포트스캔 탐지 및 방지
탐지 유형
다음은 호스트가 탐지하는 것을 차단할 수 있는 포트스캔 활동 유형입니다.
-
Regular portscan(일반 포트스캔) - 공격자가 단일 대상 호스트에서 여러 포트를 스캔하기 위해 하나의 호스트를 사용하는 일대일 포트스캔입니다. 이 옵션은 TCP, UDP 및 IP 포트스캔을 탐지합니다.
-
Decoy portscan(Decoy 포트스캔) - 공격자가 실제 스캐닝 IP 주소와 스푸핑된 소스 IP 주소를 혼합하는 일대일 포트스캔입니다. Decoy 포트스캔 옵션은 TCP, UDP 및 IP 프로토콜 포트스캔을 탐지합니다.
-
Distributed portscan(분산형 포트스캔) - 여러 호스트가 개방형 포트를 위해 단일 호스트를 쿼리하는 다대일 포트스캔입니다. 이는 여러 호스트에서 제공되는 모든 요청이 합법적으로 보일 수 있으므로 포트스캔 탐지를 회피하는 데 사용됩니다. 분산형 포트스캔 옵션은 TCP, UDP 및 IP 프로토콜 포트스캔을 탐지합니다.
-
Port sweep(포트 스윕) - 공격자가 하나 또는 여러 호스트를 사용하여 여러 대상 호스트에서 단일 포트를 스캔하는 일대다 포트 스윕입니다. 이는 대개 새로운 익스플로잇에서 발생하며 공격자는 특정 서비스를 찾고 있습니다. 이 옵션은 TCP, UDP, ICMP 및 IP 포트 스윕을 탐지합니다.
참고 |
일반, Decoy 및 분산형 포트스캔은 일반 포트스캔 활동으로 분류되지 않으며 알림을 받습니다. |
Traffic Selection(트래픽 선택)
-
Permitted(허용됨), Denied(거부됨) 또는 All(모두) 트래픽에 대해 포트스캔 탐지를 선택할 수 있습니다. 기본적으로 포트스캔 탐지는 선택한 범주의 모든 트래픽에 대해 발생합니다.
-
포트스캔 활동을 모니터링할 네트워크를 지정할 수 있습니다. 모니터링되는 네트워크 내에서 특정 호스트가 스캐너로 식별되는 것을 제외할 수 있습니다.
-
대상 호스트로 향하는 모든 트래픽을 포트스캔 탐지에서 제외할 수도 있습니다.
-
포트스캔 탐지는 IPv4 및 IPv6 트래픽 모두에 대해 지원됩니다.
탐지 구성
탐지 구성 옵션은 다음과 같습니다.
-
구성 옵션:
-
Protocol types(프로토콜 유형): TCP, UDP, IP, ICMP
-
포트 수(Port count): TCP 및 UDP 기반 스캔을 위해 액세스되는 포트 수
-
Host count(호스트 수): TCP, UDP 및 ICMP 기반 스캔을 위해 액세스되는 호스트 수
-
Protocol count(프로토콜 수): IP 프로토콜 스캔에 사용되는 프로토콜 수
-
Interval(간격): 시간 간격
-
-
Predefined sensitivity levels(사전 정의된 민감도 레벨) - 다음 민감도 레벨을 사용하여 포트스캔 탐지를 조정할 수 있습니다.
-
Low(낮음) - 대상 호스트에서 부정적인 응답만 탐지합니다. 이 민감도 레벨을 선택하면 오탐을 억제할 수 있지만, 일부 포트스캔 유형(느린 스캔, 필터링된 스캔)을 놓칠 수 있습니다.
이 레벨은 포트스캔 탐지에 가장 짧은 시간 창을 사용합니다.
-
Medium(중간) - 호스트에 대한 연결 수를 기반으로 포트스캔을 탐지합니다. 즉, 필터링된 포트스캔을 탐지할 수 있습니다. 그러나 네트워크 주소 변환기와 프록시 등 매우 활동적인 호스트는 오탐을 생성할 수 있습니다.
기본적으로 민감도 레벨은 Medium(중간)으로 설정됩니다.
이 레벨은 포트스캔 탐지에 좀 더 긴 시간 창을 사용합니다.
-
High(높음) - 정해진 기간을 기반으로 포트스캔을 탐지합니다. 즉, 시간 기반 포트스캔을 탐지할 수 있습니다. 이 레벨은 포트스캔 탐지에 훨씬 긴 시간 창을 사용합니다.
-
Custom(사용자 지정) - 민감도 레벨을 사용자 지정하려는 경우 사용합니다. 기존의 사전 구성된 민감도 레벨을 편집하는 경우 Custom(사용자 지정) 옵션이 자동으로 선택됩니다.
-
-
임계값을 세부적으로 조정할 수 있고, 다양한 스캔 유형을 활성화하거나 비활성화할 수도 있습니다.
방지 구성
방지 구성에는 다음과 같은 옵션이 있습니다.
-
포트스캔 활동을 수행하는 것으로 식별된 호스트를 차단할 수 있습니다.
-
기간 만료 후 호스트의 차단을 자동으로 해제하는 기간 기반 차단을 사용할 수 있습니다.
-
호스트가 포트스캔 활동으로 인해 차단되는 것을 제외할 수 있습니다.
포트스캔 탐지 및 방지 구성에 대한 자세한 내용은 포트스캔 탐지 및 방지 구성 항목을 참고하십시오.