IPS도입을 위한 study 1

.

IPS(Intrusion Prevention System)란:
IDS에서 한발 나아가 공격이 실제 피해를 주기 전에 미리 능동적으로 공격을 차단함으로써 공격 피해를 최소화할 수 있는 능동적 보안시스템

IDS: 특정 패턴을 기반으로 공격자의 침입을 탐지
IPS: 탐지된 공격을 block하여 적극적인 방어활동

가트너그룹의 정의: “IPS는 방지능력과 빠른 반응속도를 위해 인라인에 위치한 제품, 세션기반 탐지 지원, 다양한 종류의 방지 방법 및 방식(시그니처, 프로토콜 어노멀리, 액션 등)을 통해 악의적인 세션을 차단, 세션 기반 탐지를 지원한다”

    IPS의 효과

  1. 웜과 해킹으로부터 유발되는 네트워크 서비스 장애제거
  2. 유해/불필요한 트래픽을 사전 차단하여 네트워크 비용절감
  3. 공격에 대한 적절한 대응및 사전 방어로 관리비용 절감
  4. OS나 애플리케이션의 취약점을 사전에 보완, 한층 높은 보안제공

    기존 주력 제품라인에 따른 구분

  1. 방화벽 기반의 IPS
    -체크포인트의 ‘인터셉트’, 시큐아이닷컴의 ‘NXG 시리즈’ 쥬니퍼의 “IDP”
  2. IDS 기반의 IPS
    – 엔터라시스의 ‘드래곤 IPS’, 윈스테크넷의 ‘스나이퍼 IPS’, NA의 ‘맥아피 인터루쉴드’, LG엔시스의 ‘세이프존 IPS’
  3. 스위칭 기반의 IPS,
    – 라드웨어 ‘디펜스프로’, 탑레이어 ‘AM IPS 5500’
  4. 바이러스월 기반의 IPS – 포티넷의 ‘포티게이트 시리즈’

    하드웨어 타입에 따른 구분

  1. ASIC 기반 IPS
    -티핑포인트의 ‘유니티원’, NA의 ‘맥아피 인터루쉴드’, LG엔시스의 ‘세이프존 IPS’
  2. 서버 기반 IPS
    – 윈스테크넷의 ‘스나이퍼 IPS’, 정보보호기술의 ‘테스 IPS’,넷스크린의 ‘IDP 시리즈’

  3. 스위치 기반 IPS

    설치구성상의 차이점에 따른 구분

  1. 인라인 IPS
    -보호되어야할 시스템과 그 외의 네트워크 사이에서 L2 브리지처럼 작동하며 모든 트래픽은 브리지 장비와 달리 발견해내도록 취약점 검사를 수행한다- 한국ISS, 넷스크린, 티핑포인트, 윈스테크넷

  2. L7스위치
    -침입차단 및 방어 기능에 로드밸런싱 등으로 트래픽을 효과적으로 조절한다는 측면에서 IDS 기반의 IPS보다 선호하는 고객도 많다. -라드웨어, 탑레이어 ,

  3. 호스트기반
    -IPS,NA의 ‘인터셉트’, 조은시큐리티의 ‘싸이폴로’, 임퍼바의 ‘시큐어스피어’

  4. 하이브리드(Hybrid) 스위치
    -호스트 기반의 IPS와 L7스위치의 특성을 함께 가지고 있으며- 앱실드(Appshild), 카바두(Kavado)

    어떻게 선택할 것인가?
    공격에 따라 적절히 대응하는 보안시스템이라는 유연성 측면에서 고려한다면 IDS 기반과 방화벽 기반, 바이러스월 기반 등의 IPS가 우세할 것이며,
    네트워크 퍼포먼스, 성능 측면을 고려한다면 전용 네트워크 프로세서를 탑재한 제품이나 ASIC 기반과 스위칭 기반의 IPS를 선택하는 것이 좋을 것이다.
    퍼포먼스보다 기능측면을 고려하는 소호 등의 소규모사이트라면 방화벽+IDS 등 별도의 부가기능이 추가된 통합적인 형태의 IPS를 구입하는 것도 좋은 대안이다.

    업계의 한 전문가는 “고객들은 자사 네트워크에 맞게 성능의 가이드라인을 세우고 이에 맞는 제품을 선택해야한다”며 “우리 네트워크에서의 문제는 무엇인지, 웜·바이러스 등에 의한 문제가 가장 심각한지, 네트워크 가용성이 중요해 퍼포먼스를 우선해야 하는지 등을 따져보고 이미 기투자된 장비와의 연동성 등도 고려해 선택하는 것이 좋다”고 조언했다.

    하지만 관련 전문가들은 IPS의 기준이 모호하고 다양한 분류에 대한 이견이 분분한 것에 대해 아직 IPS 시장이 본격 형성되지 않았고 선두 업체가 정해지지도 않았기 때문이라고 분석한다. 상반기를 지나 하반기쯤이면 IPS의 대형 레퍼런스가 탄생할 것이고 이를 선점하는 선두업체의 IPS 제품이 IPS의 모델로 시장에서 자연스럽게 자리잡혀 갈 것이라는 전망이다. 따라서 IPS 시장의 진입 초기인 현재의 복잡한 IPS 제품에 대한 분류는 올 하반기를 지나 내년경이면 정리되어 갈 것으로 예측된다.

    한편 관련 전문가들은 사용자들이 IPS를 선정하는 기준으로 최근 가장 중요시하는 것은 웜 차단 기능과 퍼포먼스라고 전한다. 웜이 워낙 기승을 부려 웜에 대한 효과적인 차단기능이 필요해 IPS를 고려하는 경우가 많기 때문이다. 그리고 IPS가 네트워크단에 설치되기 때문에 가용성을 우선해 기가비트급 이상의 성능이 지원되는 ASIC이나 네트워크 프로세서 기반의 IPS 등을 선호한다는 것.

    IPS는 패킷을 바이패스로 미러링해 침입을 탐지하는 IDS와 달리 네트워크의 패킷이 지나가는 길에 설치한다는 특성으로 인해 퍼포먼스가 고객의 최대 관심사가 되고 있다.

    따라서 현재 출시되는 대부분의 IPS들이 기가급을 지원하고 있다. 최소 1Gbps 이상의 속도를 지원하며 올해부터 본격 구현되고 있는 10기가비트 네트워크를 겨냥해 10기가 이상의 속도를 낼 수 있는 IPS를 출시했거나 준비중도 업체들이 많다. 하지만 웜 차단이 IPS 기능의 전부가 아니고 웜이외에도 다양하게 발생할 수 있는 유해 트래픽과 관련된 IPS의 기능들을 눈여겨 봐야하며 피크타임시의 네트워크 대역폭이 최대 500Mbps 정도의 소규모 고객이 기가급 IPS만을 고집하는 것은 과투자가 될 수 있다. 따라서 자사의 네트워크를 잘 살펴보고 이에 맞는 제품을 고르는 지혜가 우선돼야 한다고 관련 전문가들은 지적하고 있다.

    그러나 IPS의 필요성을 느끼는 가장 큰 부분이 바로 웜 차단이며, 전체 네트워크 환경을 고려해 기가급의 IPS를 선호하는 추세는 당분간 이어질 것으로 보인다. 실제로 관련 전문가들은 “현재 웬만한 대학이나 금융, 기업 등에서 기가급 이하의 네트워크를 찾아보기 힘들다”며 “어렵게 기가급 이상의 네트워크를 구축해놓고 저속의 IPS를 네트워크상에 설치해 전체 네트워크의 성능을 떨어뜨리고 싶어하는 고객은 없다. 방화벽도 이런 이유에서 기가로 올라가는 추세”라고 언급한다.

    차세대 IPS에 필요한 10가지 조건

    1. 고도의 정확성
    – 모든 네트워크 트래픽에 대한 완벽하며 철저한 프로토콜 분석
    – 레이어 3에서 레이어 7까지 전방위적인 상태유지(Stateful) 프로토콜 분석
    – 알려진 익스플로잇(exploit)을 정확히 탐지할 수 있는 컨텍스트 기반 다중 트리거, 다중패턴 시그너처(signature) 매치

    2. 단순한 탐지가 아닌 방지
    – 인라인 운영: 공격을 실시간 탐지, 차단하려면 인라인 IPS가 센서를 데이터 트래픽 경로에 위치시켜 모든 패킷을 처리해야한다.
    – 신뢰성 및 가용성 유지: 인라인 IPS의 경우 가동시간이 매우 중요해 안정적 IPS 센서가 필요하다.
    – 고성능 제공: IPS에는 반드시 인라인 탐지 및 방지를 할 수 있는 처리능력, 예를 들면 패킷 지연시간은 1/1000초 이하로 최소화 되야 한다
    – 세밀한 정책적용: IPS는 세밀한 정책설정으로 악의적 트래픽을 차단할지 결정해야한다

    3. 광범위한 공격방지 적용
    현재 또는 앞으로 나타날 모든 공격을 단 하나만으로 막아주는 마법같은 방지는 없다. IPS는 반드시 시그니처 탐지, 이상탐지 및 DoS 탐지 등을 이용, 광범위한 방어범위를 제공해야한다.

    4. 관련된 모든 트래픽 분석
    IPS에는 반드시 광범위한 데이터 캡처 모드를 사용할 수 있는 능력이 있어 탐지 및 방지용으로 모든 관련 트래픽에 액세스할 수 있어야한다.

    5. 고도의 세밀한 탐지 및 대응
    IPS는 특정 호스트에 대한 특정공격을 탐지할 수 있으며 이에 대한 대응책이 시행되도록 해야한다. 세밀성은 보안정책의 실행과 통제에 반드시 필요한 조건이다.

    6. 유연한 정책관리
    오늘날의 엔터프라이즈 네트워크에서 단일 정책은 쓸모가 없다. 세밀한 정책관리를 통해 트래픽을 논리적 그룹으로 나누고 특정공격에 대한 알맞은 대응을 수행해야 한다.

    7. 확장 가능한 위험관리
    IPS는 부하가 많은 상황에도 대응할 수 있는 확장성을 갖춤으로 모니터링할 트래픽, 경고 처리율의 증가를 지원할 수 있어야한다.

    8. 고도의 사후조사 및 보고
    데이터 퓨전에 기반한 강력한 포렌직(사후 조사) 관리는 사고 분석 및 관리를 지원하는데 필요한 인프라를 제공하며 모든 IPS의 필수 요소이다.

    9. 최대 센서 가동시간
    IPS의 가동시간은 안정적인 실시간 탐지 및 방지를 보장하기 위해 신뢰도 높은 센서 등으로 방화벽, 교환기, 라우터 등 보안 및 네트워크 장치와 비슷해야 한다.

    10. ‘와이어 스피드’ 센서 성능
    IPS는 복잡한 네트워크 패킷과 플로우를 검사하는 시스템으로 최고 처리 용량의 방화벽보다 몇 배 이상의 처리 능력을 갖추고 있어야 한다.

답글 남기기

이메일은 공개되지 않습니다. 필수 입력창은 * 로 표시되어 있습니다.