Downloads

데이터 시트

Cisco IPS(Intrusion Prevention System) Solution

Cisco Systems® IPS(Intrusion Prevention System)solution은 악성 트래픽이 비즈니스의 연속성에 영향을 미치기 전에 정확하게 미리 식별하고 구분하여 차단하도록 설계되었습니다. 업계에서 입증된 탐지 및 인라인 차단 성능을 제공하는 Cisco IPS solution은 데이터와 정보 인프라를 광범위하게 보호해줍니다.

Cisco IPS solution은 다음과 같은 요소를 사용하여 더 많은 위협을 보다 확실하게 차단해줍니다.
• 멀티벡터 위협 식별 - 레이어 2-7 트래픽을 정밀 검사하여 네트워크에서 정책 위반, 취약성 악용 및 이상 활동을 차단합니다.
• 정확한 방지 기술 - 합법적인 트래픽이 손실될 위험 없이 다양한 종류의 위협을 확실하게 차단할 수 있습니다. 시스코의 혁신적인 Risk Rating 및 Meta-Event Generator는 공격을 정확하게 식별하여 신속하게 완화할 수 있습니다.
• 고유한 네트워크 협력기술 - 효율적인 트래픽 캡처 기술, 로드 밸런싱 성능 및 암호화된 트래픽에 대한 가시성과 같은 네트워크 협력기술을 통해 향상된 확장성과 복원력을 제공합니다.
• 광범위한 적용 솔루션 - 중소기업(SMB)과 지사 위치에서부터 대기업과 서비스 제공업체 설치에 이르는 모든 환경에 대해 IDS/IPS(Intrusion Detection/Prevention System) 솔루션을 제공합니다. 시스코 IPS 장치 제품군에는 Cisco IPS 4200 Series appliances 및 Cisco Catalyst® 6500 Series switch 모듈이 포함됩니다. 시스코 액세스 라우터용 IDS 모듈은 향상된 여러 성능과 더불어 기존의 탐지 기능을 제공합니다. 또한 일련의 침입 방지 기능을 시스코 라우터용 Cisco IOS® Software 솔루션으로 사용할 수 있습니다. 장치 구성 및 이벤트 보기를 위한 시스코 솔루션에는 단일 장치 관리 및 이벤트 모니터링을 위한 Cisco IPS Device Manager와 다중 장치 및 다중 이벤트의 상호연관성 분석을 위한 CiscoWorks VMS(VPN/Security Management Solution)가 포함됩니다.

위와 같은 요소를 함께 사용하여 광범위한 인라인 침입 방지 솔루션을 제공함으로써 다양한 종류의 악성 트래픽이 비즈니스의 연속성에 영향을 미치기 전에 확실하게 탐지하고 차단할 수 있습니다.

멀티벡터 위협 탐지
Cisco IPS Sensor Software에는 레이어 2 - 7 트래픽을 검사하고 분석하기 위한 수많은 방법이 있습니다. 이러한 방법은 광범위한 위협 식별 기능을 제공하며, 익스플로이트가 나오기 전에 특정 취약성에 대한 시그니쳐를 개발하도록 지원하여 데이-제로(day-zero) 공격으로부터 보호해줍니다. 다음과 같은 위협 식별 방법이 있습니다.

• 상태보존형 패턴 인식 - 모든 프로토콜에 걸쳐 멀티패킷 검사를 사용하여 취약성 기반 공격을 식별함으로써, 데이터 스트림 내에 숨어있는 공격을 차단합니다.
• 프로토콜 분석 - 프로토콜 디코딩 및 유효성 검사를 네트워크 트래픽에 제공합니다. Cisco IPS Sensor Software Version 5.0은 IP, ICMP(Internet Control Message Protocol), TCP 및 UDP(User Datagram Protocol)를 비롯한 모든 주요 TCP/IP 프로토콜을 모니터링합니다. 또한 FTP, SMTP(Simple Mail Transfer Protocol), HTTP, DNS(Domain Name System), RPC(Remote Procedure Call), NetBIOS, NNTP(Network News Transfer Protocol) 및 텔넷과 같은 애플리케이션 레이어 프로토콜에 대해 상태보존형 디코딩을 제공합니다.
• 트래픽 이상 탐지 - 여러 세션과 연결 상에서 발생할 수 있는 공격에 대해 이상 식별 기능을 제공하며 이를 위해 정상적인 네트워크 트래픽 패턴이 변경된 것을 식별하는 기술을 사용합니다. 한 예로 특정 시간 내에 지정된 수의 ICMP 패킷으로 ICMP 플러드가 발생하는 것을 들 수 있습니다.
• 프로토콜 이상 탐지 - 프로토콜이나 서비스의 정상적인 RFC 동작에서 벗어나는 동작을 관찰하여 식별합니다(예: HTTP 요청이 없는 HTTP 응답).
• 레이어 2 탐지 - 스위치형 환경에서 흔히 발생하는 레이어 2 ARP(Address Resolution Protocol) 공격과 MITM(Man-In-The-Middle) 공격을 식별합니다.
• 애플리케이션 정책 시행 - 포트 80을 통해 P2P, IM 및 터널링된 애플리케이션 제어를 비롯하여 다양한 종류의 애플리케이션 세트를 정밀 분석하고 제어합니다. 또한 이를 통해 사용자가 다양한 트래픽 유형이나 MIME 유형에 대해 정책 결정을 내림으로써 악성 트래픽이 네트워크를 통과하지 못하도록 막을 수 있습니다.
• IDS/IPS 우회공격(evasion) 기술 - 트래픽 정규화(normalization), IP 조각 모음(defragmentation), TCP 스트림 리어셈블리(reassembly) 및 비혼란화(deobfuscation)를 제공하여 해커가 IDS 및 IPS를 우회하여 공격하려는 시도를 차단합니다.
• 커스터마이즈 가능 정책 - 사용자가 자신의 고유한 보안 목표를 충족시키기 위해 시스코의 혁신적인 TAME(Threat Analysis Micro Engine) 정책 언어를 사용하여 기존 정책을 수정하거나 새로운 정책을 만들 수 있도록 유연성을 제공합니다.

위의 기술을 통해 Cisco IPS Sensor Software가 다음과 같은 알려진 공격 유형이나 알려지지 않은 공격 유형을 해결할 수 있습니다.

• 정책 위반 - 활동, 악용 활동 및 파일 공유 위협을 검사합니다.
• 이상 활동 - 대역폭이나 컴퓨팅 리소스를 소모해 버리려는 시도인 서비스 거부(DoS) 공격으로 인해 정상적인 운영이 중단됩니다. 이 예로는 Trinoo, TFN 및 SYN 플러그가 있습니다.
• 취약성 악용 - Back Orifice, 실패한 로그인 시도 및 TCP 도청 등이 있습니다.

정확한 방지 기술
Cisco IPS Sensor Software에는 사용자가 다양한 종류의 위협을 확실하게 방지할 수 있는 혁신적인 기술이 있습니다. 상호연관성 분석 및 유효성 검사 툴을 포함하는 이 기술은 합법적인 트래픽이 손실될 위험을 상당히 줄여줍니다. 이러한 높은 수준의 정확성을 실현하기 위해 다음과 같은 기술을 사용합니다.

• 위험 등급(Risk Rating) - 인라인 침입 방지 기능을 구현할 수 있도록 뛰어난 안정성과 확실한 성능을 제공합니다. 기존의 침입 방지에서는 특정 이벤트에 관련된 잠재적인 피해를 결정하기 위한 유일한 방법으로 심각도(severity) 등급을 사용했습니다. Cisco Risk Rating은 다음과 같은 별도의 네 값을 사용하여 잠재적인 피해를 더 정확하게 표현하고 평가해줍니다.

- 이벤트 심각도(Event severity) : 이벤트 당 잠재적인 피해를 나타내는 등급입니다.
- 시그니쳐 충실도(Signature fidelity) : 시그니쳐의 정확도를 나타내는 등급입니다.
- 공격목표의 심각성(Asset value) : 공격 대상의 중요성을 나타내는 커스터마이즈 가능 값입니다.
- 공격 연관성(Attack relevancy) : 공격 대상이 이 공격 유형에 노출되는 정도를 나타내는 값입니다.

이 값의 총 합이 해당 이벤트의 위험 등급(Risk Rating)이 됩니다. 대부분의 값은 기본으로 구성되어 있어서 사용자의 개입이 최소화됩니다.

• MEG(Meta-Event Generator) - 웜을 정확하게 탐지하고 차단하기 위해 고유한 이벤트 상호연관성 분석을 제공합니다. 웜은 네트워크를 통해 이동하면서 다양한 심각도 수준의 경보를 발생시킵니다. Cisco MEG는 별로 관련이 없어 보이는 낮은 심각도의 경보를 높은 심각도의 위험한 이벤트에 연결함으로써 사용자가 해당 패킷을 확실하게 폐기할 수 있도록 합니다. 이를 위해 MEG는 웜 동작을 모델링하고 이벤트 사이의 특정 시간, 네트워크 작동 및 여러 악용 행위의 상호연관성을 분석합니다.

고유한 네트워크 협업
Cisco IPS에서는 고유한 네트워크 협업을 통해 네트워크를 사용하여 향상된 확장성과 유연성을 제공합니다. Cisco IPS Sensor와 시스코 네트워크 장치 사이의 커뮤니케이션을 통해 Cisco IPS soultion이 다음과 같은 기능을 제공합니다.

• 802.1q 지원을 통해 멀티 VLAN 트래픽의 로드 공유
• 스위치상의 VACL 캡처, SPAN 또는 RSPAN을 통해 효율적인 대역폭 관리
• 스위치에서 지원되는 로드 밸런싱 알고리즘을 통해 8 Gbps까지 성능 확장
• Cisco EtherChannel® 기술을 사용한 스위치 상호 작용을 통해 제공되는 스위치 IPS 장치의 고가용성
• VPN 암호 해독 서비스를 제공하는 시스코 스위치 및 라우터와의 상호연동을 통해 암호화 트래픽에 대한 가시성 제공

광범위한 적용 솔루션
시스코는 광범위한 네트워크 IPS 적용 솔루션을 제공하기 때문에, 고객이 자신의 환경에 가장 효과적인 방식으로 침입 방지 시스템을 구현할 수 있습니다. 모든 솔루션은 높은 가용성을 제공하도록 설계되었으며 탁월한 고객 지원을 받을 뿐만 아니라, 45 Mbps에서 수 Gbps까지의 다양한 성능 수준으로 사용할 수 있습니다. 배치 옵션에는 전용 어플라이언스, 스위치 및 라우터 모듈, 소프트웨어 기반 솔루션이 포함됩니다. 솔루션은 다음과 같습니다.

• Cisco IPS 4200 Series sensor appliances - 최대 8개의 인터페이스를 사용하여 여러 네트워크 세그먼트를 보호하고 무차별(promiscuous) 모드와 방지 모드에서의 이중 작동을 동시에 지원하는 특별한 용도의 전용 장치를 통해 침입 방지 성능을 제공합니다. 이 어플라이언스는 Cisco Catalyst 6500 Series 스위치상에서 Cisco EtherChannel 로드 밸런싱과 함께 사용될 경우 80Mbps에서 최대 8Gbps까지 다양한 성능을 제공합니다. 어플라이언스 모델과 기본 성능 수준은 다음과 같습니다.
- Cisco IDS 4215 - 80 Mbps
- Cisco IPS 4250 - 250 Mbps
- Cisco IPS 4255 - 600 Mbps
- Cisco IDS 4250-XL - 1000 Mbps

참고: 성능 수치는 테스트된 침입 탐지 처리량의 수치입니다.

• Cisco IDSM-2 Module for the Cisco Catalyst 6500 Series - 전용 모듈을 통해 Cisco Catalyst 6500 Series switch에 완벽한 IPS 성능을 통합함으로써 600 Mbps 속도로 통합 보호 기능을 제공합니다.
• Cisco IDS Network Module for Cisco access routers - Cisco IPS Sensor Software Version 5.0을 사용하여 기존의 침입 탐지 기능을 라우터에 통합합니다. 이 경우 탐지 기능 추가, 상호연관성 분석 및 식별 기술을 제공하여 최대 45 Mbps 속도에서 효과적으로 위협을 완화하고 격리시킵니다.
• Cisco IOS-IPS - 라우터상의 Cisco IOS Software를 통해 일련의 IPS 성능을 제공합니다.
• 방화벽 센서 - 방화벽 운영 체제에 통합된 소프트웨어 솔루션을 통해 일련의 IPS 성능을 제공합니다.

관리 옵션
시스코는 다양한 종류의 관리 솔루션을 사용하여 배치 규모나 방법에 상관없이 효과적인 보안 모니터링 및 구성을 제공합니다. 모든 관리 툴은 직관적인 사용자 인터페이스와 쉬운 탐색으로 구성되어 있기 때문에 보안 이벤트 및 장치의 신속한 설치, 구성 및 관리가 가능합니다. 관리 솔루션에는 다음이 포함됩니다.
• Command line interface(CLI) - Cisco IOS Software와 유사한 완벽한 기능의 CLI가 SSH(Secure Shell) 프로토콜 연결을 통해 장치 구성을 제공합니다.
• Cisco IDM(IPS Device Manager) - 단일 장치 관리자가 구성 및 경보 보기에 사용되는 안전한 브라우저 기반 그래픽 사용자 인터페이스(GUI)를 제공합니다. Cisco IDM은 사용 중인 운영체제에 상관없이 거의 모든 데스크톱에서 쉽게 액세스가 가능합니다. 따라서 기업 전체의 시스템에서 신속하게 데이터에 액세스할 수 있습니다. 친숙한 브라우저 인터페이스가 사용을 쉽게 해줍니다. 또한 SSL(Secure Sockets Layer)을 사용하여 데이터 보안을 유지합니다.
• CiscoWorks VMS - 다중 장치 구성 및 경보 관리 툴이 모든 보안 이벤트를 일관된 방식으로 표시합니다. CiscoWorks VMS 솔루션에서는 방화벽, VPN 및 IPS를 비롯한 모든 유형의 보안 장치에서 발생하는 이벤트를 단일 콘솔에서 브라우저 기반 GUI로 볼 수 있습니다. 여러 대의 보안 장치를 구성하고 관리할 수 있으므로 기업 전체에서 쉽게 보안 기능을 관리할 수 있습니다. CiscoWorks VMS는 또한 유연한 보고 및 알림, 자동화된 업데이트 및 이벤트 상호연관성 분석을 포함시켜서 향상된 보안 관리를 제공합니다.
• CiscoWorks SIMS(Security Information Management Solution) - 이벤트 관리 솔루션이 기업 전체의 보안 이벤트 데이터를 수집, 분석 및 상호 연관성을 분석합니다. 수상 경력에 빛나는 SIMS Version 3.1 소프트웨어를 사용하여 이러한 기능을 제공하는 CiscoWorks SIMS를 통해 인력을 추가 투입하지 않고도 보다 효과적으로 더 많은 위협을 식별하고 이에 대처할 수 있습니다.
• Cisco SDM(Router and Security Device Manager) - 직관적인 웹 기반 장치 관리자가 Cisco IOS IPS 기능 세트 및 Cisco IDS 네트워크 모듈을 비롯한 시스코 액세스 라우터를 쉽고 안정적으로 배치하고 관리합니다.

리소스
Cisco IPS Alert Center - 위협에 관련된 특정 정보(예: 잠재적 대처 방안 및 관련 취약성)에 신속하게 액세스할 수 있습니다. 자세한 내용은 http://www.cisco.com/go/ipsalert을 방문하십시오.

주문 정보
- Cisco IPS 솔루션에 대한 주문 정보나 자세한 내용은 http://www.cisco.com/go/ips를 방문하십시오.
- Cisco IOS IPS에 대한 자세한 내용은 http://www.cisco.com/warp/public/732/Tech/security/intrusion/을 방문하십시오.
- CiscoWorks VMS에 대한 자세한 내용은 http://www.cisco.com/go/vms를 방문하십시오.
- CiscoWorks SIMS에 대한 자세한 내용은 http://www.cisco.com/en/US/products/sw/cscowork/ps5209/index.html을 방문하십시오.
- Cisco SDM에 대한 자세한 내용은 http://www.cisco.com/en/US/products/sw/secursw/ps5318/index.html을 방문하십시오.

<업데이트: 2005년 7월 15일>