TopLayer Networks의 Attack Mitigator IPS 시리즈는 급속히 증가하고 있는 네트웍크
공격과 침입을 정확하게 탐지하고 차단함으로써 중요자원을 보호
IPS(Intrusion Prevention System : 침입방지시스템)의 지능적인 트래픽 필터링과 악의
적인 패킷의 제거는 Dos/DDos공격, HTTP웜, 과다한 패킷과 같은 보안사고를 예방
Mitigation 알고리즘을 가진 TOPFire intrusion prevention engine을 기반으로 한 Top
Layer의 ASIC을 기초로 Attact Mitigator IPS 시리즈는 높은 성능, 정밀한 패킷 점검
그리고 기존의 라우터, 방화벽, 침입탐지 시스템 이상의 높은 가용성을 제공
Attack Mitigator IPS 시리즈의 일반적인 적용사례
구 분
Departmental
Enterprise
Data Center
비 고
Attack Mitigator IPS100
●
(12) 10BASE-T/100BASE-TX 포트
100 Mbit departmental solution
Attack Mitigator IPS1000
●
(12) 10BASE-T/100BASE-TX 포트
1 Gbit enterprise solution
(2) 1000BASE - SX 포트
Attack Mitigator IPS2400
●
●
Up to 4 Gbit / secThroughput
2Gbit solution with redundant configurations
Attack Mitigator IPS2800
●
●
Up to 4 Gbit / secThroughput
2Gbit solution with active / activehigh availavbility
Attack Mitigator IPS 기능
In-Line Device
Accurate Detection
High Performance
High Availability
Security Management Integration
Accommodate Prevention of new attacks
Network IDS
NO
YES
NO
LIMITED
YES
YES
Software based Firewall
YES
LIMITED
LIMITED
Dual Firewalls with failover
YES
NO
Hardware based Firewall
YES
LIMITED
YES(ASICs for FW performance)
Dual Firewalls with failover
YES
NO
Top Layer IPS Solution
YES(used by 75 customers worldwide)
YES(Topfire Architecture)
YES(ASICs for deep packet inspection)
YES(10/100 BYPASS, REDUNDANCY, ASYMMETRIC)
YES
YES
IPS Startups
YES
No Market Validation
No Market Validation
LIMITED
YES
YES
Attack Mitigator IPS 특성
특 성
내 용
Pre-Configured Ports
- Internal(inside)/External(Outside) 포트 : 고정된 각 1개 포트, 구성가능 한 포트6개 포트 - 관리포트 : 고정된 1개 포트 (12번 포트) - 관리포트 : 구성 가능한 3개 포트
Web management Interface
- 웹 브라우저를 통한 구성 및 관리 기능 - 간편한 wizard 타입의 설정 기능 제공
Mitigation Modes and Statistics
- Disable : 공격에 대한 방어 없이 모든 트래픽을 통과시킴 Alarm/SNMP trap/Syslog 지원 안 함 - Monitor : 공격을 인식하고 Alarm/SNMP trap/Syslog 이벤트를 지원하지만 패킷은 포워딩 함 - Mitigate : 공격을 인식하고 그 패킷을 차단 Alarm/SNMP trap/Syslog 이벤트가 일어남 - Statistics : 최근 10건을 디스플레이 Source/Destination IP주소,Application,Tmestamp 정보를 포함
Security Alarms
- 공격에 대한 정보를 제공하는 상세한 larm(Source/Destination IP주소와 포트 포함
SYN Flood Reporting
- 상세한 그래프들을 통해 현 상태 및 호스트 수를 보여 줌 IP Address Spoofing - 외부에서 발생된 내부IP주소 및 내부 에서 발생된 외부IP주소를차단
Connection Limiting
- TCP Connection, 많은양의 Unicast UDP 또는 ICMP를 가지고 서버 또는 호스트에 과부하를 줄 수 있는 공격을 제한 함
Bypass Port
- 전원의 공급 문제나, 소프트웹어 크래쉬로 인한 장비 장애 발생 시 자동적인 100M 바이패스 포트 제동으로 물리적인 연결을 지원함
Forensic Port
- 장비를 통과하는 트래픽을 수집, 분석하기 위한 Monitor port와 설정된 쿨(rule)에 의해 Drop 되는 패킷만을 수집하기 위한 Forensic port 제공
Application Rate Limiting
- 어플리케이션별로 외부로 부터의 속도와 내부로 부터의 속도를 제한하도록 지정할 수 있음 - Rate단위 : KBytes/second
Alarm Limiting
- 반복적으로 일어나는 동일 Alarm을 통합하여 최소화
Attack Mitigator IPS 배치
- 아래의 그림처럼 네트워크안에 다양한 설치 옵션을 가짐
침입탐지시스템 IDS Balancer
최근 nIDS(Network-Based IDS)는 정보보안에 있어 중요한 요소가 되었으나, 대부분의
nIDS는 구성 상 다음과 같은 문제점을 가지고 있음
네트워크 탐지 영역 문제
Heavy Traffic Networks nIDS센서에 과부하를 줄 수 있는 높은 트래픽 수준은 nIDS의
성능 문제를 야기시켜 탐지해야 할 트래픽을 놓침
Switched Network
- 스위치 SPAN포트는 제한 요소들(SPAN포트 수,처리능력 등)을 가지고 있음.
따라서 스위치상의 모든 트래픽을 탐지할 수 있는 nIDS의 이상적인 구성이 어려워
보호되지 않는 영역이 발생하게 됨
- 결국 모든 트래픽을 탐지하기 위해 각 세그먼트에 nIDS를 배치하는 방법이 있으나
이는 과도한 투자비용을 유발시킴
Asymmetrical networks
- 다중 네트워크 경로를 가지는 환경
- 플로우는 nIDS로 탐지되어지기 전에 여러 개의 트래픽 경로를 가짐
- 결국 nIDS는 Conversation의 일부분만을 보게 되어 공격을 놓칠 수 있음
네트워크 가용성 문제
확장성
- 네트워크 인프라의 성장과 변화에 대해 nIDS환경은 최소의 비용으로 업그레이드
되어지고 변경을 제어할 수 있어야 함.
- 대부분의 nIDS 환경에 있어 확장성은 설치이후의 문제로 여겨지고 있음
안전성
- 모든 상황에서 네트워크 탐지의 가용성을 보장하기 위해 백업 nIDS시스템이 필요함
IDS Balancer가 필요한 이유
보다 넓은 범위를 모니터링
- 통상적인 nIDS구성은 [n]개의 세그먼트를 위해 [n]개의 nIDS가 필요하여, 전체
네트워크에 nIDS를 적용하기에 많은 투자비용이 요구됨. 하지만 IDS Balancer를
사용할 경우 1대의 기가비트 nIDS로 10개의 세그먼트까지 모니터링 할 수 있어 투자
를 줄일 수 있음
확장성 증가
- 통상 1대의 100Megabit nIDS는 패킷 사이즈에 따라 50Megabit이하의 처리성능을
가짐. 따라서 네트워크의 성장에 따라 트래픽이 50Megabit이상 시 nIDS는 기가비트
nIDS로 교체 되어야 함. 이로 인해 기존 투자(100M nIDS비용,정책,룰)의 보호가 힘들
어 지며, 과도한 투자가 발생 가능
IDS Balancer는 모니터 그룹 안에 부족한 만큼의 100M nIDS추가를 통해 풀(pool)을
구성하여 적은 투자를 통해 해결할 수 있게 함
IDS 성능 향상
- 통상 nIDS가 미러링 되어지는 모든 패킷을 철저하게 감시하는 것은 nIDS에 과중한
부담을 주고 이는 또한 성능저하를 야기시켜 nIDS의 잦은 서비스 중단을 유발할 수
있음
- IDS Balancer는 트래픽을 어플리케이션 또는 IP 호스트별로 필터링하여 탐지에 필요
한 트래픽을 nIDS로 보냄으로써 IDS의 부담을 줄일 수 있음 안정성 증가
- 전형적인 nIDS의 구조와 배치는 Fault Tolerance구현이 불가능
그러나, IDS Balancer를 사용하면 모니터 그룹에 IDS를 자유롭게 추가할 수 있으며,
이는 N+1의 백업을 구성을 의미 함
구성도
[M:N]구성
1개 이상의 네트워크 세그먼트(M)를 1개 이상의 nIDS그룹(N)으로 맵핑 시킴으로
써 IDS구성에 융통성 부여
IDS로드 분산
Round Robin Distribution 알고리즘을 기반으로 세그먼트들의 트래픽을 1대이상
으로 구성된 nIDS그룹으로 미러링 할 수 있음. 이는 낮은 성능의 nIDS 한대로 처리
할 수 없는 트래픽을 여러 대로 분산처리 할 수 있음을 의미함
Aggregation
적은 수의 nIDS에 많은 수의 네트워크 세그먼트 또는 VLAN을 확장 적용할 수 있음
필터링 및 카본 카피
미러링되는 트래픽 중 탐지에 필요한 트래픽만을 선별해서 nIDS로 보낼 수 있으며,
카본카피 기능을 통해 어플리케이션이나 IP호스트별로 nIDS(그룹)를 구분하여
보낼 수 있음. 이는 네트워크의 성장에 따라 현재의 nIDS의 용량 부족을 IDS
Balancer 를 통한 정책 및 규칙의 튜닝을 통해 극복할 수 있음을 의미함.
따라서 nIDS의 성능저하 문제를 고가의 기가비트 IDS로 해결하기 보다는 기존
nIDS의 효과 극대화를 통한 최적의 투자보호를 가능케 함
세션유지
nIDS가 정확한 침입탐지를 수행하기위해 특정 세션의 첫 패킷이 특정 nIDS로 지정
되면, 그 세션의 모든 패킷을 동일한 nIDS로 보내어 지도록 보장함
Fault tolerant
포트의 Link Up/Down Health Check를 통해 nIDS의 Fault tolerant 구성을 가능
케 함
JAVA기반의 GUI
JAVA기반의 GUI를 통한 IDS Balancer의 구성작업을 쉽게 함
Load-Balancing을 통한 Flow Mirroring의 구조작업을 쉽게 함
100M nIDS로 처리할 수 없는 기가비트 트래픽을 IDS Balancer를 사용하여 로드분산처리
함으로써 탐지가 가능하며, 개별 nIDS보다 효과적으로 운영될 수 있음
기가비트 nIDS는 통상 600Mbit의 탐지 능력을 가지지만 IDS Balancer를 통한 구성 시
패킷을 잃지 않고 100% 수용 가능
Top Layer의 IDS Balancer
AS3531 - 100M
AS3532 - 2Gbit
TL4508-IDS - 8Gbit
12개의 Fast Ethernet 포트 제공 1개의 관리용 포트 제공
2개의 Gigabit Ethernet 포트 제공(고정형 1000Base-SX) 12개의 Fast Ethernet 포트 제공 1개의 관리용 포트 제공
8개의 Gigabit Ethernet 포트 제공 - 4개의 고정형 1000Base-SX - 4개의 GBIC 포트(SX,LX,TX) 8개의 Fast Ethernet 포트제공 1개의 관리용 포트 제공
주요기능 - Flow mirroring - 어플리케이션 기반 필터링 - 다중 카본 카피 그룹 지원
TopLayer에 의해 개발된TopFire아키텍쳐 - 분산 ASIC 디자인 - 어플리케이션 인식 소프트웨어
적용옵션 - 스위치 네트워크 환경 - 탭(Tap)을 사용하는 환경 - 비대칭 라우팅 환경 - 트래픽 부하가 높은 환경
TopLayer에 의해 개발된Flow Mirror™ 기술
높은신뢰성 제공 - 높은 확장성 - N+1 백업 - 공격으로부터 IDS 보호
전세계적으로 수백의 고객들에게 입증된 제품
구성도 (IDS Balancer 구성사례)
보안시스템 SEC
SEC은 네트워크의 보안 문제점을 보완하여, 안전하고 손쉬운 사용자의 액세스가 가능하도록
하는 보안 장비입니다.
합법적 사용자에 대해 동적인 네트워크 자원 접근 제어를 지원하며, 부정한 사용자의 네트
워크 자원 사용을 차단할 수 있습니다. Zone을 이용한 정책 네트워크의 구현으로 접근 제어,
우선순위(Priority) 적용 등 다양한 서비스를 제공합니다.
주요특징 및 기능
고속의 LAN 액세스를 위한 유연하고 강력한 제어 제공
IP 네트워크 인증 & 접급 제어 어플라이언스
인증 프로세스의 완벽한 커스터마이징 지원
Zone을 이용한 접근 제어
L2, L3,L4 에서의 다양한 액세스 제어
TOS, DiffServ Tagging
우선순위(Priority) 적용 : 사용자, 어플리케이션, 컨텐츠 별
무선 및 공중 유선 네트워크의 보안화
기존 Radius, LDAP과 통합
모든 사용자 OS와 호환
적용구성
+ FE스위치~GE백본 네트워크간 연결
+ GE스위치~GE백본 네트워크간 연결
제품사양
2개의 GE 포트, 12개의 FE 포트
포트별 사용자/네트워크 구성 지원
GE 유입/유출 구성 지원
동시 512 사용자 지원
L2 및 라우티드 네트워크를 통한 사용자 연결
초당 50 트랜잭션(로그-온 또는 로그오프) 지원
802.1q VLAN 태깅 지원
TopFire® 아키텍쳐 : 분산 ASIC 디자인, 어플리케이션 인식 소프트웨어
Zero footprint 사용자 지원
보안시스템 AppSafe
탑레이어의 AppSafe 3500 시스템은 귀사가 현재 보유하고 있는 보안 인프라스트럭쳐의 여러 가지 주요 기능을 통합시켜 주고 서비스를 증폭시켜주는 다기능 장치입니다.