A. IPS 개요
침입 방지 시스템(IPS)은 사이버 공격을 예방하고 다양한 위협으로부터 네트워크를 보호하는 데 매우 중요한 역할을 합니다. IPS는 트래픽을 분석하고 잠재적인 위협을 식별 및 차단함으로써 악성 네트워크 활동을 탐지하고 차단할 수 있습니다. 악성 트래픽을 식별하기 위해 FortiGate는 최고급 IPS 엔진과 IPS 센서를 사용합니다.
IPS 센서는 IPS 센서가 방화벽 정책에 적용될 때 IPS 엔진이 검사하는 범위를 정의하는 IPS 서명 및 필터의 모음입니다. IPS 센서는 또한 봇넷 C&C(명령 및 제어) 서버에 연결된 알려진 악성 URL 및 IP 주소에 대한 액세스를 차단하는 기능도 제공합니다.
IPS는 실시간으로 네트워크 트래픽을 분석하고 다양한 기술을 사용하여 잠재적인 공격을 나타낼 수 있는 패턴을 찾는 방식으로 작동합니다. 때때로 이러한 기술 중 일부는 더 나은 결과를 제공하기 위해 서로 보완됩니다.
B. Fortigate의 IPS 특징
1. Fortigate IPS의 엔진
1-1. 디코더
Fortigate의 IPS 엔진은 프로토콜 디코더, 서명을 탐지 기술로 사용합니다. IPS가 악성 활동을 탐지하면 단순한 로그 생성부터 위협 전체 차단까지 다양한 조치를 취할 수 있습니다. 공격자는 잘못된 형식의 패킷을 보내 대상 시스템이 비정상적으로 작동하도록 만들거나 심지어 작동을 중지할 수도 있습니다. 공격을 확인하기 전에 FortiGate는 프로토콜 디코더를 사용하여 확립된 프로토콜 요구 사항 및 표준을 준수하지 않는 비정상적인 트래픽 패턴을 감지합니다. 예를 들어 이를 통해 FortiGate는 HTTP 프로토콜 표준에서 벗어나는 모든 HTTP 패킷을 식별할 수 있습니다. FortiGate 프로토콜 디코더는 비표준 포트 번호를 사용하는 경우에도 대부분의 프로토콜을 식별할 수 있습니다.
1-2. 서명
FortiGate는 프로토콜을 식별한 후 서명을 사용하여 악성 트래픽을 확인합니다. 서명은 알려진 위협에 대한 매우 구체적인 세부 정보를 포함하는 데이터베이스의 항목입니다. IPS는 네트워크 트래픽을 검사하고 데이터베이스에서 일치하는 항목을 찾습니다. 일치하는 항목을 찾으면 IPS는 해당 특정 서명에 대해 구성된 작업을 수행합니다. 각 서명에는 기본 작업이 포함되어 있지만 필요에 따라 다른 작업으로 변경할 수 있습니다. FortiGate 방화벽에는 수천 개의 서명이 포함되어 있으며FortiGuard로부터 매일 업데이트를 받습니다. 그러나 FortiGate는 트래픽을 검사하기 위해 지정한 서명만 사용합니다. 서명을 사용하면 알려진 위협을 탐지하는 데 효과적이지만 새로운 위협이나 알려지지 않은 위협을 탐지하지는 않습니다.
2. Fortigate IPS 구성
첫 번째, 트래픽 분석에 사용할 IPS 센서를 선택해야 합니다. FortiGate에는 제공된 대로 사용하거나 편집할 수 있는 사전 정의된 여러 센서가 포함되어 있습니다. 또한 특정 요구 사항을 충족하는 맞춤형 센서를 직접 만들 수도 있습니다.
두 번째, 센서에 포함된 시그니처와 필터를 검토하거나 편집해야 합니다. 또한 센서를 활성화하여 악성 URL과 봇넷 C&C 트래픽을 차단할 수도 있습니다. 이러한 각 옵션은 서로 독립적이므로 요구 사항에 따라 구성해야 합니다.
마지막, 센서가 준비되면 이를 방화벽 정책에 적용해야 합니다.
대부분의 경우 IPS는 설정되어 있지 않으며 솔루션 유형을 잊어버립니다. 올바른 서명 작업을 결정하고 업데이트하는 것은 IPS 구현의 효율성을 향상시키기 위해 수행해야 하는 지속적인 조정의 일부입니다. 서로 다른 센서는 동일한 시그니처를 사용할 수 있지만 검사하는 특정 트래픽 시나리오에 따라 다른 작업을 수행할 수 있습니다. 예를 들어, 신뢰할 수 있는 위치에서 발생하는 트래픽에 대해서는 더 유연하고 다른 위치에 대해서는 더 제한적일 수 있습니다.
다른 보안 솔루션과 마찬가지로 방화벽이 생성하는 IPS 로그를 모니터링하는 것이 중요합니다. FortiGate GUI는 로그 및 보고서 아래의 보안 이벤트 섹션에 포함된 침입 방지 위젯에서 기록된 모든 정보를 사용할 수 있도록 합니다. 보다 완전한 조사와 감지된 IPS 트래픽의 전체 정보를 검토하려면 로그 탭으로 이동해야 합니다. 이 섹션에서는 관련 로그와 관련된 모든 세부 정보에 액세스할 수 있습니다.
3. IPS 작업시 따라할 모범 사례
IPS 데이터베이스가 최신 상태인지 확인 적절한 보호를 보장하려면 IPS에 알려진 공격에 대한 최신 정보가 있어야 합니다. 정상 작동 중에 FortiGate는 FortiGuard로부터 매일 업데이트를 받지만 이는 계획되지 않은 네트워크 중단으로 인해 영향을 받을 수 있습니다. 데이터베이스를 수동으로 업데이트할 수도 있습니다.
새로운 사용자 정의 센서에 대한 초기 템플릿으로 제공된 IPS 센서 사용을 고려하십시오. 기본 센서는 좋은 시작점이지만 수정해서는 안 됩니다. 대신, 이를 복제하고 복제본에 필요한 편집을 수행할 수 있습니다.
들어오고 나가는 트래픽 모두에 IPS 사용을 고려하십시오. 현대 환경에서 위협은 다음에서 발생합니다. 조직 외부는 물론이고 내부도 마찬가지다. 따라서 양방향 트래픽을 검사하도록 IPS를 구성해야 합니다.
IPS가 모든 트래픽을 검사할 수 있도록 SSL 검사가 실행되고 있는지 확인합니다. SSL 검사가 없으면 IPS는 암호화된 트래픽에 숨겨진 위협을 탐지합니다.
IPS 센서를 조정해야 하는지 평가합니다. 일반적으로 항상 각 서명에 대한 기본 작업부터 시작해야 합니다. 그러나 얻은 결과를 기반으로 환경 요구 사항을 더 잘 충족하도록 IPS 센서를 사용자 정의할 수 있는지 평가해야 합니다. 이렇게 하면 오탐지를 최소화하고 FortiGate의 성능을 향상시킬 수 있습니다.
C. Fortigate에서 IPS 구성
1. IPS 데이터베이스에서 라이센스 유효기간 확인
Fortigate GUI에 접근하여 Dashboard의 하위 메뉴인 Status를 클릭하면 상기의 사진과 같이 여러가지 위젯이 있습니다. 여기서 우리는 먼저 IPS 라이센스가 유효한지 확인을 해야합니다. 라이센스 유효기간은 마우스를 가져가 대면 확인 할 수 있습니다. 항상 어떠한 작업을 하던지 라이센스의 유효기간이 만료되지 않았는지 확인하는 습관을 들이시면 좋습니다.
라이센스에 대한 더 자세한 정보를 확인하고 싶으면 클릭후 View details in System > ForitGuard 옵션을 선택하면 좀 더 자세한 내용을 확인할 수 있습니다.
사진과 같이 여러 리스트들이 있으며 각각의 리스트들을 펼지면 보다 더 자세한 내용을 확인할 수 있습니다. 각각의 버전은 최신화 시켜주는게 좋습니다. 최신화 방법은 우측의 Actions 버튼을 통해 진행할 수 있습니다. 라이센스 확인이 끝났으니 본격적으로 IPS 구성을 해보도록 합니다.
2. IPS 센서 복사 및 편집
IPS 센서의 편집을 위해 Security Profiles의 하위메뉴인 Intrusion Prevention을 클릭합니다.
해당 메뉴로 정상적으로 접근을 하였으면 상기의 사진과 같이 기본적으로 세팅되어 있는 IPS 센서 프로필들을 확인할 수 있습니다. 이 기본값으로 설정되어있는 IPS 센서 프로필들은 편집을 하지 않는것이 좋습니다. 만약 편집이 필요하다면 복사 후 편집을 진행하는 것이 좋습니다. 강의에선 protect_http_server 프로필을 복제 후 편집을 진행하도록 하겠습니다.
센서 프로필을 복제할 경우 추후에 혼동이 생기지 않게 이름을 알맞게 설정하도록 합니다.
새로 생성한 IPS 프로필 편집창 입니다. 시그니처 편집을 위해 해당 표를 더블 클릭 합니다.
Filter의 + 버튼을 클릭하면 각 콜룸별로 필터를 걸어 IPS 서명을 찾을 수 있습니다. 여기서 원하는 필터를 선택후 설정값을 저장하여 IPS 센서 프로필 편집을 마치도록 합니다.
3. IPS 센서 방화벽 정책에 적용하기
IPS 센서를 방화벽 정책에 적용하기 위해 적용할 정책의 편집모드로 접근합니다. 후에 스크롤 다운을 하시면 상기와 같이 Security Profiles 섹션을 확인할 수 있는데 여기서 우리는 IPS 센서 적용을 위해 IPS 옵션을 활성화할 것입니다.
활성화 후 우리가 편집한 IPS 센서 프로필을 선택하도록 합니다. 후에 OK 버튼을 눌러 설정 값을 저장하도록 합니다.
4. 로그 확인 및 검증
로그를 확인하기 위해 Log & Report의 하위 메뉴인 Security Events를 클릭합니다. 세부적인 로그 정보를 확인하기 위해 Intrusion Prevention 위젯을 클릭합니다.
각각의 로그를 클릭하면 로그의 상세 정보를 확인할 수 있으며 링크를 타게 되면 포티가드에서 좀 더 자세한 기술적 정보를 확인할 수 있습니다.
