주의인터넷 접근 제어를 사용하면 TrusGuard는 PC의 Policy Agent의 상태를 확인하고, Policy Agent가 설치된 시스템의 인터넷 연결만 허용합니다. Policy Agent가 설치된 시스템에서 악성코드에 의한 공격이 탐지되면 대상 시스템을 격리시키거나, 치료하도록 요청합니다.
메뉴에서 네트워크 연결 제어->인터넷 접근 제어->인터넷 접근 제어 설정을 선택합니다.
기본 설정에서 필요한 항목을 설정합니다.
인터넷 접근 제어: 인터넷 접근 제어 사용여부를 선택합니다. 기본 값은 사용 안 함입니다.
모니터: Policy Agent가 설치되어 있지 않은 시스템의 인터넷 연결을 허용합니다. 모니터를 사용하면 정책 적용 보류 기간과 감염된 에이전트 대응 요청만 적용합니다. 기본 값은 사용 안 함입니다.
정책 적용 보류 기간: Policy Agent가 설치된 시스템을 식별하는 기간입니다. 정책 적용 보류 기간이 만료되면 Policy Agent가 설치된 시스템의 인터넷 연결만 허용합니다. 기본 값은 180분이며 10~1440분 사이의 값을 입력할 수 있습니다. 기본 값은 사용 안 함입니다.
차단 보류 기간: 정책 적용 보류 기간동안 식별되지 않은 PC의 인터넷 연결을 허용할 기간입니다. Policy Agent의 연결 상태가 확인되면 차단 보류를 해제합니다. 차단 보류 기간은 일 단위(기본 값 3일, 1~30일 이내) 또는 시간 단위 (기본 값 3시간, 1~720시간 이내)로 입력할 수 있습니다. 기본적으로 사용하지 않습니다. 인터넷 접근 제어 모니터는 차단 보류 기간이 적용된 PC의 상태를 차단 보류(허용)으로 표시합니다.
리디렉션 설정: Policy Agent가 설치되지 않은 PC의 인터넷 연결을 Policy Agent 설치 유도 페이지로 리디렉션합니다. 기본적으로 사용하지 않도록 설정되어 있습니다.
리디렉션: 리디렉션의 사용 여부를 선택합니다.
에이전트 설치 유도 페이지: Policy Agent 설치 페이지 URL을 입력합니다. (예: http://192.168.1.123/agentinstall.htm, http://apc.ahnlab.com/agentinstall.htm, http://apc.ahnlab.com:8080) 영문자와 숫자를 기준으로 63자까지 입력할 수 있습니다.
포트: 감시할 포트 번호를 입력합니다. 지정된 목적지 포트로 향하는 PC의 연결을 에이전트 설치 유도 페이지로 리디렉션합니다. 웹 프록시를 사용하는 경우, 프록시 포트도 이곳에 입력합니다. 기본 값은 80입니다. 최대 10개 입력할 수 있습니다. 구분자로는 쉼표(,)를 사용합니다.
감염된 에이전트 대응 요청을 설정합니다.
대응 요청 방법: AhnLab Policy Center 3.5는 악성코드에 감염된 시스템을 네트워크에서 격리시키고 모든 패킷을 차단합니다. AhnLab Policy Center 4.0은 V3 Internet Security 8.0을 통해 악성코드에 감염된 패킷만 차단하고 정상적인 통신을 허용합니다. 연동할 제품의 버전에 따라 격리 요청과 악성 패킷 차단 요청 중 하나를 선택하십시오.
격리 요청: AhnLab Policy Center 3.5와 연동하는 경우 선택합니다.
악성 패킷 차단 요청: AhnLab Policy Center 4.0과 연동하는 경우 선택합니다.
AhnReport 자동 수집 요청: AhnReport는 V3 Internet Security 8.0과 함께 PC에 설치되는 유틸리티입니다. AhnReport 자동 수집 요청을 사용하도록 설정하면 V3 Internet Security 8.0로 치료가 되지 않는 악성코드가 있을 경우, AhnReport를 실행하여 AMP(AhnLab Malicious code Processing system) 서버로 보냅니다. 수집된 AhnReport는 네트워크 침입 방지 시그니처를 업데이트하는 데에 사용됩니다. 기본적으로 사용하지 않습니다.
AMP 아이디: AMP 서버 아이디를 입력합니다. 영문자 또는 숫자를 기준으로 1~15자 사이의 값을 입력합니다.
대응 요청 보류 기간: PC가 여러 개의 악성코드에 감염되어 2회 이상 서로 다른 악성 패킷 차단 요청을 해야 하는 경우 대응 요청 보류 기간을 적용합니다. 기본 값은 1분이며, 1~1440분 사이의 값을 입력합니다.
대응 규칙 선택: 감염된 Policy Agent 대응 방법을 선택합니다. 규칙 그룹별 선택과 위험도별 선택 중에서 하나를 선택합니다.기본 값은 규칙 그룹별 선택입니다.
규칙 그룹별 선택: 시그니처 기반 규칙 그룹별로 대응 여부를 선택할 수 있습니다. 기본적으로 모두 사용합니다. 규칙 그룹에 따라 선택적으로 대응하도록 설정할 수 있습니다.
위험도별 선택: 위험도별로 대응 여부를 선택할 수 있습니다. 기본적으로 모두 사용합니다. 위험도에 따라 선택적으로 대응하도록 설정할 수 있습니다.
확인을 눌러 설정을 저장합니다. 설정이 올바르지 않으면 다음과 같은 메시지가 나타날 수 있습니다.
URL의 도메인을 찾을 수 없습니다. 라우팅 설정을 확인하거나 다른 도메인을 입력하십시오.: 리디렉션 URL에 연결할 수 없을 때
변경 사항 적용을 눌러 변경된 내용을 적용합니다.
주의
AhnLab Policy Center를 사용하지 않는 곳에서 인터넷 접근 제어 기능을 실행하면 TrusGuard를 거치는 모든 내부 시스템의 인터넷 접근을 차단합니다. AhnLab Policy Center를 사용하는 곳에서만 인터넷 접근 제어 기능을 사용하십시오.
참고
Policy Agent는 Policy Server와 주기적으로 통신(UDP 40001)을 시도합니다. TrusGuard는 Policy Agent와 Policy Server간 통신을 감지하여 Policy Agent가 설치된 시스템을 식별합니다.
AhnLab Policy Center가 PC와 서로 다른 네트워크에 연결되어 있어 TrusGuard를 경유하는 경우, TrusGuard는 PC의 에이전트 설치 유도 페이지 연결을 인터넷 접근으로 간주하여 연결을 허용하지 않습니다. 정책->정책 예외에 다음과 같은 정책 예외 항목을 추가하십시오: 인터넷 접근 제어 적용 목록에 등록된 네트워크에서 AhnLab Policy Center의 에이전트 설치 유도 서비스 포트로(일반적으로 TCP 80) 향하는 통신에 정책 예외 대상으로 인터넷 접근 제어를 선택합니다.
정책 적용 보류 기간을 너무 작게 설정하면 TrusGuard와 통신하지 못한 AhnLab Policy Agent가 설치되어 있는 시스템도 Policy Agent가 설치되어 있지 않은 것으로 간주하여 인터넷 연결을 차단할 수 있습니다. 정책 적용 보류 기간을 충분히 설정하여 Policy Agent의 설치 여부가 잘못 파악되지 않도록 하십시오.
AhnLab Policy Center 4.0과 연동되어 있을 때 감염된 에이전트 대응 요청 과정은 다음과 같습니다. 괄호 안은 감염된 에이전트 모니터에서 확인할 수 있는 대응 요청 과정입니다.
1) TrusGuard에서 PC로부터 발생한 공격을 탐지하고 차단합니다. 시그니처에 정의된 정책에 따라 대응 방식은 다를 수 있습니다.
2) Policy Agent를 통해 V3 Internet Security 8.0으로 공격 탐지 시그니처를 전달합니다. (악성 패킷 차단 요청)
3) Policy Agent를 통해 V3 엔진 최신 업데이트 및 PC 검사를 요청합니다. (치료 상태 감시)
4) V3 Internet Security 8.0은 동일한 공격이 발생할 경우 시그니처에 따라 해당 패킷을 차단하고 사용자에게 팝업 창을 보여줍니다.
5) TrusGuard는 동일한 공격이 발생하면 PC가 치료되지 않은 것으로 간주하여 Policy Agent에게 AhnReport 자동 수집을 요청합니다. (AhnReport 자동 수집 요청)
6) V3 Internet Security 8.0은 AhnReport를 실행하여 악성코드 정보를 수집합니다. 수집된 정보를 AMP 서버로 전송합니다.
에이전트가 다수의 악성코드에 감염된 경우, TrusGuard는 공격을 탐지한 순서대로 Policy Agent에게 악성 패킷 차단을 요청합니다. 이때 악성 패킷 차단 요청 후 악성 코드 치료 상태를 감시하기 위해 보류 기간을 적용합니다(악성 패킷 차단 요청 보류).
일부 공격 탐지 시그니처는 V3에 적용할 수 없습니다. 인터넷 접근 제어로 서비스할 수 없는 공격 탐지 시그니처에 의해 공격이 탐지되어 차단된 경우, TrusGuard는 다음과 같은 로그를 남깁니다: 네트워크 침입 방지 규칙 (이름)은(는) 인터넷 접근 제어의 악성 패킷 차단 요청을 사용할 수 없습니다."
AMP 아이디를 발급받으려면 (주)안랩에 문의하시기 바랍니다.