3Gbps 속도 구현하는 스위치 기반 침입방지시스템
라드웨어코리아(대표 정윤연)가 선보인 침입방지시스템(IPS) 제품인 ‘디펜스프로’는 현재 시장에 출시된 제품들과는 달리 스위치 기반의 보안 솔루션이다. 최대 3Gbps 속도로 해킹, 바이러스, 웜과 같은 유해 트래픽을 즉시 차단함으로써 기업의 중요한 자원을 보호할 수 있도록 설계됐다. 특히 유해 트래픽 필터링을 최고 10배까지 가속화 해 웜 바이러스, 트로이 바이러스를 빠른 속도로 차단하며 서비스 거부(DoS), 분산 서비스 거부(DDoS) 및 동기화(SYN) 공격 등에 대해서도 트래픽 패턴을 분석, 네트워크 침입과 공격을 사전에 차단한다.
공격 모니터링 & 고립화(Attack Monitoring & Isolation)
오늘날 대부분의 기업은 포트 80을 통하는 취약한 네트워크화된 애플리케이션을 사용하고 있다. 특히 고속의 환경에서 DoS 공격은 탐지하거나 막을 수 없다. 하지만 디펜스프로는 3Gbps 속도로 웜, 바이러스 및 이상 트래픽 패턴을 실시간 탐지하고, 네트워크 상의 모든 유해 트래픽의 모니터링 기능을 애플리케이션 레이어에서 가능하도록 제공한다.
일단 공격이 탐지되면 디펜스프로는 즉시 네트워크에 연결돼 있는 애플리케이션 또는 사용자의 대역폭 분배를 제한하는 고립화(isolation)를 통해 탐지와 동시에 실시간으로 방어 기능을 수행한다. 서비스 거부 공격이 탐지됐을 경우에는 최대한의 대역폭 컨트롤을 통해 공격에 따른 충격을 제한하고 중요 기능들이 영향받지 않도록 한다. 또한 원활한 네트워크 운용을 위해 요구되는 서비스 수준과 대역폭은 그대로 유지시킴으로써 기업의 업무 진행에 무리가 없다.
10기가비트 포트, 기가비트 포트, 그리고 16개의 패스트 이더넷 포트로 구성된 디펜스프로는 다수의 네트워크 요소들을 동시에 방어한다. 네트워크에 연결돼 있는 기기에서 수상한 활동이 이뤄지는지 감시함으로써 네트워크 기기들과 플로어(Floor) 사이에 공격이 확산되는 것을 방지한다. 디펜스프로는 고립화를 통해 유해 트래픽으로부터의 감염을 최소화하며 공격으로 인한 충격과 손실을 컨트롤한다.
유해 트래픽 침입 차단(Intrusion Prevention)
효과적인 보안을 위해 인라인(inline)으로 배치된 디펜스프로는 패킷의 크기와 무관하게 실시간으로 1천200개 이상의 라드웨어 시큐리티 데이터베이스의 악성 공격 시그니처와 대조하는 작업을 통해 각각의 패킷마다 정밀한 검사를 실시한다. 알려지지 않은 공격은 프로토콜 변칙 검사를 이용해 탐지하는데, 프로토콜 변칙을 보이는 패킷의 경우 대부분이 악의적인 트래픽 활동을 암시하기 때문에 이상 패킷의 탐지가 가능하다.
악의적인 공격 신호를 찾아낸 디펜스프로는 즉각적으로 해당 패킷을 버리고(Drop), 네트워크 연결을 새로 시행한다. 관리 스테이션에 이와 같은 사실을 보고하는 한편 웜, 바이러스 등으로부터 애플리케이션과 운영시스템, 네트워크 장비 등을 보호한다. 또한 해커 공격에 있어서도 보통 해커들은 공격하기에 앞서 어떤 TCP와 UDP 포트가 열려있는지 확인하고 열린 포트로 침입을 시도한다는 점을 감안, 서버 리플라이(Server replies)가 해커에게 보내지는 것을 방어함으로써 해커의 공격을 차단한다.
디펜스프로는 이러한 멀티-기가비트의 시그니처 검사를 위해, 강력한 ASIC 기반의 가속기인 스트링매치 엔진(StringMatch Engine)을 사용한다. 이 엔진은 인텔 펜티엄 4 CPU를 사용한 시리얼 시그니처 검색과 비교해 300배 빠른 스트링(String) 검색이 가능하다.
DoS 방어(Denial of Service Protection)
디펜스프로는 서비스 거부 방어 모듈의 일환으로 시그니처 기반의 방어 기능을 제공한다. 디펜스프로는 샘플 트래픽과 DoS 공격 시그니처 리스트를 비교해 공격 시그니처 파일에 해당되는 패킷을 발견하면 그 패킷을 즉각적으로 버리게 되며, 공격 리스트와 일치하는 패킷이 없을 경우에만 네트워크로의 진입이 허용된다.
또한 어떠한 종류의 동기화(SYN Flood) 공격에도 사용되는 툴에 상관없이 강력한 보호기능을 제공하는데 SYN 쿠키를 사용해 허가된 요청사항들만 서버에 보내는 한편, 사전에 허용되지 않은 동기화(SYN Flood) 공격은 차단한다. 실험 결과에 의하면 디펜스프로는 허가된 트래픽은 진행시키면서도 동기화 공격은 1M Syns/500Mbit 공격까지 차단할 수 있다.
보고(Security Reporting)
디펜스프로는 유해 트래픽의 공격을 감지할 경우, 보안 문제에 대한 보고를 하는데 출발지 및 목적지 IP 주소, TCP/UDP 포트 번호, 물리적 인터페이스, 날짜와 공격 시간과 같은 사항이 포함된다. 보안 문제는 내부적으로는 장치 로그 파일과 경보 테이블을 통해, 외부적으로는 시스로그(Syslog) 채널, SNMP 트랩(Traps) 또는 이메일을 통해 인지된다.
트래픽 조성(Traffic Shaping)
시스템상의 지속적인 운영 및 주요 애플리케이션 실행을 위해 디펜스프로의 대역폭 관리 기능은 공격을 받아도 트래픽을 조성(traffic shaping)한다. 디펜스프로 트래픽 조성은 재원 조절 및 트래픽 중요도 결정을 통해 공격당하는 전체적인 애플리케이션에 대한 대역폭을 제한하면서 모든 안전한 트래픽에 대한 적절한 재원을 제공한다. 이것은 ERP 및 CRM과 같은 조직의 주요 애플리케이션의 연속된 운영 및 실행을 보장한다.
보안 업데이트 서비스(Security Update Service)
라드웨어 보안 업데이트 서비스는 신속하고 지속적인 보안 필터 업데이트를 제공한다. 바이러스, 웜 및 악의적인 공격 시그니처는 물론, 고객의 애플리케이션, 네트워크 및 사용자들을 전체적으로 보호한다. 라드웨어 보안 업데이트 서비스는 연간 단위 또는 다년간 사용계약으로 모든 디펜스프로 고객들에게 제공된다.
보안 업데이트 서비스 내역은 △위기 관리를 위한 일일 24시간 보안 운영 센터(SOC) 스캐닝 △시그니처 파일의 주기적 업데이트 △긴급 필터를 통한 신속 대응 필터 제공 △특정 위험용 맞춤 필터 등이다. 
■ 문의: 라드웨어코리아 02-3452-1240
■ www.radware.com
