안녕하세요 이번에 IPS 도입을 고려하고 있습니다.
아무래도 기존에 있던 IPS가 워낙 구형인데다가 정책이 거의 없는 상황인지라
그냥 신규사이트 구축하듯이, IPS 도입 후 일정 기간 로그 취합 후 정책을 만들려고 하는데..
아무래도 이런경우는 처음이다보니, 어떤형식으로 정책을 만드는지 궁금합니다.
또한 정책을 만든후 시그니처 (사용자 정의) 를 만들어서도 관리가 가능하다는데..
일반 방화벽 밖에 만져본적이 없어서, 사실 개념이 많이 약합니다. ^^;
SECUI, WINS, AHNLAB 제품중에 선택을 고려중입니다.
10개의 답변이 있습니다.
솔루션상담실을 통해서 내부환경에 제일 잘 맞는 벤더로 제안받으시구요.
말씀하신대로 정책은 크게 걱정안하셔도 됩니다.
일정기간 모니터링 후 분석해서 정책가이드 받으실 수 있으며
추가적인 사항은 조율을 통해 결정하시면 됩니다.
요즘은 최신 방화벽UTM장비에서도 IPS기능이 있는데 그러한 부분도 고려 해보세요
무지 | 5달 전
이제 답변을 보았습니다. 감사합니다^^;
단순히 이미 만들어져 있는 필터, 정책들을 넣고, 빼고 수준이라면 모를까...
IPS 정책 설정을 전문 지식 없이 하기는 어렵지 않을까 싶어 보이네요.
방화벽에도 기본적인 IPS 기능이 있는데... 추가적인 IPS 장비를 도입할 정도라면 보안에 대한 중요도가 높은 것 같은데요.
관제 업체나 전문가에게 맡기는게 낫지 않을까 싶어 보이네요.
무지 | 5달 전
아 네 아무래도 공공이라 보니, 보안기능확인서 또는 CC인증 제품군류만 허용되고, 해당 보안프로파일 적용제품 외 사용은 금하다보니.. 사실 불편한것이 많습니다...
관제업체나 전문가라고 해도 담당자입장에서는.. 정책을 만들고 관리해줄 수 있는 업체는 많으나, 대부분 시간이 지나면 오히려 보안정책 관련으로 홀이 생기는 경우가 더러 있어, 힘들더라도 유지보수 파트외에는 정책은 제가 핸들링 해보려고 합니다.
wansoo | 5달 전
관제 업체, 전문가에게 맡기면서 노하우들을 하나하나 배워서 실력을 다져 가는게 필요해 보이네요.
처음부터 혼자서 하려고 하는 것보다는...
관련 업체 엔지니어에게 맡기면서 협의도 해보고, 기본적인 내용들도 정리하면서 실력을 다지심이...
업체나 엔지니어가 바뀌더라도 근본적인 내용들을 주도하면서 부분적으로 엔지니어의 도움을 받는 형식으로 간다면 실력 향상에도 도움이 되고, 업체나 엔지니어가 바뀌더라도 유동적으로 대처할 수 있고... 여러가지 도움이 될 수 있을 거라 생각되네요.
정책은 회사의 큰 보안목표를 정해주면 구축업체에서 그에 맞게 잘 가이드해주시고
정책 적용을 해주더군요. 추가로 필요한 부분에 대해서 요청하시고
운영하면서 한동안 튜닝하시면 무리없을겁니다.
IPS 단독도 좋긴하지만 현재 사용하시는 방화벽 사용년수가 오래되었다면
방화벽 교체할 때 IPS 기능 함께 되는 모델로 교체하시는 것도 좋습니다.
글로벌 장비도 국내에 많이 설치되어 있어 지원도 좋고 성능도 좋습니다.
글로벌 제품도 함께 검토해보세요. 팔로알토 방화벽, IPS 다 괜찮더군요.
유지보수는 필수죠. 업체에서 계속 업데이트 해주기 때문에 부수적인 것 이외는 만질게 없습니다.
어플리케이션 필터링이나 지역 차단 정도 만진 듯 합니다.
대부분은 방화벽에서 정책 수립, 적용하기때문에..
IPS는 방화벽보다 다양한 정책 말씀하신대로 시그니처 형식도 다양하죠 불법사이트차단, 방화벽에서 ip,port가 아닌 외부 침입에 댜한 차단 등 아주 다양합니다
우선 도입하기전 POC를 하셔서 내부 환경에 맞는 정책으로 가져가야 합니다.
국내 제품도 좋지만 외산 또한 괜찮죠. 라이선스와 옵션이 별도이긴하나 ui가 편하더라구요
팔로알토도 같이 고려해보세요
IPS 도입을 하면 일단 유지보수 쪽에서 알아서 기본정책넣어주고, 최신 패턴은 항상 업데이트 되니 걱정안하셔도 됩니다.
제가 여기에 IPS글을 많이 남겼는데. 항상 하는 말이.. 솔직히 IPS나 웹방화벽은 관리자가 룰을 넣기 보다는 유지보수쪽에 이야기해서 이슈가 생기면 해당 이슈에 대해 업데이트 됐는지 확인만 하는 정도입니다.
관리자는 이슈가 생기면 해당 이슈에 대해서 관심을 가지고 유지보수쪽에 연락만 잘하시어 관리만 하면 될정도의 장비이기에 큰 걱정은 안해도됩니다.
요즘은.. 외부 공격보다는 내부 직원에 의해서 자료 유출되는 경우가 많기 때문에
IPS, DDOS, 웹방화벽 같은 장비들은 그냥 형식상 구축해놓는다고 보면 되겠습니다.
에이스퐝 | 5달 전
추가로 윈스든 안랩이든 시큐아이든. IPS 장비는 다 거기서 거기이기 때문에
제일 저렴하게 구축할 수 있는 장비로 하시면 됩니다.
3업체 다 전부 업데이트 빨리 해주고.. 장비 성능이야 비슷하기에.
그리고 요즘은 IPS 단독장비보다는 팔로알토나 기타 벤더사의 UTM 장비로 두고 라이선스로 IPS나 기타 모듈을 실행시키는 곳이 많으니 비용 따져보고 UTM으로 하셔도 될것같습니다.
일반적으로 보안장비 즉, 방화벽, IPS, 웹 방화벽 등은 출시할 때 최근 이슈가 된 취약점을 보완할 수 있는 정책은 적용된 상태로 납품이 됩니다. 이후 패치 등을 통해 보완이되고, 사용자 정의를 통해 정책을 추가하여 사용합니다.
그래서, 처음 부터 복잡하게 생각할 것 없이 도입하려는 업체 엔지니어나 영업대표에게 요구사항을 전달하시고 적용하면 됩니다.
요즘은 UTM 장비도 잘 나와서 검토해보세요.
IPS 기능 포함되어 있고 가격도 따로따로 하는 것 보다 저렴하게 도입할 수있을 겁니다.
한가지 팁이 있다면 연말이 다가오면 프로모션 행사를 진행하는 곳이 많으니 가격할인이나 다른 부수적인 장점도 고려해 도입을 검토해보세요.
개인적으로 사용중인 안랩, 시큐아이 추천합니다. 둘다 괜찮은 장비고 내구성도 좋은것 같습니다. 만약, 지금사용하고 있는 장비와 호환 등을 염려하거나 추후 IPSEC 등 생각한다면 하나로 통일하는 걸 권장합니다.
최근 장비가 노후화 되어 통신사 렌탈장비로 IPS를 도입하였습니다. 내부네트워크로 들어오는 관문을 하나 더 만드는 개념으로 샌드박스형으로 도입을 하였습니다. 최초 세팅 시 도입업체에서 지정해주는 정책을 적용하였고 현재 방화벽에 적용되어 있는 차단 정책도 IPS에 함께 적용을 하였습니다. 10달정도 운영했는데 특이사항은 없습니다.
ips는 도입하시고
유지보수업체에 맡기는 것이 좋을 듯 하네요
사용자가 세세허 관리 및 운영이 어려울 듯 합니다