Transcript 주요기능
INDEX Chapter 1 • 제안 배경 및 개요 Chapter 2 • 주요기능 Chapter 3 • 제품특장점 Chapter 4 • Support Chapter 5 • 요약 & 별첨 INDEX Chapter 1 • 제안 배경 및 개요 Chapter 2 • 주요기능 Chapter 3 • 제품특장점 Chapter 4 • Support Chapter 5 • 요약 & 별첨 국내 사이버침해사고 동향 Ⅰ. 제안 배경 및 개요 웜/바이러스 신고건수 증가 2011년 3.4대란과 같은 범 국가적 공격위협 양상 사이버 침해사고로 인한 피해 규모 증가 위협은 줄어들지 않고 있습니다 <자료출처: KrCERT 2011_06월 인터넷침해사고 동향 및 분석 월보> 4/43 해외 공격동향 Ⅰ. 제안 배경 및 개요 3위 <악성 Malware 분포 > 2위 <피싱 URL 호스트페이지 분포> 4위 <성인 Contents 분포 > <피싱 발신지 분포> 3위 2위 <스팸 URL 호스트페이지 분포 > 6위 <스팸 발신지 분포> IBM X-Force 팀에서 분류한 08년도 공격항목에서 우리나라는 여러 공격형태의 주요 분포지로 조사됨. 5/43 피해사례 Ⅰ. 제안 배경 및 개요 2003 2008 1.25대란-“SQL Slammer” XX사 1,100만명 정보유출 2011 2011 XX사 전산망 해킹 XX캐피탈 150만명 정보 유출 2008 X메일 55만명 정보유출 2009 범 국가적 7.7대란 발생 6/43 사이버침해사고의 영향 기업 전산망 장애 기업 대외 신인도 추락 Ⅰ. 제안 배경 및 개요 잠재 고객 확보 곤란 기업의 이윤 감소 보안사고발생 주가 하락 기업 비밀 유출/파괴 투자비용손실 대외 경쟁력 약화 7/43 왜 SNIPER IPS 인가 ? 10G 고성능 안티DDoS 솔루션(DDX)출시 10G급 DDX-OP 라인업 추가 10G급 고성능 침입방지시스템(IPS) 출시 2008년 11월 2008년 12월 Ⅰ. 제안 배경 및 개요 2009년 7월 40G DDX-OP 센서 40G 고성능 IDS 2010년 10월 좀비PC방지 시스템(BPS) 출시 2011년 4월 8/43 기대효과 최고 수준의 네트워크 보안환경 구축 - 네트워크 진입구간에서 유해트래픽 유입을 탐지 및 차단함으로써 네트워크의 안전성 및 신뢰성 향상 - 정밀한 탐지/차단 성능을 통한 사이버 침해사고 예 방 효과 - 사이버 침해사고 대응체계의 수립 네트워크 가용성 및 서비스 연속성 확보 Ⅰ. 제안 배경 및 개요 대 고객 서비스 신뢰도 향상 - 네트워크의 위험요소 사전 제거 - 정보수집 공격 사전 대응을 통한 내부정보유출 예방 - 사이버 침해사고 대응체계 수립을 위한 기본 요건을 충족함으로써 고객 신뢰도 향상 네트워크 자원 관리의 효율성 - 유해 트래픽 사전 대응을 통한 네트워크 망의 가용 - 유해 트래픽 사전 탐지/제거를 통한 네트워크 자원 성 확보 (불 필요 트래픽 사전 제거) 가용성 상승 - 유해 트래픽 유입으로 인한 서비스 및 H/W 장애를 - 사이버 침해사고 대응을 위한 관리 효율성 상승으로 예방함으로써 서비스 연속성 확보 TCO 절감 9/43 INDEX Chapter 1 • 제안 배경 및 개요 Chapter 2 • 주요기능 Chapter 3 • 제품특장점 Chapter 4 • Support Chapter 5 • 요약 & 별첨 SNIPER IPS 개요 Ⅱ. 주요기능 5년 연속 국내 IPS 시장점유율 1위 Transparent지원으로 네트워크 구성/패킷의 변경 없음 HA(이중화 구성) 지원 / Hardware By pass 가상 IPS (Virtual IPS) 지원 방화벽 (Firewall) / QoS 기능 지원 비정상 트래픽 (Anomaly) 탐지/분석 네트워크 환경변화 (BcN/IPv6)에 능동 대응 침해사고분석대응팀(CERT) 자체 운영, 신규패턴 신속적용 11/43 SNIPER IPS 구성환경 Ⅱ. 주요기능 Internet Internet <라우터> <라우터> <방화벽> <방화벽> <침입방지시스템> <백본스위치> 탐지 및 차단 가능 ! <침입방지시스템> <백본스위치> 장애포인트 없음 ! 12/43 간단한 설치와 운영모드 변경 Ⅱ. 주요기능 13/43 운영 : 이중화 구성(HA) Ⅱ. 주요기능 이중화 구성 (HA) Router#1↔IPS 구간 링크 Down IPS 시스템은 L4가 연결된 IPS 인터페이 스를 강제로 Down 시켜 모든 서비스가 Standby 시스템(Router#2-IPS-L4#2)으 로 전송되도록 함 Router #2 Router #1 Heartbit & Sync Trunk 1 VRRP 2 Active L4 #1 Standby L4 #2 IPS ↔ Active L4구간 링크 Down IPS 시스템은 Router#1과 연결된 IPS 인터페이스를 강제로 Down 시켜 모든 서비스가 Standby 시스템(Router#2IPS - L4#2)으로 전송되도록 함 HA 안정적인 서비스 제공 IPS간에는 Sync Trunk (Heartbit 링크) 를 이용하여 Local 서버팜에 접속하는 세션 테이블 정보 및 기타 상태 정 보들을 교환하여, 한 쪽 시스템의 장애 발생 시에도 서비스는 안정적으로 제공할 수 있도록 구성함 Router#1의 인터페이스까지 Down되면 정의된 Static 정보가 사라짐으로 외부에서 Local 서버팜으로 접속 키 위 한 라우팅 정보는 Router#2로 알려짐 모든 패킷은 Router#2로 전송되어 정상적인 서비스를 제공받을 수 있음 14/43 공격대응범위 Ⅱ. 주요기능 국내 62% “UTM 도입 필요성 못 느낀다” 전문 보안 기능의 요구 높고, UTM 장비의 신뢰도 낮기 때문 Flooding(DoS) 100 - ITDaily 2009/04/26 80 Shell Code 60 40 BoT IPS 20 WAF 0 Firewall UTM Scan Worm & Virus Web Attack 자사 네트워크의 어떤 취약성이 존재하고 이를 해결하기 위 한 보안솔루션이 무엇인지 정확히 파악해야 합니다. 다양한 공격에 대응하며 서비스의 성능을 유지 할 수 있는 보안솔루션은 SNIPER IPS입니다. 15/43 공격대응 : BOT Ⅱ. 주요기능 DoS 1:1 TCP (Syn, Null, Fin, Ack, Push, Reset Ugt, Xmas) Flooding, Connect DoS Checksum (TCP, UDP, IP), Teadrop UDP Flooding, ICMP Flooding 운영체제 취약점, 비밀번호의 취약성, 웜 바이러스의 Backdoor 등을 통한전파 특정 Site 서비스 거부 공격 제2의 해킹 경유지로의 사용 시스템 운영체제의 패치 및 철저한 보안관리가 필요 BoT NET정보 모니터링 및 정보수집 공격자 DDoS N:1 PC Age nt 대상자 Handl er 공격 자 PC Age nt Handler PC Age nt TCP (Syn, Null, Fin, Ack, Push, Reset Ugt, Xmas) DDoS, Connect DDoS Checksum (TCP, UDP, IP), Teadrop PC Age nt UDP DDoS, ICMP DDoS BoT에 사용되는 특정 툴 방어 감염PC로부터의 DoS공격 방어 16/43 공격대응 : Web Ⅱ. 주요기능 어플리케이션 취약성 정보수집의 위협 WEB 어플리케이션(PHP、Apache、 IIS、JSP、 Oracle등)의 취약성을 이용한 공격에 대응합니다. 공격자가 외부에 공개되는 웹 서버 의 특성을 이용하여 공격에 필요한 정보를 수집하는 행위를 차단합니 다. Injection、XSS의 대응 SQL구문, OS Command Injection 공격에 일부 대응 악성 Bot 대응 보다 지능화되고 대량화 되어가는 BoT공격에 대응합니다. 중국 발 해커 중국 발 공격에 사용되는 공격툴에 대한 탐지 및 방어 서비스거부 정보수집 Backdoor Worm WEB CGI 서비스공격 WEB관련 취약성은 독자CERT에서 지속적 인 관리와 업데이트를 실시 하고 있습니다. DoS, DDoS의 위협 WEB서비스에 치명적인 영향을 미 치는 DoS, DDoS공격에 대응합니다. Worm의 위협 Worm공격으로 인하여 로컬 PC가 감염될수 있습니다. Web Shell의 위협 한번의 공격으로 성공할 수 있는 W eb Shell을 탐지 차단합니다. 17/43 공격대응 : Web Ⅱ. 주요기능 Mail Server 위협 메일의 첨부파일에 악성코드가 삽입되 는 위협이 존재 Web Server 위협 외부에 오픈되어 있는 웹서버는 DoS, D DoS공격이나 Web 쉘등을 이용한 공격 에 쉽게 노출. DB Server 위협 SQL구문을 이용한 공격(SQL Injection등) 의 대상이 되고 있음. DNS Server 위협 공격자는 DNS Server를 공격의 숙주로 활용하여 공격의 범위를 넓혀갈 수 있습 니다. SNIPER IPS는 웹취약성 대응을 위하여 공격 카테고리를 분류하여 전용 시그네처를 관리하고 있습니다. 18/43 공격대응 : DHCP Ⅱ. 주요기능 공격자는 DHCP통신에서 사용하는 Discover, Discover Offer, Request, Decline, ACK, NACK등의 메시지 를 대량으로 발송하여 DHCP서버가 정상적으로 동작하지 않도록 합니다. DHCP통신이 이루어지기 전까 지는 IP주소가 없기 때문에 SNIPER IPS에서는 MAC주소를 바탕으로 임계치를 넘어선 공격에 대해 탐지 방어를 수행하게 됩니다. (Discover Flooding, ACK Flooding, Request Flooding, Decline Flooding…) SNIPER IPS는 DHCP통신 중 MAC주소나 DHCP타입에 오류가 발생한 경우, 탐지 방어 하는 것이 가능합 니다.(Invalid DHCP Type, Invalid MAC Address) 또한, DHCP에서의 Buffer Overflow공격에도 대응 가능합니다. 19/43 운영 : Real-Time Monitoring Ⅱ. 주요기능 구분 SNIPER 타사 IPS 공격이벤트 OK OK 세션모니터링 및 재현 HTTP, FTP, Telnet 없음 방어상황 모니터링 OK 없음 트래픽 모니터링 OK 없음 실시간 룰 설정 탐지 및 방어 중에 룰 설정 및 변경 없음 네트워크 보안의 최전방에 위치하는 IPS로서는 실시간 대응의 중요도는 매우 높습니다. IPS는 네트워크 공격에 대응하는 기능 뿐만 아니라 트래픽량에 대한 실시간 분석도 반드시 필요(샘플링이 아닌 전수검사) 20/43 운영 : VIRTURE IPS Ⅱ. 주요기능 IP Pool이란 네트워크를 IP영역별로 구 분하여 (Subneting) 그룹화 시키는 것 을 의미 IP Pool을 3단계 (그룹, 본사, 지점)로 분 류하여 관리 IP영역별 Virtual IPS 작성, 서로 다른 탐 지정책 적용 가능 다중 보안정책 설정, 총소유비용(TCO) 절 감 도입규모 최소화를 통해 전력량 감소 효과 (Green IT 실현) 장비당 256개 VIPS 센서 구성 호스트/서브넷에 각 VIPS별 정책수립 및 수행 21/43 운영 : GUI Ⅱ. 주요기능 실시간 트래픽 감시/대응 실시간 트래픽 현황 실시간 이벤트 탐지현 황 • 실시간 세션정보(HTTP/FTP/Telnet 등) 및 네트워크 트래픽 상황 확인 • 실시간 탐지/방어정보(해킹/사용자정의/네트워크) 및 방어상황 확인 22/43 운영 : GUI Ⅱ. 주요기능 실시간 탐지/방어/경보 실시간 탐지/방어 현황 (상세정보 확인지원) 공격 별 통계 현황 • 실시간 세션정보(HTTP/FTP/Telnet 등) 및 네트워크 트래픽 상황 확인 • 실시간 탐지/방어정보(해킹/사용자정의/네트워크) 및 방어상황 확인 23/43 부가기능 : firewall & Network Quota Ⅱ. 주요기능 Gateway -. 192.168.1.1 SNIPER IPS는 Firewall 기능을 일부 제공하고 있습니다. (NAT, VPN 미지원) 포트 및 프로토콜 별 제어 네트워크 방향 별 제어 등 엔진 내부에 위치하여 방어처리 극대화 DNS Internet IPS -. 168.126.63.1 -. 192.168.1.127 내부 IP Zone -. 192.168.1.0 /25 Destination ip : any Destination port : 445 Sniper IPS 내부 한정된 대역폭 하의 트래픽 문제해결 인터페이스별 대역폭 제한 가능 bps(사이즈 별), pps (패킷수 별)를 기준으로 제한 프로토콜, 포트 별 Filtering 기능 제공 제한 된 패킷들은 Drop되어짐 24/43 INDEX Chapter 1 • 제안 배경 및 개요 Chapter 2 • 주요기능 Chapter 3 • 제품특장점 Chapter 4 • Support Chapter 5 • 요약 & 별첨 ENGINE ARCHITECTURE Ⅲ. 제품특장점 IP 및 Port정보를 기반으로 차단정보를 저장 및 수행 합니다. ACL 및 세션 방화벽 기능을 제공하여 외부 및 내부의 접근을 제어 할 수 있습니다. 시그니쳐 기반의 공격을 탐지/방어 합니 다.(패턴매칭) 세션 기반의 공격을 상세 분석 합니다. (세션 재조합, 서비스거부, 서비스공격등) 차단내역은 Black Hole에 전송됩니다. Layer 7까지 분석 가능한 ALSI 엔진을 탑재하여 정밀한 분석능력을 보유하고 있습니다. 26/43 주요 적용 기술 Ⅲ. 제품특장점 27/43 오탐지 최소화 방안 제시 Ⅲ. 제품특장점 Signature 축약 및 Session 조합분석 기능 호스트, 네트워크 예외 설정 기능 Self-Training 방식으로 비정 상 트래픽 탐지 기능 Protocol Header, Hexa Code, Payload 분석 기능 Threshold (공격인정횟수, 공격인정시 간) 설정가능 네트워크 영역 구분관리(LCRS, LSRC, LCLS, Total별 분석) 28/43 CC & 보안적합성 Ⅲ. 제품특장점 정보관련 시스템이나 정보관련 제품 에 필요한 보안 요건이 규정. 정보기술 을 이용한 제품이나 시스템이 반드시 갖추어야 할 보안 기능에 관한 요건, 설계부터 제품화에 따른 과정에서 보 안기능이 실현되어 있는 것을 확인하 는 요건들이 망라되어 있음.(7단계의 보증레벨) 구분 Level SNIPER IPS E1000 SNIPER IPS E2000 SNIPER IPS E4000 SNIPER IPS 10G EAL4 EAL4 EAL4 EAL3 국가/공공기관은 국내/외 CC인증제품과 검증필 제품목록에 등재된 제품 중에서 선택하여 도입이 가능하 며, 도입 제품에 대해 반드시 국가정보원의 보안적합성 검증절차를 거쳐 사용해야 합니다. - 출처 : 국정원 29/43 사이버침해사고 대응센터 Ⅲ. 제품특장점 업계 최초 MAPP 체결 Microsoft사에서 출시하고 있는 제품 들의 취약성 정보를 조기에 입수하여 해 결방안을 보다 빠르게 제시 합니다. 또한, 보안취약성 정보를 조기에 취득 해 보안제품에 적용함으로써 해당 취약 성에 대한 패치가 적용되기 전까지의 보 안 공백 및 제로데이공격(Zero-day Attack)에도 대응 할수 있게 되었습니다. 30/43 INDEX Chapter 1 • 제안 배경 및 개요 Chapter 2 • 주요기능 Chapter 3 • 제품특장점 Chapter 4 • Support Chapter 5 • 요약 & 별첨 정보보호 지능화 서비스 Ⅳ. SUPPORT 전세계에서 매일 보고되는 새로운 취약성 정보를 신속 하게 취합/분석(WINS CERT) 국내 환경에서 발생가능한 위협정보를 온라인(securecast.co.kr)으로 실시간 제공하 고, 예보 및 경보하는 정보보호 지능화 서비스 (Information Security Intelligence Service)입니다. WINS CERT는 10년 이상 축적된 취약성 정보와 분석노하우를 바탕으로 신속하고 정밀한 시그니처를 제품에 적용하고 있습니다. WINS Technet 침해사고대응팀 WAF / 취약성 / 악성코드 / 공격 Tool 데이터베 이스 보안위험등급 5단계 (정상-관심-주의-경계-심각) 취약성 신고센터 각종 자동보고서 (pdf, xls, doc, and etc.) 회원등급 구분 (Platinum / Premium / General) 32/43 보안관제서비스 Ⅳ. SUPPORT 33/43 SNIPER CENTER Ⅳ. SUPPORT SNIPER 정보 등록 장비 상태, Syslog 정보 제공 SNIPER 원격지원센 터 SNIPER IPS/IDS와 연동하여 응답률, 통신량, CPU 점유율, HDD 사용량, 버전 정보 등을 모니터링 필요 시 직접 GUI / SSH 접속으로 상세 정보 확인 카테고리 별 등록으로 효율적인 관리 장애와 같은 오작동 발생시 간략한 로그 수록, 날짜 별, 장비 별 검색 기능 장애처리시간 단축 이상징후 탐지 SNIPER Center와 SNIPER IPS 제품을 연동하여 실시간 모니터링 제공 고객통보후 GUI/SSH 접속을 통한 기술지원 서비스 제공 34/43 INDEX Chapter 1 • 제안 배경 및 개요 Chapter 2 • 주요기능 Chapter 3 • 제품특장점 Chapter 4 • Support Chapter 5 • 요약 & 별첨 요약 Ⅴ. 요약 및 별첨 정밀한 탐지능력 및 안정적인 성능 • 국내 대형 레퍼런스(통신/금융/정부)에서 검증된 고성능 10G 제품 군 보유 • 국내 IPS/DDX 시장 점유율 1위 업체의 기술력(네트워크 보안 관련 특허 18개 보유) 지능화/복합적인 최신 공격에 대응 • 국내 No.1의 독자적인 CERT(침해사고 대응팀) 운영 • 지속적인 연구/업데이트를 통한 최신 공격 대응(국내 최초 MAPP 체결) • 웹 접속 방식을 이용한 관리와 직관적인 User Interface 확장성 & 통합관리 • 다양한 보안솔루션(TMS, 내부보안)과의 연동을 통하여 보안영역 확대 • 200Mbps ~ 10Gbps 제품 군 보유로 네트워크 망의 확장에 유연한 대응 • 시장 및 고객의 요구사항에 유연하게 대처할수 있는 유연한 제품설계 36/43 주요 고객사 Ⅴ. 요약 및 별첨 37/43 HARDWARE SPEC. NE1000 Ⅴ. 요약 및 별첨 NE2000 NE5000 10G 2Gbps 6Gbps 10Gbps 2U 3U IntelXeon Quad Core 2.4 x 2 Intel Xeon Quad Core 2.4 x 2 성능 Throughput 200Mbps Rack Size 2U 시스템일반 HDD 메모리 CF 운영체제 500G DDR3 6G 2GB Embedded OS 500G DDR3 8G 2GB Embedded OS 1TB x 2 DDR3 12G 2GB Embedded OS 4.5U Intel Xeon Quad Core 2.66 * 2 1TB x 2 DDR3 12GB 2GB Embedded OS 모니터링 관리/HA Serial 10/100 * 2 100/1000 * 2 RJ45 * 1 100/1000 * 4 or Fiber * 4 100/1000 * 2 RJ45 * 1 Max Fiber 10G * 4 100/1000 * 2 RJ45 * 1 Max Fiber 10G * 4 100/1000 * 2 RS232 * 1 Redundant Power Redundant FAN Lockable Front Bezel Failure Detection (FAN, POWER) LCD 크기 (mmW x mmD x mmH) 무게 전압 최대소비전력 동작환경 보관온도 ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ VFD (Color) VFD (Color) VFD (Color) VFD (Color) 494 x 578 x 88 494 x 578 x 88 494 x 590 x 132 494 x 497.8 x 200 14.5Kg 100/240V 47/63Hz 420W, 7-3A 5C to 35C -20C to 70C 14.5Kg 100/240V 47/63Hz 420W, 7-3A 5C to 35C -20C to 70C 18.95Kg 100/240V 47/63Hz 500W, 8-3A 0C to 40C -20C to 70C 26Kg 100-240V 47/63Hz 1350W, 20~10A 0C to 40C -20C to 70C CPU Intel Xeon Quad Core 2.4 인터페이스 기타 38/43 SOFTWARE SPEC. Ⅴ. 요약 및 별첨 SNIPER IPS Specification SNIPER IPS Specification 설치 및 관리 실시간 모니터링 탐지 및 차 단 수준 DoS O 스캔공격 (probing) O 서비스공격 O 프로토콜 취약성 O Backdoor O Web CGI O O Worm O 트래픽 추이/네트워크 부하 O Anomaly O 프로토콜 별 점유율 O 사용자정의 O Application Level Stateful Inspection O Import/Export Signature O 라이브업데이트 O Packet단위공격 탐지/방어 O Update Scheduling O Defragmentation O CC인증 시그네쳐 수 3,000+ Reassembly O 24시간 대응체제 O Dynamic Block List 1,000,000 Detect Only O Block O Allow O Alert O Log O 멀티시스템 통합 (ESM) O Transparent (Bridge) O WEB기반 관리 O 관리채널 SSL암호화 O 이중화 구성 (HA) O 실시간 탐지/방어정보 Protocol Decoding MPLS, DHCP, 802.1q, GRE, IPinIP 등 탐지 항목 시그니처 관리 침입대응 39/43 SOFTWARE SPEC. Ⅴ. 요약 및 별첨 SNIPER IPS Specification SNIPER IPS Specification E-mail 경보 및 타 시스템 연동 내부정보유출감 시 O Screen Display O Alarm Sound O Script O Syslog O SNMP O E-mail O Telnet O FTP / Rlogin O NETBIOS O Raw Data O 보고서 부가기능 False Positive 최소화 인증 일별, 주간별, 월별 보고서 작성 O 설정별 자동 보고서 작성 O Customize O Export (Word, Excel, PDF, HTML등) O Firewall O QoS O Passive Mode (IDS로 사용) O 예외 조건 설정 (Filter) O 탐지정책 튜닝 O Raw Data 수집 및 분석 기능 내장 O 내부/외부 망(IP) 구분 설정 O 내부/외부 망연결 방향별 룰 구분 O Application Level Stateful Inspection O 국가정보원 CC인증(EAL4) O 40/43 SNIPER 제품 군 Ⅴ. 요약 및 별첨 41/43 감사합니다. 경기도 성남시 분당구 삼평동 633 판교세븐벤처밸리 1동 4층, 7층 URL. www.wins21.co.kr E-Mail. [email protected]