사용자는 성능 향상을 원할 수 있습니다. 스캔의 속도 및 정확성을 개선하고자 할 수도 있습니다. 또는 스캔에 필요한 네트워크 리소스를 절약하고자 할 수도 있습니다. 다음 섹션은 스캔 조정을 위한 유용한 방법 및 스캔 템플릿 이용 지침을 제공합니다.
스캔을 조정할 때는 세심한 주의가 필요합니다. 특정한 성능 향상을 위해 한 가지 설정을 변경하는 경우 다른 측면에서 성능이 저하될 수 있습니다. 스캔 템플릿을 조정하기 전에 다음과 같은 두 가지 사항을 유의해야 합니다.
목표와 이러한 목표가 “세 가지” 성능 측면과 어떻게 관련되어 있는지 파악하십시오. 성능 조정의 “세 가지” 고려 사항을 참조하십시오. 이를 통해 사용자 환경에 더욱 의미 있는 방식으로 스캔 템플릿 구성을 검토할 수 있습니다. 설정을 변경하기 전에는 항상 스캔 템플릿의 요소를 상세하게 검토하십시오.
또한 스캔 성능을 조정하기 위해서는 애플리케이션 작동 방식을 새롭게 활용하거나 더욱 상세하게 파악해야 할 수도 있습니다. 무엇보다도 사용자의 특수한 네트워크 환경을 파악해야 합니다.
이 소개 섹션은 스캔 성능을 조정하는 이유 및 여러 기본 스캔 템플릿을 통해 다양한 스캔 요구 사항을 충족하는 방법을 설명합니다.
또한 모든 기본 스캔 템플릿 및 활용 사례가 비교 설명된 부록을 참조하십시오.
기본 템플릿을 상세히 파악하면 고유한 템플릿을 사용자 지정하는 데 유용합니다. 기본 템플릿의 설정 중 원하는 여러 설정을 포함하는 사용자 지정 템플릿을 생성할 수 있으며 몇 가지 설정만 사용자 지정하거나 템플릿을 처음부터 새로 생성할 수 있습니다.
사용자 지정 스캔 템플릿을 생성하려면 다음 섹션을 참조하십시오.
스캔 성능을 조정하기 전에 이러한 조정의 목적이 무엇인지 명확히 파악하십시오. 변경하려는 사항은 무엇입니까? 어떠한 성능 향상이 필요합니까? 스캔 실행 속도를 개선해야 합니까? 스캔의 정확도를 개선해야 합니까? 리소스 부담을 줄여야 합니까?
다음 섹션을 통해 이러한 질문에 대한 상세한 답을 확인할 수 있습니다.
다음의 시나리오와 같이 전반적인 스캔 속도 향상이 사용자의 목표일 수 있습니다.
注意: 스캔에 너무 오랜 시간이 소요되는 경우 해당 스캔을 종료하고 기술 지원에 문의하십시오.
다음의 시나리오와 같이 리소스 절약이 사용자의 목표일 수 있습니다.
다음의 시나리오와 같이 스캔이 제공하는 정보가 사용자에게 충분하지 않을 수 있습니다.
스캔 설정을 조정하면 하나 이상의 주요 성능 범주가 영향을 받게 됩니다.
이러한 범주는 앞의 섹션에서 설명된 다음과 같은 일반적인 성능 조정 목표를 반영합니다.
이 세 가지 성능 범주는 서로 관련되어 있습니다. 이러한 범주를 삼각형으로 나타낼 수 있습니다.
이 삼각형의 한 변을 늘리면—즉 한 가지 성능 범주를 확대하는 경우—다른 두 가지 변 중 하나 이상이 줄어 들게 됩니다. 삼각형의 모든 세 변이 늘어나도록 조정할 수는 없습니다. 하지만 세 변 중 두 변을 늘릴 수는 있습니다.
스캔 실행에 더 많은 시간을 할당하면 일반적으로 스캔 속도가 향상됩니다. 전 세계의 다양한 지역에서 경매를 진행하는 기업을 이러한 활용 사례로 들 수 있습니다. 이 기업의 자산은 1,000개가 조금 넘습니다. 이 기업은 경매가 진행 중일 때는 신속한 처리가 필요한 데이터를 네트워크를 통해 중단 없이 전송해야 하므로 스캔을 실행할 수 없습니다. 이 기업은 여러 시간대에 경매를 진행하므로 스캔 일정이 복잡합니다. 스캔 기간은 매우 촉박합니다. 이 기업을 위한 최고의 방법은 스캔을 최대한 빨리 완료할 수 있도록 많은 대역폭을 사용하는 것입니다.
이 경우 정확성을 유지하면서 스캔 시간을 단축할 수 있습니다. 하지만 과도한 워크로드로 인해 리소스 사용량이 증가해 스캔 메커니즘이 불안정해질 수 있습니다. 이런 경우 자격 증명 기반 스캔을 해제해 정확도 수준을 낮추어야 할 수 있습니다.
스캔 속도를 개선하는 방법으로는 다음을 포함한 여러 가지가 있습니다.
注意: 스캔 엔진을 추가로 구축하면 대역폭 가용성이 저하될 수 있습니다.
스캔 정확도가 향상되면 더 많은 보안 관련 정보가 수집됩니다.
정확성을 개선하는 방법은 여러 가지가 있으며 성능 삼각형 원리에 따라 각각의 방법 사용 시 “성능 저하”가 나타나는 측면이 발생합니다.
검색되는 자산, 서비스 또는 취약점 검사의 수를 늘립니다. 이 경우 더 많은 시간이 걸립니다.
정책 규정 준수 및 핫픽스 검사를 더욱 “세부적으로” 스캔합니다. 이러한 유형의 검사에는 자격 증명이 필요하며 더욱 많은 시간이 걸릴 수 있습니다.
자산을 더욱 자주 스캔합니다. 예를 들어 웹 서버나 VPN(Virtual Private Network) 집중기와 같은 주변 네트워크 자산은 인터넷에 노출되므로 해킹에 더욱 취약합니다. 이러한 자산은 자주 스캔하는 것이 좋습니다. 이 경우 대역폭 사용 또는 스캔 시간이 증가할 수 있습니다. 특히 웹 사이트는 파일 구조가 복잡해 스캔 시간이 더욱 많이 걸릴 수 있습니다.
네트워크 서비스를 스캔할 때 라이센스 제한에 유의하십시오. 이 애플리케이션이 서비스에 접속을 시도할 때 애플리케이션은 해당 서비스에 대한 “클라이언트” 또는 사용자로 나타납니다. 해당 서비스가 지원할 수 있는 동시 클라이언트 연결 수는 제한되었을 수 있습니다. 애플리케이션이 접속을 시도할 때 이러한 클라이언트 연결 수 제한에 도달한 경우 해당 서비스는 이러한 시도를 거부합니다. 이는 주로 텔넷 기반 서비스에서 발생합니다. 애플리케이션이 스캔하려는 서비스에 접속할 수 없는 경우 이러한 서비스는 스캔 데이터에 포함되지 않으므로 스캔 정확성이 저하됩니다.
리소스 가용성 증대란 스캔에 필요한 대역폭이 절감되는 것입니다. 또한 이 경우 특히 32비트 운영 체제에서 RAM 사용량이 감소합니다.
대역폭 가용성을 사용자 환경의 4가지 측면과 관련해 검토하십시오. 이 중 한 가지 이상에서 병목 현상이 발생할 수 있습니다.
이 중 대상 자산이 실행되는 네트워크의 경우 총 대역폭의 일부가 업무 용도로 항상 사용되기 때문에 문제가 될 수 있습니다. 이는 특히 워크스테이션이 실행되고 노트북이 네트워크에 연결되는 업무 시간대에 스캔 일정이 설정된 경우에 문제가 됩니다. 또한 백업 프로세스가 진행되는 업무 외 시간에 대역폭 공유로 인한 문제가 발생할 수 있습니다.
관련된 중요한 대역폭 메트릭으로는 스캔 시 교환된 데이터 패킷의 수 및 상관관계를 파악하는 방화벽 상태 두 가지가 있습니다. 애플리케이션이 전송하는 초당 패킷(pps) 수가 너무 많으면(특히 서비스 검색 및 취약점 검사 단계 시), 방화벽의 연결 상태 추적 용량이 초과될 수 있습니다. 이 경우 방화벽이 요청 패킷 또는 대상 자산의 응답 패킷을 삭제하기 시작하여 부정 오류가 발생할 수 있습니다. 따라서 대역폭 사용이 증가하면 정확도가 감소할 수 있습니다.
대역폭을 얼마나 사용해야 하는지에 대한 정해진 기준은 없습니다. 조직의 평균 대역폭 사용량 및 조직이 처리할 수 있는 최대 대역폭을 파악해야 합니다. 또한 애플리케이션이 사용하는 대역폭의 양을 모니터링하고 적절히 조정해야 합니다.
예를 들어 사용자의 네트워크가 서비스 중단 없이 최대 10,000pps를 처리할 수 있으며 일반적인 업무 프로세스에 평균 3,000pps가 필요한 경우 애플리케이션이 사용하는 대역폭은 7,000pps 이내로 조정해야 합니다.
대역폭 제어를 위해 스캔 템플릿을 설정할 때의 주요 요소는 스캔 스레드 및 최대 동시 스캔 포트입니다.
대역폭을 절약할 때 주로 나타나는 문제는 시간입니다.
예를 들어 미국의 한 지역에서 풀서비스 화물 자동차 휴게소를 운영하는 기업이 있습니다. 이 기업의 보안 팀은 중앙 사무소에서 여러 원격 위치를 스캔합니다. 네트워크 연결 유형으로 인해 대역폭이 매우 낮습니다. 각각의 위치에 있는 자산의 수는 25개 미만이므로 원격 스캔 엔진의 추가는 효율적인 솔루션이 아닙니다. 이 경우 적절한 솔루션은 스캔 스레드 수를 기본값 10보다 훨씬 적은 2~5개로 줄이는 것입니다.
리소스 가용성을 증대하는 다른 방법으로는 다음을 포함한 여러 가지가 있습니다.
스캔 템플릿은 자산 스캔 방법을 결정하는 여러 매개 변수를 포함합니다. 대부분의 조정 절차는 스캔 템플릿 설정을 편집하는 작업입니다.
기본 스캔 템플릿은 PCI 규정 준수, Microsoft 핫픽스 패치 검사, SCADA(Supervisory Control And Data Acquisition) 장비 감사 및 웹 사이트 스캔과 같은 여러 활용 사례를 위해 설계되었습니다. 스캔 템플릿에 대한 자세한 내용은 스캔 템플릿 섹션에서 확인할 수 있습니다. 이 섹션에는 활용 사례 및 각각의 스캔 템플릿 설정에 대한 내용이 있습니다.
注意: 포트 검색 및 패킷 지연과 같은 스캔과 관련된 기술적인 개념을 상세하게 이해할 수 있을 때까지는 기본 템플릿을 사용하는 것이 좋습니다.
기본 템플릿을 변경하지 않고 사용하거나 이 템플릿에 기반해 사용자 지정 템플릿을 생성할 수 있습니다. 새로운 사용자 지정 템플릿을 생성할 수도 있습니다. 템플릿을 사용자 지정할 때는 기본 스캔 템플릿에 기반해야 한다는 점을 기억하십시오. 기본 템플릿은 특정한 활용 사례에 유용할 뿐만 아니라 세 가지 성능 요소인 시간, 리소스, 정확성 사이의 적절한 균형을 반영합니다.
새로운 템플릿 생성 옵션을 선택할 때 여러 기본적인 구성 설정이 기본 제공 값을 가진다는 점을 알 수 있습니다. 기본 제공 값과 관련된 상세한 작업 지식이 없는 경우에는 이러한 값을 변경하지 않는 것이 좋습니다. 이러한 기본 제공 값을 변경할 때에는 특히 많은 주의를 기울여야 합니다.
기본 템플릿에 기반해 템플릿을 사용자 지정할 때 모든 개별적인 스캔 설정을 변경하지 않아도 됩니다. 예를 들어 스레드 수 또는 포트 범위만 변경하고 다른 모든 설정은 그대로 둘 수 있습니다.
따라서 항상 기본 템플릿에 기반해 템플릿을 사용자 지정하는 것이 좋습니다. 먼저 기본 스캔 템플릿 및 이들 사이의 공통점과 차이점을 잘 이해해야 합니다. 다음 섹션은 4가지 샘플 템플릿을 비교합니다.
스캔의 단계를 이해하면 스캔 템플릿의 구조를 쉽게 이해할 수 있습니다.
각 스캔의 세 단계:
注意: 스캔의 검색 단계는 사용자 환경에서 스캔이 가능한 대상을 찾는 방법인 자산 검색과는 다릅니다.
자산 검색 단계에서 스캔 엔진은 네트워크 자산이 활성인지 확인하기 위해 단순한 패킷을 대상 IP 주소로 고속으로 전송합니다. 이러한 통신 시도의 시간 간격 및 다른 매개 변수를 스캔 템플릿 구성 패널의 자산 검색 및 검색 성능 페이지에서 구성할 수 있습니다.
자산이 검색되면 스캔 엔진은 서비스 검색 단계를 시작한 후 유효한 연결을 설정하기 위해 여러 포트 접속 및 서비스 확인을 시도합니다. 이 애플리케이션은 웹 애플리케이션, 데이터베이스, 운영 체제 및 네트워크 하드웨어를 스캔하므로 액세스를 시도할 기회는 많습니다. 이 단계와 관련된 속성을 스캔 템플릿 구성 패널의 서비스 검색 및 검색 성능 페이지에서 구성할 수 있습니다.
세 번째 단계인 취약점 검사 단계에서 이 애플리케이션은 스캔 템플릿에 나열된 취약점의 확인을 시도합니다. 스캔하려는 취약점을 스캔 템플릿 구성 패널의 취약점 검사 페이지에서 선택할 수 있습니다.
기타 구성 옵션으로는 스캔하는 서비스 유형 제한, 특정한 취약점 검색 및 네트워크 대역폭 사용 조정 등이 있습니다.
스캔의 모든 단계에서 이 애플리케이션은 핑거 프린팅이라고 불리는 방법을 통해 검색된 자산에 대한 최대한의 세부 정보를 파악합니다. 예약된 버퍼 영역의 특정한 비트 설정, 응답 시간 또는 고유한 ACK 교환과 같은 속성을 조사하여 자산의 하드웨어, 운영 체제 및 시스템에서 실행되는 애플리케이션에 대한 지표를 식별할 수 있습니다. 철저히 보호되는 자산은 자산의 존재 여부, ID 및 구성 요소를 네트워크 스캔 장치로부터 감출 수 있습니다.
기본 템플릿에 익숙해지면 이러한 템플릿이 각각 여러 시점의 여러 성능 요구 사항을 충족한다는 점을 알 수 있습니다.
ヒント: 다양한 보고서 템플릿을 여러 유용한 방식으로 스캔 결과를 분석하는 데 활용하십시오. 스캔에는 리소스가 투입되며 특히 “세부적인” 스캔에는 많은 리소스가 필요합니다. 보고서를 활용하면 이러한 리소스 투입 효과를 극대화할 수 있습니다.
예를 들어 인터넷 관련 자산을 모니터링하기 위해 웹 감사를 매주 또는 더욱 빈번하게 실행할 수 있습니다. 이러한 스캔은 신속하게 진행되며 리소스 부담이 적습니다. 또한 패치 검사를 위해 Microsoft 핫픽스 스캔을 매월 실행할 수도 있습니다. 이러한 스캔에는 자격 증명이 필요하므로 보다 많은 시간이 걸립니다. 하지만 이런 유형의 스캔은 자주 실행하지 않아도 됩니다. 마지막으로 사용자 환경을 상세하고 전체적으로 검토하기 위해 매분기 포괄(exhaustive) 스캔을 실행할 수 있습니다. 이러한 스캔에는 많은 시간과 대역폭이 필요하지만 자주 실행되지는 않으므로 미리 계획을 세울 수 있습니다
注意: 템플릿을 정기적으로 변경하는 경우 동일한 템플릿을 통해 스캔이 자동적인 간격으로 실행되도록 일정을 정하는 편리한 기능은 이용할 수 없습니다.
시간과 리소스를 최대한 절약하고 정확성을 유지하는 또 다른 방법은 대상 자산을 변경하는 것입니다. 예를 들어 모든 워크스테이션을 매일 밤 스캔하는 대신 이 중 1/3을 먼저 스캔하고 나머지 분량을 다시 2/3씩 48시간에 걸쳐 스캔하는 것입니다. 대상 포트를 이와 같은 방식으로 스캔할 수도 있습니다.
스캔 성능 조정 시 하나 또는 두 개의 설정을 템플릿에서 해제할 수 있습니다. 검사할 항목이 감소하면 스캔을 완료하는 데 필요한 시간 또는 대역폭을 절약할 수 있습니다. 하지만 이 경우 스캔의 범위가 감소하므로 정확성이 감소합니다.
注意: 자격 증명 기반 검사는 “세부적인” 시스템 스캔을 수행할 수 있으므로 정확성에 매우 중요합니다. 자격 증명 기반 검사를 해제하기 전에 이 검사가 정말로 필요하지 않은지 반드시 확인하십시오.
스캔 범위에 웹 자산이 포함되지 않는 경우 웹 스파이더링 및 웹 관련 취약점 검사를 해제합니다. 핫픽스 패치를 검사하지 않아도 되는 경우 모든 핫픽스 검사를 해제합니다. 자격 증명 기반 검사를 실행하지 않으려면 이를 해제합니다. 자격 증명 기반 검사를 실행하는 경우 이 중 필요한 검사만 실행합니다.
해제할 설정을 파악하려면 네트워크에서 실행되는 자산이 무엇인지 정확하게 파악해야 합니다. 이때 유용한 기능이 바로 검색 스캔입니다. 검색 스캔은 신뢰할 수 있는 동적 자산 인벤토리를 제공합니다. 예를 들어 검색 스캔에서 Lotus Notes/Domino가 실행되는 서버가 없다는 것이 확인되면 해당 정책 검사를 스캔에서 제외할 수 있습니다.