1. 방화벽으로는 네트워크를 보호할 수는 없나요?

방화벽은 내부의 중요한 자원과 외부세계와의 경계를 생성하고 정책기반의 접근제어를 효과적으로 제어하고 있습니다.하지만 방화벽은 네트워크 사용 목적상 열린 포트를 가지게 되며 HTTP 웜, DoS공격, 변형 프로토콜을 통한 공격에는 방화벽의 특성상 효과적으로 막지 못합니다.
또한 방화벽은 이러한 공격으로 인해 네트워크의 병목현상과 가용성을 떨어뜨리는 요인이 될 수 있습니다.

2. 탑레이어만의 독특한 특징은 무엇인가요?

고성능/무정지 시스템(네트웍 레벨 및 어플리케이션 레벨에 대하여)
네트웍 레벨 보호 + 특정 어플리케이션 보호를 위한 DDos 방지, F/W 기능도 보유
De-fragment 및 Re-assembly 위한 전용 처리 유니트
IDS-Based IPS보다 강력한 성능의 보호 기능
고성능(초당 6만세션처리)의 Deep packet inspection
HA, staeful fail-over, non-stop protectionport-bypass, MTBF(>10만 시간), redundant/hot swappable power supply, N+1 hot swappable fan, Dual HA구성, 전용 O/S 사용으로 안정적
Gigabit 및 FastEthernet 포트의 Bypass지원을 통한 안정적인 서비스제공가능
목표 시장 : 대형 엔터프라이즈, 통신사업자, 정부기관, 금융기관, Web hosting사등 고속의 네트워크를
사용하는 고객
 

3. 전형적인 nIDS(network Intrusion Detection System)는 필수적인 보호를 제공하나요?

nIDS는 공격, 침입, 원하지 않는 트래픽을 구별할 수 있다는 점에서 가치가 있으며, 일부 nIDS는 TCP리셋 기능을 가지고 공격차단을 시도하기도 합니다. 하지만 nIDS는 정확한 시점에 공격을 차단하지 못하며 실질적인 방어는 관리자의 수동적인 개입을 필요로 하게 됩니다. 또한 nIDS는 모든 비정상적인 트래픽에 대한 경보(False Positives)를 발생시킴으로써 엄청난 로그를 발생시킵니다. 따라서 이들중 정확한 이벤트 정보를 선별하는 것은 관리자에게 과도한 부담을 주며 실제 공격을 놓칠 수도 있습니다.

4. 침입방지시스템이란 무엇인가요?

침입방지시스템(IPS : Intrusion Prevention System)은 서비스 거부 공격(DoS : Denial of Service), 바이러스 윔이나 불법침입·분산서비스 거부공격(DDoS : Distributed DoS) 등의 비정상적인 이상신호를 발견 즉시 인공지능적으로 스스로 적절한 조처를 취한다는 점에서 방화벽이나 IDS와 차별성을 갖습니다.
즉 기존 IDS는 이미 알려져 있는 공격 시그니처를 감시하면서 수상한 네트워크 활동을 찾아내기 위한 목적으로 이상 네트워크 활동을 찾아냈을 경우 해당 운영 직원에게 경고 메시지를 보내고 침입의 진전상황을 기록하고 보고하는 것으로 끝나 문제를 즉각적으로 처리하지 못하는 데 반해 IPS는 침입경고 이전에 공격을 중단시키는데 초점을 맞춘 능동형 장비입니다.

5. Attack Mitigator IPS 5500은 Signature를 사용하나요?

사용합니다. 탑레이어 보호메카니즘에서 카바하지 못하는 특별한 공격자를 찾아내는 마지막 수단으로 시그네이쳐를 사용합니다. 기본적인 시그네이쳐 100개가 Pre-loaded 되어 있으며,등록가능한 시그네이쳐는 수천개입니다.
탑레이어의 주기술은 Stateful Pattern matching입니다.

6. Top Layer의 Attack Mitigator는 어떻게 스팸 메일을 차단합니까?

Top Layer의 Attack Mitigator는 네트워크 서버에서 스팸메일을 효과적으로 차단할 수 있도록 지원하는 커넥션 제한 기능을 제공합니다. Attack Mitigator의 고객들은 이러한 DoS(Denial of Service) 메일 세션을 차단함으로써 네트워크에 지속적으로 엑세스하고 합법적 메일의 전송은 허용하는 동시에 원치 않은 메일을 수신하지 않게 됩니다.
Attack Mitigator를 구성해서 스팸 메일을 필터링하기 위해서는 'Mail Application Group'을 정의해 동시 커넥션 요청 수신을 제한해야 합니다. 그럼 1에서는 'Mail Application Group'이 'SMTP' 하나만 포함하도록 설정되어 있지만, 최대 8개까지 애플리 케이션 그룹을 생성할 수 있습니다. 그룹에 대한 커넥션 제한은 'All Outside Host'그룹의 모든 IP 주소에 적용됩니다. 'Host Range'는 애플리케이션별로 설정할 수 있으며, 내부 또는 외부 호스트와 메일을 송수신할 수 있는 전체 또는 멤버 범위를 나타냅니다. 비지니스 파트너와의 커넥션을 제한하기를 원할 경우 'Trusted Partner Host'를 정의할 수 있습니다. 커넥션 제한 기능은 기본적으로 '무제한(unlimited)으로 설정되어 있기때문에 스팩에 따라 이를 변경해야 한다는 것을 유념해야 합니다.
일반적으로 'All Outside Host'범위는 '0.0.0.0~255.255.255.255'로 설정되어있습니다.
일반 커넥션 제한 기능이 적용되면 설정된 제한값이 초과 될 때까지 Attack Mitigator가 경보를 발행하게 됩니다.
Attack Mitigator는 MONITOR(모니터), MITIGATE(차단) 및 DISABLE(해체) 모드를 지원합니다. 시간을 두고 적절한 커넥션 제한 수준을 결정하기 위해서는 'MITIGATE'모드로 설정하기에 앞서 'MONITOR'모드에서 스팸 설정을 구성하는 방식을 권장합니다. 서비스 사업자 등 많은 기업들은 해결될 기미가 보이지 않는 스팸 메일 문제로 골치를 앓고 있습니다. 그러나, GUI를 통해 실행되는 탑레이어의 Attack Mitigator를 사용할 경우 네트워크 관리자들은 동시에 메일 커넥션을 제한함으로써 간단히 스팸 메일을 차단할 수 있습니다.

[Top Layer Attack Mitigator를 통한 스팸 메일 차단]
 

커넥션 제한 기능을 통해 스팸 메일을 필터링한다.
네트워크 관리자는 커넥션 제한 기능을 사용해 어플라이언스를 통해 전달되는 프로토콜 번호를 제한할 수 있다.
사용자는 최대 8개의 Application Group을 만들어 각방향에 따라 모든 그룹 커넥션에 글로벌 제한값을 설정할 수 있다.
사용자는 Application Group별로 Host Range를 만들어 호스트와 메일을 송수신할 수 있는 전체 또는 멤버 범위를 'inside'또는'outside'로 지정할 수 있다.
설정된 한계값이 초과될 때마다 경보가 발생한다. 

7. AM IPS 5500은 방화벽 기능이 있나요?

있습니다. IPS5500 아키텍쳐는 내장된 강력한 성능의 방화벽에 기초를 두고 있다.(Stateful analysis firewall) IPS5500은 IPS라고 불리는 defense-in-depth firewall입니다.
엔터프라이즈용 게이트웨이용의 방화벽으로는 아니다. 왜냐하면 이들 전통적인 엔터프라이즈용 방화벽은 IPS5500이 갖고 있지 않은 NAT, Routing, Proxy, 인증 및 VPN기능들을 제공합니다. 
통신사업자 네트웍에서는 인프라스트럭쳐 특징상 현재 일반적으로 성능 문제상 방화벽을 사용하지 못하고 있습니다. NAT, Routing, Proxy, 인증 및 VPN기능등이 통신사업자 인프라에서는 별도의 다른 네트웍 구성에서 이루어집니다. 따라서 IPS5500의 높은 성능을 이용한 통신사업자용 방화벽 용도로 사용이 가능합니다. 

8. IPS가 IDS를 대체하나요?

아닙니다. IDS는 Detection에 목표를 두고 있고 IPS은 Protection에 목표를 두고 있습니다.
하지만 IPS5500은 첨단의 IDS가 갖고 있는 기능중 향상된 감지기능을 갖고 있습니다. 더구나 IPS5500은 강력한 성능의 Stateful analysis firewall platform을 기반으로 합니다. IDS가 완전히 사라지지는 않지만 트렌드는 맞는 것 같습니다. 좀더 정교한 IPS가 기존의 IDS 및 사고응답팀(Incident Response Team)이 맞고 있는 임무를 인수받을 것입니다.