- 탑레이어 네트워크 침입방지 솔루션의 기본 플랫폼 - MAC 및 IP 주소 필터 , 불량 패킷 필터 , 불량 헤더 필터 - 유연한 정책 기반 액세스 제어 메커니즘 - 트래픽 쉐이핑 (Shaping) 및 임계치 기반 TCP Connection 제한
TopInspect TM 딥 패킷 분석 (Deep Packet Inspection)
- 전용 네트워크 프로세서를 통한 IP Fragment 및 TCP Segment 처리 - 프로토콜 에플리케이션 허용치 (Acceptable Application Use) 검증 - Stateful 패턴 매칭 기능
Advanced DDos 차단 기능
- 전 세계 네트워크에 사용되고 있는 탑레이어의 입증된 Anti-DDos 구현 - 동적 Source IP 및 Destination IP 에 대한 위협 레벨 평가 (Threat Level Assessment) - 자동 3 단계 레벨 처리 : 허용 , 서킷 프록시 검증 (Circuit Proxy Validation) 및 고성능 동적 차단
AM IPS 5500 TM 과 방화벽의 차이점
구 분
AM IPS 5500
방화벽
장점
- 제 2 세대 ASIC 기반 하드웨어 플랫폼을 통하여 고성능 트래픽 처리 지원
- 정책기반 방화벽 필터링 , Stateful Inspection, Deep Packet Inspection 등 앞선 방화벽 요소 기술을 지원
- 심층 방어 방화벽 또는 내부 방화벽으로서의 모든 요구 사항을 만족
- 네트워크 레벨 및 어플리케이션 레벨 보호를 모두 지원함으로써 , 기존 방화벽보다 훨씬 광범위한 보호 기능 제공
- NAT, 라우팅 , 인증 및 VPN 종단 기능 지원
- Application Proxy 방화벽 기능
- 보다 유연한 ACL 지원
단점
- Perimeter Gateway Firewall 로서 갖추어야 할 NAT, 라우팅 , 프록시 서비스 , 인증 및 VPN Termination 기능을 제공하지 못함
- Application Level 의 침입 방지 지원이 안되거나 제한적임
- Deep Packet Inspection 기능 지원 안됨
- 제한된 DoS 공격 및 Flooding 보호기능 제공
- 성능 저하로 인한 네트워크 지연 현상 발생
IPS 5500 제품 기능 및 성능
IPS(Intrusion Prevention System) 5500 은 Dos, DDos 및 웜 바이러스의 확산을 차단하는 웜 바이러스 차단 기능을 구현할 뿐만 아니라 , 포괄적인 네트워크 레벨 및 어플리케이션 레벨의 보호 기능을 제공함으로써 , 치명적인 취약성을 이용한 해킹 및 유해 트래픽으로부터 중요한 정보 자산을 보호하기 위한 제 2 세대 네트워크 침입방지 솔루션으로 다음과 같은 기능을 제공합니다 .
탑레이어의 AM IPS5500 은 기존 IPS 2000 시리즈에서 검증 받은 네트워크 레벨의 보호 기술 (Dos/DDos 차단 기능 , Stateful analysis, 프로토콜 취약점 분석 기술 등 ) 에 심층 패킷 분석 기술 (Deep Packet Inspection) 을 통하여 어플리케이션 레벨의 보호 기술을 지원합니다
탑레이어 IPS5500 의 차별성은 다음과 같습니다
동급 최강의 네트워크 레벨 및 DDos 공격 방어 및 어플리케이션 보호 기능을 결합시킨 유일한 네트워크 보안 장비임 IP fragment 와 TCP Segment 를 이용한 공격으로부터 보호하기 위한 전용 ASIC 을 제공 (ROE : ReOrder Engine) 업계 최강의 성능 제공 : 심층 패킷 검사 시 초당 60,000 Connection setup 지원 Syn Flooding 공격 방어 능력 : 초당 약 1,500,000 개의 Syns 어플리케이션 그룹별 , Client 그룹별 및 서버 그룹별 Connection Limit 및 Rate Limit 기능을 제공함으로써 P2P 및 Flooding 공격에 대한 유연한 대처가 가능함 별도의 네트워크로 구성된 관리 포트를 제공함으로써 IPS 자체에 대한 해커로부터의 공격 보호 지원 ( 관리 포트와 서비스 포트의 물리적인 분리 ) 네트워크 이중화 구조 시 별도의 L4 장비 없이 이중화 구성을 지원 (HA 구성 지원 , L2 Link Aggregation 지원 : 최대 Giga 4 포트 ) 3 단계의 Bypass 포트 제공을 통하여 소프트웨어 크래쉬 발생시 서비스의 연속성 보장 (Always Bypass, Fail open, Fail Close) 하드웨어 기반으로 IPS 기능을 수행하여 네트워크 지연 (~300μSec) 을 최소화 ( 경쟁 제품에 비해 월등히 뛰어남 ) 차단된 불량 트래픽만을 분석하거나 , 모든 트래픽에 대한 심화 분석 지원을 위한 포렌식 (Forensics) 포트를 제공 (Discard, Mirror & Capture 포트 지원 ) 각각의 공격 유형별로 IPS 의 동작 형태를 3 가지 모드 (Ignore, Detect, Block) 를 지원함으로써 , 유연하고 탄력적인 대응이 가능함 트렌스페어런트 (Transparent) 모드의 공격 차단 / 억제 기능을 지원하여 , 별도의 논리적인 네트워크 추가나 설정이 필요 없이 손쉽게 네트워크 구성이 가능함
IPS5500 - 1000 의 제품 사양 및 성능
전체 포트 수 : 4 x 1Gbps + 4 x 10/100Mbps, 4 x 10/100 Management Port 처리율 (Rated Firewall Throughput) : 2Gbps 최대 플로우 (Flow) 테이블 : 2,000,000 개 최대 세션 (session) 테이블 : 1,000,000 개 초당 Connections Setup Rate : 60,000 개 최대 초당 SYN Flood 차단률 : 1,500,000 개 최대 네트워크 지연 시간 : ~300μSec 초당 프로토콜 Validation Operation Rate : ~60,000 개 최대 Applications Groups : 1,024 개 최대 MAC 테이블 : 4,000 개 최대 IP Address Threat Table : 2,000,000 개
제품의 주요 기능
각종 네트워크 공격과 침입을 정확하게 탐지하고 차단함으로써 주요 자원을 보호한다 공격을 정확하게 탐지하고 공격을 정밀하게 차단하는 인 - 라인 장비이다 능동적인 방어 메커니즘을 통한 실시간 방어 체제를 구현한다 . 내외부로 부터 해킹 DoS/DDoS 공격 , 웜 , 대량의 비정상적인 트래픽에 의한 보안 사고를 예방한다 . 어플리케이션 그룹별 ,Client 그룹별 및 서버 그룹별 Connection Limiting 및 Rate Limit 기능을 제공함으로써 P2P 및 Flooding 공격에 대한 유연한 대처가 가능하다 차단된 트래픽에 대한 심화 분석을 위해 포렌식 포트를 제공한다 . 라인 스피드로 동작하여 네트워크 성능 또는 가용성에 악영향을 주지 않는다 . Stateful Inspection 보다 한단계 진화한 Deep Packet Inspection 을 제공하여 보다 근본적인 방어 수단을 제공한다 별도의 네트워크로 구성된 관리 포트를 제공함으로써 IPS 자체에 대한 해커로부터의 공격 보호가 가능하다 . ( 관리 포트와 서비스 포트의 물리적인 분리 ) 업계 최고의 성능을 제공한다 . ( 초당 60,000 Connection Setup Rate 제공 ) 하드웨어 기반으로 IPS 기능을 수행하여 네트워크 지연 (~300 m Sec) 의 최소화가 가능하다 . ( 동급 최강 ) IP Fragment 와 TCP Segment 를 이용한 공격으로부터 보호하기 위한 전용 ASIC 을 제공 네트워크 이중화시 별도의 L4 장비 없이 이중화 구성 지원이 가능하며 더불어 Fail Over 및 Load Balancing 을 위한 HA 구성 및 Link Aggregation 이 가능하다 IPTSS (Intrusion Prevention Technical Support Service) 로 E-mail 을 통한 보안 자문 서비스 및 새로운 공격 형태에 대한 탑레이어의 지식 기반에 대한 엑세스가 가능하여 항상 Update 된 차단 정책을 가져 갈 수 있다 별도의 관리 프로그램 없이 JAVA 기반의 HTTP 나 SSL 로 Management 가 가능하다 3 단계의 Bypass 포트 제공을 통하여 소프트웨어 크래쉬 발생시 서비스 연속성 보장한다 .
-> (Always Bypass, Bypass upon software failure, Never Bypass) 브릿지 모드로 동작하여 별도의 네트워크 구성이 필요 없다 .
제품 시스템 구조
GMOM ASIC
10/100/1000 Mbps 인터페이스에 대한 연결성을 제공하여 주며 , Incoming Packet 에 대해서는 고정된 크기의 셀로 바꾸어 준다 . 또한 전송 패킷에 대해서는 연속적인 헤더를 데이터 링크 헤더로 바꾸어 준다 .
Queue Manager ASIC
모든 패킷들이 저장 되어지는 고속의 패킷 메모리에 대한 인터페이스를 제공하여 주며 수신 Queue 에서 처음 받은 128 Byte 를 포워딩 엔진으로 전송한다 . 또한 받은 패킷들을 수신 Queue 에서 발신 Queue 혹은 다른 QoS Queue 로 이동 시키며 Buffer Copy 없이 효율적인 멀티캐스팅 동작이 가능하다 .
Relay Engine ASIC
Network Processor 로 구성되어 있으며 주고 받는 패킷들에 대하여 일반적인 고속의 DMA 엔진을 가지고 있어 고속의 Switching 을 제공한다 .
TREX FPGA
Flow Setup Process
IP/MAC 조회를 통해 Forwarding/Switching 결정을 하며 , 포워딩 및 역 포워딩에 대한 플로우 레코드를 생성한다 .
Packet Forwarding
수신된 패킷을 바탕으로 플로우 통계 등에 대한 상태 정보를 업데이트 하며 플로우 레코드를 바탕으로 패킷을 Queuing 한다 .
Periodic Aging Process
플로우를 관리하며 IP, MAC, ARP 정보에 대해서 정기적으로 Aging 한다 .
RAPTOR FPGA
High Availability 시의 링크 동작에 관련하며 가용한 링크를 통하여 트래픽에 대한 로드 밸런싱과 Peer 에 대한 Health Check 를 담당한다 .
HTTP 와 DNS 에 대해 Protocol Check 와 Filter, 일반적인 문자열 매칭을 담당한다
. Management Engine
내부의 MIB Manager 로 사용 되며 , Configuration, Software Upgrade, 물리적 포트 관리 , Telnet 등이 관리 , Syslog, SNMP 등을 관리한다 .
ROE Engine ( Reassembly and Reorder Engine)
Fragment 된 IP 패킷들의 경우 순서에 맞게 완전한 사이즈의 Ethernet Frame 으로 재정렬 하며 TCP 의 경우 또한 Sequence Number 와 맞게 재정렬 한다 . 중복된 IP Fragment Packet 을 찾아내고 Overlap 하는 역할을 한다 .
Event Logging System Engine
각종 Event 및 Log 에 대해 컨트롤 하는 역할을 하며 다중 목적지 관리 (SNMP, Syslog) 가 가능 하게 한다 .
GMOM ASIC
10/100/1000 Mbps 인터페이스에 대한 연결성을 제공하여 주며 , Incoming Packet 에 대해서는 고정된 크기의 셀로 바꾸어 준다 . 또한 전송 패킷에 대해서는 연속적인 헤더를 데이터 링크 헤더로 바꾸어 준다 .
Queue Manager ASIC
모든 패킷들이 저장 되어지는 고속의 패킷 메모리에 대한 인터페이스를 제공하여 주며 수신 Queue 에서 처음 받은 128 Byte 를 포워딩 엔진으로 전송한다 . 또한 받은 패킷들을 수신 Queue 에서 발신 Queue 혹은 다른 QoS Queue 로 이동 시키며 Buffer Copy 없이 효율적인 멀티캐스팅 동작이 가능하다 .
Relay Engine ASIC
Network Processor 로 구성되어 있으며 주고 받는 패킷들에 대하여 일반적인 고속의 DMA 엔진을 가지고 있어 고속의 Switching 을 제공한다 .
TREX FPGA
Flow Setup Process
IP/MAC 조회를 통해 Forwarding/Switching 결정을 하며 , 포워딩 및 역 포워딩에 대한 플로우 레코드를 생성한다 .
Packet Forwarding
수신된 패킷을 바탕으로 플로우 통계 등에 대한 상태 정보를 업데이트 하며 플로우 레코드를 바탕으로 패킷을 Queuing 한다 .
Periodic Aging Process
플로우를 관리하며 IP, MAC, ARP 정보에 대해서 정기적으로 Aging 한다 .
RAPTOR FPGA
High Availability 시의 링크 동작에 관련하며 가용한 링크를 통하여 트래픽에 대한 로드 밸런싱과 Peer 에 대한 Health Check 를 담당한다 . HTTP 와 DNS 에 대해 Protocol Check 와 Filter, 일반적인 문자열 매칭을 담당한다 HTTP 와 DNS 에 대해 Protocol Check 와 Filter, 일반적인 문자열 매칭을 담당한다
Management Engine
내부의 MIB Manager 로 사용 되며 , Configuration, Software Upgrade, 물리적 포트 관리 , Telnet 등이 관리 , Syslog, SNMP 등을 관리한다 .
ROE Engine ( Reassembly and Reorder Engine)
Fragment 된 IP 패킷들의 경우 순서에 맞게 완전한 사이즈의 Ethernet Frame 으로 재정렬 하며 TCP 의 경우 또한 Sequence Number 와 맞게 재정렬 한다 . 중복된 IP Fragment Packet 을 찾아내고 Overlap 하는 역할을 한다 .
Event Logging System Engine
각종 Event 및 Log 에 대해 컨트롤 하는 역할을 하며 다중 목적지 관리 (SNMP, Syslog) 가 가능 하게 한다 .
제품의 망구성 방식
브리지 구성시 추가적인 네트워크 Segment 분리 작업이 필요 없음
그림과 같이 주요 네트워크 경계에서 인라인에 위치하는 구성법과 주요 내부 서버 자원을 보호하는 방법으로 구성 할 수 있다
HA 구성시
주로 Network Perimeter 구간에 존재 하게 되며 HA 구성 시에는 Hardware 및 Software Fail 에 대해서 생존 성을 보장해준다 .
Network Perimeter Protection
제공가능 서비스
Flow 정보를 기반으로 다음과 같은 공격들에 대해 효과적인 방어가 가능하다
전형적인 DoS/DDoS 공격들 LanD : 소스 IP 와 목적지 IP 를 같게 하여 불완전한 연결 상태를 만듬 Teardrop : IP 패킷 조가 ( IP Fragment) 의 헤더를 서로 중첩 되도록 조작해서 전송시켜 재조합 과정에서 Overflow 를 발생 Bonk/Boink/New Teardrop: Teardrop 이 한번의 패킷 조각 쌍을 이용하는 반면에 패킷 조각 쌍을 반복적으로 전송함 Jolt/Sping: 규정된 길이 이상의 IP 패킷을 전송함으로써 이 IP 패킷을 처리하는 과정에서 버퍼의 Overflow 를 발생 TCP Connection Hijacking : 순차 번호 예측과 유사하나 , 공격하는 호스트의 IP 를 신뢰할 수 있게 한 후 액세스 함 UDP Bomb : 특정 필드의 잘못된 값 ( 길이가 IP Packet length 에 지정된 값 ) 을 가진 UDP 패킷들을 수신 FTP Bounce : FTP 프로토콜이 Proxy FTP 접속을 지원한다는 특성을 이용해 취약한 FTP Server 를 찾아서 그것을 중간 경유지로 삼아 다른 호스트를 공격하는 것 ICMP Violation : IP 데이터 길이 , IP Offset, IP Fragment Bits 를 조작하여 ICMP 트래픽 발생 Trinoo, TFN(Tribed Flood Network) : DDoS 공격 시에 사용되는 툴 IP Fragmentation Restriction: 조각난 IP 패킷들에 대한 잘못된 Fragment Offset 과 길이 정보로 시스템에 악영향을 미침 Flood 공격들 Syn Floods : TCP 의 3 Way Handshaking 을 이용한 공격으로 마지막 ACK 신호를 받지 못하고 계속 Queue 에 쌓이게 하여 정상적인 연결 요청도 무시하도록 하는 공격 ICMP Floods, UDP Floods. UDP 137,UDP 138,TCP 139 를 이용한 오파 바이러스 Spoof 공격 Source IP Address Spoofing : 외부 네트워크로 부터 들어오는 패킷들 중 내부 네트워크에서 사용해야만 할 IP 주소 값을 가지고 들어오는 패킷들에 대한 공격 HTTP Worm 공격 Nimda/Code-Red 1,2 RAT/Orion/Kaos 등 각종 백도어 프로그램 SQL Over Flow /AnyWhere/AW-D BSYNC 등의 SQL 취약점을 이용한 각종 공격들 Doly/NetMonitor Trojan 및 각종 트로이 목마 이외의 여러 종류의 HTTP Worm 공격들 커넥션 기반의 공격들 대량의 합법을 가장한 HTTP GETS 공격 Broadcast 공격들 Smurf : 공격하고자 하는 서버의 IP 로 하나의 네트워크에 ICMP Ping 을 Broadcast 한 후 , ICMP Echo Request 를 공격 서버로 한번에 보내게 되어 시스템을 다운시키는 공격 Fraggle : Smurf 공격과 유사하지만 Smurf 공격이 ICMP 를 이용하는 반면 Fraggle 공격은 UDP(port 7) 를 이용
핵심 요소 기술
TopFire TM Stateful Analysis 탑레이어 네트워크 침입 방지 솔루션의 기본 플랫폼 MAC 및 IP 주소 필터 , 불량 패킷 필터 , 불량 헤더 필터 유연한 정책 기반 액세스 제어 메커니즘 트래픽 쉐이핑 (Shaping) 및 임계치 기반 TCP Connection 제한 TopInspect TM 딥 패킷 분석 (Deep Packet Inspection) 전용 네트워크 프로세서를 통한 IP Fragment 및 TCP Segment 처리 프로토콜 Application 허용치 (Acceptable Application Use) 검증 Stateful 패턴 매칭 기능
관리 기능
다양한 관리 인터페이스 제공 4 Port 10/100 Base TX 의 관리 포트를 지원하며 각각의 포트는 HTTP 및 Syslog 등을 위한 Management 포트 , Flow Mirror 트래픽을 수신하는 Mirror Port, Drop 된 패킷만을 수신하는 Discard 포트 , Port mirroring 트래픽에 대해서 수신하는 캡쳐 포트로 구성된다 9 Pin Local console 지원한다 . Local Console, Telnet, SSH 를 이용한 Command Line Interface 를 지원한다 . Java 를 기반으로 한 HTTP, SSL 의 Web Management 를 지원한다 . 스탠다드 MIB 을 이용한 SNMP 와 TRAP 을 지원한다 . 리모트에서 이미지 Upgrade 및 Internal Compact Flash 에 Configuration 저장이 가능하다
모니터링 기능
웹을 통한 내부 및 원격지 서버로의 다양한 메시지 전송 기능이 가능 ( 포트 통계 , 시스템 정보 , Connection Setup Rate, SynFlooding 에 대한 실시간 그래프 제공 )
알람 기능
관리자에게 경고 상황에 대한 통보를 위해 알람 매니저가 사용되어 지며 알람 경고시 알람 종류 , 시간 , 설명 필드를 관리자에게 전달한다 .
Rule Set 설정 기능
각 Configuration 항목에 대해 GUI 환경의 손쉬운 Interface 제공
SysLog/SNMP
Syslog 서버를 이용하여 원격지로 Log 전송이 가능 하며 SNMP Trap 을 이용하여 원격지 서버로의 상태 통보가 가능하다 .
리포트 기능
모든 알람 로그는 텍스트 포맷으로 자동 저장 되며 Excel 을 이용하여 각종 그래프 및 보고서 형태로 변환 가능
(주)에프네트 | 대표이사:전한일 | 사업자등록번호:116-81-69230 | 서울시 구로구 구로동 222-14 에이스하이엔드 2차 4층
동급 최강의 네트워크 레벨 및 DDos 공격 방어 및 어플리케이션 보호 기능을 결합시킨 유일한 네트워크 보안 장비임
GMOM ASIC
