IceWarp 통합메일서버에는 침입방지 기능이 포함되어 있습니다. 특정 IP에 대한 차단 이유는 다음과 같은 코드로 분류하고 있습니다(메일서비스->보안->침입방지(타피팅)에서의 차단한 이유에 대한 표입니다)

침입방지에서의 차단 이유 코드(Intrusion Prevention Reason Codes)

C : Tarpitting invoked via Content Filters
I  : IP blocked for exceeding connections in one minute
M : IP blocked for delivering oversized message
R : IP blocked for exceeding RSET command count
D : IP blocked for being listed on DNSBL
A : The account that this message was sent to was a "tarpit" account so the sending IP is tarpitted
P : IP block for exceeding unknown User delivery count
Y : IP blocked for Relaying
S : IP blocked for exceeding Spam score in a message
U : Ip blocked Manually via Console

블로그 이미지

ICEWARP 이메일서버 avastkorea

ICEWARP 글로벌 이메일 서버 플랫폼으로 한국내 3천여 고객사가 운영 중인 구축형 메일 서버 솔루션, 윈도우 및 리눅스 운영체제 지원, 가상화 엔진 탑재, 또는 SaaS용 메일 운영이 가능합니다.

댓글을 달아 주세요

침입탐지(IDS), 침입차단(IPS), 방화벽, VPN을 한번에!

사내 또는 IDC에서 PC나 서버를 운영하다보면 보이지 않은 엄청난 위협에 네트워크와 시스템 들이 그대로 노출되어 있음을 알 수가 있습니다. 최근에 뉴스를 볼 때면 중국발 해킹으로 미국, 한국, 유럽국가 들의 국방부 전산망이 공격당하고 있다는 소식을 접할 수 있으며 이 때마다 기업의 시스템 관리자들은 우리 회사의 네트워크에 대한 보안 시스템에 대해 고민을 하고 있는 것으로 알고 있습니다.


끊임없는 해킹 공격에 노출

저희 회사를 예를 들어보면, 보안시스템을 갖추기 이전에는 사내 내부 테스트 서버가 국내 해커의 공격으로 동영상 제공서버로 악용되었던가 하면, 시스템의 비밀번호를 바꿀수 없도록 해킹을 다하여 시스템 운영에 문제가 생기거나, 가끔은 웹사이트가 중국 해커에 의해 공격당하여  "당신네 웹사이트는 내가 해킹했고 데이터는 삭제하지 않았다"와 같은 경고 페이지를 남기고 사라지는 등의 공격사례가 여러 차례 발생되었습니다.

보이지 않는 공격

대부분의 경우 공격을 당하고 있는 상태에서도 회사의 임원이나 시스템 관리자들은 해킹에 대한 우려는 있지만 설마 우리가 당하고 있는지 현실적으로 알아채지 못하는 경우가 많고 심지어는 어떤 정보가 밖으로 유출되는지 무감각한 상태에 있는 경우도 많이 있습니다.

해커의 공격은 보이지 않게 이루어지고 있습니다.

해킹 공격에 대한 사례

저희쪽 방화벽 시스템의 일례를 보면 아래 이미지 처럼 끊임없이 외부 IP에서 네트워크에 접속하기 위하여 아이디 무차별 대입(brute-force attack) 방식으로 공격하고 있는 모습을 보실 수 있을 겁니다.

사용자 삽입 이미지

하나의 경유지IP를 사용한 무차별 공격


당사의 하론 침입탐지가 탐지해낸 공격의 패턴을 보면 DoS 공격을 비롯하여 다양한 시도가 있는 것을 아래 그림에서 볼 수 있듯이 확인하실 수 있습니다.

사용자 삽입 이미지

하론 침탐에 걸린 공격 리스트


위의 그림을 보면 대부분 공격 IP는 전혀 다른 IP 대역도 있지만 많은 부분이 우리가 사용하고 있는 네트워크(IP 대역)에서 공격하고 있음을 알 수 있습니다. 이는 같은 인터넷 망을 사용하고 있는 서버나 개인 사용자 PC가 경유지로 활용되고 있음을 보여줍니다.


왜 침임탐지(IDS)가 필요한가?

앞의 사례만으로도 충분히 침입탐지가 필요하다는 것을 알 수 있습니다. 기업고객들을 보면 대부분 방화벽이 있으니까 우린 보안 시스템이 제대로 동작하고 있다고 판단하는 경향이 있습니다. 방화벽은 NAT 기능을 통해 내부 서버나 PC의 IP를 사설 IP 체계로 변환하고 사용하지 않는 포트를 막는데 그 역할이 있습니다. 따라서 방화벽 만으로는 웜, 백도어, 스팸메일, DoS 공격, SQL Injection 공격 등 자동화된 도구에 의한 공격은 피하기 어렵습니다. 물론 기본적인 보안 정책을 통해 일차적인 공격을 차단할 수는 있을 것입니다.

사용자 삽입 이미지

하론 침입탐지 화면(스놋트)


이런 보이지 않는 해커, 자동화도구를 통한 공격을 차단하기 위해서는 침입탐지(IDS), 침입차단(IPS) 시스템의 도입이 불가피합니다. 침입탐지의 거의 대부분은 스놋트(Snort)라는 공개 소프트웨어 기반으로 동작되고 있으며 저희 하론 장비 역시 스놋트를 탑재하여 스놋트 규칙을 통해 침입에 대한 공격을 감지하고 차단하고 있습니다.

침입탐지 구축의 이유는 앞서 설명한 바와 같이 다양한 외부의 공격으로 부터 내부 네트워크, 서버 시스템, 사용자 시스템을 보호하는데 있습니다.

하론은 VPN(PPTP, IPSEC), 방화벽, 침입탐지, UTM을 지원하는 통합보안 솔루션입니다.



소프트메일의 복합적인 침입탐지 솔루션

소프트메일은 하론 방화벽/침입탐지 어플라이언스와 액티브웍스 스놋트 센서(SMC), 키위 시스로그 데몬을 통합한 솔루션을 공급합니다. 이 시스템은 3가지 솔루션이 유기적으로 통합 운영되는 것으로서 회사 네트워크의 보안에 큰 장점을 제공해 줍니다.

사용자 삽입 이미지

하론에서 시스로그 서버로 실시간 로그


이 시스템은 외부 해킹 공격으로 부터 침입을 감지하는 하론 침입탐지(IDS) 어플라이언스에서 침입을 감지하여 자동차단하며 동시에 시스로그(syslog)데몬인 Kiwi 서버로 실시간으로 침탐에 대한 로그를 전송하고 kiwi 로그뷰어를 통해 하론에서 들어오는 로그를 실시간으로 볼 수 있게 됩니다. 아래 동영상은 하론 침입탐지에서 외부 공격을 실시간으로 분석하여 Kiwi 시스로그로 보내주는 장면을 찍은 비디오 입니다.



Kiwi에 쌓이는 로그는 다시 스놋트 데이터를 수집하는 액티브웍스 매니저(ActiveWorx)를 통해 다시 실시간으로 시스로그를 데이터베이스에 수집, 저장합니다. 액티브웍스 콘솔인 데스크탑은 하론 침탐장비에서 경고한 또는 차단한 정보들을 실시간으로 시스템 관리자가 모니터링할 수 있도록 잘 정돈된 이미지와 함께 통계를 보여줍니다.

소프트메일 침입탐지 패키지는 하론 침입탐지와 액티브웍스 스놋트 콘솔 어플라이언스로 구성

소프트메일 솔루션은 하론 침입탐지 + 스놋트 콘솔(어플라이언스) 제품으로 구성되어 있습니다. 기본적으로 하론 장비만으로도 침입탐지 시스템을 구성하실 수 있으나 모니터링을 위한 콘솔 어플라이언스도 함께 사용하시면 좋은 선택이 될 것입니다.

하론 통합보안 제품은 침입탐지 외에도 VPN, 방화벽, 스팸차단 등의 기능을 하나로 통합만 통합보안 어플라이언스 제품입니다.

블로그 이미지

ICEWARP 이메일서버 avastkorea

ICEWARP 글로벌 이메일 서버 플랫폼으로 한국내 3천여 고객사가 운영 중인 구축형 메일 서버 솔루션, 윈도우 및 리눅스 운영체제 지원, 가상화 엔진 탑재, 또는 SaaS용 메일 운영이 가능합니다.

댓글을 달아 주세요

하론 SX-101 제품과 같은 가격대에 있는 경쟁적인 방화벽(UTM, 침입탐지, VPN) 제품에 대한 성능/사양과 가격을 비교해 보았습니다.

또한 방화벽 Throught과 VPN throughput의 Mbps 당 가격인 단위당 가격을 각각 비교해 보았습니다.

아래 각각의 제품은 각각의 제조사 홈페이지에 기재되어 있는 정보를 토대로 비교하였으며 홈페이지 상의 개제 시점과 정보를 제공하는 사이트에 따라 정보가 정확하지 않을 수도 있습니다.

본 비교자료는 당사의 하론 SX-101 통합보안장비와 포티게이트의 FG-100A, 소닉월의 Pro4060, 와치가드의 Firebox x550e 제품을 비교하였으며 실 판매가는 다소 차이가 있을 수 있습니다. 본 자료를 토대로 방화벽이나 VPN, UTM, 침입탐지 장비를 도입하고자 하는 업체에게 도움이 되고자 합니다.

하론 SX-101 제품은 방화벽, VPN, UTM, IPS 기능이 모두 탑재되어 있습니다. 참고로 sx-101의 동시접속수는 다른 제품들의 동시세션과는 다릅니다. 동시세션은 동시접속 x 접속당 세션수를 의미하므로 차이가 있습니다.


제품비교

Halon

Halon

Fortigate

Sonicwall

Watchguard

 

성능

SX-50

SX-101

FG-100A

Pro4060

Firebox X550e

 

방화벽 성능
(Plain throughput)

2x90 Mbps

4x100 Mbps

100 Mbps

300 Mbps

300 Mbps

 

AES 가속기

5.4 Gbps

5.4 Gbps

 

 

 

 

3DES capacity

223 Mbps

263 Mbps

40 Mbps

 

 

 

VPN encapsulation

20 Mbps

54 Mbps

40 Mbps

 

35 Mbps

 

IPS

 

 

30 Mbps

 

 

 

동시세션

50,000

(동시접속)

100,000
(
동시접속)

200,000

(동시세션)

500,000

(동시세션)

25,000

(동시세션)

 

하드웨어와 시스템

 

 

 

 

운영체제

H/OS Extreme

H/OS Extreme

FortiOS

SonicOS

 

 

프로세서

800 Mhz

1 GHz AES enabled i686

 

Intel 2Ghz

1.3 GHz Intel based

Processor

 

메모리

128 MB

256 MB

 

256MB

 

 

이더넷

10/100 Mbps

4포트

10/100 Mbps
4
포트

10/100 Mbps
8
포트

10/100 Mbps
6
포트

10/100 Mbps

4포트

 

실 판매가

 

3,000,000

(UTM/침탐포함)

6,000,000
(UTM/
침탐포함)

4,800,000
(침탐포함)

9,000,000

(UTM/침탐포함)

8,000,000

 

 

가격/성능(Plain)

17,000/Mbps

15,000/Mbps

48,000/Mbps

30,000/Mbps

26,600/Mbps

 

가격/성능(VPN)

150,000/Mbps

111,000/Mbps

120,000/Mbps

 

228,000/Mbps

 


 하론 방화벽 sx-50, sx-101 제품에 대한 자세한 소개는
http://www.halonsecurity.co.kr 에 있습니다.

블로그 이미지

ICEWARP 이메일서버 avastkorea

ICEWARP 글로벌 이메일 서버 플랫폼으로 한국내 3천여 고객사가 운영 중인 구축형 메일 서버 솔루션, 윈도우 및 리눅스 운영체제 지원, 가상화 엔진 탑재, 또는 SaaS용 메일 운영이 가능합니다.

댓글을 달아 주세요

액티브웍스(Activeworx) 제품은 스노트(Snort) 침입탐지 엔진에서 필터링하는 해커의 침입 로그를 관리하는 실시간 모니터링 & 로그분석 제품입니다.

스노트에서 검출하는 로그 자료는 MySQL 또는 MS-SQL로 실시간으로 저장되는데 액티브웍스 센서는 이 저장된 데이터베이스를 엑티브웍스로 보내주는 역할을 하게 됩니다. 여러지역에 스노트(또는 하론 방화벽의 스노트, 스노트 호환 침탐 장비) 침탐을 설치하는 경우 각각의 스노트에 액티브웍스를 설치하지 않고 센서를 설치하여 중앙에서 복수의 센서를 관리할 수 있습니다.

본 동영상은 복수의 스노트 센서를 구축한 경우 액티브웍스에서 어떻게 관리하는지에 관한 동영상으로서 액티브웍스 사용 방법에 대해 교육하는 자료입니다.

블로그 이미지

ICEWARP 이메일서버 avastkorea

ICEWARP 글로벌 이메일 서버 플랫폼으로 한국내 3천여 고객사가 운영 중인 구축형 메일 서버 솔루션, 윈도우 및 리눅스 운영체제 지원, 가상화 엔진 탑재, 또는 SaaS용 메일 운영이 가능합니다.

댓글을 달아 주세요