>> 기술지원 비용 안내 <<

티스토리 뷰

기타

트릿센트리 FAQ

IceWarp avastkorea 2008.10.06 09:56

트릿센트리 FAQ

 

Q: 트릿센트리는 어떤 제품인가요?

A: 트릿센트리는 소프트웨어 기반의 웹 어플리케이션 방화벽으로 전통적인 웹 어플리케이션 방어 메커니즘에 유해 트래픽을 자동으로 찾아내서 학습하는 행동 기반 분석 컴포넌트를 추가한 제품입니다. 트릿센트리는 이미 알려졌거나 혹은 새로운 위협, 내부 또는 외부 위협이나 오용으로부터 마이크로 소프트 IIS(internet Information Services)에 설치된 윈도우 기반 웹 서버를 보호하는 역할을 수행합니다.

트릿센트리는 설정된 규칙, 정책, 시그네처 매칭 공격에만 의존하는 기존의 보안 제품의 한계를 극복하도록 설계되었습니다SQL Injection, brute force, Denial of Service(Dos), file uploading, cross site scripting(XSS), directory traversal, parameter manipulation, buffer overflow, parser Evasion, high-bit shellcod, printer protocol, remote data services IIS의 취약점을 이용한 웹기반 공격으로부터 IIS를 보호합니다.

트릿센트리는 지식 기반 분류 프레임워크를 통해서 데이터를 모으고 입력하는 ISAPI extension으로 수행됩니다. 명백한 규칙(시그네처와 그밖의 세팅)에 일치하는 이벤트는 적용 규칙에 따라 즉시 신뢰(Trusted) 또는 비신뢰(Untrusted)로 분류됩니다. 또한 비신뢰 이벤트에 대해서는 IIS의 자체 위협 관리정책이 적용되기 전에 즉시 차단합니다(Monitoring-Active 모드). 트릿센트리는 일반적인 시스템 행동, 확인/차단 활동을 분석 활용하는 행동기반 분석엔진(behavior-based analytic engine), ASE(adaptive Security Engine)을 내장하고 있으며 알려진 위협 또는 새로운 위협에 상관없이 호스트에 해를 입히는 어떤 형태의 활동도 찾아내어 차단합니다


Q:
트레이닝 모드

A: 설치가 끝나면 트릿센트리는 서버환경 내에서 정상적인 사용 패턴(신뢰, 비신뢰 모두)을 반영하는 클러스터에 IIS 세부 데이터(HTTP/HTTPS 요청, IP 주소)를 모으고 구성합니다(Service“Training Mode” ->Security Mode properties). 이 클러스터 구성 과정은 내장된 공격 시그내처 지식DB를 활용합니다. 일단 필요한 수의 트레이닝 이벤트가 모이면 자동으로 “Motoring” 모드로 전환됩니다.


Q:
모니터링 모드

A: 트릿센트리는 모니터링 모드에서 IIS로 들어오는 모든 HTTP/HTTPS 요청을 설정한 규칙과 일치하는지 확인하기 위해 지식데이터베이스와 대조한 후 신뢰 이벤트로 분류될 수 있는 지 확인하기 위해 트레이닝 데이터베이스를 이용해 분석합니다. 신뢰 이벤트 조건에 충족하면 계속 진행이 되며, 그렇지 않을 경우 요청을 차단합니다.


Q:
이벤트 분류  

A: 트릿센트리의 관리는 간편합니다. 올바른 이벤트 분류는 필수적이며 화면에 보안경고를 표시하거나 주기적인 보안경고 로그 리뷰를 통해서 수행 할 수 있습니다. 하나 또는 그 이상의 이벤트가 재분류된 후, 트레이닝 데이터베이스는 “Re-Trained”(재트레이닝)되며 트릿센트리는 특정 이벤트의 올바른 분류뿐 만 아니라 다른 이벤트의 분석에 적용될 수 있는 다양한 특징들도 기록합니다.


Q:
트릿센트리를 설치, 운영하기 위한 시스템 요구 사항은 어떻게 됩니까?

A: 트릿센트리는 마이크로 소프트 IIS 5&6 기반 윈도우 2000/2003 웹서버에서 동작하며, Intel CPU 또는 700Mhz 이상의 또는 이에 준하는 사양의 CPU, 64MB 이상, 15MB 이상의 하드 여유 공간을 필요로 합니다.


Q:
Stress
load상에서 트릿센트리의 성능은 어떻습니까? 방화벽이나 안티바이러스 제품과의 비호환성 문제는 없나요?

A: 트릿센트리의 트래픽 처리량은 어떤 특정서버의 처리량과 CPU의 성능과 동일합니다(IIS HTTP/HTTPS 초당 요청량). 예를 들어 2.6 GHz급 서버는 초당 수십개의 트래픽을 처리하는 것이 적당하며, 더 많은 트래픽 처리를 원한다면 시그내처 탐지 모드(행동엔진 사용안함)로만 운영할 수 있습니다.

현재까지 트릿센트리와 충돌하는 안티바이러스 또는 방화벽 제품은 보고된 바 없으며, 트릿센트리는 HTTP&HTTPS 트래픽을 감시하는 웹방화벽으로 이들 제품의 기능을 보완하는 역할을 합니다.

최근 안철수 V3 백신과 충돌되는 문제가 확인되었습니다(CPU 점유율 100%로 상승).


Q:
트레이닝 시간은 얼마나 걸립니까?

A: 초기 트레이닝은 자동으로 실행되며 트릿센트리 설치가 완료되면 시작됩니다. 실행 시간은 서버 환경, 프로세서 속도, 메모리, 기준점을 위한 충분한 데이터 확보 등의 요소들에 의해 결정됨으로 유동적이지만 일반적으로 수 분내에 완료됩니다.


Q: 일단 트레이닝이 완료되면 추가적인 트레이닝 세션이 필요한가요?

A: 일반적으로 필요하지 않습니다. 관리자가 지식DB를 변경하거나 이벤트 분류를 바꾸고 임의로 재트레이닝 할 수는 있습니다. 이는 시간이 지날수록 트릿센트리가 주변 환경이 변하더라도 일관성 있게 정확도를 유지할 수 있도록 합니다. 시스템을 재설치 했거나 중대한 변화가 있을 때 에는 보안모드를 Training/Monitoring-Inactive 모드로 변경해 트릿센트리가 변경된 사항을 습득할 시간을 주거나, 혹은 관리자가 처음부터 다시 트레이닝을 수행 할 수 있습니다(처음부터 재트레이닝시 트릿센트리 프로그램 파일 디렉토리에 저장되어 있는 트레이닝 데이터베이스 YEVS.mdb는 삭제해야 하며, 일단 삭제되면 트릿센트리가 자동으로 새로운 YEVS.mdb를 생성합니다).


Q: 방금 트릿센트리를 설치했는데 에러가 나고, IIS 서비스가 다운되었습니다. 재부팅을 하고 ISAPI 스냅인을 확인했는데 ISAPI 필터 우선순위가 “unknown”으로 되어있습니다. 어떻게 된거죠?

A: IIS 서비스는 트릿센트리가 첫번째 요청을 등록할 때까지 다운상태로 남게됩니다. 이럴 경우 수동으로 로컬 웹 사이트에서 트릿센트리가 보호하는 서버에 페이지를 요청하면 트레이닝 이벤트가 생성됩니다.


Q: 트릿센트리가 설치된 서버에서 로컬로 테스트를 하려고 하는데 트레이닝 데이터나 보안경고로그에 아무것도 나타나지 않습니다. 뭐가 문제죠?

A: 트릿센트리가 설치된 서버에서 브라우저나 load/stress 툴을 이용해 테스트를 한다면 내부 IP주소가 트릿센트리의 신뢰 IP주소 리스트에 포함되어 있지 않아야 합니다(ThreatSentry Settings Manager -> 웹서버 이름 -> Management -> Rules -> IP Addresses -> Trusted IP Addresses). 그렇지 않으면 신뢰 IP 트래픽은 로그를 남기지 않기 때문에 요청이 트레이닝 데이터나 보안경고 로그에 나타나지 않습니다. 혹시 내부 해커를 걱정한다면, 위의 내부 IP들을 신뢰 주소로 등록하지 않을 수 도 있습니다.

 

Q: 만약 이미 트레이닝을 마친 서버에서 재트레이닝을 한다면 기존의 트레이닝 기준점이 완전히 재설정되는 건가요?

A: 트릿센트리는 이런 문제점을 줄이기 위해서 일반적으로 알려진 위협과 새롭게 발견된 위협을 담고 있는 지식데이터베이스에 반하는 초기 트레이닝에서 생성된 모든 이벤트를 필터링합니다. 관리자는 수동으로 예외를 설정하거나 특별한 규칙을 정할 수 있습니다. 기본적으로 악성 이벤트는 확고한 기준점 생성을 위해 트레이닝 과정에서 확인됩니다.

 

Q: 트릿센트리가 정상적인 요청을 차단합니다. AI 엔진의 오진입니까? 어떻게 해야하죠?

A: 정확한 의미는 차단된 요청을 위한 정상적인 파일이나 디렉토리 이름 중 하나가 트리센트리 시그네처와 일치한다는 겁니다. 이를 해결하기 위해서는 Rules -> Setting Manager request섹션을 리뷰해서 현재 규칙과 일치하는 것을 찾아서 삭제하거나 규칙에 예외를 추가해야 합니다.  

 

Q: 트릿센트리 설치 후에도 기존의 방화벽이나 보안솔루션을 계속 사용해야 하나요?

A: 트릿센트리는 기존 네트워크에 이미 설치되어 운영되고 있는 다른 솔루션들과 완벽하게 호환되며 일반적인 방화벽 제품이 차단하지 못하는 취약점(: HTTP&HTTPS)들을 보호함으로써 상호 보완적 관계로써 동작합니다. 또한, 방화벽 뒷단 내부 활동이나 일반적 네트워크 보안 제품들이 탐지하지 못하는 곳에서 일어나는 활동들을 모니터링하는 용도로도 사용될 수 있습니다.

 

Q: 트릿센트리는 어떤 종류의 데이터를 모니터링하고 분석합니까?

A: 트릿센트리는 마이크로소프트 IIS 웹서버를 보호하기 위한 제품으로 ISAPI extension을 이용해 IIS로의 요청/응답 데이터를 수집해 예외 분석과 위협 방지 기능을 수행합니다.

 

Q: 트릿센트리에는 알려진 위협에 대해서 어떤 특정규칙 등이 선구성되어 있나요?

A: 트릿센트리의 종합 지식 데이터베이스에는 알려진 위협에 대한 프로파일 또는 시그내처를 포함하고 있습니다. 이 데이터베이스는 트레이닝 동안 기준점 생성을 위해 사용됩니다

 

Q: 트릿센트리는 실제로 위협이나 침입을 방지합니까?

A: 트릿센트리의 중요한 차이점은 이미 알려졌거나 새로운 위협까지도 탐지하는 효율성입니다. 또한, 침입시도를 방해하는 설정을 하거나 경고를 내보내 다른 형태의 오용을 방지하고 특정 방어 액션을 취할 수 있도록 설정이 가능합니다.

 

Q: 다른 어플리케이션과 통합하기 위해서 어떤 인터페이스가 필요한가요?

A: 트릿센트리 세팅 메니저는 마이크로소프트 관리 콘솔(MMC)에 스냅인 형식으로 실행되며, ISAPI 필터는 데이터 수집 컴퍼넌트로 사용됩니다.

 

Q: 1년 후 라이선스가 만료되면 어떻게 되나요? 프로그램은 동작하지만 업그레이드만 안되는 건가요?

A: 라이선스가 만료되면 트릿센트리는 정상적으로 동작하지만 기술지원과 무상 소프트웨어 업그레이드 혜택을 받으실 수 없습니다.

 

Q: 트릿센트리 윈도우 서버 2008/IIS 7 버전은 언제 출시되나요?

A: 현재 트릿센트리 버전 4가 개발 막바지에 이르렀으며 2008년 말경에 출시 예정입니다. 새로운 버전은 윈도우 서버 2008 IIS 7, 64bit를 지원합니다. 트레이닝 데이터베이스와 보안경고 로그 데이터베이스는 MS SQL로 마이그레이션 되며, 보다 강화된 중앙집중식 관리와 향상된 여러 기능이 추가될 예정입니다.

 

Q: 보안경고 로그 사이즈가 너무 커져서 창을 열 때 시간이 오래 걸립니다. 어떻게 하죠?

A: 이 문제를 해결하기 위해서는 트릿센트리의 보안경고 로그를 아카이브하거나 삭제해야 하는데, 트릿센트리 프로그램 파일 디렉토리에 저장되어 있는 IntrusionLog.mdb파일을 찾아서 “Save As”로 아카이브 하거나 데이터가 필요 없을 경우 삭제하면 됩니다. 트릿센트리를 재시작하면 새로운 IntrusionLog.mdb가 생성됩니다.

 

Q: 트릿센트리 설치후 CPU 점유율이 높게 나타나는 경우가 발생합니다. 무엇이 문제이죠? 

A: 트릿센트리 자체가 문제는 아닙니다. 주로 안철수 V3 백신이 설치되어 있는 경우 V3 백신의 문제로 IIS의 inetinfo와 트릿센트리의 TS_svc 프로세스 CPU 점유율이 100%에 이르는 현상이 발생합니다. V3를 중지하거나 제거하면 바로 CPU 점유율이 정상적으로 낮아집니다. 다른 서버용 백신을 사용하시는 것을 추천합니다.

 

 

신고
댓글