Cisco IPS(Intrusion Prevention System)

Cisco Intrusion Protection Data Sheet 데이터시트

Data Sheet


Cisco Intrusion Protection Data Sheet

효율적인 침입 보호

시스코® 통합 네트워크 보안 솔루션은 귀사의 생산성을 보호하고 운영 비용을 절감할 수 있게 해드립니다.

Cisco Intrusion Protection은 여러분의 데이터와 정보 인프라를 효율적으로 보호하기 위해 설계되었습니다. 보안 위협이 갈수록 복잡해지면서 효율적인 네트워크 침입 보안 솔루션을 확보하는 것은 높은 수준의 네트워크 보호를 위해 필수적인 요소가 되었습니다. 경계가 철저한 보호는 업무 지속성을 보장해주며 침입으로 인한 피해 비용을 최소화시켜 줍니다.

시스코의 기술 발전은 4개의 주요 구성요소를 통해 효율적인 침입 보호 시스템을 제공합니다.

1. 정확한 위협 탐지 - Cisco IDS 4.0(Cisco Intrusion Detection System Version 4.0)은 모든 잠재적인 위협을 포괄적으로 탐지하여 안전한 환경을 구축하기 위한 첫 번째 단계를 제공합니다.

2. 인텔리전트 위협 조사 - Cisco Threat Response 기술은 허위 경보(False Positive)를 사실상 없애주며 침입으로 인한 피해를 줄이기 위해, 어떤한 위협이 즉각적인 조치를 필요로 하는지 자동으로 식별합니다.

3. 편리한 관리 - 브라우저 기반의 툴들은 사용자 인터랙션을 간단하게 해주는 동시에 신속하고 효율적인 위협 대응을 가능케 하는 강력한 분석 툴을 제공합니다.

4. 유연한 설치 옵션 - 가용성이 높은 장치들은 안전하고 효율적인 침입 보호 시스템을 구축하는 데 필요한 유연한 백본을 제공합니다.

위의 4가지 구성요소들을 결합하면 안전하고 효율적이며 포괄적인 침입 보호 솔루션을 확보할 수 있게 됩니다.

정확한 위협 탐지

사상 최고의 보안을 제공하는 Cisco IDS 4.0은 Cisco Intrusion Protection의 핵심입니다. 이것은 웜, 서비스 거부(DoS), 애플리케이션 공격 등 여러분의 네트워크를 노리는 알려진 위협이나 알려지지 않은 위협들을 정확하게 식별 및 분류하도록 설계되었습니다. 효율적이고 안전한 침입 보호 시스템 구축을 위한 첫 번째 단계는 모든 가능한 위협을 정확히 탐지하는 것입니다. 여기에는 상태보존형 패턴 인식, 프로토콜 분석, 트래픽 이상 탐지, 프로토콜 이상 탐지 등의 방법이 사용됩니다. 또한 Cisco IDS 4.0은 탐지된 공격이 목적지에 도달하지 못하도록 하는 차단하는 기능을 향상시켰으며 효율을 극대화하기 위한 사용하기 편리한 다양한 기능들이 통합되었습니다.

포괄적인 위협 보호

  • 다중 탐지 방법 - Cisco IDS는 여러 가지 탐지 방법을 이용하여 거의 모든 잠재 위협을 정확히 탐지합니다. 7년 간의 IDS 경험을 살려, 시스코는 상태보존형 패턴 인식, 프로토콜 분석, 트래픽 이상 탐지, 프로토콜 이상 탐지 등 위협에 가장 적합한 탐지 방법을 이용하는 혼합 시스템을 제공합니다. Cisco IDS 4.0은 그러한 탐지 방법을 향상시켰으며, 특히 프로토콜 이상 탐지 부분이 크게 향상되었습니다. 또한 Cisco IDS 4.0은 레이어 2 서명(Signiture) 엔진을 통해 스위치 환경 내에서의 ARP 스푸핑 기술에 대한 보호도 제공합니다. 이러한 고급 탐지 기술은 IP 디프레그멘테이션(Defragmentation), TCP 스트림 리어셈블리(Stream Reassembly) 및 비혼란화(deobfuscation) 같은 anti-IDS 우회공격(evasion) 기술과 결합하여 위협에 대한 포괄적인 보호를 제공, 사용자들이 신속하게 데이터 또는 네트워크 자산에 대한 잠재적인 피해를 식별 및 방지할 수 있게 해줍니다.
  • 폭넓은 프로토콜 모니터링 - Cisco IDS 4.0은 IP, ICMP(Internet Control Protocol), TCP, UDP(User Datagram Protocol) 등을 포함하는 모든 주요 TCP/IP 프로토콜을 모니터링할 수 있습니다. 또한 FTP(File Transfer Protocol), SMTP, HTTP, DNS, RPC, NetBIOS, NNTP, Telnet 등과 같은 애플리케이션 레이어 프로토콜을 상태보존형으로 디코딩할 수도 있습니다.
  • 포괄적인 공격 탐지 - Cisco IDS 4.0은 다음과 같은 부분에서 가장 폭넓고 포괄적인 공격 탐지 능력을 가지고 있습니다:
  • 부당 이용 활동 - 누군가가 Back Orifice, 로그인 시도 실패, TCP 하이재킹(hijacking) 등을 통해 네트워크에 액세스하려고 하거나 시스템에 피해를 주고자 한다는 것을 나타냅니다.
  • DoS 활동 - 누군가가 Trinoo, TFN, SYN 플러드(flood) 등을 이용하여 대역폭이나 컴퓨팅 자원을 소모하여 정상적인 운영을 중단시키려고 하는 것을 나타냅니다.
  • 정찰 활동 - 누군가가 핑 스위프(sweep), 포트 스위프 등을 이용하여 여러분 네트워크를 정찰, 실제 악용 시도에 앞서 취약한 목표물을 찾고 있다는 것을 나타냅니다.
  • 오용 활동 - 누군가가 기업 정책을 위반하려고 한다는 것을 나타냅니다. 이는 네트워크 트래픽 내에서 특정 텍스트 스트링을 검색하도록 센서를 설정하면 탐지할 수 있습니다. 예를 들어, XYZ라는 회사가 있다면 전자메일이나 FTP에 "XYZ 기밀" 이라는 문장이 들어간 내용이 전송될 경우 경보를 발생하도록 Cisco IDS를 설정할 수 있습니다.
  • 고급 P2P 공격 방지 기술을 지원하여 파일 공유 위협으로부터의 보호합니다.

피해 방지

Cisco IDS는 멀티레이어 보호 옵션을 이용하여 공격이 성공적으로 목표물에 도달하지 못하도록 차단합니다. 공격이 정확하게 식별 및 분류되면, 시스템은 피해가 발생하기 전에 공격을 저지할 수 있습니다. IDS는 여러분에게 많은 금전적, 시간적 피해를 줄 수 있는 공격을 저지할 수 있도록 패킷 드롭, 세션 종료, 라우터 및 스위치 상에서의 액세스 제어 목록(ACL) 재설정, 침입자 차단을 위한 동적인 방화벽 정책 변경 등의 다양하고도 즉각적인 대응 조치를 제공합니다. Cisco IDS 4.0은 소스 및 목적지 IP 주소 외에도 소스 및 목적지 포트 번호를 차단 대상에 포함시켜 이러한 기술들을 더욱 향상시켰습니다. 그 결과 대응 조치를 매우 상세하게 설정할 수 있게 되었습니다.

편리한 사용

  • 유연한 정책 언어 - 설치된 각 IDS마다 고유의 보안 목표를 갖게 되기 때문에 Cisco IDS는 사용자들이 각자의 환경에 맞춰 정책을 생성 및 변경할 수 있도록 해줍니다. 혁신적인 Cisco T.A.M.E.(Threat Analysis Micro Engine) 정책 언어를 이용하여 사용자들은 새로운 정책을 만들거나 필요에 따라 기존 정책을 변경할 수 있습니다. T.A.M.E. 정책은 센서 애플리케이션과 별개이기 때문에 정책에 대한 변경 사항은 센서의 성능이나 신뢰성에 영향을 주지 않게 됩니다. 단순한 패턴 매칭에 의존하는 다른 보안 언어와는 달리, Cisco T.A.M.E. 언어는 사용자들이 기초적인 프로토콜 분석 기능을 활용할 수 있도록 해줍니다. Cisco IDS 4.0은 향상된 내비게이션을 통해 정책 관리를 간단하게 해주며, 글로벌 변경 사항이 모든 분야에 걸쳐 적용되도록 합니다. 또한 Cisco IDS 4.0은 알람 트리거(Alarm Trigger)에 대한 상세한 정보를 제공, 지원 프로세스를 단순화할 수 있도록 도와주는 고급 분석 데이터를 사용자에게 제공합니다.

  • 능률적인 관리를 가능케 하는 자동 업데이트 - Cisco IDS Active Update 기술은 설치된 센서를 업데이트하는 프로세스를 자동화하여 운영 비용을 절감해줍니다. 이 프로세스는 운영자의 개입 없이도 새로운 서명 파일과 애플리케이션 업데이트를 센서로 자동 배포할 수 있는 기능을 제공합니다. 안전한 단계적 기술을 이용하므로, 새로운 서명 파일은 중앙 서버에 위치하게 되며 이후 정해진 시간이 되면 센서로 전달됩니다. 패키지의 무결성을 확인한 다음, 센서는 자동으로 업데이트를 설치합니다. 다른 방법으로는 안전한 파일 전송 기능을 이용, 업데이트가 자동으로 센서에 전송되는 IDS Management 솔루션(VMS-VPN & Security Management Solution)을 통해서도 동일한 수준의 자동화를 얻을 수 있습니다. 이러한 기능들은 정기적인 원격 센서 업데이트 프로세스를 매우 능률적으로 처리할 수 있게 하므로 이와 관련된 반복적인 운영 비용을 절감시켜 줍니다. 추가적으로 사용자들은 Cisco IDS Active Update 통보 서비스에 가입하여 최신 취약점 관련 뉴스와 그에 대한 대응 정보를 받아볼 수도 있습니다. 그러한 정책 업데이트는 Cisco-CRT(Cisco Countermeasures Research Team)에서 개발 및 유지하고 있습니다. 보안 전문가로 이뤄진 이 엘리트 팀은 새로운 위협에 대한 신속한 대응을 위해 최선을 다하고 있습니다.


인텔리전트 위협 조사

시스코의 Threat Response 기술은 Cisco Network IDS 센서와 같이 효율적인 침입 보호 솔루션을 제공합니다. Cisco Threat Response는 허위 경보(False Positive)를 사실상 없애주며 실제 공격을 미리 탐지, 침입 대응을 도와줍니다.

다른 침입 관리 솔루션과는 달리, 오직 Cisco Threat Response 기술만이 자동화된 시기 적절한 목표 호스트 분석을 통해 실제 피해가 있었는지 알아냅니다. 공격을 받는 호스트를 조사해야만 실제 침입을 효율적으로 발견하고 그에 대처할 수 있습니다. 이 기술의 실시간 자동 기능은 여러분의 네트워크를 하루 24시간 보호할 수 있도록 도와드릴 것입니다.

그 결과, 허위 경보가 없어지고 실제 침입들은 신속하게 식별 및 처리되므로 공격 복구에 드는 여러분의 시간, 자원 및 자금을 절약해드립니다.

효율성 향상, 비용 절감

  • 허위 경보 제거와 실제 공격의 확대 - 목표 호스트에 초점을 맞춘 혁신적인 침입 조사 프로세스를 통해 Cisco Threat Response는 IDS 경보가 실제인지 아닌지 정확히 파악합니다. 노련한 보안 담당자가 침입 대응을 처리하는 것과 같은 방식으로 작동하도록 설계된 Cisco Threat Response는 목표 호스트를 조심스럽게 검토하여 공격의 영향을 받았는지 판단합니다. 이 기술은 3 단계에 걸친 접근 방법을 사용합니다:
  • 목표 취약점에 대한 기본 조사 - 첫 번째 단계에서는 목표 시스템의 OS, 패치 수준 및 웹 서비스에 대한 표면적인 실시간 점검을 통해 공격이 성공적이었는지 판단하게 됩니다. 예를 들어, Windows 시스템에 대한 Linux 공격은 실패로 간주되어 우선 순위가 내려가게 되며, Windows 시스템에 대한 Windows 시스템의 공격은 잠재적으로 성공적인 공격으로 간주되는 것입니다.
  • 목표에 대한 고급 조사 - 두 번째 단계는 웹 로그, 시스템 로그와 기타 관련 데이터에 대한 캡처 및 분석을 포함하는 세밀한 시스템 수준의 조사입니다. 이 세밀한 조사를 기반으로 Cisco Threat Response 기술은 공격이 성공적이었는지 실패였는지 판단하게 됩니다. 실패한 공격은 다운그레이드되어 직원들이 보다 중요한 이벤트에 집중할 수 있도록 합니다(이 기능은 CiscoWorks VMS[VPN Security Management Solution] 기술 번들의 일부로만 제공).
  • 포렌식(Forensic) 데이터 캡처 - 확인된 문제가 존재한다는 것을 알려주는 것만으로는 부족합니다. Cisco Threat Response는 그보다 더 나아가 능동적으로 관련 단서를 수집하고 사용자에게 인텔리전트 정보를 제공하여 올바른 결정을 내릴 수 있도록 도와줍니다. 이 기술은 감사 트레일, 로그 파일 및 침입 트레이스(trace)를 목표 시스템으로부터 즉시 안전하게 저장합니다. 이렇게 하면 침입자가 그 파일들을 조작할 경우 침입 사실을 바로 알 수 있습니다. Cisco Threat Response의 실시간 조언 및 복구 절차는 여러분이 효과적으로 침입 이벤트에 대처할 수 있도록 도와드립니다(이 기능은 CiscoWorks VMS 기술 번들의 일부로만 제공됩니다).
  • 빠르고 일관된 자동 프로세스 - Cisco Threat Response는 연중무휴로 여러분의 네트워크를 위협하는 공격을 자동으로 끊임없이 조사합니다. 탐지된 네트워크 공격에 수 초 내에 반응하는 Cisco Threat Response는 침입자가 무슨 일이 일어났는지 알 수 없도록 합니다.
  • 쉬운 설치 - Cisco Threat Response 기술은 기업 내의 모든 시스템에 소프트웨어 에이전트를 설치할 필요 없이 호스트 조사를 실시할 수 있습니다. 이는 신속한 배치와 편리한 관리를 의미합니다.


쉬운 관리

시스코는 다양한 관리 옵션을 통해 규모와 상관 없이 효과적인 보안 모니터링 및 설정을 제공합니다. 모든 관리 툴은 직관적인 사용자 인터페이스를 사용하도록 설계되었으며, 보안 이벤트와 장치를 신속하게 설치, 설정 및 관리할 수 있도록 네비게이션을 쉽게 만들었습니다. 또한 Cisco IDS 4.0은 완전한 기능을 갖춘 IOS와 유사한 CLI(command line interface)를 안전한 SSH 연결 상에서 제공합니다. 직관적인 이벤트 표시.
  • 안전한 브라우저 기반 그래픽 사용자 인터페이스(GUI) - 경보는 운영 시스템과 상관 없이 거의 모든 데스크탑에서 쉽게 볼 수 있습니다. 그 결과 기업 전체에 걸쳐 신속한 시스템 데이터 액세스가 가능해집니다. 친숙한 브라우저 인터페이스는 사용의 편리함을 향상시켜줍니다. 그리고 SSL(Secure Sockets Layer)를 통해 데이터 보안도 유지됩니다.
  • 모든 보안 이벤트에 대한 확장 가능한 통합 뷰 기능 - CiscoWorks VMS Solution은 방화벽, 가상 사설망(VPN), IDS 등 모든 종류의 보안 장치에서 발생한 이벤트를 하나의 콘솔을 통해서 볼 수 있게 해줍니다. 여러 개의 데이터 소스가 지원 및 관리되며 이러한 점들은 기업 어느 곳에서든지 보안 정보를 볼 수 있도록 해줍니다.


쉬운 경보 처리

  • 포렌식 데이터 - Cisco Threat Response 기술에서 GUI는 침입 이벤트를 조사하고 확인하는 데 이용된 단계들을 볼 수 있게 해줍니다. 침입 대응을 지원하기 위해, 이 기술로 수집된 포렌식 데이터에도 액세스할 수 있게 됩니다. 데이터의 예로는 웹 로그, 시스템 로그 및 기타 관련 데이터를 들 수 있습니다(이 기능은 CiscoWorks VMS 기술 번들의 일부로만 제공).
  • 이벤트 간의 상호관계 - CiscoWorks VMS는 이벤트 간의 상호관계를 제공하고 여러 보안 장치의 데이터를 취합하여 경보 데이터를 더욱 신뢰할 수 있게 해줍니다.
  • NSDB(Network security database) - NSDB는 공격, 하이퍼링크, 잠재적인 대응 및 관련 취약점에 대한 정보를 즉시 액세스할 수 있도록 해줍니다. NSDB는 HTML 데이터베이스이기 때문에 각 사용자의 필요에 따라 표시 데이터를 설정할 수 있습니다(예를 들면 특정 공격에 대한 대응 및 확대 절차). 유연한 보고 및 통보
  • 기본 보고서 - 센서가 모니터링한 네트워크 활동에 대한 기본 보고서에는 경보, 소스 또는 목적지를 기반으로 하는 요약 보고 내용이 포함됩니다. 이들 보고는 HTML을 기반으로 하고 있으므로 주요 관리 직원들에게 전자메일로 전송될 수 있습니다.
  • 커스터마이즈된 보고서 - 여러분의 특정한 환경에 적합한 커스터마이즈된 보고서를 만들 수도 있습니다.


간단한 설정

  • 마법사 기반 설정 - 마법사는 설정 프로세스에서 사용자의 안내자 역할을 하여 빠르고 쉬운 센서 설정을 가능케 합니다. 이러한 마법사 기능은 사용이 편리하고 직관적인 서명 커스터마이제이션 기능도 제공합니다.
  • 자동 업데이트 - 자동 업데이트 기능은 침입 보호 시스템을 효과적으로 유지시켜주며 정기적인 유지 보수를 간편하게 해줍니다.
  • 원격 관리 - 사용자가 언제나 같은 컴퓨터 앞에 있거나 IDS 시스템이 위치한 곳에 있을 수는 없기 때문에 안전한 웹 브라우저 연결을 통한 원격 액세스 기능을 제공합니다.


확장성 있는 기업 관리

  • 다층 구조 아키텍처 - CiscoWorks VMS는 기업 보안 구축에서 요구되는 확장성을 만족시키기 위해 3단계 구조로 된 아키텍처를 채용했습니다.
  • 유연한 장치 그룹핑 - 장치를 기능, 위치 또는 설정 별로 그룹 지어 대규모 IDS 배치를 쉽게 관리하십시오.
  • 역할 기반 액세스 통제 - 적절한 장치 액세스 권한 부여를 위해 관리 액세스를 통제하십시오.
  • 다층 구조 승인 모델 (옵션) - 별도의 설정 정의와 설치 권한을 통해 올바른 감사 및 통제 기능을 제공합니다.


유연한 설치 옵션

시스코는 다양한 네트워크 IDS 설치 옵션을 제공하여 고객들이 각자의 환경에 적합한 침입 솔루션을 가장 효과적인 비용으로 구축할 수 있도록 합니다. 모든 솔루션들은 고가용성을 위해 설계되었으며 시스코의 뛰어난 고객 지원을 받게 됩니다. 네트워크 IDS 솔루션은 45Mbps에서 1Gbps에 이르는 다양한 성능으로 제공됩니다. 네트워크 침입 보호는 Cisco 4200 IDS Sensor Series를 이용한 전용 어플라이언스로 제공되거나 Cisco Catalyst 6500 IDS 모듈과 Cisco 2600, 3600 및 3700 Series 라우터를 위한 네트워크 모듈을 이용하는 통합 솔루션으로 제공됩니다. 또한 네트워크 IDS 기능의 일부도 라우터 및 방화벽 시스템 내에서 통합된 솔루션으로 제공됩니다.



쉬운 설치

Cisco Intrusion Protection은 쉽고 신속한 설치를 위해 설계되었습니다. 어플라이언스 센서들은 기술자 수준에서 설치가 가능하도록 설계되어 센서를 네트워크 내에 삽입한 후 작동시키고 몇 가지 초기 매개 변수를 통해 설정해야 합니다. Catalyst 6500 Series 600Mbps IDS Service Module의 설치는 모듈을 비어있는 섀시 슬롯에 삽입해 넣은 후 초기 매개 변수로 모듈을 설정하고, 스위치를 설정하여 카드를 인식하도록 한 다음, 트래픽을 전송하기만 하면 됩니다. Cisco IDS 네트워크 모듈은 Cisco 2600XM Series, Cisco 3660, and Cisco 3700 Series 플랫폼에서 하나의 네트워크 모듈 슬롯을 차지하며 라우터의 전원 옵션(DC 전원 및 리던던시형 전원)을 활용합니다. 센서들이 초기화되고 작동을 시작하면, 모든 관리 콘솔에서 변경된 설정을 전송할 수 있게 됩니다.

낮은 총소유 비용

시스코의 유연한 설치 옵션은 기업들이 IDS 설치에 따르는 전체 소유 비용을 최소화할 수 있게 해줍니다:
  • 전례 없는 가격대 성능비
  • 여러 개의 스니핑(sniffing) 인터페이스 지원을 통해 여러 개의 네트워크 서브네트를 동시에 보호할 수 있는 기능은 하나의 센서를 최대 5개의 센서처럼 사용할 수 있게 해줍니다.
  • 폭넓은 성능 옵션
  • 업그레이드가 가능한 모듈식 구성요소를 통한 투자 보호
  • 대역폭 이용도를 기반으로 트래픽 검사를 최적화할 수 있게 해주는 VLAN 지원
  • IDS 센서와 함께 제공되는 내장형 웹 기반 관리 솔루션


전세계에 제공되는 세계 최고의 지원

시스코는 여러분의 시스코 시스템즈 제품의 성능과 수명을 향상시키기 위해 최고의 서비스를 제공하고 있습니다. Cisco IDS 4200 Series 센서와 Catalyst 6500 IDS Module은 완전한 SMARTnet 관리 옵션을 통해 보장됩니다. 여기에는 하드웨어 지원은 물론 센서 소프트웨어 업그레이드와 Cisco.com에 게시되는 최신 서명에 대한 액세스도 포함됩니다. 관리 콘솔 소프트웨어는 SAS(Software Application Support) 및 SASU(Software Application Support Plus Upgrades)를 통해 보장 됩니다.

Network IDS 설치 옵션

  • Cisco IDS 4200 Series 센서 - 전용 IDS 솔루션은 IDS 센서를 네트워크 아키텍처 내에서 필요한 곳에 설치할 수 있도록 해줍니다. 4 단계의 성능 레벨이 제공됩니다:
  • Cisco IDS 4215 - 80 Mbps
  • Cisco IDS 4235 - 250 Mbps
  • Cisco IDS 4250 - 500 Mbps
  • Cisco IDS 4250 XL - 1000 Mbps
  • Cisco IDSM-2 Module for the Cisco Catalyst 6500 chassis - 이 제품은 전용 모듈을 통해 완전한 IDS 기능을 Cisco Catalyst Switch와 효율적으로 통합하여 600Mbps의 속도로 통합된 보호를 제공합니다.
  • Cisco 2600, 3600 및 3700 시리즈 라우터를 위한 Cisco IDS Network Module - 각 센서는 서로 다른 라우터의 대역폭 요구조건을 처리합니다. Cisco 2600XM의 대역폭 요건은 최대 10Mbps이며 Cisco 3700 Series는 최대 45Mbps입니다. IDS와 지사 사무실 라우팅을 통합함으로써 시스코는 WAN 링크 보호를 한층 간단하게 해는 동시에 운영 비용도 줄여줍니다. 또한, 완전한 침입 보호 기능을 원격 사무실과 지사 사무실에 제공함으로써 네트워크 관리자들은 기업 네트워크에서도 그러한 원격 지역의 위협을 효과적으로 격리 및 처리할 수 있게 됩니다.
  • 라우터 센서 - 라우터 센서는 라우터 OS에 통합된 소프트웨어 솔루션을 통해 집중적인 IDS 기능 세트를 제공합니다.
  • 방화벽 센서 - 방화벽 센서는 방화벽 OS에 통합된 소프트웨어 솔루션을 통해 집중적인 IDS 기능 세트를 제공합니다.


주문 정보

Cisco Intrusion Protection 구성요소에 대한 주문 정보를 원하시면 다음 주소를 방문하십시오:
http://www.cisco.com/go/ids

추가 정보

더 자세한 정보는 다음 주소를 방문하십시오:
http://www.cisco.com/go/ids





<업데이트: 2004년 12월 29일>


Cisco에 문의하세요