03Custom — 시작하기Custom — 시작하기
Custom Threat Prevention 은 필요한 만큼 정밀하게 보호 수준을 직접 조정 하거나, 손대지 않고 기본(out-of-the-box) 설정 그대로 써도 되는 위협 방어 방식입니다. 이 장은 게이트웨이에서 블레이드를 켜는 절차부터, 기본 정책이 트래픽을 어떻게 검사하는지, 정책을 어떻게 설치하고 다시 내리며 어떻게 모니터링하는지 까지 전체 시작 흐름을 빠짐없이 정리합니다. SmartConsole 화면에서 클릭하는 순서와, 각 블레이드를 켤 때 마법사가 무엇을 묻는지를 단계별로 풀어 둡니다.
전체 흐름은 다음 다섯 단계로 이루어집니다.
- Security Gateway / Cluster 객체에서 Custom Threat Prevention 소프트웨어 블레이드를 켭니다.
- (선택) 기본 Custom Threat Prevention 프로파일을 바탕으로 나만의 프로파일 을 만듭니다.
- (선택) 고급 Threat Prevention 설정 을 구성합니다.
- Custom Threat Prevention 정책을 구성합니다.
- Custom Threat Prevention 정책을 설치합니다.
1단계 — 블레이드 켜기
먼저 Gateways & Servers 뷰에서 Security Gateway / Cluster 객체를 더블클릭해 속성 창을 열고, Custom Threat Prevention 블레이드 를 켭니다. 어떤 블레이드를 켜느냐에 따라 마법사가 묻는 내용이 달라집니다.
Anti-Virus, Anti-Bot & Advanced DNS — R82부터 기본 활성
R82부터 Anti-Virus 와 Anti-Bot & Advanced DNS 블레이드는 새로 만든 모든 Security Gateway·Cluster Member에 기본으로 켜져 있습니다. 따로 손댈 필요가 없습니다(자세한 내용은 sk182106).
IPS 블레이드 켜기
| 단계 | 할 일 |
|---|---|
| 1 | Gateways & Servers 뷰에서 Security Gateway / Cluster 객체를 더블클릭합니다. General Properties 창이 열립니다. |
| 2 | General Properties > Network Security 탭에서 IPS 를 선택합니다. |
| 3 | 열리는 마법사의 단계를 따라갑니다. |
| 4 | OK 를 클릭합니다. |
| 5 | General Properties 창에서 OK 를 클릭합니다. |
Threat Emulation 블레이드 켜기
Threat Emulation 을 켜면, 마법사가 자연스럽게 Threat Extraction 을 함께 켤지 도 물어봅니다. 두 기능을 한 번에 구성할 수 있는 셈입니다.
| 단계 | 할 일 |
|---|---|
| 1 | Gateways & Servers 뷰에서 Security Gateway / Cluster 객체를 더블클릭합니다. Gateway Properties 창이 열립니다. |
| 2 | General Properties > Network Security 탭에서 SandBlast Threat Emulation 을 선택합니다. Threat Emulation 마법사가 열리며 Emulation Location 페이지를 보여 줍니다. |
| 3 | Emulation Location 을 고릅니다 — ① ThreatCloud Emulation Service, ② Locally on this Threat Emulation appliance(이 어플라이언스에서 로컬로), ③ Other Threat Emulation appliances(다른 에뮬레이션 어플라이언스). |
| 4 | Next 를 클릭합니다. Activate Threat Extraction 창이 열리며, Clean potentially malicious parts from files (Threat Extraction) 체크박스가 이미 선택되어 있습니다. Threat Extraction을 켜려면 체크박스를 그대로 두고, 끄려면 체크를 해제합니다. |
| 5 | Next 를 클릭합니다. Summary 페이지가 열립니다. |
| 6 | Finish 를 클릭해 Threat Emulation(선택했다면 Threat Extraction까지)을 켜고, First Time Configuration Wizard를 닫습니다. |
| 7 | OK 를 클릭합니다. Gateway Properties 창이 닫힙니다. |
클라우드 에뮬레이션 쓰기
ThreatCloud 에뮬레이션을 고르면, 파일은 보안 TLS 연결 을 통해 Check Point ThreatCloud 로 전송되어 검사됩니다. ThreatCloud에서의 에뮬레이션은 내부 네트워크에서 하는 에뮬레이션과 결과가 동일 하지만, 게이트웨이의 CPU·RAM·디스크는 아주 조금만 쓴다는 큰 장점이 있습니다. 게다가 ThreatCloud는 항상 최신 운영체제 환경 으로 유지되므로, 늘 최신 상태에서 검사합니다.
Threat Extraction 블레이드 켜기
| 단계 | 할 일 |
|---|---|
| 1 | Gateways & Servers 뷰에서 Security Gateway / Cluster 객체를 더블클릭합니다. General Properties 창이 열립니다. |
| 2 | General Properties > Network Security 탭에서 Threat Extraction 을 선택합니다. |
알아 둘 점이 몇 가지 있습니다.
- Threat Extraction을 켜면 웹 다운로드 검사(web download scan)가 자동으로 함께 켜 집니다.
- Threat Extraction이 이메일 첨부파일을 검사 하게 하려면, Security Gateway를 Mail Transfer Agent (MTA) 로 구성해야 합니다(Custom — 운영과 모니터링의 MTA 구성 참고).
- Threat Extraction Web API 를 쓰려면, Security Gateway Properties에서 Threat Extraction > Web API > Enable API 로 들어가 API를 켭니다.
Zero Phishing 블레이드 켜기
| 단계 | 할 일 |
|---|---|
| 1 | Gateways & Servers 뷰에서 Security Gateway / Cluster 객체를 더블클릭합니다. General Properties 창이 열립니다. |
| 2 | General Properties > Network Security 탭에서 Zero Phishing 을 선택합니다. Zero Phishing First Time Configuration Wizard가 열립니다. |
| 3 | FQDN Configuration 창에서 In-Browser Zero Phishing 방식을 둘 중 하나 고릅니다(아래 설명). |
| 4 | Zero Phishing 블레이드가 활성화됩니다. |
| 5 | Access Control 정책과 Threat Prevention 정책을 모두 설치합니다. |
3단계에서 고를 수 있는 두 가지 방식은 다음과 같습니다.
- Use automatic settings (recommended) — 자동 설정(권장). Zero Phishing을 자동 설정으로 켜면, Gaia의 게이트웨이 인프라에
tp_dummy(VSX에서는tp_dummy_X)라는 새 인터페이스 가 만들어집니다. 이 인터페이스는 외부 접근에서 일부러 격리된 더미 인터페이스 로, 고정 IP를 가지며 Zero Phishing 클라이언트가 게이트웨이와 통신할 수 있게 해 줍니다. 자동 설정에서는 클라이언트가 FQDNzero-phishing.iaas.checkpoint.com으로 게이트웨이와 통신합니다. 자동 구성은 또한, 관리자가 사설 주소 공간(private address space) 안의 IP로 해석되는 FQDN을 직접 추가했을 때 HTTP 페이지 검사 과정에서 생기는 사설망 접근성 문제도 함께 해결 해 줍니다. - Gateway FQDN (Fully Qualified Domain Name) — 게이트웨이 FQDN을 직접 지정. 이 방식을 고르면, 해당 FQDN이 여러분 DNS 서버의 DNS 레코드에 등록되어 있는지 반드시 확인해야 합니다.
Zero Phishing을 쓸 때 추가로 챙길 점입니다.
- Zero Phishing 포털이 공인(public) IP 주소 에서 동작하도록 구성되어 있는지 확인하세요(자세한 내용은 sk178769).
- 구성이 제대로 적용됐는지 확인하려면, 다음 페이지를 HTTP와 HTTPS 모두 로 방문해 봅니다 —
http://zp-demo.com/verification/zphi_check.html와https://zp-demo.com/verification/zphi_check.html. 테스트가 성공하면In-Browser Zero Phishing feature is working properly.메시지가 나타납니다. - 클라이언트는 Zero Phishing FQDN에 직접 접근 할 수 있어야 합니다. Security Gateway를 비투명(non-transparent) 프록시로 쓴다면, 클라이언트에서 Zero Phishing FQDN을 프록시 우회(proxy bypass) 목록에 추가 하도록 구성해야 합니다.
2단계 — (선택) 프로파일 만들기
기본 Custom Threat Prevention 프로파일을 바탕으로, 환경에 맞춘 나만의 프로파일 을 만들 수 있습니다. 프로파일 만드는 방법은 Custom — 정책과 프로파일에서 자세히 다룹니다.
3단계 — (선택) 고급 설정 구성
필요하면 고급 Threat Prevention 설정을 손볼 수 있습니다. 설정 위치는 다음과 같습니다.
- Security Gateway / Cluster 객체 — Threat Prevention 블레이드와 기능별 세부 설정.
- Security Policies 뷰 > Threat Prevention > Exceptions — 예외 규칙.
- Security Policies 뷰 > Threat Prevention > Custom Policy — Custom Policy Tools 섹션 참고.
- Security Policies 뷰 > HTTPS Inspection — HTTPS 검사(HTTPS Inspection).
- Manage & Settings 뷰 > Blades > Threat Prevention > Advanced Settings — 고급 설정.
- Security Gateway / 각 Cluster Member 명령줄 — 구성 명령과 파일(예: SSH Deep Inspection).
4단계 — 정책 구성과 기본 규칙
기본 규칙으로 환경에 충분하지 않다면, 필요한 규칙을 직접 구성합니다(Custom — 프로파일과 규칙 구성).
블레이드를 켜면 생기는 기본 규칙
Threat Prevention 블레이드를 하나라도 켜면, 미리 정의된 규칙 하나가 Rule Base에 자동으로 추가 됩니다. 이 규칙은 누가 연결을 열었는지와 상관없이 모든 네트워크 객체의 모든 트래픽 을(Protected Scope 값이 any — Custom — 정책과 프로파일의 Protected Scope 참고), Optimized 프로파일에 따라 모든 보호 항목으로 검사 합니다. 기본적으로 로그를 남기며, Threat Prevention 블레이드를 쓰는 모든 게이트웨이에 설치됩니다.
| Name | Protected Scope | Action | Track | Install On |
|---|---|---|---|---|
| *(기본 규칙) | Any | Optimized | Log + Packet Capture | Policy Targets |
Out-of-the-box Threat Prevention 정책
알아 둘 점입니다.
- Optimized 프로파일이 기본으로 설치 됩니다(Custom — 정책과 프로파일의 Optimized Protection Profile Settings 참고).
- Protection/Site 열은 보호 예외(protection exception)에만 쓰입니다(Custom — 정책과 프로파일의 Protection 참고).
Optimized 프로파일이 내리는 판단
이 기본 규칙(Optimized 프로파일)이 내리는 결정은 이렇습니다.
- 공격이 다음 조건을 모두 만족하면 보호 항목이 Prevent(차단) 모드로 동작합니다.
- Confidence Level — Medium 이상
- Performance Impact — Medium 이하
- Severity — Medium 이상
- 공격이 다음 조건을 모두 만족하면 보호 항목이 Detect(탐지만) 모드로 동작합니다.
- Confidence Level — Low
- Performance Impact — Medium 이상
- Severity — Medium 이상
즉 확신이 높고 성능 영향이 적은 위협은 막고, 확신이 낮은 것은 일단 지켜보는 균형 잡힌 잣대입니다(이 기준의 의미는 Custom — 정책과 프로파일에서 자세히).
5단계 — 정책 설치
Custom Threat Prevention 블레이드는 Access Control과 별개의 전용 Threat Prevention 정책 을 가집니다. 이 정책은 Access Control 블레이드의 정책 설치와 따로(separately) 설치 할 수 있습니다. Threat Prevention 정책만 단독으로 설치 하면 게이트웨이에 미치는 성능 영향을 줄일 수 있습니다.
| 단계 | 할 일 |
|---|---|
| 1 | Global 툴바에서 Install Policy 를 클릭합니다. 설치 대상(Security Gateway)을 보여 주는 Install Policy 창이 열립니다. |
| 2 | Threat Prevention 을 선택합니다. |
| 3 | Install Mode 를 고릅니다(아래 설명). |
| 4 | OK 를 클릭합니다. |
3단계의 Install Mode 두 가지는 다음과 같습니다.
- Install on each selected gateway independently(선택한 게이트웨이마다 독립 설치) — 다른 대상과 무관하게 각 게이트웨이에 따로 설치합니다. 한 게이트웨이에서 설치가 실패해도 다른 게이트웨이에는 영향이 없 습니다. 게이트웨이가 클러스터 멤버라면 모든 멤버에 설치하는데, Security Management Server는 모든 멤버에 설치 가능한지 먼저 확인한 뒤 설치를 시작합니다. 한 멤버라도 설치할 수 없으면 그 클러스터의 모든 멤버에서 설치가 실패 합니다.
- Install on all selected gateways, if it fails do not install on gateways of the same version(모든 게이트웨이에 일괄 설치, 실패 시 같은 버전 게이트웨이에는 설치 안 함) — 모든 대상에 설치하되, 한 게이트웨이에서 실패하면 같은 버전의 다른 대상에는 설치하지 않 습니다.
Threat Prevention 블레이드 끄기
Security Gateway 객체에서 모든 Threat Prevention 블레이드를 끈 경우에는, Install Policy 버튼을 클릭한 다음 Uninstall Threat Prevention Policy 링크 를 클릭해야 합니다.
모니터링
설치가 끝나면 Logs & Events 페이지에서 Threat Prevention 관련 트래픽 로그를 봅니다(Custom — 운영과 모니터링). 여기서 얻은 데이터로 우리 환경에서 이 블레이드들이 어떻게 쓰이는지 더 잘 이해 하고, 그것을 바탕으로 효과적인 Rule Base를 만들어 갑니다. 이 페이지에서 Rule Base를 직접 갱신 할 수도 있습니다.
또한 특정 보호 항목을 Prevent·Detect로 다르게 처리하거나 추적(track) 설정을 달리하는 예외(Exception) 를 더 추가할 수 있습니다.