Downloads

데이터 시트

Cisco IPS Sensor Software Version 5.0

Cisco Systems® IPS(Intrusion Prevention System)solution은 악성 트래픽이 비즈니스의 연속성에 영향을 미치기 전에 정확하게 미리 식별하고 구분하여 차단하도록 설계되었습니다. 업계에서 입증된 탐지 및 인라인 차단 성능을 제공하는 Cisco IPS solution은 데이터와 정보 인프라를 광범위하게 보호해줍니다.

Cisco IPS solution은 다음과 같은 요소를 사용하여 더 많은 위협을 보다 확실하게 차단해줍니다.
• 멀티벡터 위협 식별 - 레이어 2-7 트래픽을 정밀 검사하여 네트워크에서 정책 위반, 취약성 악용 및 이상 활동을 차단합니다.
• 정확한 방지 기술 - 합법적인 트래픽이 손실될 위험 없이 다양한 종류의 위협을 확실하게 차단할 수 있습니다. 시스코의 혁신적인 Risk Rating 및 Meta-Event Generator는 공격을 정확하게 식별하여 신속하게 완화할 수 있습니다.
• 고유한 네트워크 협력기술 - 효율적인 트래픽 캡처 기술, 로드 밸런싱 성능 및 암호화된 트래픽에 대한 가시성과 같은 네트워크 협력기술을 통해 향상된 확장성과 복원력을 제공합니다.
• 광범위한 적용 솔루션 - 중소기업(SMB)과 지사 위치에서부터 대기업과 서비스 제공업체 설치에 이르는 모든 환경에 대해 IDS/IPS(Intrusion Detection/Prevention System) 솔루션을 제공합니다. 시스코 IPS 장치 제품군에는 Cisco IPS 4200 Series appliances 및 Cisco Catalyst® 6500 Series switch 모듈이 포함됩니다. 시스코 액세스 라우터용 IDS 모듈은 향상된 여러 성능과 더불어 기존의 탐지 기능을 제공합니다. 또한 일련의 침입 방지 기능을 시스코 라우터용 Cisco IOS® Software 솔루션으로 사용할 수 있습니다. 장치 구성 및 이벤트 보기를 위한 시스코 솔루션에는 단일 장치 관리 및 이벤트 모니터링을 위한 Cisco IPS Device Manager와 다중 장치 및 다중 이벤트의 상호연관성 분석을 위한 CiscoWorks VMS(VPN/Security Management Solution)가 포함됩니다.

위와 같은 요소를 함께 사용하여 광범위한 인라인 침입 방지 솔루션을 제공함으로써 다양한 종류의 악성 트래픽이 비즈니스의 연속성에 영향을 미치기 전에 확실하게 탐지하고 차단할 수 있습니다.

기능 및 이점

웜 및 바이러스를 차단하기 위한 IPS 서비스
Cisco IPS Sensor Software Version 5.0은 Cisco 4200 Series appliance와 Cisco Catalyst 6500 Series IPS Module에 인라인 IPS 성능을 제공함으로써 네트워크의 중요한 지점에서 웜과 바이러스를 효과적으로 완화합니다. 그림 1은 Cisco IPS 어플라이언스와 모듈을 통해 광범위한 배치 솔루션을 네트워크 전체에 제공하는 방법을 보여줍니다.

그림 1. IPS 제품군에 컨버지드 코드를 제공하는 Cisco IPS Sensor Software Version 5.0

- 단일 센서를 IDS 센서와 IPS 센서로 동시에 작동할 수 있는 하이브리드 IDS/IPS 서비스를 지원합니다. 그림 1은 단일 장치를 사용하여 IDS 서비스와 IPS 서비스를 제공하기 위해 단일 IPS 장치를 전략적으로 배치하는 방법을 보여줍니다. 이렇게 하면 네트워크에 여러 대의 장치를 배치할 필요성이 감소하기 때문에 총소유 비용이 상당히 절감됩니다.
- 다양한 종류의 인라인 패킷 드롭 작업을 제공합니다. 이러한 작업에는 단일 악성 패킷, 여러 악성 패킷이 포함된 플로우 내의 모든 패킷, 공격자의 IP 주소에서 오는 모든 패킷을 드롭시키는 기능이 포함됩니다. 이 인라인 대응 작업은 연결 재설정과 스위치, 라우터 및 방화벽에서의 액세스 제어 목록(ACL) 수정과 같은 기존의 대응 작업을 보완하여 업계에서 가장 다양한 공격 차단 기술을 제공합니다. 이러한 기술을 조화롭게 사용하여 웜과 바이러스를 효과적으로 차단합니다.

정확한 침입 방지 기술
- Cisco MEG(Meta Event Generator) - MEG는 웜을 정확하게 구별하기 위해 상호연관성 분석을 제공합니다. Cisco IPS Sensor Software Version 5.0은 IPS 센서가 탐지한 악성 공격을 보안 관리자가 자동으로 구분할 수 있도록 하기 위해 센서 수준의 고급 이벤트 상호연관성 분석 기능을 제공합니다. 이러한 메커니즘을 통해 네트워크 전체에서 웜 및 바이러스의 유입과 웜 전파를 차단할 수 있습니다.

이를 위해 다음과 같은 기술을 사용합니다.
- 여러 취약성을 악용하는 웜과 관련된 경보의 상호연관성 분석. 그림 2는 단시간 내에 발생하는 여러 경보의 상호연관성을 실시간으로 분석하여 단일 메타 이벤트를 제공함으로써 웜 활동을 더욱 정확하게 파악하도록 도와주는 방법을 보여줍니다.
- 웜 감염을 유발하는 동작 시퀀스의 상호연관성 분석. 웜의 특성을 분석하기 위해 이전의 경향을 분석하면 웜 침투 바로 이전에 탐지된 특정 동작 시퀀스를 알 수 있습니다. 이러한 동작은 대상 네트워크에 대해 일련의 정찰 활동이 수행되는 "검사(probing) 단계"에서 발생합니다. MEG를 통해 사용자는 특정 시퀀스의 이벤트가 발생할 때 실행되는 논리적 알고리즘을 지정함으로써 웜 침투를 미리 알 수 있습니다. 이러한 상호연관성 분석을 통해 메타 이벤트를 제공함으로써 사용자는 실제로 발생한 악성 공격을 더욱 정확하게 파악할 수 있습니다.
- 낮은 심각도 수준에서 여러 이벤트의 상호연관성 분석을 통해 높은 심각도 수준의 단일 이벤트 생성. 웜은 네트워크를 통해 전파하면서 다양한 심각도 수준의 경보를 발생시킵니다. Cisco MEG는 별로 관련이 없어 보이는 낮은 심각도의 경보를 높은 심각도의 위험한 이벤트에 연결함으로써 사용자가 해당 패킷을 확실하게 드롭할 수 있도록 합니다(그림 3).
- 하이브리드 탐지 알고리즘 기반의 동시 트리거를 통해 경보 정확도 개선. 예를 들어, 트래픽 이상 현상(anomaly) 알고리즘과 "플러드" 형태의 시그니쳐를 발생시켜서 서비스 거부(DoS) 공격을 탐지하는 경우, MEG를 사용하여 특정 이벤트를 다른 이벤트와 확인할 수 있습니다. 이렇게 하면 DoS 공격이 실제로 발생했을 가능성이 높음을 알려주는 단일 메타 이벤트를 제공할 수 있습니다.

이러한 향상된 보안 수준은 합법적인 트래픽을 드롭하지 않고도 인라인 침입 방지 성능을 확실하게 구현하여 네트워크에서 웜을 식별하고 차단할 수 있습니다.

그림 2. 여러 이벤트의 상호연관성을 분석하여 웜 존재 여부를 알려주는 MEG

그림 3. 낮은 심각도 수준의 여러 이벤트와 높은 심각도 수준의 단일 웜 이벤트의 상호연관성을 분석하는 MEG.

위험 등급(Risk Rating)은 위협을 분류한 위험 등급 방식으로 IPS 패킷 드롭 작업의 정확성과 신뢰성을 향상시켜줍니다(그림 4). Risk Rating은 자동화된 방식으로 고유의 다차원 알고리즘을 사용하며 이 알고리즘에서는 다음과 같은 사항을 고려합니다.

- 이벤트 심각도(Event Security) - 의심되는 트래픽의 잠재적인 피해를 나타내는 가중 값이며 사용자가 수정할 수 있습니다.
- 시그니쳐 충실도(Signature fidelity) - 의심되는 행위를 탐지한 시그니쳐의 충실도를 나타내는 가중 값이며 사용자 수정이 가능합니다.
- 자산 가치(Asset Value) - 사용자가 인식한 대상 호스트의 가치를 나타내는 값이며 사용자 정의가 가능합니다.
- 공격 관련성(Attack relevancy) - 이벤트의 대상이 이 공격 유형에 노출되는 정도를 나타내는 내부 가중 값입니다. 실제 Risk Rating은 모든 IPS 시그니쳐, 정책 또는 이상 현상 탐지 알고리즘에 동적으로 적용되는 정수값입니다. 이 값이 높을수록 관련 경보에 대한 트리거 이벤트의 보안 위험이 더 높습니다. 이 메커니즘을 통해 사용자가 네트워크 공격 방지 정책을 세울 수 있으며 추가적인 검사에 우선 순위를 부여하기 위해 이벤트를 특성화할 수 있습니다. 사용자가 인라인 IPS 동작에 대해 더 지능적인 결정을 내릴 수 있으며 유효한 트래픽이 드롭되지 않도록 합니다.

그림 4. IPS 동작의 정확도를 향상시키는 위험 등급(Risk Rating)

멀티벡터 위협 식별을 위한 익스텐션
- 애플리케이션 탐지 기술을 통해 애플리케이션 레이어 전용 컨텐츠에 따라 정책을 시행할 수 있습니다.
- 포트 80을 통해 위장된 채널 터널링을 탐지하고 방지함으로써 관리자가 사용자의 정책 위반(회사 보안 정책에 의해 금지된 애플리케이션을 사용자가 터널링하는 경우)을 상세하게 파악할 수 있습니다. 이 기능의 큰 이점은 비정상적으로 많은 대역폭을 소모하는 파일 공유 툴과 같은 애플리케이션을 비활성화함으로써 네트워크의 대역폭을 보존할 수 있다는 점입니다.
- HTTP 메서드에 대해 RFC 규정 준수 여부를 확인함으로써 공격자가 HTTP 트랜잭션을 조작하지 않도록 보장합니다. 이를 통해 사용자가 "GET" 또는 "POST"와 같은 특정 HTTP 메서드를 허용하거나 거부할 수 있습니다.
- JPEG 익스텐션과 같은 엄선된 MIME 유형을 기반으로 트래픽을 필터링함으로써 관리자가 특정 MIME 유형에 포함된 악성 컨텐츠에 연결될 수 있는 웜과 바이러스를 정확하게 차단할 수 있습니다. 또한, 문제가 되는 MIME 유형의 컨텐츠 헤더를 실제 컨텐츠와 확인하여 공격자가 다른 헤더로 가장한 MIME 유형의 악성 컨텐츠를 심지 못하도록 막을 수 있습니다.
- 사용자는 자신의 정의한 정책을 사용하여 허용된 트래픽을 제어할 수 있습니다. 기존의 IPS 검사 및 방지 방법과 달리 Cisco IPS Sensor Software Version 5.0를 사용하면 정책 기반 결정을 통해 특정 유형의 트래픽(예: 중요한 네트워크 대역폭을 소모할 가능성이 있는 피어-투-피어 트래픽)을 허용하거나 거부할 수 있습니다.
- Cisco IPS v5.0은 Gator, Bonzi Buddy 및 SaveNow와 같은 공용 애드웨어뿐만 아니라 악성 스파이웨어 애플리케이션을 통해 누설될 수 있는 조직의 민감한 정보를 완전하게 보호함으로써 애드웨어와 악성 스파이웨어로부터 네트워크를 보호합니다. Cisco IPS v5에는 스파이웨어 호스트 서버와 이 스파이웨어로 인해 감염된 네트워크 장치 사이의 커뮤니케이션을 효과적으로 차단할 수 있는 고유 알고리즘이 포함되어 있습니다. Cisco IPS v5는 또한 공용 애드웨어 애플리케이션에서 생성된 불필요한 커뮤니케이션도 차단할 수 있습니다. _
- VoIP(Voice over IP) 엔진은 H.225 통화 설정 메시지의 프로토콜 규정 준수 여부를 보장합니다. 이 엔진은 또한 고급 버퍼 오버플로우 및 URL 오버플로우 완화를 통해 음성 게이트웨이에 대한 공격을 차단합니다.
- MPLS(Multiprotocol Label Switching) 환경에서의 위협 검사 및 완화 기능이 지원됩니다. MPLS 트래픽은 서비스 제공업체 사이트나 기업 네트워크에 흔히 나타날 수 있습니다. 패킷 헤더와 페이로드의 악성 컨텐츠를 정확하게 탐지하기 위해서는 MPLS 패킷에 대한 가시성이 요구됩니다. Cisco IPS Sensor Software Version 5.0은 MPLS 패킷을 검사하여 위협을 구분하고 차단합니다.
- 네트워크 바이러스 차단 기능은 바이러스 발생을 정확하게 식별하고 차단합니다. IPS 장치에서 탐지하는 기본적인 위협 이외에도 Cisco IPS Sensor Software Version 5.0에서는 위협 분류 기능을 확장하여 네트워크상에서 탐지되는 바이러스 공격까지도 정확하게 탐지하고 방지합니다. 센서가 배치되는 방식에 따라 네트워크 레이어에서 최신 바이러스 활동을 완화할 수 있기 때문에 이러한 위협으로부터 엔드포인트를 효과적으로 보호할 수 있습니다. Cisco IPS Sensor Software Version 5.0에서는 또한 업데이트 전송이 향상되어서 최신 위협과 관련된 업데이트를 신속하게 제공할 수 있습니다.
- Cisco IPS Sensor Software Version 5.0에서는 프레그먼트 리어셈블리와 같은 고급 트래픽 정규화 알고리즘을 지원합니다.
- IPv6 환경 공격을 식별하려면 IPv6로 터널링 중인 IPv4 트래픽을 검사하면 됩니다.

기타 기능
- 자동 및 수동 센서 바이패스 구성 - Cisco IPS 센서의 수많은 메커니즘을 통해 높은 가용성을 실현할 수 있습니다.
Cisco Catalyst 스위치상의 HSRP(Hot Standby Router Protocol) 구성 및 Cisco EtherChannel® 로드 밸런싱과 같은 고유 네트워크 협업을 통해 복원력과 리던던시를 제공할 수 있습니다. 이렇게 하면 기본 장치에 장애가 발생했을 때 예비 IPS 장치로 트래픽을 우회시킬 수 있습니다. 또한 Cisco IPS Sensor Software Version 5.0의 바이패스 메커니즘을 통해 IPS 센서는 특정한 유형의 센서 장애가 발생했을 때 fail-open 조건이라고 자동으로 가정합니다. 이 바이패스 메커니즘을 수동으로 구성할 수도 있습니다. 수동 구성의 경우 fail-open 조건을 달성하려면 사용자가 센서를 바이패스 모드로 전환해야 합니다. 이렇게 하면 IPS 장치의 안정성이 향상됩니다.
- SDEE(Security Device Event Exchange) 지원 - ICSA의 IDS 컨소시엄을 위해 시스코에서 개발한 표준화된 IPS 통신 프로토콜입니다. Cisco IPS Sensor Software Version 5.0에서는 SDEE 프로토콜을 통해 유연하고 표준화된 API를 IPS 센서에 제공하며 이를 통해 타사의 관리 및 모니터링 솔루션을 Cisco IPS 솔루션에 쉽게 통합할 수 있습니다. 이렇게 하면 Cisco IPS 센서에서 생성된 이벤트를 모니터링하기 위해 사용자가 타사 솔루션을 선택할 수 있습니다.
- SNMP(Simple Network Management Protocol) 트랩을 통해 센서 경보를 전달함으로써 모니터링 및 알림 메커니즘을 확장 - 기존의 경보 형식 이외에도 Cisco IPS Sensor Software Version 5.0에서는 센서에서 모니터링 툴로 IPS 경보를 전달하기 위한 사용자 툴을 제공합니다. 이 모니터링 툴은 SNMP 형식으로 생성된 경보를 필요로 합니다. 또한 SNMP를 사용하면 사용자에게 센서의 상태를 알려주는 중요한 진단 정보와 상태 정보를 IPS 센서에서 검사할 수 있습니다.

시스템 요구사항
인라인 IPS 서비스의 경우 Cisco IPS 4200 Series appliance sensors에 둘 이상의 모니터링 인터페이스가 필요합니다. 업그레이드 옵션에 대한 자세한 내용은 http://www.cisco.com/go/ips에서 Cisco IPS 4200 Series 데이터 시트를 참조하십시오.
http://www.cisco.com/go/ips

Cisco IPS Sensor Software Version 5.0은 Cisco IDS 4215, IDS 4235, IPS 4240, IPS 4255 및 IDS 4250-XL appliance와 IDSM-2 Module for Cisco Catalyst 6500 Series switch에서 지원됩니다. IDS 4210 및 Cisco IDS Network Module(NM-CIDS)의 경우는 무차별 기반 IDS 모드에서만 Cisco IPS Sensor Software Version 5.0이 지원됩니다.

주문 정보
표 1은 Cisco IPS Sensor Software Version 5.0의 주문 정보를 나타냅니다.

표 1. Cisco IPS Sensor Software Version 5.0 주문 정보

부품 번호	설명
IPS-SW-K9-U	Cisco IPS Sensor Software Version 5.0

주문을 원하시면, 시스코 주문 (Cisco Ordering) 홈페이지를 방문해 주십시오.

추가 정보
Cisco IPS Sensor Software Version 5.0 에 대한 자세한 내용은 지역 고객 담당자에게 문의하시거나 http://www.cisco.com/go/ips 를 방문하십시오.

<업데이트: 2005년 7월 15일>