에프네트 : 자유롭고 안전한 네트워크 세상을 만들어 갑니다.
IDS Balancer 란?


IDS(Intrusion Detection System) Balancer는 세션 인식 미러링 및 밸런싱 어플라이언스로 더욱 강화된 IDS를 통해 탁월한 효율성 및 가용성을 실현한다.
하나 이상의 IDS들을 하나 이상의 네트워크 세그먼트와 연결함으로써 IDS구성의 매우 높은 유연성을 부여하며, 이들 세그먼트의 트래픽을 IDS모니터링 그룹으로 미러링한다. 트래픽은 하나 이상의 모니터링 그룹으로 미러링 될 수 있으며, 특정 트래픽 형태(IP호스트, 어플리케이션 별 등)로 트래픽을 분리하여 IDS 모니터링 그룹으로 보낼 수 있어 모니터링 효과를 극대화 시킬 수 있다.

특정 세션의 첫 패킷이 한 IDS에 지정되면, 그 세션의 모든 패킷은 동일한 IDS로 미러링 되며, 한 IDS로 처리할 수 없는 트래픽 수준을 하나 이상의 IDS 풀(pool)로 구성하여 처리할 수 있다.

네트워크의 성장에 따라 IDS의 용량이 부족하더라도 정책 및 규칙의 튜닝을 통한 운용으로, 고가의 기가비트 IDS로 교체할 필요 없이 기존 IDS를 재활용하여 구현할 수 있어 최적의 투자보호를 이루어 낼 수 있으며, IDS의 Fault Tolerant 구성을 가능하게 한다.

nIDS(Network-Based IDS)의 문제점
네트워크 탐지 영역 문제
  • Heavy Traffic Networks nIDS 센서에 과부하를 줄 수 있는 높은 트래픽 수준은 nIDS의 성능 문제를 야기시켜 탐지해야 할 트래픽을 놓침
  • Switched Network

  • . 스위치 SPAN포트는 제한 요소들(SPAN포트 수, 처리능력 등)을 가지고 있음. 따라서 스위치상의 모든 트래픽을   탐지할 수 있는 nIDS의 이상적인 구성이 어려워 보호되지 않는 영역이 발생하게 됨
    . 결국 모든 트래픽을 탐지하기 위해 각 세그먼트에 nIDS를 배치하는 방법이 있으나 이는 과도한 투자비용 유발
  • Asymmetrical networks

  • . 다중 네트워크 경로를 가지는 환경
    . 플로우는 nIDS로 탐지되어지기 전에 여러 개의 트래픽 경로를 가짐
    . 결국 nIDS는 Conversation의 일부분만을 보게 되어 공격을 놓칠 수 있음
네트워크 가용성 문제
  • 확장성

  • . 네트워크 인프라의 성장과 변화에 대해 nIDS 환경은 최소의 비용으로 업그레이드 되어지고 변경을 제어할 수 있   어야 함
    . 대부분의 nIDS 환경에 있어 확장성은 설치이후의 문제로 여겨지고 있음
  • 안정성

  • . 모든 상황에서 네트워크 탐지의 가용성을 보장하기 위해 백업 nIDS시스템이 필요함

IDS Balancer가 필요한 이유
보다 넓은 범위의 모니터링
통상적으로 2대의 IDS는 두개의 세그먼트를 모니터 할 수 있다. 따라서 전체 네트워크에 IDS를 설치한다는 것은 너무 많은 비용을 요구하게 된다.
하지만 IDS Balancer를 사용할 경우 2대의 IDS는 10개까지 다른 네트워크 세그먼트를 모니터 할 수 있어 위와 같은 문제를 해결할 수 있다.

확장성 증가
통상 한대의 100Megabit IDS는 패킷 사이즈에 따라 50Megabit이하의 처리량을 가지고 있다. 따라서 네트워크의 성장에 따라 트래픽이 50Megabit이상이 되면 기존 IDS는 업그레이드 되어야 한다.
그러나 이로 인해 성능이 높은 기가비트 IDS로 교체해야 한다면, 기존 투자(비용/정책/룰) 보호가 힘들어지며, 과도한 투자가 발생할 수 있다.
IDS Balancer는 이러한 문제를 하나의 모니터 그룹 안에 100Megabit IDS 풀(pool)을 구성하여 적은 투자로도 높은 트래픽의 네트워크 세그먼트를 모니터 할 수 있다.

IDS의 성능 향상
IDS가 모든 패킷을 철저하게 감시하게 하는 것은 IDS에 과중한 부담을 주게 되며, IDS의 잦은 서비스 중단을 유발한다. IDS Balancer를 사용하여 트래픽을 어플리케이션 별로 필터링하고 이를 선택적인 IDS로 보냄으로써 IDS의 부담을 덜어 줄 수 있다.

안정성 증가
전형적인 IDS의 구조와 배치는 Fault Tolerance 구현이 불가능 하지만 IDS Balancer를 사용하면 모니터 그룹에 IDS를 자유롭게 추가할 수 있다. 이것은 N+1의 백업을 구성하여 하나의 IDS의 고장 시에도 네트워크 성능 또는 보안에 영향을 주지 않게 할 수 있다.

Top Layer의 IDS Balancer
Top Layer의 IDS Balancer의 구성 및 장점


  • [M:N]구성
  • : 1개 이상의 네트워크 세그먼트(M)를 1개 이상의 nIDS그룹(N)으로 맵핑 시킴으로써 IDS구성에 융통성 부여
  • IDS로드 분산
  • : Round Robin Distribution 알고리즘을 기반으로 세그먼트들의 트래픽을 1대 이상으로 구성된 nIDS 그룹으로 미러링 할 수 있으며, 이는 낮은 성능의 nIDS 한대로 처리할 수 없는 트래픽을 여러 대로 분산처리 할 수 있음을 의미함
  • Aggregation
  • : 적은 수의 nIDS에 많은 수의 네트워크 세그먼트 또는 VLAN을 확장 적용할 수 있음
  • 필터링 및 카본 카피
  • : 미러링되는 트래픽 중 탐지에 필요한 트래픽만을 선별해서 nIDS로 보낼 수 있으며, 카본카피 기능을 통해 어플리케이션이나 IP호스트별로 nIDS(그룹)를 구분하여 보낼 수 있으며, 이는 네트워크의 성장에 따라 현재의 nIDS의 용량 부족을 IDS Balancer를 통한 정책 및 규칙의 튜닝을 통해 극복할 수 있음을 의미함
    따라서 nIDS의 성능저하 문제를 고가의 기가비트 IDS로 해결하기 보다는 기존 nIDS의 효과 극대화를 통한 최적의 투자보호를 가능케 함
  • 세션유지
  • : nIDS가 정확한 침입탐지를 수행하기위해 특정 세션의 첫 패킷이 특정 nIDS로 지정되면, 그 세션의 모든 패킷을 동일한 nIDS로 보내어 지도록 보장함
  • Fault tolerant
  • : 포트의 Link Up/Down Health Check를 통해 nIDS의 Fault tolerant 구성을 가능케 함
  • JAVA기반의 GUI
  • : JAVA기반의 GUI를 통한 IDS Balancer의 구성작업을 쉽게 함
Top Layer의 IDS Balancer의 특징 및 기능
IDS Balancer 주요 기능 IDS Balancer 적용 옵션 높은 신뢰성 제공
Flow mirroring
어플리케이션 기반 필터링
다중 카본 카피 그룹 지원
스위치 네트워크 환경
탭(Tap)을 사용하는 환경
비대칭 라우팅 환경
트래픽 부하가 높은 환경
높은 확장성
N+1 백업
공격으로부터 IDS 보호

  • 다수 그룹의 IDS 센서, 프로토콜 애널라이저, 스니퍼 및 RMON 프로브 등에 대한 동시 플로우 미러링(flow mirroring) 제공
  • 여러 세그먼트 및 VLAN로 구성된 네트워크를 지원하는 IDS의 결합
  • 전체 기가비트 속도로 IDS 확장성 지원
  • 솔루션의 정교한 튜닝을 위한 애플리케이션별 트래픽 필터링
  • 설정 및 구성의 전 과정을 지원하는 간편한 네비게이션 및 위저드
  • IDS 폴트 톨러런스(무장애)
  • 각 모니터 그룹별 밸런싱
  • 애플리케이션별 밸런스
  • 네부 네트워크 및 서비스 제공자 환경을 모니터링 하는데 이상적인 제품
  • 진정한 의미의 ‘플러그 앤 플레이’를 구현하기 위해 개발시 사전 구성
  • TopFlowTM 데이터의 작성 및 SecureWatchTM 호환 지원
  • (12 10/100 포트) 및 (12개의 GB 포트를 포함한 1210/100포트) 구성으로 판매


Top Layer의 IDS Balancer 구성의 예
[Link] 요약) IDS Balancer
[Link] 요약) IPS, 침입방지 시스템
[Link] IPS, 침입방지 시스템
[Link] Top Layer의 제품들
칼티에프루피