자주하는 질문

h>게시판>보안관제 FAQ

자주묻는 질문, 빠른해결을 위하여 질문을 모았습니다. 보안관제FaQ

 

보안/관제/침해사고

Q.보안관제란 무엇입니까?

A. 인터넷에 제공되는 서비스로부터 실시간 해커의 침임 및 공격시 탐지하거나 사후에 처리하는 일련의 작업을 말합니다.
처리작업은 보안 전문지식이 있는 보안관리자등이 하게 됩니다.

Q.크래커는 어떠한 방법으로 침입시도 및 공격을 하나요?

A. 보통 요즘의 크래킹공격은 자동화된 툴에 의해 피해를 입는 경우가 대부분입니다.
취약점스캔을 통해 취약한 서비스 (예: www,mail등)특히 80port www 서비스의 취약점이 많이 발견되며 피해도 큰편입니다.

Q.해커의 침입을 막으려면 어떻게 해야 하나요?

A. 여러 가지 방법을 같이 병행하는 것이 좋습니다.우선 꼭 필요한 서비스를 구분해서 open하며 방화벽은 기본이며, 웹방화벽을 반드시 설치해야 합니다. 혹시라도 침입후에 있을 만한 프로세스도 예상해서 서버설정을 진행해야합니다.
이후 전체적인 취약점 스캔을 하고 취약점이 존재하면 해당취약점을 없애야합니다.
마지막으로 웹취약점 스캔을 통해 이상이없는지 점검합니다.
버그가 있다면 반드시 소스는 수정이나 패치가 이루어져야합니다.

Q.해커가 침입 됐는지 쉽게 알아볼수 있는 방법은 없나요?

A.가장 좋은방법은 서버에 매일 접속해서 관심을 갖는 일입니다 그러면 평소와 다른점을 느낄 때 자세히 점검하는 것이 좋습니다.
아래 내용은 침해사고가 일어나면 충분히 발생할 수 있는 경우입니다.
1. 서버의 과도한 부하및 트래픽발생
2. 서버내 존재하지 않던 파일이 존재 (피싱포함)
3. DB 또는 웹페이지의 소스가 변조되었거나 특정항목이 추가됨
4. 시스템내 중요명령어의 결과가 이상하거나 명령어가 이유없이 깨졌을시
5. 최근접속목록을 보던중 알지 못하는 IP주소를 발견시
6. 로그에 critical 급 로그 (buffer overflow 공격등) 관련 내용이 기재되었을시
7. 보지 못했던 내용이 crond나 데몬 구동 스크립트에 삽입된경우
8. 시스템이 PROMISC 모드일경우
9. 웹사이트의 이상증세
10. 기타 이상증세

Q.해커의 침입을 알았을 경우 조치방법은 무엇인가요?

A. 먼저 (주)스마일서브 보안관제팀에 연락(1688-4879)을 하신후 해킹점검을 의뢰하시기 바랍니다.
침입에 대한 리포트를 제공해 드리며, 해킹사고 처리에 관해 친절한 답변을 받으실수 있습니다.

 

다량서버통합관제

Q.다량서버 통합관제는 어떤 서비스입니까?

A. 다량서버 통합관제는 한대의 서버에서 부터 수백대에 이르는 서버의 상태를 실시간 모니터링하여 서버 및 홈페이지에 문제가 발생될 경우 SMS알림 문자를 통해 고객에게 장애 통보를 하는 서비스입니다. 또한 웹페이지와 스마트폰을 이용하여 언제 어디서나 프로그램 설치없이 서버 모니터링이 가능합니다.

Q.스마트폰에서 다량서버 통합관제는 어떻게 합니까?

A. 아이폰, 안드로이드폰 모두 동일하게 인터넷앱을 실행합니다. 주소창에 고객님께 발급된 도메인(YOURID.ns0.kr)을 입력후 로그인을 하시면 다량서버 모니터링이 시작됩니다.

Q.웹페이지에서 다량서버 통합관제는 어떻게 합니까?

A. 개인PC, 업무PC, 노트북, ipad, 안드로이드용패드만 있다면 주소창에 고객님께 발급된 도메인(YOURID.ns0.kr)을 입력후 로그인을 하시면 다량서버 모니터링이 시작됩니다.

Q.구체적으로 서버의 어떤 상태를 모니터링 합니까?

1. 서버에서 입출력되는 트래픽과 패킷(최대 랜포트 3개까지 모니터링)
2. CPU 사용량
3. Load Average 5분/15분 값(리눅스 시스템만 제공)
4. Memory 사용량(윈도우 시스템은 물리적 메모리와 가상 메모리, 리눅스 시스템은 리얼 메모리와 스왑 메모리)
5. Disk 사용량(최대 12개 파티션까지 모니터링)
6. 포트 모니터링(2011년 11월 29일 기준으로 TCP포트만 제공. 추후 UDP포트 추가예정)
7. 인덱스 모니터링(지정된 웹페이지의 상태를 모니터)

Q.서버의 상태를 모니터링하면 서버를 관리하는데 어떤 도움이 됩니까?

A. 1) 트래픽과 패킷 모니터링
- 트래픽과 패킷은 네트워크 사용량을 확인할 수 있는 용도로 주로 사용되지만 경우에 따라 서버 장애시 매우 중요한 자료가 됩니다.
- 평소와는 다르게 서버에서 발생하는 트래픽과 패킷의 양이 순간적으로 많이 발생했을땐 서버가 해킹되었을 가능성이 큽니다.(특히 패킷의 양이 많으면 더욱 해킹의 가능성이 큽니다.)
2) CPU 사용량
- 대부분의 서버의 경우 CPU 사용량을 트래픽과 비교했을때 트래픽의 유입이나 발생량이 많지 않은데도 CPU의 사용량이 급격하게 증가하면 웹소스상의 문제나 서버에서 사용되는 프로그램의 문제일 가능성이 큽니다.
또한 서버가 해킹되었을 경우 CPU 사용량이 증가하기도 합니다.
- CPU의 사용량이 100%에 가까워지는 경우가 많이 발생하면 서버가 다운되는 횟수도 비례하여 많이 발생하게 됩니다.
3) Load Average값
- CPU 사용량과 Load Average값의 증가가 동일하게 이루어지면 괜찮지만 CPU 사용량엔 별다른 변화가 없는데 Load Average값이 꾸준히 증가하게되면 대부분의 경우 웹서버에서 보낸 쿼리를 DB서버에서 처리를 하지 못해서 발생하게 됩니다.
4) Memory 사용량
- 웹서버를 운용하실경우 Memory의 사용량은 중요한 관리항목입니다. 경우에 따라 Memory 사용량이 80~90%인 상태에서 갑자기 잘열리던 웹페이지가 열리지 않기도 합니다.
- Memory 사용량이 빈번히 80~90%를 넘게되면 Memory 용량을 늘려서 예기치 못한 웹서버 장애에 대비하시기 바랍니다.
5) Disk 사용량
- Disk 사용량이 100%가 되면 서버에서 제공하는 거의 대부분의 서비스를 이용할 수 없게 됩니다. 따라서 수시로 Disk 사용량을 모니터링하여 Disk를 정리하여야 합니다.
6) Port 모니터링
- 잘 실행되던 서비스가 갑자기 다운될 경우 해당 포트도 닫히게 됩니다. Port 모니터링은 등록된 포트가 체크가 안될시에 서버 관리자에게 에러 발생내용을 문자로 알려줍니다.
7) 인덱스 모니터링
- 인텍스 모니터링을 사용하게 되면 해킹에 의한 웹변조나 DB서버나 Image서버에 접속할 수 없어서 발생하는 웹페이지 오류를 서버 관리자에게 문자로 알려줍니다.

Q.리소스 모니터링에서 확인되는 서버의 상태(트래픽, CPU, Memory, Disk등)와 실제 서버에서 확인되는 상태가 다릅니다.

A. 위와 같은 경우는 서버 리부팅, 서버 하드웨어 변경, 서버 업데이트시에 발생할 수 있는 상황으로 "서버 등록 정보 변경" 페이지 하단에 위치한 [MIB값 초기화] 메뉴를 사용하여 설정상태를 변경해주면 됩니다.

Q.SMNP값을 읽어올 수 없다는 오류가 뜹니다. 어떻게 해결해야하나요?

A. 아래의 순서대로 문제를 해결하시면 됩니다.
1) 서버의 방화벽에서 Upd 161포트나 고객님께서 부여받은 다량서버 통합관제서버 IP가 오픈되어 있는지 확인하고 없다면 방화벽에 추가합니다.
-> 윈도우 : Windows 방화벽에서 확인
-> 리눅스 : iptables -nL 명령어로 확인
2) SNMP의 UDP 161번 포트가 네트워크에 연결되어 있는지 확인하고 없다면 SNMP 서비스를 실행합니다.
-> 윈도우 - 확인 : netstat -ona | findstr 161
- 실행 : 시작 -> 실행에서 "services.msc" 입력 -> 서비스(로컬) -> SNMP Service 시작.
-> 리눅스 - 확인 : netstat -anp | grep 161
- 실행 : /etc/init.d/snmpd start
3) SNMP가 설치되었는지 확인하고 설치되지 않았다면 사용자 메뉴얼에 따라 SNMP를 설치합니다.

Q.포트와 인덱스 모니터링에 있어서 가끔 오탐이 발생합니다. 오탐이 발생하는 이유가 먼가요?

A. 다량서버 통합관제는 서버상에서 모니터링이 이루어지는 관계로 거의 대부분의 오탐은 관제 서버와 모니터링 서버사이에 원치않는 네트워크 단절에 의해 발생합니다.

Q.다량서버 통합관제를 이용할려면 서버에 SNMP를 설치해야하는데 어렵지 않나요?

A. 서버에 대한 지식이 많이 없으시더라도 제공해드리는 메뉴얼에 따라 설치하시면 누구나 설치하실수가 있습니다.

Q.모니터링 화면에 나타나는 서버명이 입력한 내용보다 짧게 보입니다.

A. 깔끔한 모니터링 화면을 제공해 드리기위해 모니터링 화면에 나타나는 서버명은 11Bit(영문11자, 한글5자)로 제한이 되어있습니다.

Q.에러가 발생하는 즉시 임계값을 변경하였는데도 계속 알람이 발생합니다.

A. 리소스 모니터링은 5분에 1회씩 체크를 하는 시스템으로 변경된 임계값이 실제 적용될려면 3~4분정도의 시간이 필요합니다.

Q.웹페이지에 이상은 없는데 인덱스 모니터링의 현재값이 계속 변경되면서 에러가 발생합니다.?

A. 인덱스 모니터링은 웹페이지의 크기를 기준으로하는 모니터링 방식으로 웹페이지의 내용이 자주 바뀌는 웹페이지의 경우 임계치를 낮게 설정할 경우 지속적인 에러가 발생할 수 있습니다.

Q.서버에 Disk를 추가하였습니다. 추가한 Disk를 모니터링에 추가할려면 어떻게해야 하나요?

A. - 윈도우 : 시작 -> 실행에서 "services.msc" 입력 -> 서비스(로컬) -> SNMP Service 다시시작
- 리눅스 : 최초 snmp설치시 다운받은 snmp_setup.sh를 다시한번 실행

 

해킹침입탐지(크랙파인더)

Q.크랙파인더란 어떤서비스입니까?

A. 크랙파인더는 침해사고/악성코드등을 자동으로 매일/매주/매달 원하는시간에 자동으로 점검해주는 리눅스 전용 서비스입니다

Q.점검시간이 매우 오래 걸립니다 어떻게 해야하나요?

A. 아래와 같은 사유로 매우 오래걸릴 수 있습니다 따라서 저희와 상담하시어 문제가 있는지 점검하시는 것이 좋습니다.
1.시스템의 웹소스가 많을 경우
2. 시스템의 프로세스가 많을 경우
3. 시스템에 부하가 심할 경우

Q.점검리포트에 악성코드가 많다고 나왔는데 실제로는 서비스하는 소스입니다 어떻게 해야 할까요?

A. 실제로 서비스하는 소스에 악성코드가 심어진 경우입니다. 자세한점검을 위해 보안관제팀으로 연락을 주시기 바랍니다.

Q.좀비 악용에 매우많은 감염결과가 나타났습니다 어떻게 해야 하나요?

A. 좀비악용은 수많은 사례가 있습니다 너무 걱정하지 마시고 보안관제팀으로 연락바랍니다.

Q.루트킷검사에 양성반응이 나왔습니다 어떻게해야할지 모르겠습니다.

A. 오탐일가능성도 있습니다 자세한 검사를 해봐야 알 수 있으므로 문의주시면 상세한 상담가능하십니다.

 

웹방화벽

Q.웹방화벽이란 어떤서비스입니까?

A. 현재 웹크래킹으로 인한 문제는 매우 많으며 또한 그수많큼 심각합니다. 가장많고 다양한 취약점이 있으며, 그 피해도 심각합니다.
웹방화벽은 모든 웹크래킹에대비해 최대한 공격을 차단하여 피해를 막습니다.
관리자는 차단된 로그분석을 통해 어떠한 공격형태가 많은지 분석하고 우회가능한 공격을 차단합니다.

Q.웹방화벽 서비스를 받는데 저희가 해야할 일이 뭐가 있을까요?

A. 저희가 계획을 짜서 고객님께 메일이나 전화를 드리며, 간단한 것만 요청드릴 것입니다 나머지는 저희가 모두 처리해드립니다.

Q.방화벽기능도 사용하고 싶습니다 어떻게 해야하나요?

A. 방화벽기능이 포함되어 있습니다 웹방화벽서버 웹사이트에 로그인하시어 원하시는 조작을 하실수 있습니다.
어려운점이 있으시면 언제든 24시간 기술지원이 가능하오니 참고바랍니다 .

Q.웹서버가 여러대입니다. 서비스가 가능한가요?

A. 가능하십니다. 웹방화벽 자체에 L4스위치 로드밸런싱 기능까지 가능하오니 로드밸런스에 문제가 없으십니다.
문제가 있으시면 언제든 24시간 전화주시기 바랍니다.

Q.데이터베이스에 악성코드가 자꾸만 삽입됩니다 어떻게 해야합니까?

A. Sql Injection 공격일 가능성이 높습니다 저희 웹방화벽서비스를 이용하시기 바랍니다.
피해가 막심한 Sql Injection 공격에 대해서도 최적화 되어 있습니다. 만에 하나라도 공격을 막지 못한다면 로그분석을 통해 룰을 만들어 드리겠습니다.

Q.방화벽이 차단되지 않습니다 어떻게 해야 합니까??

A. 로그인하시어 살펴보시면 해당 도메인에 운영상태가 '운영중' 이 아닌 '탐지' 라고 되어 있다면 운영으로 바꾸신후 '변경완료' 버튼을 눌러주시면 됩니다.

Q.제가 어제 웹방화벽에서 어떠한 작업을 했는지 기억이 나질 않습니다 문제가 생겼습니다 어떻게 해야 하나요?

A. 관제/관리 메뉴에서 이벤트 이력을 보시면 어떠한 메뉴에서 어떤내용을 수정/삭제/추가 하셨는지 모두 보실수 있습니다.
기본적으로 문제가 생기셨다면 언제든 보안관제팀으로 연락주시면 해결이 가능하십니다.


quicklink

  • 도메인
  • FAQ
  • 원격지원요청
  • 작업의뢰서
  • 부가서비스
  • 이용약관
  • 소셜스크랩
    • 페이스북
    • 트위터
    • 싸이월드

top

  • wordpress

  • boanserver

top