에프네트 : 자유롭고 안전한 네트워크 세상을 만들어 갑니다.
침입방지시스템 : IPS, Intrusion Prevention System
공격 시그니처를 찾아내 네트워크에 연결된 기기에서 수상한 활동이 이루어지는지를 감시하며, 자동으로 조치를 취함으로써 그것을 중단시키는 보안 솔루션이다.
수동적인 방어 개념의 방화벽이나 IDS와 달리 침입유도시스템이 지닌 지능적 기능과 적극적으로 자동 대처하는 능동적인 기능이 합쳐진 개념으로 코드레드 웜 발생시 무용지물이 된 기존 솔루션의 대안으로 떠오른 침입방지시스템이다.

침입방지시스템과 방화벽 & IDS와의 차별성
침입방지시스템은 바이러스 웜이나 불법침입/분산서비스 거부공격 (DDOS:Distributed Denial of Service) 등의 비정상적인 이상신호를 발견 즉시 인공지능적으로 스스로 적절한 조치를 취한다는 점에서 방화벽이나 IDS와 차별성을 갖는다.
즉 기존 IDS는 이미 알려져 있는 공격 시그니처를 감시하면서 수상한 네트워크 활동을 찾아내기 위한 목적으로 이상 네트워크 활동을 찾아냈을 경우 해당 운영 직원에게 경고 메시지를 보내고 침입의 진전상황을 기록하고 보고하는 것으로 끝나 문제를 즉각적으로 처리하지 못하는 데 반해 침입방지시스템은 침입경고 이전에 공격을 중단시키는데 초점이 맞춰져 있다.

침입방지시스템이 필요한 이유
현 정보보안 시스템의 취약성
방화벽은 내부의 중요한 자원과 외부세계와의 경계를 생성하고, 정책기반의 접근제어를 효과적으로 제공하고 있다.
하지만 방화벽은 네트워크 사용 목적상 열린 포트를 가지게 되며, HTTP 웜, DoS공격, 변형 프로토콜을 통한 공격에는 방화벽의 특성상 효과적으로 막지 못한다.
또한 방화벽은 이러한 공격으로 인해 네트워크의 병목현상과 가용성을 떨어뜨리는 요인이 될 수 있다.

nIDS 취약성
nIDS는 공격, 침입, 원하지 않는 트래픽을 구별할 수 있다는 점에서 가치가 있으며, 일부 nIDS는 TCP리셋 기능을 가지고 공격차단을 시도하기도 한다.
하지만 nIDS는 정확한 시점에 공격을 차단하지 못하며 실질적인 방어는 관리자의 수동적인 개입을 필요로 하게 된다.
또한 nIDS는 모든 비정상적인 트래픽에 대한 경보를 발생함으로써 엄청난 로그를 발생 시킨다.
따라서 이들 중 정확한 이벤트 정보를 선별하는 것은 관리자에게 과도한 부담을주며 실제 공격을 놓칠 수도 있다.

침입방지시스템의 장점 및 요구사항
침입방지시스템의 장점
현 정보보안 시스템에 반해 침입방지시스템은 탐지 능력과 차단 능력을 결합한 것으로 알려지지 않은 공격 패턴에 효과적인 대응을 함과 동시에 명백한 공격에 대해서는 사전 방어 조치를 취함으로써 다음과 같은 장점을 가진다.
  • 방화벽에서 취약한 요소를 보완할 수 있는 2단계의 방어(방화벽, 침입방지시스템)를 제공한다.
  • DoS/DDoS 등과 같은 공격을 차단 시킴으로써 보안 인프라와 네트워크의 영향을 제거한다.
  • 공격에 대한 조사로 인해 소요되는 관리자 운영 부담을 없앤다.
  • 차단은 TCP 리셋 기능처럼 TCP에 한정되지 않고 모든 트래픽(IP, TCP, UDP 등)을 대상으로 한다.

침입방지시스템의 요구사항
  • 정확하게 탐지하고 공격을 정밀하게 차단하는 인-라인 장치여야 한다.
  • 라인 속도로 동작하여 네트워크 성능 또는 가용성에 악영향을 주지않아야 한다.
  • 보안관리 환경 안에 통합되어야 한다.
  • 미래의 공격에 대한 방어를 쉽게 수용할 수 있어야 한다.
  • 빠른 투자회수가 가능하도록 효과적인 비용이여야 한다.

Top Layer의 Attack Mitigator 침입방지시스템
Attack Mitigator 침입방지시스템 (AM 침입방지시스템)


  • AM 침입방지시스템 시리즈는 급속히 증가하고 있는 네트워크 공격과 침입을 정확하게 탐지하고 차단함으로써 중요자원을 보호한다.
    침입방지시스템의 지능적인 트래픽 필터링과 악의적인 패킷의 제거는 DoS/DDoS공격, HTTP웜, 과다한 패킷과 같은 보안사고를 예방한다.
  • Mitigation 알고리즘을 가진 TopFire™ intrusion prevention engine을 기반으로 한 Top Layer의 ASIC을 기초로, AM 침입방지시스템 시리즈는 높은 성능, 정밀한 패킷 점검 그리고 기존의 라우터, 방화벽, 침입탐지시스템이 할 수 있는 것 이상의 높은 가용성을 제공한다.

AM 침입방지시스템의 주요 특성
  • Pre-Configured Ports

    • Internal(inside)/External(Outside) 포트 : 고정된 각 1개 포트, 구성가능 한 포트6개 포트
    • 관리포트 : 고정된 1개 포트 (12번 포트)
    • 관리포트 : 구성 가능한 3개 포트
  • Web management Interface

    • 웹 브라우저를 통한 구성 및 관리 기능
    • 간편한 wizard 타입의 설정 기능 제공
  • Mitigation Modes and Statistics

    • Disable : 공격에 대한 방어 없이 모든 트래픽을 통과시킴
    • Alarm/SNMP trap/Syslog 지원 안 함
    • Monitor : 공격을 인식하고 Alarm/SNMP trap/Syslog 이벤트를 지원하지만 패킷은 포워딩 함
    • Mitigate : 공격을 인식하고 그 패킷을 차단
    • Alarm/SNMP trap/Syslog 이벤트가 일어남
    • Statistics : 최근 10건을 디스플레이
    • Source/Destination IP주소, Application, Tmestamp 정보를 포함
  • Security Alarms

    • 공격에 대한 정보를 제공하는 상세한 Alarm(Source/Destination IP주소와 포트 포함
  • SYN Flood Reporting

    • 상세한 그래프들을 통해 현 상태 및 호스트 수를 보여 줌
  • IP Address Spoofing

    • 외부에서 발생된 내부IP주소 및 내부에서 발생된 외부IP주소 차단
  • Connection Limiting

    • TCP Connection, 많은양의 Unicast UDP 또는 ICMP를 가지고 서버 또는 호스트에 과부하를 줄 수 있는 공격을 제한 함
  • Bypass Port

    • 전원의 공급 문제나, 소프트웹어 크래쉬로 인한 장비 장애 발생 시 자동적인 100M 바이패스 포트 제동으로 물리적인 연결을 지원함
  • Application Rate Limiting

    • 어플리케이션별로 외부로 부터의 속도와 내부로 부터의 속도 제한 지정 가능
    • Rate단위 : KBytes/second
  • Alarm Limiting

    • 반복적으로 일어나는 동일 Alarm을 통합하여 최소화
AM 침입방지시스템의 배치 예
네트워크안에 다양한 설치 옵션을 가짐.


[Link] IDS Balancer
[Link] 요약) IPS, 침입방지 시스템
[Link] IPS, 침입방지 시스템
[Link] Top Layer의 제품들
칼티에프루피