데이터시트 Cisco IPS(Intrusion Prevention System) Solution Cisco Systems IPS(Intrusion Prevention System) solution은악성트래픽이비즈니스의연속성에영향을미치기전에정확하게미리식별하고구분하여차단하도록설계되었습니다. 업계에서입증된탐지및인라인차단성능을제공하는 Cisco IPS solution은데이터와정보인프라를광범위하게보호해줍니다. Cisco IPS solution 은다음과같은요소를사용하여더많은위협을보다확실하게차단해줍니다. 멀티벡터위협식별 - 레이어 2-7 트래픽을정밀검사하여네트워크에서정책위반, 취약성악용및이상활동을차단합니다. 정확한방지기술-합법적인트래픽이손실될위험없이다양한종류의위협을확실하게차단할수있습니다. 시스코의혁신적인 Risk Rating 및 Meta-Event Generator 는공격을정확하게식별하여신속하게완화할수있습니다. 고유한네트워크협력기술-효율적인트래픽캡처기술, 로드밸런싱성능및암호화된트래픽에대한가시성과같은네트워크협력기술을통해향상된확장성과복원력을제공합니다. 광범위한적용솔루션-중소기업 (SMB) 과지사위치에서부터대기업과서비스제공업체설치에이르는모든환경에대해 IDS/IPS(Intrusion Detection/Prevention System) 솔루션을제공합니다. 시스코 IPS 장치제품군에는 Cisco IPS 4200 Series appliances 및 Cisco Catalyst 6500 Series switch 모듈이포함됩니다. 시스코액세스라우터용 IDS 모듈은향상된여러성능과더불어기존의탐지기능을제공합니다. 또한일련의침입방지기능을시스코라우터용 Cisco IOS Software 솔루션으로사용할수있습니다. 장치구성및이벤트보기를위한시스코솔루션에는단일장치관리및이벤트모니터링을위한 Cisco IPS Device Manager 와다중장치및다중이벤트의상호연관성분석을위한 CiscoWorks VMS(VPN/Security Management Solution) 가포함됩니다. 위와같은요소를함께사용하여광범위한인라인침입방지솔루션을제공함으로써다양한종류의악성트래픽이비즈니스의연속성에영향을미치기전에확실하게탐지하고차단할수있습니다. 멀티벡터위협탐지 Cisco IPS Sensor Software 에는레이어 2-7 트래픽을검사하고분석하기위한수많은방법이있습니다. 이러한방법은광범위한위협식별기능을제공하며, 익스플로이트가나오기전에특정취약성에대한시그니쳐를개발하도록지원하여데이-제로 (day-zero) 공격으로부터보호해줍니다. 다음과같은위협식별방법이있습니다. 상태보존형패턴인식-모든프로토콜에걸쳐멀티패킷검사를사용하여취약성기반공격을식별함으로써, 데이터스트림내에숨어있는공격을차단합니다. 프로토콜분석-프로토콜디코딩및유효성검사를네트워크트래픽에제공합니다. Cisco IPS Sensor Software Version 5.0은 IP, ICMP(Internet Control Message Protocol), TCP 및 UDP(User Datagram Protocol) 를비롯한모든주요 TCP/IP 프로토콜을모니터링합니다. 또한 FTP, SMTP(Simple Mail Transfer Protocol), HTTP, DNS(Domain Name System), RPC(Remote Procedure Call), NetBIOS, NNTP(Network News Transfer Protocol) 및텔넷과같은애플리케이션레이어프로토콜에대해상태보존형디코딩을제공합니다. 트래픽이상탐지-여러세션과연결상에서발생할수있는공격에대해이상식별기능을제공하며이를위해정상적인네트워크트래픽패턴이변경된것을식별하는기술을사용합니다. 한예로특정시간내에지정된수의 ICMP 패킷으로 ICMP 플러드가발생하는것을들수있습니다. 1
프로토콜이상탐지-프로토콜이나서비스의정상적인 RFC 동작에서벗어나는동작을관찰하여식별합니다 ( 예 : HTTP 요청이없는 HTTP 응답 ). 레이어 2 탐지-스위치형환경에서흔히발생하는레이어 2 ARP(Address Resolution Protocol) 공격과 MITM(Man-In-The-Middle) 공격을식별합니다. 애플리케이션정책시행-포트 80을통해 P2P, IM 및터널링된애플리케이션제어를비롯하여다양한종류의애플리케이션세트를정밀분석하고제어합니다. 또한이를통해사용자가다양한트래픽유형이나 MIME 유형에대해정책결정을내림으로써악성트래픽이네트워크를통과하지못하도록막을수있습니다. IDS/IPS 우회공격 (evasion) 기술-트래픽정규화 (normalization), IP 조각모음 (defragmentation), TCP 스트림리어셈블리 (reassembly) 및비혼란화 (deobfuscation) 를제공하여해커가 IDS 및 IPS 를우회하여공격하려는시도를차단합니다. 커스터마이즈가능정책-사용자가자신의고유한보안목표를충족시키기위해시스코의혁신적인 TAME(Threat Analysis Micro Engine) 정책언어를사용하여기존정책을수정하거나새로운정책을만들수있도록유연성을제공합니다. 위의기술을통해 Cisco IPS Sensor Software 가다음과같은알려진공격유형이나알려지지않은공격유형을해결할수있습니다. 정책위반-활동, 악용활동및파일공유위협을검사합니다. 이상활동 - 대역폭이나컴퓨팅리소스를소모해버리려는시도인서비스거부 (DoS) 공격으로인해정상적인운영이중단됩니다. 이예로는 Trinoo, TFN 및 SYN 플러그가있습니다. 취약성악용 -Back Orifice, 실패한로그인시도및 TCP 도청등이있습니다. 정확한방지기술 Cisco IPS Sensor Software 에는사용자가다양한종류의위협을확실하게방지할수있는혁신적인기술이있습니다. 상호연관성분석및유효성검사툴을포함하는이기술은합법적인트래픽이손실될위험을상당히줄여줍니다. 이러한높은수준의정확성을실현하기위해다음과같은기술을사용합니다. 위험등급 (Risk Rating)- 인라인침입방지기능을구현할수있도록뛰어난안정성과확실한성능을제공합니다. 기존의침입방지에서는특정이벤트에관련된잠재적인피해를결정하기위한유일한방법으로심각도 (severity) 등급을사용했습니다. Cisco Risk Rating 은다음과같은별도의네값을사용하여잠재적인피해를더정확하게표현하고평가해줍니다. - 이벤트심각도 (Event severity)- 이벤트당잠재적인피해를나타내는등급입니다. - 시그니쳐충실도 (Signature fidelity)- 시그니쳐의정확도를나타내는등급입니다. - 공격목표의심각성 (Asset value)- 공격대상의중요성을나타내는커스터마이즈가능값입니다. - 공격연관성 (Attack relevancy)- 공격대상이이공격유형에노출되는정도를나타내는값입니다. 이값의총합이해당이벤트의위험등급 (Risk Rating) 이됩니다. 대부분의값은기본으로구성되어있어서사용자의개입이최소화됩니다. MEG(Meta-Event Generator)- 웜을정확하게탐지하고차단하기위해고유한이벤트상호연관성분석을제공합니다. 웜은네트워크를통해이동하면서다양한심각도수준의경보를발생시킵니다. Cisco MEG 는별로관련이없어보이는낮은심각도의경보를높은심각도의위험한이벤트에연결함으로써사용자가해당패킷을확실하게폐기할수있도록합니다. 이를위해 MEG는웜동작을모델링하고이벤트사이의특정시간, 네트워크작동및여러악용행위의상호연관성을분석합니다. 2
고유한네트워크협업 Cisco IPS 에서는고유한네트워크협업을통해네트워크를사용하여향상된확장성과유연성을제공합니다. Cisco IPS Sensor 와시스코네트워크장치사이의커뮤니케이션을통해 Cisco IPS soultion 이다음과같은기능을제공합니다. 802.1q 지원을통해멀티 VLAN 트래픽의로드공유 스위치상의 VACL 캡처, SPAN 또는 RSPAN 을통해효율적인대역폭관리 스위치에서지원되는로드밸런싱알고리즘을통해 8 Gbps까지성능확장 Cisco EtherChannel 기술을사용한스위치상호작용을통해제공되는스위치 IPS 장치의고가용성 VPN 암호해독서비스를제공하는시스코스위치및라우터와의상호연동을통해암호화트래픽에대한가시성제공 광범위한적용솔루션시스코는광범위한네트워크 IPS 적용솔루션을제공하기때문에, 고객이자신의환경에가장효과적인방식으로침입방지시스템을구현할수있습니다. 모든솔루션은높은가용성을제공하도록설계되었으며탁월한고객지원을받을뿐만아니라, 45 Mbps에서수 Gbps까지의다양한성능수준으로사용할수있습니다. 배치옵션에는전용어플라이언스, 스위치및라우터모듈, 소프트웨어기반솔루션이포함됩니다. 솔루션은다음과같습니다. Cisco IPS 4200 Series sensor appliances-최대 8개의인터페이스를사용하여여러네트워크세그먼트를보호하고무차별 (promiscuous) 모드와방지모드에서의이중작동을동시에지원하는특별한용도의전용장치를통해침입방지성능을제공합니다. 이어플라이언스는 Cisco Catalyst 6500 Series 스위치상에서 Cisco EtherChannel 로드밸런싱과함께사용될경우 80 Mbps에서최대 8 Gbps까지다양한성능을제공합니다. 어플라이언스모델과기본성능수준은다음과같습니다. - Cisco IDS 4215-80 Mbps - Cisco IPS 4250-250 Mbps - Cisco IPS 4255-600 Mbps - Cisco IDS 4250-XL-1000 Mbps 참고 : 성능수치는테스트된침입탐지처리량의수치입니다. Cisco IDSM-2 Module for the Cisco Catalyst 6500 Series- 전용모듈을통해 Cisco Catalyst 6500 Series switch 에완벽한 IPS 성능을통합함으로써 600 Mbps 속도로통합보호기능을제공합니다. Cisco IDS Network Module for Cisco access routers-cisco IPS Sensor Software Version 5.0 을사용하여기존의침입탐지기능을라우터에통합합니다. 이경우탐지기능추가, 상호연관성분석및식별기술을제공하여최대 45 Mbps 속도에서효과적으로위협을완화하고격리시킵니다. Cisco IOS-IPS- 라우터상의 Cisco IOS Software 를통해일련의 IPS 성능을제공합니다. 방화벽센서 - 방화벽운영체제에통합된소프트웨어솔루션을통해일련의 IPS 성능을제공합니다. 관리옵션시스코는다양한종류의관리솔루션을사용하여배치규모나방법에상관없이효과적인보안모니터링및구성을제공합니다. 모든관리툴은직관적인사용자인터페이스와쉬운탐색으로구성되어있기때문에보안이벤트및장치의신속한설치, 구성및관리가가능합니다. 관리솔루션에는다음이포함됩니다. Command line interface(cli)-cisco IOS Software 와유사한완벽한기능의 CLI가 SSH(Secure Shell) 프로토콜연결을통해장치구성을제공합니다. 3
Cisco IDM(IPS Device Manage r)- 단일장치관리자가구성및경보보기에사용되는안전한브라우저기반그래픽사용자인터페이스 (GUI) 를제공합니다. Cisco IDM 은사용중인운영체제에상관없이거의모든데스크톱에서쉽게액세스가가능합니다. 따라서기업전체의시스템에서신속하게데이터에액세스할수있습니다. 친숙한브라우저인터페이스가사용을쉽게해줍니다. 또한 SSL(Secure Sockets Layer) 을사용하여데이터보안을유지합니다. CiscoWorks VMS- 다중장치구성및경보관리툴이모든보안이벤트를일관된방식으로표시합니다. CiscoWorks VMS 솔루션에서는방화벽, VPN 및 IPS 를비롯한모든유형의보안장치에서발생하는이벤트를단일콘솔에서브라우저기반 GUI로볼수있습니다. 여러대의보안장치를구성하고관리할수있으므로기업전체에서쉽게보안기능을관리할수있습니다. CiscoWorks VMS 는또한유연한보고및알림, 자동화된업데이트및이벤트상호연관성분석을포함시켜서향상된보안관리를제공합니다. CiscoWorks SIMS(Security Information Management Solution)-이벤트관리솔루션이기업전체의보안이벤트데이터를수집, 분석및상호연관성을분석합니다. 수상경력에빛나는 SIMS Version 3.1 소프트웨어를사용하여이러한기능을제공하는 CiscoWorks SIMS 를통해인력을추가투입하지않고도보다효과적으로더많은위협을식별하고이에대처할수있습니다. Cisco SDM(Router and Security Device Manager)- 직관적인웹기반장치관리자가 Cisco IOS IPS 기능세트및 Cisco IDS 네트워크모듈을비롯한시스코액세스라우터를쉽고안정적으로배치하고관리합니다. 리소스 Cisco IPS Alert Center-위협에관련된특정정보 ( 예 : 잠재적대처방안및관련취약성 ) 에신속하게액세스할수있습니다. 자세한내용은 http://www.cisco.com/go/ipsalert 을방문하십시오. 주문정보 Cisco IPS 솔루션에대한주문정보나자세한내용은 http://www.cisco.com/go/ips를방문하십시오. Cisco IOS IPS 에대한자세한내용은 http://www.cisco.com/warp/public/732/tech/security/intrusion/ 을방문하십시오. CiscoWorks VMS 에대한자세한내용은 http://www.cisco.com/go/vms 를방문하십시오. CiscoWorks SIMS 에대한자세한내용은 http://www.cisco.com/en/us/products/sw/cscowork/ps5209/index.html을방문하십시오. Cisco SDM 에대한자세한내용은 http://www.cisco.com/en/us/products/sw/secursw/ps5318/index.html 을방문하십시오. 4
www.cisco.com/kr 2005-07-15 Gold 파트너 ㄜ데이타크레프트코리아 02-6256-7000 ㄜ인네트 02-3451-5300 ㄜ인성정보 02-3400-7000 한국아이비엠ㄜ 02-3781-7800 ㄜ콤텍시스템 02-3289-0114 쌍용정보통신ㄜ 02-2262-8114 에스넷시스템ㄜ 02-3469-2400 ㄜ링네트 02-6675-1216 한국후지쯔ㄜ 02-3787-6000 한국휴렛팩커드ㄜ 02-2199-0114 ㄜLG 씨엔에스 02-6363-5000 SK 씨앤씨ㄜ 02-2196-7114/8114 Silver 파트너 포스데이타ㄜ 031-779-2114 Local 디스트리뷰터 ㄜ소프트뱅크커머스코리아 02-2187-0176 ㄜ아이넷뱅크 02-3400-7490 ㄜSK 네트웍스 02-3788-3673 IPT 전문파트너 인네트 02-3451-5300 ㄜ데이타크레프트코리아 02-6256-7000 에스넷시스템ㄜ 02-3469-2900 ㄜ인성정보 02-3400-7000 ㄜ크리스넷 1566-3827 ㄜLG 씨엔에스 02-6363-5000 ㄜ링네트 02-6675-1216 IPCC 전문파트너 한국아이비엠ㄜ 02-3781-7114 한국휴렛팩커드ㄜ 02-2199-4272 GS 네오텍 02-2630-5280 ㄜ인성정보 02-3400-7000 삼성네트웍스ㄜ 02-3415-6754 WLAN 전문파트너 ㄜ에어키 02-584-3717 ㄜ해창시스템 031-389-0780 Security 전문파트너 나래시스템 02-2190-5533 인포섹ㄜ 02-2104-5114 코코넛 02-6007-0133 UNNET Systems 02-565-7034 Optical 전문파트너 ㄜLG 씨엔에스 02-6363-5000 에스넷시스템ㄜ 02-3469-2900 미리넷ㄜ 02-2142-2800 CN 전문파트너 ㄜ메버릭시스템 02-845-4280 Storage 전문파트너 ㄜ패킷시스템즈코리아 02-558-7170 매크로임팩트 02-3446-3508