Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

침입 탐지 및 방지(IDP) 마이그레이션 소개

이 주제에서는 독립형 주니퍼 네트웍스 IDP 시리즈 침입 탐지 및 방지 어플라이언스 또는 IDP 보안 모듈이 포함된 주니퍼 네트웍스 ISG Series 통합 보안 게이트웨이에서 주니퍼 네트웍스 SRX 시리즈 방화벽으로 전환할 때 고려해야 할 몇 가지 기본 사항을 간략하게 설명합니다.

자세한 내용은 다음 항목을 참조하세요.

IDP 시리즈 어플라이언스에서 SRX 시리즈 방화벽으로의 마이그레이션 개요

소개

SRX 시리즈 방화벽은 완전한 보안 및 네트워킹 기능을 갖추고 있으며, 주니퍼 네트웍스 IDP 시리즈 침입 탐지 및 방지 어플라이언스의 완전 침입 방지 시스템(IPS) 기술이 기본적으로 통합되어 네트워크 전체에서 현재 및 새로운 위협에 대한 인라인 보호 기능을 제공하는 최고 성능의 방화벽입니다.

SRX 시리즈 침입 탐지 및 방지(IDP) 정책은 주니퍼 네트웍스 J-Web 소프트웨어 내에서 완전히 구성할 수 있지만, 이 문서는 주로 CLI 및 Junos Space Security Director 구성 단계에 초점을 맞추고 있으며, IDP 시리즈를 처음 접하는 시스템 엔지니어와 IDP 솔루션으로 독립형 IDP 시리즈 및 ISG Series 관리에 이미 익숙한 엔지니어 모두에게 쉬운 전환 및 학습 경로를 제공하기 위한 것입니다.

독립형 침입 탐지 및 방지(IDP) 시리즈 디바이스는 일반적으로 스니퍼 또는 투명 모드로 구축되기 때문에 네트워크 설계와 관련된 추가적인 고려 사항을 해결해야 합니다. 여기에는 다음이 포함됩니다.

  • 네트워크 인터페이스 구성

  • 보안 영역 구성

또한 다음과 같은 보안 기능과 관련하여 고려해야 할 사항이 있습니다.

  • 서비스 거부(DoS) 및 홍수 방지.

  • 트래픽 이상 탐지 또는 스크린(SRX 시리즈 방화벽에 적용되는 일부 탐지 방법 포함).

  • 새 디바이스를 추가하면 네트워크 트래픽, 특히 레이어 3 처리와 관련하여 잠재적으로 영향을 미칠 수 있으므로 구성된 설정 및 작업을 면밀히 분석해야 합니다.

SRX 시리즈 방화벽은 스니퍼 모드(SRX5400, SRX5600 및 SRX5800 디바이스에만 해당)로 구축할 수 있습니다. 스니퍼 모드는 SRX300, SRX340, SRX345 및 SRX550HM 디바이스에서 지원되지 않습니다.

다중분석법 검출

SRX 시리즈 방화벽은 기본 침입 탐지 및 방지(IDP) 규칙 베이스와 면제 규칙 베이스라는 두 가지 규칙 베이스를 구축합니다.

또한 SRX 시리즈 방화벽은 ScreenOS 기반 보안 디바이스에서 사용할 수 있는 기술을 기반으로 하는 보안 영역을 사용하며, 몇 가지 기본 독립형 탐지 방법 또는 규칙 기반에 대한 대안으로 상세한 화면 보호 기능을 제공합니다.

로깅

SRX 시리즈 방화벽에서의 로깅은 보안 이벤트에 대한 응답으로 시스템 로깅을 통해 주니퍼 네트웍스 JSA(Juniper Secure Analytics)와 같은 사전 구성된 syslog 서버로 레코드를 전송하도록 구성되어야 합니다.

센서 구성 설정

독립형 침입 탐지 및 방지(IDP) 시리즈 및 SRX 시리즈 방화벽에서 IDP 시리즈 동작을 미세 조정하도록 여러 센서 구성 설정을 구성할 수 있으며 CLI 및 Junos Space Security Director(SD)에서 액세스할 수 있습니다. 설정이 기본값에서 변경되었거나 추가로 수정해야 하는 경우 수동으로 수정해야 합니다. 수정된 설정을 내보내거나 가져오는 자동화된 프로세스가 없습니다.

고려해야 할 핵심 사항

IDP 시리즈 어플라이언스에서 SRX 시리즈 방화벽으로 마이그레이션할 때 다음 주요 사항에 유의하십시오.

  • ScreenOS의 심층 검사와 비교할 때 SRX 시리즈 방화벽의 기본 IPS 탐지 기능은 IDP 시리즈 어플라이언스 또는 IDP 보안 모듈이 포함된 ISG Series에서 사용할 수 있는 기능과 다르지 않습니다.

  • SRX 시리즈 IDP에서 모든 IPS 기능을 사용할 수 있는 것은 아닙니다. 이러한 차이점을 자세히 설명하는 설명서를 숙지하는 것이 좋습니다.

  • SRX5400, SRX5600 및 SRX5800 디바이스만 스니퍼 모드(투명 모드)로 구성할 수 있습니다.

  • IPS는 SRX 시리즈 방화벽에서 서비스로 실행하기 위해 별도의 라이선스가 필요하지 않습니다. 그러나 IPS 업데이트에는 라이센스가 필요합니다.

  • 기본 방화벽 정책이 필요하며 IPS 검사를 활성화하려면 IPS 애플리케이션 서비스 문을 포함해야 합니다.

  • 모든 공격을 사용하도록 설정하는 것은 지원되지 않습니다. 정책이 로드되지 않으면 서비스 로그 파일에서 정책 크기 및 로드 결과를 확인합니다.

  • SRX 시리즈 데이터 플레인에서 메시지가 식별될 때 보안 이벤트 관련 메시지를 수집하려면 시스템 로그(syslog) 서버가 필요합니다.

  • IPS 정책을 컴파일하고 적용하는 데는 공격 객체의 수와 정책 크기에 따라 다소 시간이 걸릴 수 있다는 점을 이해하는 것이 중요합니다. Junos OS 릴리스 12.1 및 Junos OS 릴리스 17.3R1부터 SRX 시리즈 방화벽은 컴파일된 정보를 캐싱하는 것과 함께 보다 스마트한 컴파일 엔진에 활용되므로 컴파일 프로세스의 시간이 훨씬 단축됩니다. 컴파일 프로세스는 비동기식으로 수행되므로 SRX 시리즈 방화벽이 프로세스를 시작하지만 CLI 또는 SD 세션을 유지하지 않고 나중에 상태를 다시 확인할 수 있습니다.

침입 방지 시스템 이해

개요

주니퍼 네트웍스 침입 방지 시스템(IPS) 기능은 네트워크 트래픽에서 공격을 탐지하고 방지합니다.

SRX 시리즈 방화벽은 Junos OS 소프트웨어 내에 통합된 IPS 기능을 제공합니다. 특별한 하드웨어가 필요하지 않습니다. IPS 관리자는 CLI 또는 Junos Space Security Director를 사용하여 IPS를 구축 및 관리할 수 있습니다.

IPS 아키텍처

IPS 아키텍처는 다음과 같이 구성됩니다.

  • SRX 시리즈 방화벽(IPS 포함) - IPS 기능은 Junos OS의 일부로 통합되며 특별한 하드웨어가 필요하지 않습니다.

  • 관리—SRX 시리즈 방화벽은 CLI 명령을 사용하여 완전히 관리할 수 있습니다. 그러나 IPS 구축과 관련된 SRX 시리즈 방화벽이 여러 개 있는 경우에는 Junos Space Security Director 애플리케이션을 사용하는 것이 좋습니다.

  • 로깅 - JSA(Juniper Secure Analytics)는 주니퍼 네트웍스의 SIEM(Security Information and Event Management) 솔루션입니다. JSA는 SRX 시리즈 방화벽 IPS 솔루션에 대해 사전 정의된 대시보드 및 보고서를 보유하고 있습니다. 로깅 외에도 JSA는 이벤트 상관분석, 인시던트 관리 및 플로우 모니터링을 제공합니다. SRX 시리즈 로그는 syslog(구조화된 데이터 syslog) 형식이며, JSA 또는 사용자가 이미 보유하고 있는 다른 syslog 서버로 전송할 수 있습니다.

섀시 클러스터링 제한이 있는 IPS

IPS는 SRX 시리즈 방화벽의 액티브/패시브 및 액티브/액티브 섀시 클러스터 모드 모두에서 지원되지만 다음과 같은 제한 사항이 있습니다.

  • 페일오버 또는 페일백(failback)되는 세션에서는 검사가 수행되지 않습니다. IPS는 페일오버 후 새로운 세션만 검사하며, 이전 세션은 방화벽 세션이 됩니다.

  • IP 작업 테이블은 노드 간에 동기화되지 않습니다. 세션에 대해 IP 작업이 수행되고 소스 IP, 대상 IP 또는 둘 다 IP 작업 테이블에 추가되면 이 정보는 보조 노드와 동기화되지 않습니다. 따라서 원본 IP, 대상 IP 또는 둘 다의 세션은 새로운 공격이 감지될 때까지 전달됩니다.

  • SSL 세션 ID 캐시는 노드 간에 동기화되지 않습니다. SSL 세션이 세션 ID를 재사용하고 세션 ID가 캐시된 노드가 아닌 다른 노드에서 처리되는 경우 SSL 세션은 해독될 수 없으며 IPS 검사를 위해 우회됩니다.

침입 방지 시스템 구축 모드 이해

이 주제에서는 SRX 시리즈 방화벽을 위한 다양한 유형의 IPS 구축 모드에 대한 개요를 제공합니다.

IPS는 다음과 같은 세 가지 구축 모드를 제공합니다.

  • 통합 모드

  • 스니퍼 모드

통합 모드

통합 모드는 SRX 시리즈 방화벽에서 지원됩니다. Integrated mode는 IPS가 SRX 시리즈 방화벽에서 작동하는 기본 모드입니다(디바이스가 Integrated Mode임을 나타내는 특정 표시는 없습니다.)

메모:

통합 모드에서 IPS를 구축하는 것이 좋습니다.

스니퍼 모드

스니퍼 모드는 SRX5400, SRX5600 및 SRX5800 디바이스에서만 지원됩니다. 무차별 모드에서 인터페이스를 구성하고 라우팅을 통해 트래픽 및 플로우 설정을 조작하여 IPS 구축의 스니퍼 모드를 사용할 수 있습니다.

SRX5400, SRX5600 및 SRX5800 디바이스에서 스니퍼 모드에서 수신 및 송신 인터페이스는 소스 및 대상 인터페이스를 모두 송신 인터페이스로 표시하는 흐름과 함께 작동합니다.

해결 방법으로 스니퍼 모드에서는 태그가 지정된 인터페이스를 사용합니다. 따라서 동일한 인터페이스 이름이 로그에 표시됩니다. 예를 들어, ge-0/0/2.0을 수신(스니퍼) 인터페이스로, ge-0/0/2.100을 송신 인터페이스로 로그에 표시하여 소스 인터페이스를 ge-0/0/2.100으로 표시합니다.

IPS 시작하기

IPS 기능을 위해 SRX 시리즈 방화벽을 구성하기 전에 다음 작업을 수행하십시오.

  1. Install the License- 침입 탐지 및 방지(IDP) 라이선스를 설치해야 공격 객체를 다운로드할 수 있습니다. 사용자 지정 공격 객체만 사용하는 경우에는 라이선스를 설치할 필요가 없지만, 주니퍼 네트웍스의 사전 정의된 공격 객체를 다운로드하려면 이 라이선스가 있어야 합니다. 주니퍼는 30일 평가판 라이선스를 다운로드하여 짧은 기간 동안 이 기능을 평가할 수 있는 기능을 제공합니다. 파일 저장 위치를 지정하는 명령을 실행 request system license add 하거나 복사하여 터미널에 붙여넣기만 하면 됩니다.

  2. Configure Network Access—공격 객체를 다운로드하려면 먼저 주니퍼 다운로드 서버 또는 서명을 다운로드할 수 있는 로컬 서버에 네트워크로 연결되어 있어야 합니다. 이를 위해서는 일반적으로 네트워크 구성(IP/넷마스크, 라우팅 및 DNS)과 서버에 연결하기 위한 허용된 액세스가 필요합니다. 이 글을 쓰는 시점에서 HTTP 프록시는 지원되지 않지만 파일을 제공할 로컬 웹 서버를 구성할 수 있습니다.

  3. Download Attack Objects- IPS를 구축하기 전에 먼저 정책을 컴파일할 공격 객체를 다운로드해야 합니다. 수동 다운로드를 트리거해도 SRX 시리즈 방화벽이 나중에 다운로드하도록 구성되지 않으므로, 다운로드하도록 자동 업데이트를 구성해야 합니다.

  4. Install Attack Objects- 다운로드가 완료되면 정책에 실제로 사용되기 전에 공격 업데이트를 설치해야 합니다. 정책을 이미 구성한 경우 정책을 다시 커밋할 필요가 없으며, 업데이트를 설치하면 정책에 추가됩니다. 설치 프로세스는 스테이지 디렉터리에 다운로드된 공격 객체를 구성된 정책으로 컴파일합니다.

  5. Download Policy Templates (optional)- 선택적으로 주니퍼에서 제공하는 정책 템플릿으로 알려진 사전 정의된 IPS 정책을 다운로드하고 설치하여 시작할 수 있습니다. 이 장을 마치면 정책을 직접 구성할 수 있으므로 정책 템플릿이 필요하지 않을 수 있습니다.

메모:

Junos OS 릴리스 12.1 및 Junos OS 릴리스 17.3R1부터 SRX 시리즈 방화벽은 서명 패키지를 섀시 클러스터의 보조 멤버로 자동 푸시합니다. Junos OS 릴리스 12.1 및 Junos OS 릴리스 17.3R1 이전에는 두 멤버 모두 자체 인스턴스를 다운로드해야 했기 때문에 클러스터의 두 멤버 모두에서 fxp0을 사용해야 했습니다. 12.1 및 17.3R1 이상의 Junos OS 릴리스에는 명시적인 구성이 없습니다. SRX 시리즈 방화벽은 서명 패키지를 다운로드하여 다운로드 프로세스 중에 보조 구성원으로 푸시합니다.