TCP 세션 검사

주기적으로 TCP 세션수를 수집하며 임계치 이상되는 세션수가 발견되면 네트워크 인터페이스를 차단합니다. 다량의 광고나 링크가 포함된 악성 사이트에 접속하여 단말에서 의도하지 않은 다량의 TCP 세션을 맺게 되었을때 NAC는 이를 감지하고 네트워크 차단이 가능합니다.

  • 다량의 TCP 연결을 시도하는 악성 코드 또는 사이트에 감염되었을때 네트워크 인터페이스를 제어하여 단말 보호

노드정책에 에이전트 액션 추가

  1. 상단 항목의 정책 으로 이동합니다.

  2. 왼쪽 정책 항목에서 정책 > 노드정책 으로 이동합니다.

  3. 노드정책창에서 원하는 노드정책 ID 를 클릭합니다.

  4. 노드액션 설정 을 찾아 할당 버튼을 클릭합니다.

  5. 사용가능 항목에서 TCP세션검사 을 찾아 선택 항목으로 드래그하여 이동합니다.

  6. 추가 버튼을 클릭합니다.

  7. 수정 버튼을 클릭합니다.

TCP세션검사 설정

  1. 상단 항목의 정책 으로 이동합니다.

  2. 왼쪽 정책 항목에서 정책 > 노드정책 > 노드액션 으로 이동합니다.

  3. 노드액션 관리창에서 TCP세션검사 을 찾아 클릭합니다.

  4. 옵션 설정에서 조건설정 을 입력합니다.

아래에서 세션정보 전송주기 을 설정합니다.

  1. 세션정보 전송주기 에서 TCP 세션 정보를 업데이트 할 시간 간격을 지정합니다.(0: 전송안함)

  2. 업데이트 최소비율 에서 TCP 세션 전체의 수가 이전에 보낸 세션수와 설정비율 이상 차이가 나면 정보를 전송합니다.(LISTENNING 상태는 제외)

  3. 업데이트 최소값 의 경우 세션수가 설정값 미만이면 업데이트 최소비율이 적용되지 않고 업데이트되지 않습니다.

아래에서 인터페이스 제어 에 대해 설정합니다.

  1. 인터페이스 제어 의 경우 세션상태임계치를 정의하여 임계치 초과시 인터페이스를 차단시킬지 여부를 선택합니다.(On: 차단 / Off: 차단안함)

아래에서 인터페이스 차단알림 에 대해 설정합니다.

  1. 인터페이스 차단알림 의 경우 TCP 세션수가 임계치를 초과하여 인터페이스 제어되었을 때 사용자에게 차단사실을 알리는 3가지 방법을 제공합니다.

    • 사용안함 : 장치가 차단되어도 사용자에게 차단알림을 하지 않습니다.

    • 사용자메시지 : 직접 사용자에게 보여질 메시지를 정의하여 인터페이스 장치가 차단됨을 알립니다.

    • 에이전트팝업 : 에이전트 기본팝업창을 사용하여 인터페이스 장치가 차단되었음을 알립니다.

  2. FailSafe 사용 은 에이전트가 정책서버로 접속이 되지 않을 경우 플러그인 동작을 중지할 수 있는 기능입니다.

  3. 수정 버튼을 클릭합니다.