네트워크·보안 통합된 차세대 고성능 L2 보안스위치
LG-노텔의 ‘ESS-2224’는 네트워크와 보안이 통합된 새로운 개념의 고성능 L2 보안스위치다. 2개의 기가비트 포트와 24개의 패스트 이더넷 포트를 제공하며, 실시간 보안기능을 사용하면서 전체 포트에 대해 최대 회선속도를 보장하는 것이 특징이다. 특히 ASIC 기반의 전용 MDS(Multi Dimension Security) 엔진을 사용해 트래픽을 전송하는 스위칭 부분과 보안 기능을 수행하는 부분을 물리적으로 분리, 기존의 일반 L2 스위치의 성능을 그대로 제공한다.
ASIC 기반 전용 MDS 엔진 사용
MDS 엔진은 다음과 같이 동작한다. 스위칭 패브릭을 통해 전송되는 실시간 트래픽은 동시에 스니핑 모드(Sniffing Mode)로 MDS 엔진에 전달된다. MDS 엔진은 트래픽의 양과 시간을 한 축으로 하고 또 다른 축인 세부 호스트와 TCP/UDP 포트별 보안상황 정보를 분석한다. 분석단계에서 MDS 엔진은 S-IP, S-포트, D-포트, D-IP 네 가지의 집합을 이용한 군집에서 얻어지는 고유분산도와 엔트로피를 이용해 TCP, UDP, ICMP 등의 프로토콜 단위로 6개의 큐브(Cube)를 통해 종합적으로 트래픽을 분석한다.
MDS 엔진은 트래픽의 이상이 탐지되면 세부적으로 특정 공격자와 피해자의 L3, L4 정보를 이용해 완전 자동으로 보안필터를 생성해 실시간으로 공격을 차단, 이는 기존 보안제품들의 단점이던 패턴매칭 방식 사용으로 인한 제로데이(Zero-day) 공격 차단 어려움이나 운영자의 지속적인 보안필터 업데이트로 인한 관리 및 운영상의 어려움을 극복했다.
뿐만 아니라 웜(Worm)이나 봇(Bot)에 감염된 사용자가 감염여부를 인지하지 못하고 정상 서비스 트래픽과 DoS 공격과 같은 유해 트래픽을 동시에 전송할 경우 MDS 엔진은 공격 트래픽만을 차단하고 정상 서비스 트래픽은 안전하게 보장한다. 이는 몇몇 NAC(Network Access Control) 솔루션이 사용자의 PC가 연결된 물리적인 포트를 격리해 사용자가 네트워크에 접속하는 자체를 차단하는 방식과는 완전히 다른 새로운 개념이다.
분석 및 자동 보안필터의 적용까지 걸리는 시간은 공격의 유형에 따라 조금씩 차이가 있다. DoS, DDoS, 플러딩(Flooding) 공격과 같이 유형이나 강도가 확연하게 두드러질 경우에는 ㎲(micro-second) 단위의 시간 내에 공격이 차단되고, 스캐닝 공격과 같이 이상 여부의 확인을 위해 트래픽의 변화추이를 좀 더 길게 확인할 필요가 있을 경우에는 ms(milli-second)단위의 시간이 필요하다.
공격 종료가 MDS 엔진을 통해 확인되면 보안필터는 자동으로 해제된다. MDS 엔진은 100% 셀프-러닝(Self-running) 방식으로 구현돼 자동 또는 수동의 시그니쳐 업데이트가 필요 없고, 보안 관리자가 별도의 보안필터 설정 없이도 제로데이 공격을 실시간으로 차단할 수 있다.
다양한 최신 공격 차단·멀티미디어 서비스 보장
MDS 엔진에서는 현재 네트워크 내부망 액세스 레벨에서 이슈가 되고 있는 보안위협인 다양하면서도 변형된 형태의 DoS, DDoS, UDP 플러딩, TCP SYN 플러딩, 스캐닝, IP-스푸핑 등의 공격을 집중 차단한다. 차단된 공격에 대한 보안 이벤트 로그정보는 ESS-2224에서 실시간으로 모니터링 할 수 있고, 전용 통합관제 시스템인 VNM(Visual Node Manager)과 연동해 단일 윈도 화면에서 여러 대의 ESS-2224 시스템의 상태, 보안관련 이벤트 정보, 일간, 주간, 월간 단위의 보고서 제공 등의 다양한 기능을 제공한다. 보안 관리자는 VNM을 통해 실질적인 전체 네트워크 액세스 레벨 관리가 가능하다.
특히 기존 IPS나 L7 스위치가 네트워크 코어망의 애플리케이션 서버 또는 DB 서버 등을 목표로 하는 웹 애플리케이션이나 DB 공격을 차단하기 위해 애플리케이션 계층인 L7까지의 콘텐츠 필터링 솔루션을 제공하는 것과는 달리 MDS 엔진은 내부망 보안침해 사고의 주요 유형인 다량의 세션이나 트래픽을 유발하는 DoS, DDoS, 플러딩, 스캐닝 등의 공격을 L2~4의 정보를 이용해 집중적으로 차단한다. 이는 네트워크 액세스 레벨의 특화된 보안위협을 제거하면서 상대적으로 불필요한 L7 콘텐츠 필터링을 위한 리소스의 오버헤더를 줄이고 최대 회선속도로 네트워크 성능을 보장하는 또 다른 중요 요소가 된다.
MDS 엔진은 CPU인 프로세서 기반이 아닌 ASIC 기반이고, 셀프-러닝 형태로 동작하기 때문에 최대 회선속도 보장은 물론 초기 도입비용 이외의 보안 시그니쳐 업데이트를 위한 추가비용이 전혀 필요 없다는 점이 장점이다. 물론 초기 도입비용 역시 기존 보안제품들과는 비교할 수 없을 만큼 경쟁력이 높다.
ESS-2224의 또 다른 강점은 QoS 기능을 통한 안정적인 멀티미디어 서비스를 보장한다는 점이다. 최근 널리 사용되는 VoIP 서비스의 경우 실시간 보안위협을 차단하면서 대역폭 보장은 물론 8가지 레벨의 큐(Queue)를 이용한 데이터 우선처리기법 등을 통해 서비스의 안정성을 보장한다.
네트워크 스위치 진화방향 제시
네트워크 액세스 레벨의 보안솔루션은 이제 선택이 아닌 필수지만, 지금까지 적합한 솔루션을 찾기는 어려웠다. ESS-2224는 L2 스위치에서 MDS 엔진을 이용해 셀프-러닝 방식의 보안솔루션 구현이라는 새로운 차원으로 접근해 최대 회선속도를 보장하면서 네트워크 액세스 레벨의 다양한 보안위협을 실시간으로 완전하게 제거한다.
특히 액세스 레벨의 보안솔루션은 범위와 관리 포인트가 넓기 때문에 운영과 관리의 단순성과 편리성이 더욱 강조될 수밖에 없다. 통신사업자 역시 관리 비용 절감은 물론 잦은 끊김과 접속의 어려움 등의 신뢰도 상실로 인한 고객 이탈을 방지해 줄 수 있다. 정확한 위협요소 제거와 함께 단순하면서도 편리한 LG-노텔 ESS-2224는 네트워크 스위치 솔루션의 향후 진화방향을 보여준다고 할 수 있다.
■ 문의 : LG-노텔
■ 전화 : 02-2005-2210
■ www.LG-NORTEL.com
ESS-2224 주요 특징
■ 최대 회선속도 네트워크 성능 보장
보안 기능과 네트워크 성능을 모두 충족하는 ESS-2224는 정보를 전송하는 스위칭 부분과 보안 부분이 물리적으로 완벽히 분리돼 최대 회선속도를 보장한다. 특히 기존 보안 제품이 보안기능 수행 시 많은 처리과정으로 인해 회선속도가 떨어지는 것에 비해 ESS-2224는 ASIC 기반 MDS 엔진 구현을 통해 최대 회선속도의 네트워크 성능을 보장한다.
■ 실시간 자동 보안솔루션
ESS-2224는 변형된 형태의 다양한 최신 보안 위협에 대해 실시간으로 차단한다. 기존 보안솔루션은 공격 패턴을 확인하는 방식으로 인해 주기적인 최신 업데이트가 필요하지만 ESS-2224는 운영자의 별도 보안설정 없이도 실시간으로 트래픽 정보를 분석하고, 자동으로 공격 탐지 및 차단 그리고 해제가 가능해 각종 보안 위협에 효과적으로 대처할 수 있다. 이처럼 자동 보안필터를 탑재한 ESS-2224는 기존 보안 솔루션이 단순히 정상 정보와 유해 정보를 한꺼번에 차단하는 것과 달리 유해 정보만을 선별해 차단한다.
■ 도입 및 유지비용 절감
네트워크 마지막 단계에서의 보안 위협에 대처하기 위해서는 중간단계에 비해 많은 설치가 필요하다. 가입자단에 특화된 ESS-2224는 같은 범위에서 기존 보안솔루션을 사용하는 것에 비해 월등한 비용의 우위성을 보인다. 초기 도입비용 절감이라는 장점 외에도 기존 보안솔루션이 필요로 하는 추가 업데이트 비용도 필요 없어 관리 및 유지 측면에서 경제적이다.
