주요기능

Download Report

Transcript 주요기능

INDEX
Chapter 1
• 제안 배경 및 개요
Chapter 2
• 주요기능
Chapter 3
• 제품특장점
Chapter 4
• Support
Chapter 5
• 요약 & 별첨
INDEX
Chapter 1
• 제안 배경 및 개요
Chapter 2
• 주요기능
Chapter 3
• 제품특장점
Chapter 4
• Support
Chapter 5
• 요약 & 별첨
국내 사이버침해사고 동향
Ⅰ. 제안 배경 및 개요
 웜/바이러스 신고건수 증가
 2011년 3.4대란과 같은 범 국가적 공격위협
양상
 사이버 침해사고로 인한 피해 규모 증가
 위협은 줄어들지 않고 있습니다
<자료출처: KrCERT 2011_06월 인터넷침해사고 동향 및 분석 월보>
4/43
해외 공격동향
Ⅰ. 제안 배경 및 개요
3위
<악성 Malware 분포 >
2위
<피싱 URL 호스트페이지 분포>
4위
<성인 Contents 분포 >
<피싱 발신지 분포>
3위
2위
<스팸 URL 호스트페이지 분포 >
6위
<스팸 발신지 분포>
 IBM X-Force 팀에서 분류한 08년도 공격항목에서 우리나라는 여러 공격형태의 주요 분포지로 조사됨.
5/43
피해사례
Ⅰ. 제안 배경 및 개요
2003
2008
1.25대란-“SQL Slammer”
XX사 1,100만명 정보유출
2011
2011
XX사 전산망 해킹
XX캐피탈 150만명 정보 유출
2008
X메일 55만명 정보유출
2009
범 국가적 7.7대란 발생
6/43
사이버침해사고의 영향
기업 전산망 장애
기업 대외 신인도
추락
Ⅰ. 제안 배경 및 개요
잠재 고객 확보 곤란
기업의 이윤 감소
보안사고발생
주가 하락
기업 비밀
유출/파괴
투자비용손실
대외 경쟁력 약화
7/43
왜 SNIPER IPS 인가 ?
 10G 고성능 안티DDoS 솔루션(DDX)출시
 10G급 DDX-OP 라인업 추가
 10G급 고성능 침입방지시스템(IPS) 출시
 2008년 11월
 2008년 12월
Ⅰ. 제안 배경 및 개요
 2009년 7월
 40G DDX-OP 센서
 40G 고성능 IDS
 2010년 10월
 좀비PC방지 시스템(BPS) 출시
 2011년 4월
8/43
기대효과
최고 수준의 네트워크 보안환경 구축
- 네트워크 진입구간에서 유해트래픽 유입을 탐지 및
차단함으로써 네트워크의 안전성 및 신뢰성 향상
- 정밀한 탐지/차단 성능을 통한 사이버 침해사고 예
방 효과
- 사이버 침해사고 대응체계의 수립
네트워크 가용성 및 서비스 연속성 확보
Ⅰ. 제안 배경 및 개요
대 고객 서비스 신뢰도 향상
- 네트워크의 위험요소 사전 제거
- 정보수집 공격 사전 대응을 통한 내부정보유출 예방
- 사이버 침해사고 대응체계 수립을 위한 기본 요건을
충족함으로써 고객 신뢰도 향상
네트워크 자원 관리의 효율성
- 유해 트래픽 사전 대응을 통한 네트워크 망의 가용
- 유해 트래픽 사전 탐지/제거를 통한 네트워크 자원
성 확보 (불 필요 트래픽 사전 제거)
가용성 상승
- 유해 트래픽 유입으로 인한 서비스 및 H/W 장애를
- 사이버 침해사고 대응을 위한 관리 효율성 상승으로
예방함으로써 서비스 연속성 확보
TCO 절감
9/43
INDEX
Chapter 1
• 제안 배경 및 개요
Chapter 2
• 주요기능
Chapter 3
• 제품특장점
Chapter 4
• Support
Chapter 5
• 요약 & 별첨
SNIPER IPS 개요
Ⅱ. 주요기능
5년 연속 국내 IPS 시장점유율 1위
Transparent지원으로 네트워크 구성/패킷의 변경 없음
HA(이중화 구성) 지원 / Hardware By pass
가상 IPS (Virtual IPS) 지원
방화벽 (Firewall) / QoS 기능 지원
비정상 트래픽 (Anomaly) 탐지/분석
네트워크 환경변화 (BcN/IPv6)에 능동 대응
침해사고분석대응팀(CERT) 자체 운영, 신규패턴 신속적용
11/43
SNIPER IPS 구성환경
Ⅱ. 주요기능
Internet
Internet
<라우터>
<라우터>
<방화벽>
<방화벽>
<침입방지시스템>
<백본스위치>
탐지 및 차단 가능 !
<침입방지시스템>
<백본스위치>
장애포인트 없음 !
12/43
간단한 설치와 운영모드 변경
Ⅱ. 주요기능
13/43
운영 : 이중화 구성(HA)
Ⅱ. 주요기능
이중화 구성 (HA)
Router#1↔IPS 구간 링크 Down
IPS 시스템은 L4가 연결된 IPS 인터페이
스를 강제로 Down 시켜 모든 서비스가
Standby 시스템(Router#2-IPS-L4#2)으
로 전송되도록 함
Router #2
Router #1
Heartbit &
Sync Trunk
1
VRRP
2
Active
L4 #1
Standby
L4 #2
IPS ↔ Active L4구간 링크 Down
IPS 시스템은 Router#1과 연결된 IPS
인터페이스를 강제로 Down 시켜 모든
서비스가 Standby 시스템(Router#2IPS - L4#2)으로 전송되도록 함
HA 안정적인 서비스 제공
IPS간에는 Sync Trunk (Heartbit 링크) 를 이용하여 Local 서버팜에 접속하는 세션 테이블 정보 및 기타 상태 정
보들을 교환하여, 한 쪽 시스템의 장애 발생 시에도 서비스는 안정적으로 제공할 수 있도록 구성함
Router#1의 인터페이스까지 Down되면 정의된 Static 정보가 사라짐으로 외부에서 Local 서버팜으로 접속 키 위
한 라우팅 정보는 Router#2로 알려짐
모든 패킷은 Router#2로 전송되어 정상적인 서비스를 제공받을 수 있음
14/43
공격대응범위
Ⅱ. 주요기능
국내 62% “UTM 도입 필요성 못 느낀다”
전문 보안 기능의 요구 높고, UTM 장비의 신뢰도
낮기 때문
Flooding(DoS)
100
- ITDaily 2009/04/26
80
Shell Code
60
40
BoT
IPS
20
WAF
0
Firewall
UTM
Scan
Worm & Virus
Web Attack
자사 네트워크의 어떤 취약성이 존재하고 이를 해결하기 위
한 보안솔루션이 무엇인지 정확히 파악해야 합니다.
다양한 공격에 대응하며 서비스의 성능을 유지 할 수 있는
보안솔루션은 SNIPER IPS입니다.
15/43
공격대응 : BOT
Ⅱ. 주요기능
DoS
1:1
TCP (Syn, Null, Fin, Ack, Push, Reset
Ugt, Xmas) Flooding, Connect DoS
Checksum (TCP, UDP, IP), Teadrop
UDP Flooding, ICMP Flooding
운영체제 취약점, 비밀번호의 취약성, 웜 바이러스의
Backdoor 등을 통한전파
특정 Site 서비스 거부 공격
제2의 해킹 경유지로의 사용
시스템 운영체제의 패치 및 철저한 보안관리가 필요
BoT NET정보 모니터링 및 정보수집
공격자
DDoS N:1
PC
Age
nt
대상자
Handl
er
공격
자
PC
Age
nt
Handler
PC
Age
nt
TCP (Syn, Null, Fin, Ack, Push, Reset
Ugt, Xmas) DDoS, Connect DDoS
Checksum (TCP, UDP, IP), Teadrop
PC
Age
nt
UDP DDoS, ICMP DDoS
BoT에 사용되는 특정 툴 방어
감염PC로부터의 DoS공격 방어
16/43
공격대응 : Web
Ⅱ. 주요기능
어플리케이션 취약성
정보수집의 위협
WEB 어플리케이션(PHP、Apache、
IIS、JSP、 Oracle등)의 취약성을
이용한 공격에 대응합니다.
공격자가 외부에 공개되는 웹 서버
의 특성을 이용하여 공격에 필요한
정보를 수집하는 행위를 차단합니
다.
Injection、XSS의 대응
SQL구문, OS Command Injection
공격에 일부 대응
악성 Bot 대응
보다 지능화되고 대량화 되어가는
BoT공격에 대응합니다.
중국 발 해커
중국 발 공격에 사용되는 공격툴에
대한 탐지 및 방어
서비스거부
정보수집
Backdoor
Worm
WEB CGI
서비스공격
WEB관련 취약성은
독자CERT에서 지속적
인 관리와 업데이트를
실시 하고 있습니다.
DoS, DDoS의 위협
WEB서비스에 치명적인 영향을 미
치는 DoS, DDoS공격에 대응합니다.
Worm의 위협
Worm공격으로 인하여 로컬 PC가
감염될수 있습니다.
Web Shell의 위협
한번의 공격으로 성공할 수 있는 W
eb Shell을 탐지 차단합니다.
17/43
공격대응 : Web
Ⅱ. 주요기능
Mail Server 위협
메일의 첨부파일에 악성코드가 삽입되
는 위협이 존재
Web Server 위협
외부에 오픈되어 있는 웹서버는 DoS, D
DoS공격이나 Web 쉘등을 이용한 공격
에 쉽게 노출.
DB Server 위협
SQL구문을 이용한 공격(SQL Injection등)
의 대상이 되고 있음.
DNS Server 위협
공격자는 DNS Server를 공격의 숙주로
활용하여 공격의 범위를 넓혀갈 수 있습
니다.
SNIPER IPS는 웹취약성 대응을
위하여 공격 카테고리를 분류하여
전용 시그네처를 관리하고 있습니다.
18/43
공격대응 : DHCP
Ⅱ. 주요기능
공격자는 DHCP통신에서 사용하는 Discover, Discover Offer, Request, Decline, ACK, NACK등의 메시지
를 대량으로 발송하여 DHCP서버가 정상적으로 동작하지 않도록 합니다. DHCP통신이 이루어지기 전까
지는 IP주소가 없기 때문에 SNIPER IPS에서는 MAC주소를 바탕으로 임계치를 넘어선 공격에 대해 탐지
방어를 수행하게 됩니다. (Discover Flooding, ACK Flooding, Request Flooding, Decline Flooding…)
SNIPER IPS는 DHCP통신 중 MAC주소나 DHCP타입에 오류가 발생한 경우, 탐지 방어 하는 것이 가능합
니다.(Invalid DHCP Type, Invalid MAC Address)
또한, DHCP에서의 Buffer Overflow공격에도 대응 가능합니다.
19/43
운영 : Real-Time Monitoring
Ⅱ. 주요기능
구분
SNIPER
타사 IPS
공격이벤트
OK
OK
세션모니터링 및 재현
HTTP, FTP, Telnet
없음
방어상황 모니터링
OK
없음
트래픽 모니터링
OK
없음
실시간 룰 설정
탐지 및 방어 중에 룰 설정 및 변경
없음
네트워크 보안의 최전방에 위치하는 IPS로서는 실시간 대응의 중요도는 매우 높습니다.
IPS는 네트워크 공격에 대응하는 기능 뿐만 아니라 트래픽량에 대한 실시간 분석도 반드시 필요(샘플링이
아닌 전수검사)
20/43
운영 : VIRTURE IPS
Ⅱ. 주요기능
IP Pool이란 네트워크를 IP영역별로 구
분하여 (Subneting) 그룹화 시키는 것
을 의미
IP Pool을 3단계 (그룹, 본사, 지점)로 분
류하여 관리
IP영역별 Virtual IPS 작성, 서로 다른 탐
지정책 적용 가능
다중 보안정책 설정, 총소유비용(TCO) 절
감
도입규모 최소화를 통해 전력량 감소 효과
(Green IT 실현)
장비당 256개 VIPS 센서 구성
호스트/서브넷에 각 VIPS별 정책수립 및
수행
21/43
운영 : GUI
Ⅱ. 주요기능
실시간 트래픽 감시/대응
실시간 트래픽 현황
실시간 이벤트 탐지현
황
• 실시간 세션정보(HTTP/FTP/Telnet 등) 및 네트워크 트래픽 상황 확인
• 실시간 탐지/방어정보(해킹/사용자정의/네트워크) 및 방어상황 확인
22/43
운영 : GUI
Ⅱ. 주요기능
실시간 탐지/방어/경보
실시간 탐지/방어 현황
(상세정보 확인지원)
공격 별 통계 현황
• 실시간 세션정보(HTTP/FTP/Telnet 등) 및 네트워크 트래픽 상황 확인
• 실시간 탐지/방어정보(해킹/사용자정의/네트워크) 및 방어상황 확인
23/43
부가기능 : firewall & Network Quota
Ⅱ. 주요기능
Gateway
-. 192.168.1.1
SNIPER IPS는 Firewall 기능을 일부 제공하고 있습니다.
(NAT, VPN 미지원)

포트 및 프로토콜 별 제어

네트워크 방향 별 제어 등

엔진 내부에 위치하여 방어처리 극대화
DNS
Internet
IPS
-. 168.126.63.1
-. 192.168.1.127
내부 IP Zone
-. 192.168.1.0 /25
Destination ip : any
Destination port :
445
Sniper IPS
내부
한정된 대역폭 하의 트래픽 문제해결
인터페이스별 대역폭 제한 가능
bps(사이즈 별), pps (패킷수 별)를 기준으로 제한
프로토콜, 포트 별 Filtering 기능 제공
제한 된 패킷들은 Drop되어짐
24/43
INDEX
Chapter 1
• 제안 배경 및 개요
Chapter 2
• 주요기능
Chapter 3
• 제품특장점
Chapter 4
• Support
Chapter 5
• 요약 & 별첨
ENGINE ARCHITECTURE
Ⅲ. 제품특장점
IP 및 Port정보를 기반으로 차단정보를 저장
및 수행 합니다.
ACL 및 세션 방화벽 기능을 제공하여 외부
및 내부의 접근을 제어 할 수 있습니다.
시그니쳐 기반의 공격을 탐지/방어 합니
다.(패턴매칭)
세션 기반의 공격을 상세 분석 합니다. (세션
재조합, 서비스거부, 서비스공격등)
차단내역은 Black Hole에 전송됩니다.
 Layer 7까지 분석 가능한 ALSI 엔진을 탑재하여 정밀한 분석능력을 보유하고 있습니다.
26/43
주요 적용 기술
Ⅲ. 제품특장점
27/43
오탐지 최소화 방안 제시
Ⅲ. 제품특장점
Signature 축약 및 Session 조합분석 기능
호스트, 네트워크 예외 설정 기능
Self-Training 방식으로 비정
상 트래픽 탐지 기능
Protocol Header, Hexa Code, Payload 분석 기능
Threshold (공격인정횟수, 공격인정시
간) 설정가능
네트워크 영역 구분관리(LCRS, LSRC,
LCLS, Total별 분석)
28/43
CC & 보안적합성
Ⅲ. 제품특장점
정보관련 시스템이나 정보관련 제품
에 필요한 보안 요건이 규정. 정보기술
을 이용한 제품이나 시스템이 반드시
갖추어야 할 보안 기능에 관한 요건,
설계부터 제품화에 따른 과정에서 보
안기능이 실현되어 있는 것을 확인하
는 요건들이 망라되어 있음.(7단계의
보증레벨)
구분
Level
SNIPER IPS E1000 SNIPER IPS E2000 SNIPER IPS E4000 SNIPER IPS 10G
EAL4
EAL4
EAL4
EAL3
국가/공공기관은 국내/외 CC인증제품과 검증필 제품목록에 등재된 제품 중에서 선택하여 도입이 가능하
며, 도입 제품에 대해 반드시 국가정보원의 보안적합성 검증절차를 거쳐 사용해야 합니다.
- 출처 : 국정원
29/43
사이버침해사고 대응센터
Ⅲ. 제품특장점
업계 최초 MAPP 체결
Microsoft사에서 출시하고 있는 제품
들의 취약성 정보를 조기에 입수하여 해
결방안을 보다 빠르게 제시 합니다.
또한, 보안취약성 정보를 조기에 취득
해 보안제품에 적용함으로써 해당 취약
성에 대한 패치가 적용되기 전까지의 보
안 공백 및 제로데이공격(Zero-day
Attack)에도 대응 할수 있게 되었습니다.
30/43
INDEX
Chapter 1
• 제안 배경 및 개요
Chapter 2
• 주요기능
Chapter 3
• 제품특장점
Chapter 4
• Support
Chapter 5
• 요약 & 별첨
정보보호 지능화 서비스
Ⅳ. SUPPORT
전세계에서 매일 보고되는 새로운 취약성 정보를 신속
하게 취합/분석(WINS CERT) 국내 환경에서 발생가능한
위협정보를 온라인(securecast.co.kr)으로 실시간 제공하
고, 예보 및 경보하는 정보보호 지능화 서비스
(Information Security Intelligence Service)입니다.
WINS CERT는 10년 이상 축적된 취약성
정보와 분석노하우를 바탕으로 신속하고
정밀한 시그니처를 제품에 적용하고
있습니다.
WINS Technet 침해사고대응팀
WAF / 취약성 / 악성코드 / 공격 Tool 데이터베
이스
보안위험등급 5단계 (정상-관심-주의-경계-심각)
취약성 신고센터
각종 자동보고서 (pdf, xls, doc, and etc.)
회원등급 구분 (Platinum / Premium / General)
32/43
보안관제서비스
Ⅳ. SUPPORT
33/43
SNIPER CENTER
Ⅳ. SUPPORT
SNIPER 정보 등록
장비 상태, Syslog 정보 제공
SNIPER 원격지원센
터
SNIPER IPS/IDS와 연동하여 응답률, 통신량, CPU 점유율, HDD 사용량, 버전 정보 등을
모니터링
필요 시 직접 GUI / SSH 접속으로 상세 정보 확인
카테고리 별 등록으로 효율적인 관리
장애와 같은 오작동 발생시 간략한 로그 수록, 날짜 별, 장비 별 검색 기능
장애처리시간 단축
이상징후
탐지
SNIPER Center와 SNIPER IPS 제품을
연동하여 실시간 모니터링 제공
고객통보후 GUI/SSH 접속을 통한 기술지원
서비스 제공
34/43
INDEX
Chapter 1
• 제안 배경 및 개요
Chapter 2
• 주요기능
Chapter 3
• 제품특장점
Chapter 4
• Support
Chapter 5
• 요약 & 별첨
요약
Ⅴ. 요약 및 별첨
정밀한 탐지능력 및 안정적인 성능
• 국내 대형 레퍼런스(통신/금융/정부)에서 검증된 고성능 10G 제품 군 보유
• 국내 IPS/DDX 시장 점유율 1위 업체의 기술력(네트워크 보안 관련 특허 18개 보유)
지능화/복합적인 최신 공격에 대응
• 국내 No.1의 독자적인 CERT(침해사고 대응팀) 운영
• 지속적인 연구/업데이트를 통한 최신 공격 대응(국내 최초 MAPP 체결)
• 웹 접속 방식을 이용한 관리와 직관적인 User Interface
확장성 & 통합관리
• 다양한 보안솔루션(TMS, 내부보안)과의 연동을 통하여 보안영역 확대
• 200Mbps ~ 10Gbps 제품 군 보유로 네트워크 망의 확장에 유연한 대응
• 시장 및 고객의 요구사항에 유연하게 대처할수 있는 유연한 제품설계
36/43
주요 고객사
Ⅴ. 요약 및 별첨
37/43
HARDWARE SPEC.
NE1000
Ⅴ. 요약 및 별첨
NE2000
NE5000
10G
2Gbps
6Gbps
10Gbps
2U
3U
IntelXeon Quad Core 2.4 x 2
Intel Xeon Quad Core 2.4 x 2
성능
Throughput
200Mbps
Rack Size
2U
시스템일반
HDD
메모리
CF
운영체제
500G
DDR3 6G
2GB
Embedded OS
500G
DDR3 8G
2GB
Embedded OS
1TB x 2
DDR3 12G
2GB
Embedded OS
4.5U
Intel Xeon
Quad Core 2.66 * 2
1TB x 2
DDR3 12GB
2GB
Embedded OS
모니터링
관리/HA
Serial
10/100 * 2
100/1000 * 2
RJ45 * 1
100/1000 * 4 or Fiber * 4
100/1000 * 2
RJ45 * 1
Max Fiber 10G * 4
100/1000 * 2
RJ45 * 1
Max Fiber 10G * 4
100/1000 * 2
RS232 * 1
Redundant Power
Redundant FAN
Lockable Front Bezel
Failure Detection
(FAN, POWER)
LCD
크기 (mmW x mmD x
mmH)
무게
전압
최대소비전력
동작환경
보관온도
○
○
○
○
○
○
○
○
○
○
○
○
○
○
○
○
VFD (Color)
VFD (Color)
VFD (Color)
VFD (Color)
494 x 578 x 88
494 x 578 x 88
494 x 590 x 132
494 x 497.8 x 200
14.5Kg
100/240V 47/63Hz
420W, 7-3A
5C to 35C
-20C to 70C
14.5Kg
100/240V 47/63Hz
420W, 7-3A
5C to 35C
-20C to 70C
18.95Kg
100/240V 47/63Hz
500W, 8-3A
0C to 40C
-20C to 70C
26Kg
100-240V 47/63Hz
1350W, 20~10A
0C to 40C
-20C to 70C
CPU
Intel Xeon Quad Core 2.4
인터페이스
기타
38/43
SOFTWARE SPEC.
Ⅴ. 요약 및 별첨
SNIPER IPS Specification
SNIPER IPS Specification
설치 및
관리
실시간
모니터링
탐지 및 차
단 수준
DoS
O
스캔공격 (probing)
O
서비스공격
O
프로토콜 취약성
O
Backdoor
O
Web CGI
O
O
Worm
O
트래픽 추이/네트워크 부하
O
Anomaly
O
프로토콜 별 점유율
O
사용자정의
O
Application Level Stateful
Inspection
O
Import/Export Signature
O
라이브업데이트
O
Packet단위공격 탐지/방어
O
Update Scheduling
O
Defragmentation
O
CC인증 시그네쳐 수
3,000+
Reassembly
O
24시간 대응체제
O
Dynamic Block List
1,000,000
Detect Only
O
Block
O
Allow
O
Alert
O
Log
O
멀티시스템 통합 (ESM)
O
Transparent (Bridge)
O
WEB기반 관리
O
관리채널 SSL암호화
O
이중화 구성 (HA)
O
실시간 탐지/방어정보
Protocol Decoding
MPLS, DHCP, 802.1q,
GRE, IPinIP 등
탐지 항목
시그니처
관리
침입대응
39/43
SOFTWARE SPEC.
Ⅴ. 요약 및 별첨
SNIPER IPS Specification
SNIPER IPS Specification
E-mail
경보 및
타 시스템 연동
내부정보유출감
시
O
Screen Display
O
Alarm Sound
O
Script
O
Syslog
O
SNMP
O
E-mail
O
Telnet
O
FTP / Rlogin
O
NETBIOS
O
Raw Data
O
보고서
부가기능
False Positive
최소화
인증
일별, 주간별, 월별 보고서 작성
O
설정별 자동 보고서 작성
O
Customize
O
Export (Word, Excel, PDF, HTML등)
O
Firewall
O
QoS
O
Passive Mode
(IDS로 사용)
O
예외 조건 설정 (Filter)
O
탐지정책 튜닝
O
Raw Data 수집 및 분석 기능 내장
O
내부/외부 망(IP) 구분 설정
O
내부/외부 망연결 방향별 룰 구분
O
Application Level Stateful Inspection
O
국가정보원 CC인증(EAL4)
O
40/43
SNIPER 제품 군
Ⅴ. 요약 및 별첨
41/43
감사합니다.
경기도 성남시 분당구 삼평동 633 판교세븐벤처밸리 1동 4층, 7층
URL. www.wins21.co.kr
E-Mail. [email protected]