서 SSL 키를 Manager로 가져오기 위해 다시 가져오기를 사용합니까?
Manager에 이미 있는 키를 다시 가져올 때만 다시 가져오기를 사용합니다. SSL 업데이트가 아직 Sensor에 푸시되지 않은 경우 다시 가져오기를 여러 번 사용하여 Manager에 있는 기존 키를 바꿀 수 있습니다. 이전 SSL 키를 새 키로 바꾸려는 경우에는 다시 가져오기를 사용하지 마십시오.


이전 SSL 키를 Sensor에서 삭제하고 수동 삭제 후 새 SSL 키를 가져오는 것이 올바른 갱신 절차입니까?
예. 이전 SSL 키를 삭제한 후 새 SSL 키를 Manager로 가져오고 SSL 업데이트를 Sensor에 푸시하는 것이 좋습니다.


새 SSL 키를 가져오거나 다시 가져오고 Manager에서 Sensor로 푸시한 후 Sensor 재부팅이 필요합니까?
Sensor 재부팅은 Sensor에서 SSL 기능을 활성화 또는 비활성화할 경우에만 필요합니다. SSL 키 가져오기/다시 가져오기 후에는 필요하지 않습니다.


SSL 키를 바꾼 후 Alert Manager에 'SSL: 잘못된 상태 변환 경보(0x00006000)'가 표시되는 이유는 무엇입니까?
새 SSL 인증서가 Sensor에 푸시되고 있을 때 활성 HTTP 플로가 있는 경우 Alert Manager에 이러한 경보가 표시될 수 있습니다. 이 동작이 계속되면 기술 지원에 문의하고 SSL 키 가져오기/갱신 도중과 이후의 패킷 캡처를 제출하십시오.

 
Alert Manager에 'SSL: 잘못된 상태 변환 경보(0x00006000)'가 표시되는 이유는 무엇입니까? 잘못된 긍정 탐지입니까? 
KB55743에 설명된 대로 해당 경보에 대한 증거 보고서를 수집한 다음 Wireshark와 같은 패킷 sniffer를 사용하여 증거 보고서에 생성된 패킷 로그를 열고 사용된 TLS/SSL 버전을 확인하십시오. NSP Sensor는 현재 TLS v1.1 및 v1.2를 지원하지 않으므로 이 경보를 트리거합니다. 이 트래픽을 무시하는 공격 필터를 만들거나 지원되는 SSL/TLS 버전(SSLv2, SSLv3, TLSv1.0)을 사용하십시오.
 

Sharedsecretkey 명령을 사용하여 공유 비밀 키를 설정할 경우 크기 제한이 있습니까?
NSP 공유 비밀 키는 최소 8자, 최대 25자여야 합니다. 키는 느낌표로 시작하거나 공백을 포함할 수 없습니다.

목차로 돌아가기
 

NSP 및 GTI

GTI란 무엇입니까?
GTI는 글로벌 메시징 및 통신 동작에 대한 글로벌 위협 상관 엔진 및 인텔리전스 베이스로서, 모든 위협 영역에 대한 알려진 위협과 새롭게 부상하는 전자적 위협 모두로부터 고객을 보호할 수 있도록 해줍니다.


GTI가 사용하는 포트는 무엇입니까?
 
설명
프로토콜
초기자
소스 포트
대상 포트
참여 정보를 보내는 경우
TCP
Manager
임의
HTTPS/443
 
 
설명
프로토콜
초기자
소스 포트
대상 포트
대상 주소
McAfee IP 평판 쿼리를 보내는 경우
TCP
Manager 및/또는 Sensor
임의
HTTPS/443
tunnel.web.trustedsource.org
McAfee 파일 평판 쿼리를 보내는 경우 UDP Sensor 임의 DNS/53 avqs.mcafee.com

참고:
  • IP 평판을 이전에는 TrustedSource라고 했습니다.
  • 파일 평판을 이전에는 Artemis라고 했습니다.

Sensor가 GTI 쿼리에 사용하는 정보는 무엇입니까?
5개 연결 튜플(소스 IP, 대상 IP, 소스 포트, 대상 포트 및 프로토콜)입니다.


NSP Manager가 GTI 쿼리에 사용하는 정보는 무엇입니까?
5개 튜플 및 사용 가능한 추가 공격 정보(공격 이름, 공격 시간, 범주, 개수, 대상 OS, 탐지 메커니즘, 공격 방향, 악성 프로그램 URL, NSP 공격 ID, 결과, 시그니처 ID, 소스 OS, 하위 범주 및 공격 유형)입니다.

참고: 전송되는 항목을 자세히 보려면 Manager에서 GTI Participation(GTI) 참여 페이지를 참조하십시오. Configure(구성), Integration(통합), GTI Participation(GTI 참여)을 선택합니다.
 
GTI 쿼리는 어디로 전송됩니까?
Sensor는 mcafee.com에 대해 특수 DNS 쿼리를 수행합니다. Manager 쿼리는 https://tunnel.web.trustedsource.org에서 처리됩니다.
 
 
특정 사이트 또는 주소의 평판을 보려면 어떻게 해야 합니까?
www.trustedsource.org에서 제공하는 조회 도구를 사용하십시오.
 
 
조회하는 주소에 다른 평판이 표시되는 이유는 무엇입니까?
GTI는 많은 요소를 사용하여 특정 연결에 대한 평판을 결정합니다. 포트 80 또는 8080에 연결하는 경우 웹 평판이 사용됩니다. 포트 25로 연결하는 경우 메일 평판이 사용됩니다. 다른 모든 포트는 IP 평판을 사용합니다. IP 평판은 웹 및 메일 평판의 조합일 수 있으며 시간이 지나 더 많은 데이터가 수집되면 고유한 값을 가지게 됩니다.
 
 
McAfee는 특정 IP 주소에 대한 평판을 조정할 수 있습니까?
www.trustedsource.org에서 쿼리를 수행하면 위협 피드백에 대한 옵션이 제공됩니다. 이 양식을 사용하여 검토를 요청하십시오. 또는 이메일로 특정 IP에 대한 검토를 요청할 수 있습니다. 웹 평판의 경우 sites@mcafee.com에 문의하십시오. 네트워크 및 메일 평판의 경우 trusign-feedback@mcafee.com에 문의하십시오. 문의할 때는 항상 사용 중인 IP 주소, 포트 및 트래픽 유형을 포함시킵니다.
 
GTI에 대한 추가 정보는 어디에서 찾을 수 있습니까?
제품 버전에 해당하는 Network Security Platform Integration Guide(Network Security Platform 통합 안내서)를 참조하거나 www.trustedsource.org로 이동하십시오. 


NSP Sensor는 감지하는 모든 트래픽에 대해 GTI IP 조회를 수행합니까?
기본적으로 그렇지 않습니다. Endpoint Reputation Analysis(엔드포인트 평판 분석)를 활성화하여 모든 트래픽에 대해 GTI 조회를 수행하도록 Sensor를 구성할 수 있습니다.
 
 
참고: 현재 NSP는 스마트 차단 연결 제한 기능을 사용하여 IP 평판을 사용할 수 있습니다. 현재로서는 NSP에 IP 평판을 사용하여 콜백을 탐지하는 기능이 없습니다.


GTI에 의해 탐지된 파일을 추가 분석을 위해 NSP 내에서 열 수 없습니다. 이유가 무엇이며 GTI에 의해 탐지된 파일을 열려면 어떻게 해야 합니까?
이러한 파일은 GUI를 통해 내보내더라도 암호화되어 있습니다. MalwareDecrypter.bat 유틸리티를 사용하여 파일을 암호 해독해야 합니다. 이 유틸리티의 파일 위치는 다음과 같습니다.

<NSM_INSTALL_DIR>/diag/MalwareUtil/MalwareDecrypter.bat

참고: 매개 변수를 지정하지 않고 파일을 실행하면 사용 가능한 옵션이 표시됩니다.
 
 
파일 암호 해독에 대한 추가 정보는 어디에서 찾을 수 있습니까?
Network Security Platform Manager 관리 안내서의 "Archive malware file(악성 프로그램 파일 보관)" 섹션 및 사용 중인 제품 버전에 해당하는 Network Security Platform IPS 관리 안내서를 참조하십시오.
공격 범위
VU922681(범용 플러그 앤 플레이 libupnp SSDP 요청 원격 코드 실행)에 설명된 취약성이 NSP IPS 시그니처에 의해 탐지됩니까?
예. VU922681은 공격 0x47a00100 “UPnP: 일반 버퍼 오버플로” 범위에 포함됩니다.

목차로 돌아가기
 

NSP 및 NAC

NSP에서 기본 신원 기반 액세스 제어 정책이 사용되는 경우는 언제입니까?
기본 신원 기반 액세스 제어(IBAC) 정책은 NSP에 IBAC가 구성되어 있는 경우 다음 시나리오에서 사용됩니다.
  • 해당 사용자 이름이 정의된 (비기본) IBAC 정책과 일치하지 않는 경우
  • Sensor와 Manager 간의 연결이 끊긴 특수한 경우
     


NSP에서 NAC 및 802.11Q 구현은 무엇입니까?
NSP의 현재 NAC 구현은 NAC 모니터링 포트에서 관찰되는 여러 VLAN의 트래픽에서 NAC를 지원합니다. Sensor NAC 모니터링 포트는 하나의 VLAN을 사용하여 구성됩니다. 그러나 로컬 인프라는 Sensor NAC 모니터링 포트의 VLAN과 NAC 모니터링 또는 실시가 필요한 호스트가 있는 다른 모든 VLAN 사이의 VLAN 간 통신(VLAN 간 라우팅)을 지원해야 합니다.


 NSP NAC 암시적으로 신뢰할 수 있는 호스트란 무엇입니까?
다음 IP 주소는 Network Security Sensor에 의해 NAC 실시에서 자동으로 제외됩니다.

  • Sensor 모니터링 포트 IP
  • Sensor 관리 포트 IP
  • NSM IP(MDR 모드인 경우 두 Manager 모두 추가됨)
  • McAfee NAC 서버 IP
  • Guest Client Portal IP
  • Remediation Portal IP
  • VPN 집중 장치 IP
     

NSP DHCP NAC 모드에서 지원되는 DHCP 서버 구현은 무엇입니까?
NSP가 DHCP NAC 모드에서 작동하도록 구성되어 있는 경우 두 가지 유형의 DHCP 서버 구현 접근 방법을 사용할 수 있습니다.

  • 통합 DHCP 서버
    이 구현에서는 단일 DHCP 서버가 정상 및 비정상 호스트에 IP 주소를 할당합니다. 사용자 클래스를 사용하여 DHCP 서버가 구성되고 DHCP 검색 패킷의 사용자 클래스 필드를 기반으로 IP 주소를 할당합니다. 각 사용자 클래스에는 사용자 클래스에 고유한 매개 변수(예: DNS IP, 기본 게이트웨이 및 정적 라우트)가 정의되어 있을 수 있습니다. 사용자 클래스는 프로덕션, 검역 및 사전 승인 네트워크에 대해 정의될 수 있으며 각각 자체의 정의된 IP 풀 및 매개 변수를 가집니다.
     
  • 별도의 DHCP 서버
    이 접근 방법을 사용할 경우 정상(프로덕션 IP 풀) 및 비정상(사전 승인 및 검역) 호스트에 대해 두 개의 개별 DHCP 서버가 구성됩니다. 각 DHCP 서버는 독립적 구성 정보를 가집니다. 하나는 정상 호스트에 대한 구성 정보이고 다른 하나는 비정상 호스트에 대한 구성 정보입니다.
목차로 돌아가기
 

이기종 시그니처 세트

이기종 시그니처 세트란 무엇입니까?
이전 버전 NSP에서는 Sensor와 동일한 포인트 버전의 NSM 소프트웨어(8.x, 7.x)를 실행해야 했습니다. 여러 포인트 버전의 Sensor 소프트웨어를 관리하는 경우에는 각 포인트 버전 Sensor 소프트웨어에 대해 별도의 NSM이 필요했습니다. 이 문제를 해결하기 위해 McAfee는 이전 버전 Sensor 소프트웨어를 관리하는 기능을 NSM에 추가했습니다. 예를 들어 NSM 8.3은 소프트웨어 8.x 및 7.x가 설치된 Sensor를 관리할 수 있습니다. 이 기능을 지원하기 위해 McAfee는 각 Sensor 소프트웨어 버전에 대한 모든 시그니처가 포함된 이기종 시그니처 세트를 개발했습니다.

이기종 시그니처 세트는 모든 주 버전 릴리스가 통합된 단일 시그니처 세트에 포함되어 있는 형식입니다. 관리자는 Manager가 모든 Sensor를 관리하는 데 사용할 단일 시그니처 세트를 다운로드하여 적용합니다. 

NSM 7.x 이상에서는 이기종 시그니처 세트만 허용하고 동일(단일 버전) 시그니처 세트는 지원하지 않습니다.


모든 시그니처 세트가 이기종으로 이동될 예정입니까? 
McAfee는 동일 시그니처 세트의 릴리스를 중단했습니까?
예. McAfee는 동일 시그니처 세트의 릴리스를 중단했습니다. 이제 모든 시그니처 세트가 이기종입니다.


이기종 시그니처 세트에는 무엇이 포함되어 있고 번호 지정 체계는 무엇이며 시그니처 세트 번호에서 구할 수 있는 추가 정보는 무엇입니까?
이기종 시그니처 세트에는 새롭게 통합된 형식의 개별 주 버전 시그니처 세트가 두 개 이상 포함되어 있습니다. 번호 지정 체계는 다음과 같습니다. sigsetW.X.Y.Z. 여기서 각각의 의미는 다음과 같습니다.
  • W는 지원되는 가장 높은 Sensor 소프트웨어 릴리스를 나타냅니다.
  • X는 지원되는 가장 낮은 Sensor 소프트웨어 릴리스를 나타냅니다.
  • Y는 시그니처 세트 릴리스 버전 번호를 나타냅니다.
  • Z는 빌드 버전을 나타냅니다.

    예를 들어 시그니처 세트 8.7.1.1은 이 시그니처 세트가 8.x 및 7.x  Sensor를 지원한다는 의미입니다.
     
McAfee는 어떻게 이기종 시그니처 세트를 테스트합니까?
McAfee는 모든 Sensor 소프트웨어 버전과의 호환성을 보장하기 위해 이기종 시그니처 세트를 테스트하는 포괄적인 테스트 방법을 보유하고 있습니다. 일반 시그니처 세트를 사용하여 수행하는 모든 테스트 외에도 McAfee는 이기종 시그니처 세트가 여러 Sensor 소프트웨어 버전이 사용되는 이기종 환경에서 제대로 작동하는지 확인하기 위해 추가 테스트 사례를 수행합니다.


이기종 시그니처 세트를 사용하기 위해 Manager 구성을 변경해야 합니까?
아니요.


모든 주 릴리스(예: 7.x, 8.x)에 대해 서로 다른 이기종 시그니처 세트가 제공될 예정입니까?
현재 지원되는 모든 Sensor 버전에 대한 모든 시그니처가 포함된 하나의 이기종 시그니처 세트만 제공될 예정입니다. 예를 들어 8.7.1.1은 버전 8.x 및 7.x를 실행하는 모든 Sensor를 지원합니다.

목차로 돌아가기
 


히트가 없는 Sensor 재부팅
히트가 없는 Sensor 재부팅이란 무엇입니까?
NSP는 이제 히트가 없는 재부팅 및 업그레이드를 지원합니다. 따라서 Sensor 재부팅에 걸리는 시간이 줄어들고 트래픽 중단이 방지됩니다.


히트가 없는 재부팅은 어떻게 작동합니까?
히트가 없는 재부팅은 Sensor에서 선택된 프로세스만 다시 시작합니다. 데이터 경로가 트래픽을 전달하는 동안 Sensor가 계층 2 패스스루 모드로 들어가고 재부팅됩니다. 전체 Sensor가 작동 중단되는 것이 아니므로 재부팅 시간도 대폭 줄어듭니다.


어떤 상황에서 히트가 없는 재부팅이 발생합니까?
내부 오류에서 복구해야 할 경우 Sensor는 항상 히트가 없는 재부팅을 시도합니다. Sensor 명령줄 또는 NSM에서 히트가 없는 재부팅을 시작할 수도 있습니다. 히트가 없는 재부팅이 가능하지 않을 경우 Manager로 통보가 전송되고 전체 재부팅이 발생합니다.


모든 Sensor 업그레이드는 히트가 없는 업그레이드입니까?
Sensor 소프트웨어 변경 시 전체 재부팅이 필요한지 여부에 따라 달라집니다. Sensor 업그레이드가 완료되면 소프트웨어 버전에 따라 히트가 없는 재부팅 옵션이 나타납니다.


히트가 없는 재부팅의 제한 사항은 무엇입니까?
소프트웨어 코드에 커널 수준 변경 또는 내부 스위치가 있는 경우 업그레이드 시 히트가 없는 재부팅이 지원되지 않습니다. 또한 Sensor가 내부 오류에서 복구할 수 없는 경우 15분 동안 세 번의 자동 복구 시도가 수행되며, 다음 자동 복구 시도 시 Sensor는 계층 2에 남아 있거나 전체 재부팅을 위해 작동이 중단됩니다.


히트가 없는 재부팅 실패의 일반적인 몇 가지 원인은 무엇입니까?
Sensor의 데이터 경로를 초기화할 수 없거나 데이터 경로가 준비 상태를 보고하지 않을 경우 히트가 없는 재부팅이 실패합니다.
 
 

진화한 악성 프로그램 탐지

FTP 파일 전송이 차단될 수 있습니까?
아니요. Sensor는 FTP 파일 전송을 일관되게 차단할 수 없습니다. FTP의 경우 최선의 방식으로 차단이 수행되며 이는 FTP 프로토콜의 제한 때문입니다.

FTP 전송의 경우 파일 크기 정보를 사용할 수 없으므로 Sensor는 언제 전송이 완료되었는지를 확실하게 알 수 없습니다.
Sensor가 크기를 확인할 수 있는 유일한 방법은 데이터 연결이 종료(TCP FIN이 수신됨)될 때입니다. 그러나 이는 파일이 이미 전송되었음을 의미합니다.

Threat Analyzer의 공격 결과에 관계없이 FTP 파일 전송에는 차단이 지원되지 않습니다. 이는 문제로 간주되지 않으며 FTP 프로토콜로 인한 제한일 뿐입니다. Sensor는 파일을 추출하고 악성 프로그램이 포함되어 있는지 분석하고 경보를 발생시킵니다.

목차로 돌아가기


Network Security Platform 8.3
NSM 8.3에서 Real-time Threat Analyzer를 사용하려면 어떻게 해야 합니까?
NSM 8.3 이상의 경우 Real-time Threat Analyzer가 Threat Explorer로 대체되었습니다. Real-time Threat Analyzer를 사용해야 할 경우 다음 단계를 수행합니다.
  1. Manager 서버의 Windows 탐색기에서 C:\Program Files\McAfee\Network Security Manager\App\config로 이동합니다.
    참고: NSM을 다른 위치에 설치한 경우 이 경로가 다를 수 있습니다.
  2. ems.properties 파일을 찾아서 Windows 메모장에서 엽니다.
  3. 다음 항목을 추가합니다.

    iv.ui.ta.display.isEnabled=true
     
  4. 파일을 저장하고 NSM 서비스를 다시 시작합니다.

NSM 8.3에서 지원하는 Sensor 모델은 무엇이고 NSM 8.3의 시그니처 세트 배포를 지원하는 Sensor 모델은 무엇입니까? 
NSM 8.3은 최신 시그니처 세그먼트를 지원하며 M-시리즈, NS-시리즈VM-시리즈 Sensor에 자동으로 배포할 수 있습니다.
참고: I-시리즈 Sensor는 지원되지 않으며 EOL되었습니다.


이전에 내보낸 무시 규칙을 가져오려면 어떻게 해야 합니까?
이 기능은 NSM 8.3에서 업데이트되었으며 무시 규칙을 가져오는 단계가 이전 버전과 다르게 변경되었습니다. 이전에 내보낸 무시 규칙을 NSM 8.3으로 가져오려면 Policy(정책)Intrusion Prevention(침입 방지)Advanced(고급)Policy Import(정책 가져오기)Ignore Rules(무시 규칙)를 선택합니다.


이전에 내보낸 사용자 지정 공격을 가져오려면 어떻게 해야 합니까?
이 기능은 NSM 8.3에서 업데이트되었습니다. 이전에 내보낸 사용자 지정 공격을 가져오려면 Policy(정책)Policy Types(정책 유형)IPS Policies(IPS 정책)Custom Attacks(사용자 지정 공격)Other Actions(기타 액션)Import(가져오기)를 선택합니다.


NSM 8.3으로 업그레이드한 후 공격 로그에 이전 경보가 표시되지 않습니다. 이전 경보를 보려면 어떻게 해야 합니까?
업그레이드 수행 시 추가 스크립트를 실행할지 묻는 경고 메시지가 표시되면(데이터베이스에 백만 개 이상의 경보가 있는 경우 발생함) Network Security Platform 8.3 Installation Guide(Network Security Platform 8.3 설치 안내서)(PD26343)의 "Run additional scripts(추가 스크립트 실행)" 섹션에 설명된 대로 스크립트를 실행하십시오. 그렇지 않으면 이전 공격 로그가 표시되지 않습니다.
 
초과된 경보 데이터에 대해 경고가 표시되지 않거나 공격 로그를 보는 데 문제가 있을 경우 기술 지원을 통해 사례를 열고 문제 해결을 위한 추가 지원을 받으십시오.
 
  

고지 사항

이 문서의 원본은 영어로 작성되었습니다. 영어 내용과 번역 간에 차이가 있으면 영어 내용이 항상 가장 정확합니다. 이 내용 중 일부는 Microsoft 에서 번역한 기계 번역을 사용하여 제공됩니다.

이 문서 등급 평가

Beta Translate with

Select a desired language below to translate this page.