최근 nIDS(Network-Based IDS) 는 정보 보안에 있어 중요한 요소가 되었으나 , 대부분의 nIDS 는 구성 상 다음과 같은 문제점을 가지고 있음
네트워크 탐지 영역 문
Heavy Traffic Networks nIDS 센서에 과부하를 줄 수 있는 높은 트래픽 수준은 nIDS 의 성능 문제를 야기시켜 탐지해야 할 트래픽을 놓침
Switched Network
스위치 SPAN 포트는 제한 요소들 (SPAN 포트 수 , 처리 능력 등 ) 을 가지고 있음 . 따라서 스위치상의 모든 트래픽을 탐지할 수 있는 nIDS 의 이상적인 구성이 어려워 보호되지 않는 영역이 발생하게 됨 결국 모든 트래픽을 탐지하기 위해 각 세그먼트에 nIDS 를 배치하는 방법이 있으나 이는 과도한 투자비용을 유발시킴
Asymmetrical networks
다중 네트워크 경로를 가지는 환경 플로우는 nIDS 로 탐지되어지기 전에 여러 개의 트래픽 경로를 가짐 결국 nIDS 는 Conversation 의 일부분만을 보게 되어 공격을 놓칠 수 있음
네트워크 가용성 문제
확장성
네트워크 인프라의 성장과 변화에 대해 nIDS 환경은 최소의 비용으로 업그레이드 되어 지고 변경을 제어할 수 있어야 함 .
대부분의 nIDS 환경에 있어 확장성은 설치 이후의 문제로 여겨지고 있음
안전성
모든 상황에서 네트워크 탐지의 가용성을 보장하기 위해 백업 nIDS 시스템이 필요 함.
IDS Balancer 가 필요한 이유
보다 넓은 범위를 모니터링
통상적인 nIDS 구성은 [n] 개의 세그먼트를 위해 [n] 개의 nIDS 가 필요하여 , 전체 네트워크에 nIDS 를 적용하기에 많은 투자비용이 요구됨 . 하지만 IDS Balancer 를 사용할 경우 1 대의 기가비트 nIDS 로 10 개의 세그먼트까지 모니터링 할 수 있어 투자를 줄일 수 있음.
확장성 증가
통상 1 대의 100Megabit nIDS 는 패킷 사이즈에 따라 50Megabit 이하의 처리성 능을 가짐 . 따라서 네트워크의 성장에 따라 트래픽이 50Megabit 이상 시 nIDS 는 기가비트 nIDS 로 교체 되어야 함 . 이로 인해 기존 투자 (100M nIDS 비용 , 정책 , 룰 ) 의 보호가 힘들어 지며 , 과도한 투자가 발생 가능 . 함.
확장성 증가
통상 1 대의 100Megabit nIDS 는 패킷 사이즈에 따라 50Megabit 이하의 처리성 능을 가짐 . 따라서 네트워크의 성장에 따라 트래픽이 50Megabit 이상 시 nIDS 는 기가비트 nIDS 로 교체 되어야 함 . 이로 인해 기존 투자 (100M nIDS 비용 , 정책 , 룰 ) 의 보호가 힘들어 지며 , 과도한 투자가 발생 가능 . 함. IDS Balancer 는 모니터 그룹 안에 부족한 만큼의 100M nIDS 추가를 통해 풀 (pool) 을 구성하여 적은 투자를 통해 해결할 수 있게 함
보다 넓은 범위를 모니터링
통상적인 nIDS 구성은 [n] 개의 세그먼트를 위해 [n] 개의 nIDS 가 필요하여 , 전체 네트워크에 nIDS 를 적용하기에 많은 투자비용이 요구됨 . 하지만 IDS Balancer 를 사용할 경우 1 대의 기가비트 nIDS 로 10 개의 세그먼트까지 모니터링 할 수 있어 투자를 줄일 수 있음.
IDS 성능 향상
통상 nIDS 가 미러링 되어지는 모든 패킷을 철저하게 감시하는 것은 nIDS 에 과중한 부담을 주고 이는 또한 성능 저하를 야기시켜 nIDS 의 잦은 서비스 중단을 유발할 수 있음 IDS Balancer 는 트래픽을 어플리케이션 또는 IP 호스트별로 필터링하여 탐지에 필요한 트래픽을 nIDS 로 보냄으로써 IDS 의 부담을 줄일 수 있음 안정성 증가 전형적인 nIDS 의 구조와 배치는 Fault Tolerance 구현이 불가능 그러나 , IDS Balancer 를 사용하면 모니터 그룹에 IDS 를 자유롭게 추가할 수 있으며 , 이는 N+1 의 백업을 구성을 의미 함
구성도
[M:N] 구성
1 개 이상의 네트워크 세그먼트 (M) 를 1 개 이상의 nIDS 그룹 (N) 으로 맵핑 시킴 으로써 IDS 구성에 융통성 부여
IDS 로드 분산
Round Robin Distribution 알고리즘을 기반으로 세그먼트들의 트래픽을 1 대 이상 으로 구성된 nIDS 그룹으로 미러링할 수 있음 . 이는 낮은 성능의 nIDS 한대로 처리 할 수 없는 트래픽을 여러 대로 분산 처리할 수 있음을 의미함
Aggregation
통상 1 대의 100Megabit nIDS 는 패킷 사이즈에 따라 50Megabit 이하의 처리성 능을 가짐 . 따라서 네트워크의 성장에 따라 트래픽이 50Megabit 이상 시 nIDS 는 기가비트 nIDS 로 교체 되어야 함 . 이로 인해 기존 투자 (100M nIDS 비용 , 정책 , 룰 ) 의 보호가 힘들어 지며 , 과도한 투자가 발생 가능 . 함. IDS Balancer 는 모니터 그룹 안에 부족한 만큼의 100M nIDS 추가를 통해 풀 (pool) 을 구성하여 적은 투자를 통해 해결할 수 있게 함
필터링 및 카본 카피
미러링되는 트래픽 중 탐지에 필요한 트래픽만을 선별해서 nIDS 로 보낼 수 있으며 , 카본 카피 기능을 통해 어플리케이션이나 IP 호스트별로 nIDS( 그룹 ) 를 구분하여 보낼 수 있음 . 이는 네트워크의 성장에 따라 현재의 nIDS 의 용량 부족을 IDS Balancer 를 통한 정책 및 규칙의 튜닝을 통해 극복할 수 있음을 의미함 . 따라서 nIDS 의 성능 저하 문제를 고가의 기가비트 IDS 로 해결하기 보다는 기존 nIDS 의 효과 극대화를 통한 최적의 투자 보호를 가능케 함
세션 유지
nIDS 가 정확한 침입탐지를 수행하기 위해 특정 세션의 첫 패킷이 특정 nIDS 로 지정되면 , 그 세션의 모든 패킷을 동일한 nIDS 로 보내어 지도록 보장함.
Fault tolerant
포트의 Link Up/Down Health Check 를 통해 nIDS 의 Fault tolerant 구성을 가능케 함.
JAVA 기반의 GUI
JAVA 기반의 GUI 를 통한 IDS Balancer 의 구성 작업을 쉽게 함
Load-Balancing 을 통한 Flow Mirroring 의 구조 작업을 쉽게 함
100M nIDS 로 처리할 수 없는 기가비트 트래픽을 IDS Balancer 를 사용하여 로드 분산 처리 함으로써 탐지가 가능하며 , 개별 nIDS 보다 효과적으로 운영될 수 있음
기가비트 nIDS 는 통상 600Mbit 의 탐지 능력을 가지지만 IDS Balancer 를 통한 구성 시 패킷을 잃지 않고 100% 수용 가능
Top Layer 의 IDS Balancer
AS3531 - 100M AS3532 - 2Gbit TL4508-IDS - 8Gbit
주요 기능 - Flow mirroring - 어플리케이션 기반 필터링 - 다중 카본 카피 그룹 지
TopLayer 에 의해 개발된 TopFire 아키텍쳐 - 분산 ASIC 디자인 - 어플리케이션 인식 소프트웨어
적용 옵션 - 스위치 네트워크 환경 - 탭 (Tap) 을 사용하는 환경 - 비대칭 라우팅 환경 - 트래픽 부하가 높은 환
TopLayer 에 의해 개발된 Flow Mirror™ 기술
높은 신뢰성 제공 - 높은 확장성 - N+1 백업 - 공격으로부터 IDS 보호
전세계적으로 수백의 고객들에게 입증된 제품
구성도 (IDS Balancer 구성사례 )
(주)에프네트 | 대표이사:전한일 | 사업자등록번호:116-81-69230 | 서울시 구로구 구로동 222-14 에이스하이엔드 2차 4층
Heavy Traffic Networks nIDS 센서에 과부하를 줄 수 있는 높은 트래픽 수준은 nIDS 의 성능 문제를 야기시켜 탐지해야 할 트래픽을 놓침 
확장성 
