05메일 서버와 Exchange 연동메일 서버와 Exchange 연동
DLP가 가장 많이 다루는 채널이 이메일입니다. 이 장은 메일 서버를 Mail Relay 로 세우는 일, 인시던트(사건) 로그가 디스크를 어떻게 쓰는지 다스리는 일, Exchange 내부 메일까지 검사하는 Exchange Security Agent, 그리고 정책 없이 트래픽 사본만 들여다보는 SMTP Mirror Port Mode 까지, 메일과 관련된 DLP 구성 전체를 빠짐없이 정리합니다. 화면 클릭 순서·필드·파라미터·기본값을 원문 그대로 담되, 왜 그렇게 하는지를 함께 풀어 둡니다.
메일 서버 필수 구성
먼저 — DLP 규칙의 Action이 메일 서버를 부른다
이메일을 다루려면 규칙의 Action(동작 설정)을 먼저 떠올려야 합니다. DLP 규칙은 다음 다섯 가지 동작을 가질 수 있습니다.
| Action | 설명 |
|---|---|
| Detect | 데이터 전송 이벤트를 Logs & Events 뷰에 기록합니다. 권한 있는 관리자는 전송된 데이터를 볼 수 있습니다. 트래픽은 그대로 통과 됩니다. |
| Inform User | 전송은 통과시키되, 인시던트를 기록하고 사용자에게 알림 을 보냅니다. |
| Ask User | 전송할지 사용자가 확인할 때까지 전송을 보류 합니다. 보통 Self Incident Handling 포털 로 가는 교정(remediation) 링크가 담긴 알림이 사용자에게 갑니다. 사용자가 보낼지 말지 결정하며, 그 결정은 로그의 User Response 항목에서 볼 수 있습니다. Full 권한 또는 View, Release, Discard DLP messages 권한을 가진 관리자는 메시지를 보내거나 폐기할 수 있습니다. |
| Prevent | 데이터 전송을 차단 합니다. |
| Watermark | 나가는 Microsoft Office 문서(Office 2007 이상의 Word·Excel·PowerPoint)에 보이는 워터마크나 보이지 않는 암호화 텍스트 를 넣어 추적합니다. |
이 가운데 Inform User, Ask User, 그리고 Data Owner 알림 기능이 메일 서버를 필수 부품으로 만듭니다.
Mail Relay 설정하기
Mail Relay 설정은 Data Loss Prevention Wizard 로 할 수도 있고, 마법사 없이 SmartDashboard에서 직접 할 수도 있습니다. 마법사 없이 설정하는 절차는 다음과 같습니다.
먼저 SmartDashboard의 DLP 탭을 엽니다.
- SmartConsole에서 Security Policies > Shared Policies > DLP 를 선택하고 Open DLP Policy in SmartDashboard 를 클릭합니다. SmartDashboard가 열리며 DLP 탭이 표시됩니다.
- 탐색 트리에서 Additional Settings > Mail Server 를 클릭합니다.
익명 SMTP 연결용으로 Mail Relay를 구성합니다.
- Send emails using this mail server 를 클릭합니다.
- 메일 서버를 선택합니다. 메일 서버 객체가 없으면 새로 만듭니다.
- OK 를 클릭합니다.
인증된 SMTP 연결용으로 메일 서버 객체를 구성합니다.
- Send emails using this mail server 를 클릭합니다.
- 목록에서 메일 서버를 선택합니다.
- 메일 서버가 없으면 새로 만듭니다.
- Mail Servers 를 클릭합니다.
- 목록에서 서버를 선택합니다.
- Edit 를 클릭합니다. Mail Server 창이 열립니다.
- Server Requires Authentication 을 클릭합니다.
- 인증 자격 증명 — User Name 과 Password 를 입력합니다.
Mail Relay 구성을 마무리합니다.
- Save 를 클릭하고 SmartDashboard를 닫습니다.
- SmartConsole에서 정책을 설치(install policy)합니다.
- 메일 서버 자체에서 — DLP Gateway로부터 오는 익명 연결을 받아들이도록 Mail Relay를 설정합니다. 자세한 방법은 벤더 문서를 참고하세요. 예를 들어 Microsoft Exchange 서버라면, SMTP 트래픽을 처리하는 기본 receive connector(또는 관련 connector)의 권한 을 익명 사용자용으로 설정합니다.
DMZ에 전용 DLP Gateway와 Relay를 두는 경우
전용 DLP Gateway와 Relay를 DMZ에 두는 구성도 같은 요령으로 합니다.
- SmartConsole에서 Security Policies > Shared Policies > DLP 를 선택하고 Open DLP Policy in SmartDashboard 를 클릭합니다. SmartDashboard가 열리며 DLP 탭이 표시됩니다.
- Send emails using this mail server 를 클릭합니다.
- 메일 서버를 선택합니다(없으면 새로 만듭니다).
- OK 를 클릭합니다.
인증된 SMTP 연결이 필요하면, 위 "인증된 SMTP 연결용 메일 서버 객체 구성"과 동일하게 Send emails using this mail server → 서버 선택 → Mail Servers → Edit → Server Requires Authentication → User Name/Password 입력 을 거칩니다. 마무리도 같습니다 — Save 후 SmartDashboard를 닫고, SmartConsole에서 정책을 설치하고, 메일 서버 자체에서 DLP Gateway의 익명 연결을 받아들이도록 설정한 뒤 다시 정책을 설치합니다.
권장 구성 — Mail Relay를 둔 DLP Gateway
권장 배치는 다음과 같습니다.
| 번호 | 구성요소 |
|---|---|
| 1 | 내부 메일 서버(Internal mail server) |
| 2 | DLP Gateway |
| 3 | DMZ에 있는 Mail Relay |
내부 Mail Relay를 DLP Gateway의 DMZ 인터페이스 뒤에 두려면 다음과 같이 합니다.
- SmartConsole에서 Gateways & Servers 를 클릭하고 Security Gateway를 더블 클릭합니다. Security Gateway Properties 창이 열리며 General Properties 페이지가 표시됩니다.
- 내부 메일 서버(예: Microsoft Exchange)(1)에서 온 메일이 내부 게이트웨이 인터페이스를 통해 Security Gateway에 도착하는지 확인합니다.
- a. 탐색 트리에서 Network Management 를 클릭합니다.
- b. 내부 메일 서버로 이어지는 Security Gateway 인터페이스를 더블 클릭합니다.
- c. General 페이지에서 Modify 를 클릭합니다.
- d. Leads To 영역에서 Override > This Network (Internal) > Network defined by the interface IP and Net Mask 를 클릭합니다.
- e. OK 를 클릭하고 인터페이스 창을 닫습니다.
- 내부 Mail Relay(2)를 DLP Gateway의 DMZ 인터페이스 뒤에 두도록 구성합니다 — DLP Gateway 객체의 Topology 페이지에서, Mail Relay로 이어지는 Security Gateway 인터페이스를 Internal 이면서 동시에 Interface leads to DMZ 로 정의합니다.
- My Organization 페이지의 Networks 영역에서
- a. Anything behind the internal interfaces of my DLP Gateways 를 선택합니다.
- b. Anything behind interfaces which are marked as leading to the DMZ 는 선택하지 않 습니다.
내부 Mail Relay가 DLP Gateway의 DMZ 인터페이스 뒤에 없는 경우 는 다음과 같이 합니다.
- SmartConsole에서 Security Policies > Shared Policies > DLP 를 선택하고 Open DLP Policy in SmartDashboard 를 클릭합니다. SmartDashboard가 열리며 DLP 탭이 표시됩니다.
- 탐색 트리에서 My Organization 페이지를 클릭합니다.
- Networks 영역에서 Select specific networks and hosts 를 클릭합니다.
- Edit 를 클릭합니다.
- 내부 메일 서버는 포함하되 Relay 서버는 포함하지 않는 네트워크를 선택합니다.
- OK 를 클릭합니다.
- Save 를 클릭하고 SmartDashboard를 닫습니다.
- SmartConsole에서 정책을 설치합니다.
권장하지 않는 Mail Relay 구성의 우회책
권장하지 않는 구성은, My Organization 안에 있는 내부 Mail Relay에서 인터넷의 목적지 메일 서버로 나가는 이메일을 DLP Gateway가 검사 하게 만드는 것입니다. 이 구성에서 DLP Gateway는 Mail Relay를 대신해 목적지 메일 서버와 통신합니다. 문제는 목적지 메일 서버가 응답하지 않을 때 생깁니다 — 일부 Mail Relay(예: McAfee IronMail, postfix 2.0 이하, qmail)는 그럴 때 다음 DNS MX 레코드를 시도하지 않아서 같은 도메인의 다른 SMTP 서버로 메일을 다시 보내지 않습니다.
대표적으로 두 배치가 이 문제에 해당합니다.
| 번호 | 구성요소 (배치 1) |
|---|---|
| 1 | 내부 메일 서버 |
| 2 | 내부 Mail Relay |
| 3 | DLP Gateway |
그리고 내부 메일 서버(1)는 My Organization 에 있고, 별도의 내부 Mail Relay는 없는 배치도 있습니다.
왜 일부 Mail Relay는 메일을 다시 보내지 않는가 — 정상이라면, 목적지 메일 서버가 응답하지 않아 전송에 실패한 Mail Relay는 같은 도메인의 다른 SMTP 서버, 즉 다음 DNS MX 레코드 로 메일을 다시 보냅니다. 대부분의 Mail Relay는 목적지에 접근이 불가능하거나 목적지 서버가 4xx SMTP 오류 를 반환하면 다음 MX 레코드를 시도합니다. 하지만 McAfee IronMail·postfix 2.0 이하·qmail 같은 일부 Relay는 목적지 서버가 4xx 오류를 반환하면 다음 MX로 연결하지 않고 메일을 보내지 않습니다. 그런데 이 구성에서는 DLP Gateway가 Mail Relay를 대신해 인터넷의 메일 서버와 통신하므로, 목적지 메일 서버가 응답하지 않으면 DLP Gateway가 메일 서버를 대신해 Mail Relay에 4xx 응답 을 보냅니다. 따라서 4xx 오류 시 다음 MX를 시도하지 않는 Relay라면, 결국 어떤 메일도 밖으로 나가지 못합니다.
우회책은 다음과 같습니다.
- 목적지 메일 서버에서 4xx 오류 를 받으면 다시 보내도록 내부 Mail Relay를 설정합니다.
- 이렇게 설정할 수 없다면, DLP Gateway를 두 내부 메일 서버 사이 에 둡니다. 예를 들어 DLP Gateway를 Relay 서버와 함께 DMZ에 배치합니다(위 "DMZ에 전용 DLP Gateway와 Relay" 참고).
- 이 우회책들도 적용할 수 없다면 sk58960 을 참고하세요.
신뢰되지 않은 Mail Relay와 Microsoft Outlook
Outlook이 Mail Relay 서버를 신뢰하지 않으면, 위반 알림 이메일의 Send 와 Discard 버튼이 제대로 렌더링되지 않습니다. 이 버튼은 Mail Relay가 신뢰된 뒤 새 메일을 보냈을 때 비로소 올바르게 표시됩니다. 이 문제를 피하려면, 사용자에게 Mail Relay 주소를 Outlook의 safe senders(안전한 보낸 사람) 목록 에 추가하도록 안내하세요.
TLS로 암호화된 SMTP 연결
TLS로 암호화된 SMTP 연결은 DLP Software Blade가 검사하지 못 합니다. Exchange 서버가 TLS로 이메일을 암호화한다면, Exchange Security Agent 를 사용해 검사할 수 있습니다(아래 "Exchange Security Agent" 참고).
인시던트 로그 처리 구성
DLP 인시던트(사건)에 대한 디스크 관리를 설정할 수 있습니다. 즉 디스크가 가득 차지 않도록, 오래된 로그·인시던트를 언제 어떻게 지울지 정하는 일입니다.
- SmartConsole에서 Gateways & Servers 를 클릭하고, DLP 로그를 관리하는 Log Server 또는 Security Management Server 를 더블 클릭합니다. 서버 창이 열리며 General Properties 페이지가 표시됩니다.
- 탐색 트리에서 Logs > Storage 를 클릭합니다.
- When disk space is below MBytes, start deleting old log files 에, 서버에 남아 있어야 할 최소 여유 디스크 공간 을 입력합니다. 이 설정은 DLP 인시던트·로그뿐 아니라 다른 모든 로그 에도 적용됩니다. 기본값은 5000 MBytes 이며, 여유 공간이 이 한계보다 작아지면 오래된 DLP 인시던트·로그와 다른 로그가 디스크 확보를 위해 삭제됩니다.
- OK 를 클릭합니다.
- SmartConsole 세션을 Publish 합니다.
그다음 더 세밀한 설정은 Database Tool(GuiDBEdit Tool) 에서 합니다.
- Database Tool (GuiDBEdit Tool) 을 열고 SmartConsole 자격 증명으로 로그인합니다.
- 왼쪽 창에서 Table > Network Objects > network_objects 를 선택합니다.
- 오른쪽 창에서 DLP 로그를 관리하는 Log Server 또는 Security Management Server를 선택합니다.
- 아래쪽 창의 Field Name 열에서 log_policy 를 찾습니다.
- 다음 필드들을 구성합니다.
| Field Name | 설명 | 기본값 |
|---|---|---|
dlp_blob_delete_above_value_percentage | 인시던트가 차지하도록 허용되는 최대 디스크 공간 비율(%) | 20% |
dlp_blob_delete_on_above | dlp_blob_delete_above_value_percentage 보다 인시던트가 더 많은 디스크를 차지할 때 인시던트를 삭제할지 여부. true — 인시던트를 삭제합니다(단, 그 인시던트에 연결된 로그는 삭제되지 않습니다). false — 인시던트를 삭제하지 않습니다. 이 경우 인시던트는 오직 여유 디스크 공간이 SmartConsole의 Log Server/Security Management Server Logs and Masters 페이지에 설정된 Required Free Disk Space 보다 작아질 때만 삭제됩니다. | false |
dlp_blob_delete_on_run_script | 인시던트를 삭제하기 전에 스크립트를 실행할지 여부(예: 삭제 전에 로그를 다른 컴퓨터로 복사). true — SmartConsole의 Log Server/Security Management Server Logs and Masters > Advanced 페이지에 정의된 스크립트를 실행합니다. false — 스크립트를 실행하지 않습니다. | false |
Exchange Security Agent
왜 필요한가
Microsoft Exchange 클라이언트 간 내부 이메일은 Exchange 통신용 전용 프로토콜 을 쓰는데, 이는 DLP Gateway가 지원하지 않습니다. 그래서 Exchange 클라이언트 사이의 내부 메일을 검사하려면 Exchange 서버에 Exchange Security Agent 를 설치해야 합니다. 이 에이전트는 TLS로 암호화한 SMTP 프로토콜로 메일을 DLP Gateway에 넘겨 검사를 받게 합니다. Exchange 서버와 DLP Gateway 사이에 연결성(connectivity) 이 있어야 합니다.
Exchange Security Agent는 DLP Gateway로 트래픽을 넘기는 Exchange 서버마다 하나씩 설치 해야 합니다. 각 에이전트는 SmartConsole에서 중앙 관리되며, 하나의 DLP Gateway에만 메일을 보낼 수 있습니다. 조직이 모든 이메일을 Exchange 서버로만 처리한다면, 이 구성으로 모든 메일(외부로 나가는 메일 포함) 까지 검사할 수 있습니다.
에이전트를 쓰려면 SmartConsole 과 Exchange 서버 양쪽에서 설정해야 합니다. 내부 메일 검사 활용 시나리오는 Out of the Box에서 이어집니다.
SmartConsole에서 Exchange Security Agent 구성
- SmartConsole에서 Security Policies > Shared Policies > DLP 를 선택하고 Open DLP Policy in SmartDashboard 를 클릭합니다. SmartDashboard가 열리며 DLP 탭이 표시됩니다.
- 탐색 트리에서 Gateways 를 클릭합니다.
- Actions > New Exchange Agent 를 클릭합니다. Check Point Exchange Agent 마법사가 열립니다.
- Next 를 클릭합니다. 마법사는 네 페이지로 이루어집니다.
① General — 이 페이지에서 에이전트 정보를 입력합니다.
| 항목 | 설명 |
|---|---|
| Name | Exchange Security Agent의 이름을 입력합니다. |
| Inspected Exchange Server | Exchange Security Agent가 설치된 Exchange 서버를 나타내는 호스트 객체를 선택합니다. 필요하면 New 로 새로 만듭니다. |
| Exchange contact person(선택) | Exchange 서버 관리자를 나타내는 사용자 객체를 선택할 수 있습니다. |
| Enforcing DLP Gateway | Exchange Security Agent로부터 검사용 이메일을 받는 DLP Gateway 객체를 선택합니다. Exchange 서버 쪽 에이전트에서 DLP Gateway를 이름으로 지정한다면, 이 객체와 같은 이름 을 쓰도록 하세요. |
입력 후 Next 를 클릭합니다.
② Trusted Communication — Exchange Security Agent와 Enforcing DLP Gateway 사이의 SIC(Secure Internal Communication) 를 초기화하는 One-time password(1회용 암호) 를 입력합니다. 이 단계에서 보안 인증서가 생성 되어 이후 Exchange Security Agent가 사용합니다. One-time password 옵션에서 1회용 암호를 입력하고 확인합니다. Exchange 서버의 Exchange Security Agent 스냅인 Trusted Communication 창에 같은 1회용 암호 를 입력해야 합니다. 그다음 Next 를 클릭합니다.
③ Inspection Scope — 어떤 이메일을 검사용으로 보낼지 정합니다. 모든 사용자를 대상으로 하거나, 지정한 사용자·사용자 그룹만 대상으로 할 수 있습니다. 모든 메일을 검사하기 전에 지정 사용자·그룹부터 시작하는 것을 권장 합니다.
- Inspect emails sent only by these users or user groups — Active Directory, 내부(internal), 또는 LDAP 사용자를 정의해 그들의 이메일을 검사합니다.
- Inspect all emails — Exchange Security Agent가 모든 이메일을 Enforcing DLP Gateway로 보내 검사합니다.
설정 후 Next 를 클릭합니다.
④ Configuration Summary — 요약을 확인하고, Exchange Security Agent를 설치합니다.
- Exchange 서버에서 R82 Home Page 에서 DLP Exchange agent MSI 를 내려받습니다.
- i. 목차(Table of Contents)에서 Tools 를 선택합니다.
- ii. Show / Hide the download matrix 를 클릭합니다.
- iii. Agents 섹션에서 DLP Exchange agent MSI 를 내려받습니다.
- 설치 마법사의 단계를 진행합니다.
마지막으로 마법사를 완료합니다 — Save 를 클릭하고 SmartDashboard를 닫은 뒤, SmartConsole에서 정책을 설치합니다.
Exchange 서버에서의 구성
Exchange Security Agent를 Exchange 서버에 설치한 뒤에는 다음 작업을 할 수 있습니다.
신뢰 통신(Trusted Communication) 초기화 — Check Point Exchange Security Agent와 Security Gateway 사이의 신뢰 통신을 초기화합니다. 통신 상태는 두 가지입니다.
- Uninitialized — 신뢰 통신이 아직 수립되지 않은 상태.
- Trust established — Exchange Security Agent가 보안 인증서를 받아 Security Gateway로부터 데이터를 안전하게 받을 수 있는 상태.
초기화 절차는 다음과 같습니다.
- Exchange 서버에서 Exchange Security Agent를 엽니다 — Start > Check Point > Check Point Exchange Agent > Configure Check Point Exchange Agent.
- 탐색 창에서 Check Point Exchange Agent 를 클릭합니다.
- Communication 을 클릭합니다. Trusted Communication 창이 열립니다.
- 다음 필드를 입력합니다.
| 필드 | 설명 |
|---|---|
| Gateway name or IP | SmartConsole에서 DLP Security Gateway에 부여한 것과 같은 이름 또는 IP. |
| Exchange agent object name | SmartConsole에서 Exchange agent 객체에 설정한 것과 같은 이름. |
| One time password | 초기 신뢰 수립에만 사용됩니다. 신뢰가 수립되면 이후로는 보안 인증서를 기반으로 합니다. 이 암호는 SmartConsole에서 Exchange Security Agent에 정의한 1회용 암호와 같아야 합니다. |
- Initialize 를 클릭해 신뢰 통신 절차를 시작합니다.
에이전트 시작·중지 — Exchange Security Agent는 Microsoft Exchange Transport service 의 확장(extension) 으로 실행됩니다. 따라서 에이전트를 시작하거나 중지할 때마다 Microsoft Exchange Transport service가 재시작 됩니다. Start 를 클릭하면 메시지가 DLP 검사를 위해 Security Gateway로 전송되며, 보내지는 메시지는 검사 대상으로 정의된 사용자·그룹에 따라 결정됩니다. 시작하려면 Check Point Exchange Agent 창에서 Start 를 클릭합니다.
통계(Statistics) — Exchange Security Agent의 Statistics 페이지는 성능 통계와, 에이전트가 처리해 Security Gateway로 보낸 이메일 수를 보여 줍니다. 창에 보이는 그래프는 Windows Performance Monitor 그래프로, 일부 Windows 카운터에 더해 CPExchangeAgent 카운터를 표시합니다. 대신 Windows Performance Monitor를 직접 띄워 CPExchangeAgent 카운터를 추가해도 됩니다. 표시되는 통계는 다음과 같습니다.
- Latency per any message — 에이전트를 거치는 모든 이메일의 평균 지연(초).
- Latency per scanned message — 에이전트를 거쳐 검사를 위해 Security Gateway로 보내진 이메일의 평균 지연(초).
- Message queue length — 현재 에이전트가 처리 중인 이메일 수.
- Total messages — 에이전트가 처리한 전체 이메일 수.
- Scanned messages — DLP 정책으로 검사된 이메일 수(드롭·허용된 메시지 모두 포함).
- Dropped messages — 검사 후 드롭된 이메일 수.
Message Tracking 로그로 메시지 상태 모니터링 — Message Tracking 창에서는 에이전트를 거치는 각 메시지의 로그를 볼 수 있습니다. 로그의 모든 필드로 검색할 수 있고, 새로고침도 됩니다. Event Id 열에는 다음 값이 표시됩니다.
| 값 | 설명 |
|---|---|
| Receive | 메시지가 Exchange Security Agent에 수신됨. 이 항목의 Reason 열은 항상 비어 있습니다. |
| Release | 메시지가 DLP 검사를 거쳐 목적지로 전송됨. |
| Drop | 메시지가 DLP에 의해 드롭되어 목적지로 전송되지 않음. |
| Bypass | Exchange Security Agent가 메시지를 DLP 검사로 보내지 않음. 메시지는 목적지로 전송됨. |
각 Event ID에 따라 Reason 열에 올 수 있는 사유는 다음과 같습니다.
| Event ID | 가능한 Reason |
|---|---|
| Receive | (비어 있음) — 메시지가 Exchange Security Agent에서 처리 중임을 뜻함. |
| Release | Tap mode — Rule Base의 모든 규칙이 detect 또는 inform이면, 에이전트가 자동으로 메시지를 목적지로 보내며 Security Gateway의 응답을 받지 않음 / Scanned by Security Gateway / Timeout. |
| Drop | Dropped by Security Gateway — Security Gateway 검사 후 메시지가 ask 또는 prevent 규칙에 일치함. |
| Bypass | DLP scanning is disabled — Security Gateway에서 DLP 검사가 활성화되지 않음 / Fail open active — Advanced 창의 bypass 설정 중 하나에 일치 / Message is too big / Incoming message scanning is disabled / Internal message scanning is disabled / Incoming message scanning from other domains is disabled / Sender is included in the Inspection Scope exceptions / Sender is not included in Inspection Scope settings. |
Advanced — 언제 검사를 건너뛸지 설정 — Advanced 창에서는 로그 파라미터와, 어떤 경우에 이메일을 Security Gateway로 보내 DLP 검사를 하지 않을지(bypass) 를 설정합니다.
| 옵션 | 설명 | 기본값 | 유효 범위 |
|---|---|---|---|
| Enable debug logs | 수신하는 각 이메일에 대한 디버깅 정보가 담긴 로그를 활성화합니다(주로 Check Point 지원용). | — | — |
| Bypass inspection of a single email after timeout of X seconds | 이메일 하나를 검사용으로 Security Gateway에 보낼 때의 타임아웃을 정의합니다. | 60 | 1~120 |
| Bypass email inspection for X seconds if: | 이메일을 검사하지 않을 시간 간격을 정의합니다(아래 조건이 맞을 때). | 120 | 30~3600 |
위 "Bypass email inspection for X seconds if:" 가 적용되는 상황 은 다음과 같습니다.
| 조건 | 설명 | 기본값 | 유효 범위 |
|---|---|---|---|
| Additional latency exceeds X seconds | 에이전트를 거치는 트래픽의 추가 평균 지연이 정의한 시간 간격을 초과할 때. | 10 | 1~60 |
| Emails queue length exceeds X emails | Exchange 큐의 이메일 수가 정의한 수를 초과할 때. | 50 | 1~300 |
| Exchange server CPU usage exceeds X % | Exchange 서버 CPU 사용률이 정의한 비율을 초과할 때. | 90 | 20~100 |
| Gateway doesn't respond to the last X emails | Security Gateway가 마지막으로 정의한 수만큼의 시도에 응답하지 않을 때. | 25 | 1~100 |
SMTP Mirror Port Mode
Mirror Port Mode 에서 DLP Gateway는 SMTP와 HTTP 트래픽을 위반 가능성에 대해 검사하되, 정책을 시행(enforce)하지는 않 습니다. DLP Gateway가 스위치의 SPAN 포트 에 연결되어 트래픽을 모니터링만 하기 때문입니다. 그래서 Mirror Port Mode는 구성 위험을 최소화한 채, 나가는 모든 SMTP/HTTP 트래픽에 대한 데이터 유출 평가(full data leak assessment) 를 돌려 보기에 좋습니다.
동작 방식
DLP Security Gateway가 스위치의 SPAN 포트에 연결되면, Security Gateway는 스위치를 지나는 모든 패킷의 사본 을 받습니다. DLP의 tap 메커니즘 이 SMTP·HTTP 트래픽의 TCP 스트림을 재구성하고, 이 스트림을 DLP 엔진이 정책 위반 가능성에 대해 검사합니다.
Mirror Port Mode 검사 활성화
Mirror Port Mode 검사를 켜기 전에 Security Gateway를 준비해야 합니다.
- Security Gateway가 SecurePlatform 이면, DLP는 SPAN 포트로 정의된 인터페이스 의 트래픽만 검사합니다.
- Security Gateway가 Gaia 이면, Gaia가 Monitor Mode 여야 합니다. Monitor Mode는 Security Gateway가 스위치의 Mirror 포트(또는 Span 포트)에서 오는 트래픽을 청취하게 해 줍니다. Gaia에서 Monitor Mode를 구성하는 방법은 sk70900 을 참고하세요.
R77 이하에서 Mirror Port Mode를 활성화하려면 dlp_smtp_mirror_port 명령을 사용합니다.
설명 — SMTP Mirror Port Mode를 활성화합니다.
구문은 다음과 같습니다.
dlp_smtp_mirror_port {status | enable | disable}| 파라미터 | 설명 |
|---|---|
status | Mirror Port Mode가 활성/비활성인지 상태를 보여 줍니다. |
enable | Mirror Port Mode를 활성화합니다. |
disable | Mirror Port Mode를 비활성화합니다. |
예시는 다음과 같습니다.
dlp_smtp_mirror_port enable실행 출력은 다음과 같습니다.
# dlp_smtp_mirror_port enable
Enabling SMTP mirror port requires running local policy
installation. continue? (yes)
yes
Installing Security Policy Standard on all.all@dlpgw
Fetching Security Policy from local succeeded
# dlp_smtp_mirror_port status
SMTP mirror port is enabled