안녕하세요 보안솔루션 개발하는 회사에서 일하고 있습니다. 개발환경 보안취약점 때문에 방화벽을 설치를 하게됐습니다.
정책넣고 SSLVPN 힘들게 설정했는데 IPS 장비가 있는데 IPS장비 밑으로 방화벽을 구성하고 싶다고 하는데
엔지니어가 아니다 보니 막막하네요 방화벽은 KT스위치에 연결해서 공인IP할당받아서 내부 DB존 만들어서 정책등록해서
사용중이긴합니다. IPS랑 UTP케이블 연결하고 정책설정 같은걸 뭘 어떻게 해줘야 하는건지 질문드립니다.
방화벽 IPS 관련 질문드립니다.
9개의 답변이 있습니다.
보통 방화벽 위에 IPS를 구성하긴 하죠. IPS는 애플리케이션(Layer7)의 공격을 막기 위한 용도라
정책은 크게 신경쓸거 없습니다.
제가 항상 이야기하지만.. 솔직히 말씀드리면 IPS 정책 기본정책으로 사용하시고, 패턴업데이트 유지하면서 진짜 업체에서 제공해주는 정책을 사용하냐 안하냐의 정도지. 진짜 snort룰을 사용하면서 정책을 만들고 하는 곳은 거의 없습니다.
장비 유지보수에 말해서 이슈가 되는 긴급 건에 대해서는 당연히 어디기관이든 요청을 했을 것이고 그 정책이 만들어지면 모든 기관에 배포가 되기 때문에. 거의 기본으로 사용한다고 생각하면 됩니다.
이제 설치는. 아무래도 방화벽 위에 있다보니 IPS 장비가 장애가 나게 되면 하단에 연결된 모든 서비스가 안되기 때문에 보통 장애가 났을 시에 바로 bypass 되게 구성을 하게 됩니다.
쉽게 설명드리면, 장비가 장애가 나면 IPS 장비를 거치지 않고 바로 모든 패킷이 다 흘러가게 된다는 이야기입니다. 그렇게 하고, 고장난 장비를 고치고 다시 inline 모드로 설정해서 사용하면 됩니다.
IPS를 단일로 구성하든지 이중화로 구성하든지 신경쓰시면 되고, bypass 모드 inline 모드 이것만 알고 계시면 크게 구성하는데 힘드신건 없습니다.
방화벽-ips 연결 ips 제품마다(?) 모니터링 모드가 있습니다
일단 모니터링
모드로 두고 로그
확인해가며 기본 정책들 하나 둘 설정하시면 될 듯
합니다만 해당 제품에
익숙하지
않으시면 초기
설정은 엔지니어 지원 요청 하시는 걸 추천드립니다
이후 관리는 직접 하셔도 될 듯
합니다.
IPS는 침입탐지도 되지만 차단을 목적으로 합니다
방화벽 밑에 ips 구성을 많이 합니다
방화벽-ips-백본-스위치-pc
ips에서 zone별 차단정책을 할수 있죠
하여 방화벽 멭에 많아 구성합니다
그리고 절대 질문자님이 구성하면 안됩니다 충분히 내부 환경 확인과 논의 후에 진행하시되 ips엔지니어를 통해 진행 하시길 바랍니다
다들 말씀하시는 것처럼 IPS 장비 업체에 요청하면 엔지니어분이 대응해줄겁니다~ . IPS라는게 하는일이 패킷모니터링인데 이게 서비스에도 영향을 주다보니 전문가와 함께 하셔야 합니다!
통산 업체에 문의 해보시는게 더 빠를듯합니다.
보안정책 등록 등 IPS 기능에 대한 부분이라면 제조사 엔지니어에게 물어보는것이 답인것 같은데, 질문의 의도는 기능을 물어보는 것 같지는 않습니다.
IPS를 사용하여 시행하려는 보안 정책을 등록해야하는데, 침입탐지, 예방 및 기타 보안 조치와 관련된 정책이 포함될 수 있습니다. 등록은 IPS가 지원하는 형태로 하면 됩니다.
만약, SSLVPN을 사용하는 경우 IPS가 VPN 트래픽 흐름에 통합되어 있는지 확인이 필요합니다. 여기에는 검사를 위해 IPS를 통해 트래픽을 라우팅 하도록 SSLVPN을 구성하는 작업이 포함될 수 있습니다.
그리고, IPS 및 정책을 설정한 후 철저한 테스트를 수행하여 IPS가 의도한 대로 트래픽을 올바르게 검사하고 차단/허용하는지 확인해야 합니다.
모르는 부분은 전문 엔지니어 도움을 받아 진행하면 될것 같습니다. 참고하세요.
이런 내용은 일반 담당자가 하기 어려운 부분 입니다.
관련 엔지니어를 컨텍 하셔서 작업 하셔야지, 혼자 하시다가는 산으로 가는 수가 많아요~~~
보통은 방화벽에서 불필요한 패킷을 걸러준 뒤에 IPS를 두는게
패킷을 더 효율적 검사할 수 있을텐데요.
IPS 종류도 다양한데 여기 설명으로 설치하시긴 어려울겁니다.
IPS 장비 업체의 지원을 받아서 진행하시는게 좋지 않을까 생각되네요
IPS 장비 업체의 도움을 받는 것이 좋지 않을까 싶어보이네요.
IPS가 방화벽에 포함되어 있을 경우라면 방화벽이 게이트웨이 역할을 하게 되어 트래픽이 방화벽을 통해서 나갈 수 밖에 없게 될것이고... IPS도 방화벽을 지나가는 트래픽을 체크해서 정책을 실행하면 되겠는데...
방화벽과 IPS가 별개의 장비로 구분되어 있을 경우라면...
IPS가 방화벽 외부나 또는 방화벽 안쪽에 위치해서 방화벽을 지나가는 트래픽들에 대한 길목을 지킬 수 있게 구성해야 제 역할을 할 수 있겠고요.
방화벽 안쪽에 IPS가 위치할 경우라면 방화벽의 LAN 포트가 스위치에 직접 연결되지 못하게 IPS가 방화벽과 스위치 사이에 위치하도록 구성해야 하겠고, 방화벽 외부에 위치할 경우라면 방화벽과 모뎀 사이에 IPS가 위치해야 제 역할을 제대로 할 수 있을 걸로 보이네요.