Security > 침입방지시스템(nIPS)    

제품개요/특징   구성도   주요화면    
+  침입방지시스템(nIPS) ... CentaVision


1. ICS(Intrusion Control System, 침입통제시스템)의 정의
 

현재의 침입탐지시스템(NIDS)과 침입차단시스템(Firewall)의 한계점을 개선하여 네트워크 상의 불법적인 침입 공격에 대해 "스스로 탐지하고 스스로 통제"하는 차세대 보안시스템으로 이미 알려진 공격, 알려지지 않은 서비스거부 공격에 대해 신속 정확하게 탐지하여 침입공격으로 판명되면 그 즉시 능동적으로 통제하고 대응한다.

▶ 침입탐지시스템(NIDS)의 한계점
- TCP Reset : 네트워크 부하 초래 가능성, TCP 프로토콜에만 한정됨.
- Signal to the Firewall : 이미 대상시스템은 초기 공격을 당한 상태
- Passive 방식으로 인한 최초 도입 비용 증가(포트 미러링 장비 추가 도입 필요)

▶ 침입차단시스템(Firewall)의 한계점
- 허용된 포트로의 공격 및 침입에 대해서는 탐지 불가
- 이미 알려진 공격 및 서비스 거부 공격에 대한 능동적인 대응 불가


2. ICS 의 필요성
 

네트워크 상의 흐르는 모든 패킷을 검사하여 공격 및 침입 여부를 판단하여 그 즉시 통제하는 ICS는 침입 탐지에만 전념하는 NIDS와는 분명히 구별되는 차세대 보안 시스템이다.
또한 최초 도입비용에서도 기존 NIDS는 Passive 방식이라 고가의 패킷 미러링 장비가 별도로 필요할 뿐만 아니라 고가의 침입차단시스템(Firewall)과 연동하더라도 효과적으로 방어할 수 없는데 반해 ICS는 도입 비용도 매우 저렴하면서도 침입 공격에 대해 매우 능동적으로 방어할 수 있다.

▶ 침입통제시스템(ICS)의 주요 기술
- 커널기반의 탐지엔진과 통제엔진의 통합 구조
- 실시간 패킷 상태분석(Stateful Inspection)
- 네트워크 대역폭 계획 조정(Traffic Shaping)
- 실시간 침입 공격 탐지 후 즉각적인 통제(Self Detection and Self Control)
- 정형화된 탐지규칙(Well-formed RIVA-signature)
- 규칙기반의 탐지 및 통제 정책(Rule-based detection and control policy)

▶ 침입통제시스템(ICS)의 부가 기능
- 상세한 감사기록 및 통계 데이터
- 네트워크 주소변환(NAPT) - 1:1, N:1, M:N
- 파일시스템 무결성 관리
- Contents 분석에 의한 Worm/Virus 통제 가능
- 강력한 사용자 인증 : One Time Password 제공
- 사용자 인증 실패 관리 및 인증 데이터 재사용 방지
- 실시간 시스템 부하량, 통제 정보, 세션 정보 제공
- 백업 및 복구
- 기관추적(Whois) 및 경로추적(Trace Route) 도구 제공
- 탐지규칙 동기화(Live Signature Update), 표준시간 동기화
- 자체 방어 능력 보유 : Stealth 기능 탑재
- 사용자 정의 탐지규칙 설정 지원
- 관리자 Email, SMS 경보 지원
- SSL을 이용한 안전한 원격관리(Web-browser 사용) - Pure JAVA 기반

3. ICS 의 도입효과

기능성
· 커널기반 통합보안제품으로 높은 기능과 성능 보유
· 고질적인 특정 트래픽 효율적 관리(Traffic Shaping) 가능
· 실시간 네트워크 현황 분석,해킹 즉시 차단으로 보안성 향상
  (Signature 1,000개 이상)
· 자체 보안(ARP,IP 대응)으로 시스템 안정성 확보
· Giga Traffic 지원

신뢰성
· 초고속 망 시스템의 해킹 및 정보유출에 대한 완벽한 보안체제구축
· 내부 Client들의 무단 웹 서비스 등 네트워크 장애요인 해소
· 보안시스템 구축으로 외부 신뢰성 제고


비  용
· Giga Traffic 지원으로 향후 망 확대 시 보안시스템 재 구축 없이
  대응 가능
· F/W + IPS + QoS 통합보안 제품으로 각각의 솔루션 구축 대비
  비용절감효과

관  리



 · 통합보안제품으로 관리인원과 관리솔루션의 단순화로 업무 효율성 증대
 · 오탐율 최소화와 자동 Update로 관리자 업무능률향상

4. ICS 의 자가방어능력
 
복잡한 네트워크 상에서 발생하는 다양한 악성 패킷이 설령 수동 통제규칙에 의해 허용되었다 하더라도 다단계 패킷 분석을 통해 침입 공격으로 판단되면 그 즉시 폐기(Drop)된다.

* Self Detection and Self Control 예제


수동 통제규칙, 주소변환규칙, 능동 통제규칙은 일련의 Session Map으로 캐쉬 되어 반복적인 규칙 적용이나 침입 공격에 대해서는 Session Map의 캐쉬정보에 의해 그 즉시 통제되어 커널 계층의 탐지엔진에 부하를 주지 않는다.

* ICS의 대응방법

 

Response

Description
Packet Drop Immediately 침입 공격 패킷으로 판정되면 그 즉시 폐기된다.
Active-drop Session Cached 연속된 침입 공격에 대해서는 세션 캐쉬정보를 이용하여 그 즉시 폐기되어 탐지엔진의 부하를 전혀 주지 않는다.
Drop Packet Logging 폐기된 패킷에 대한 정보는 감사기록에 저장된다.
Intrusion Summary 침입 공격에 대한 정보를 제공한다.(CVE 호환)
Alert to Administrator Email, SMS를 이용한 관리자에게 침입 공격 사실 알림
※ 제품 문의

  • SI 팀 / 김창균 팀장
    .........cgkim@rybusnet.com
    .........Tel. 02-2677-2083, HP. 010-5067-0674
  •  
    Copyright (c)2003  RyBusNet,INC. All rights reserved.