IT첨병 UTM만 알아도 나는 보안전문가

Download Report

Transcript IT첨병 UTM만 알아도 나는 보안전문가 

IT첨병 UTM만 알아도 나는 보
안전문가
With Group은 많은 기업의 IT환경을 가치있게 운영할 수 있도록 지원하고 있습니다.
기업 본연의 업무에 집중할 수 있도록 With Group이 최선을 다해 돕는 이유입니다.
[문서작성자 : Biz사업본부/Biz사업1팀 000, 작성일자 : 2105년 0월 00일]
INDEX
1.
고객사 환경분석
2.
보안위협동향
3.
UTM 주요기능
4.
최근 인기있는 UTM 서비스
2016년 기업을 위한 kt의 서비스
는 진화합니다.
1. 고객사 환경분석
철저한 시장조사를 통한 고객사 분석은 영업기
회 발굴의 시작입니다.
3
1. 고객사 환경분석
① 보안대책 무방비
기업 중요 정보를 보호하기 위한 보안 대책이 전혀 없음
② 내꺼인듯 내꺼아닌 내꺼같은 보안장비
구축은 했지만 운영자가 없어 무용지물인 보안장비들
보안침해사고 발생
모른척하고
자는척하자
1. 고객사 환경분석
③ 어디서부터 보안을 해야하는지 모르겠어요?
보안담당이 없어 기업의 IT보안의 방향을 수립하지 못하고 있
습니다.
방화벽, UTM, 보안스
위치, 웹방화벽, NAC,
WIPS, 백신
DB접근제어, DB암호
화, DLP, DRM, 좀비
PC방지, 스팸메일차
단
④ 보안이 잘되고 있다고 믿고 있는 기업
역량 부족 유지보수사에 보안을 위탁 관리를 맡긴 기업
보안에
문제없죠?
전혀 보안에 문제
가 없습니다.
이번달 유지보수
금액 결재좀~
불안한데
1. 고객사 환경분석
고객사 정보
문제점 1
• 직원수 : 50 ~ 100명
• 인터넷 대역폭 : 기업회선 50M 이내
• 업종 : 무역업 및 일반 IT 및 사무 업종
• 특징 : 강남권 또는 구로권에 위치한 사무실 밀집 지역의 일반 기업
• 공유기 사용으로 인한 네트워크 불안정
공유기
• 공유기는 하드웨어가 약해서 주기적인 다운 장애 발생
• 성능 보장 안되는 공유기에서 IP NAT 및 IP Gateway 기능 동
작, 공유기 장애시 사내망 전체 장애 발생
문제점 2
고객사 IP정보
• 고정IP 3개사용
• 서버존에 공인IP 2개 할당
• 내부 유저존은 사설IP 사용
• 공유기에서 사설IP->공인IP로 변환
• 네트워크 설계가 체계적으로 설계가 되어 있지 않음
• 네트워크 속도가 느림 (설계 오류)
인터넷
• 내부 유저존 유해 트래픽으로 인해 전체 사내망 속도 영향
• 사내망 확장시 지속적으로 장애 발생 비율 증가
공유기
문제점 3
불법접근
• 외부에서 자유롭게 접근할 수 있는 웹서버 및 메일서버를 별
도의 DMZ 영역으로 설계가 안되어 있음
• 유저존과 웹서버, 메일서버가 같은 네트워크 대역을 사용하
L2스위치
기 때문에 브로드캐스트 영역 Issue 발생
문제점 4
불법접근
• 외부의 불법적인 접근 통제 안됨
• 개인정보보호법 “제6조 (접근통제 시스템 설치 및 운영) 기술
적 보호조치” 충족 안됨
192.168.10.0/24
1. 고객사 환경분석
고객사 정보
문제점 1
• 단순방화벽 사용, 그외 다른 보안 기능
• 직원수 : 50 ~ 100명
• 인터넷 대역폭 : 기업회선 100M 이내
• 업종 : 병원
• 특징 : 수도권 및 전국 중/소형 병원
방화벽
• 대부분의 고객사는 방화벽으로 해킹을 방어할 수 있다고 오
해를 하고 있음
• 방화벽은 단순 경계보안장비로 해킹 방어는 안됨
문제점 2
• 네트워크 설계가 체계적으로 설계가 되어 있지 않음
고객사 IP정보
• 고정IP 다수사용
• 내부 유저존은 사설IP 사용
• 방화벽에서 사설IP->공인IP로 변환
• 객실과 병원망이 통합되어 있어 객실에서 에서 의료정보시스
인터넷
템으로 접근이 위험
• 내부 유해트래픽(웜)으로부터 사내망 장애 노출
방화벽
문제점 3
웹/이메일서버
병원업무 Client
• 개인정보보호법 “제6조 (접근통제 시스템 설치 및 운영) 기술
적 보호조치” 충족 안됨
• 방화벽 보호 조치는 되어 있지만 IPS(침입방지) 조치는 안되
L2스위치
객실
법률
어 있음
의료정보시스템
2. 보안위협동향
보안서비스 영업시 최근 보안 위협 동향은 필수
입니다.
8
2. 보안위협동향
DoS 공격 (Denial of Service attack)
DDoS 공격 (Distributed Denial of Service)
서비스거부공격 : 시스템을 악의적으로 공격해 해당 시스템의
자원을 부족하게 하여 원래 의도된 용도로 사용하지 못하게 하
는 공격
분산서비스거부공격 : 다수의 PC를 이용하여 특정 시스템으로
대량의 유해 트래픽을 전송함으로써 해당 시스템을 공격
마스터
마스터
공격자
(죽음의 핑날리기)
공격대상
(F5 Key attack)
마스터
에이젼트
스푸핑 공격 (Spoofing attack)
제로데이 공격 (Zero-Day attack)
한 사람 또는 프로그램이 데이터를 위조함으로써 불법 우위를
확보하여 데이터를 가로채는 공격
컴퓨터 소프트웨어의 취약점을 공격하는 위협으로, 해당 취약
점에 대한 패치가 나오지 않은 시점에서 이루어지는 공격
새로운 솔루션개발
새로운 위협 등장
PC 패치 및 백신 업데이트
ARP 스푸핑
IP 스푸핑
Zero-Day Attack
E-mail 스푸핑
DNS 스푸핑
취약점 보고
Signature
배포
2. 보안위협동향
피싱 공격 (Phishing attack)
파밍 공격(Pharming attack)
진짜와 유사한 가짜 사이트를 개설하여 접속하도록 유도하여
불법적으로 개인정보를 취득하기 위한 목적의 공격
피싱공격이 고도화된 공격 기법으로 정교한 해킹 기술을 통해
사용자를 속여 가짜 사이트로 접속하도록 유도하는 해킹수법
으로 DNS 서버 해킹을 통해 대규모 피해가 발생
웹해킹 (WEB Hacking)
Voice 공격
웹사이트의 취약점을 공격하는 기법으로 시스템에 접근하여
데이터 유출 및 파괴와 같은 피해를 입힌다.
음성패킷에 대한 도청 및 서비스방해, 서비스오용공격, 호 가
로채기 등 음성서비스에 대한 공격이 증가되고 있음
SQL injection 공격
XSS 공격
3. UTM 주요기능
UTM(Unified Threat Management) 통합위협
관리솔루션으로 다양한 기능을 통합 제공합니다.
11
3. UTM 주요기능
Q1 : UTM장비는 언제부터 사용이 되었나요?
A1 : 2002년 말 하나의 ASIC으로 방화벽, 콘텐츠 필터링, VPN, 안티스팸 기능을 통합한 제품이 시장에 출시되었습니다.
UTM은 TCO 절감 및 ROI 효과를 강조하며 현재 네트워크 보안의 주요 제품으로 성장하였습니다.
4세대
3세대
UTM
2세대
IPS
SW탑재형
FW/VPN
FW, IDS
Hardware
Mail 방역
Worm/Spyware
차단
All in one Box
All in one Box
Appliance
1세대
차세대 UTM
Firewall
VPN
IPS
Anti-DDoS
Anti-virus
Anti-Spam
Web-Filtering
Application Control
Firewall
VPN
IPS
Anti-DDoS
Anti-virus
Anti-Spam
Web-Filtering
3. UTM 주요기능
Q2 : UTM 이란 어떤 기능을 하는 장비인가요?
A2 : UTM(Unified Threat Management)은 다양한 보안 기능을 통합한 “통합 보안 시스템“입니다.
방화벽/ Networking
-
Stateful Inspection Filtering
Route/ Transparent Mode
Dynamic Routing/ QoS 기능
IPv4 & IPv6 지원
Application Security
- Web Client 제한 (파일첨부)
- Web Filter 제어(URL 차단)
- Application Control
* Web mail, Web hard, P2P, SNS,
Messaging
IPS(IDS)
Anti-DDoS
-
- DDoS 방어
- 다양한 유형의 공격 대응
(Flooding, Application 고갈)
Signature 기반 공격탐지 방어
Behavior 기반 공격 탐지 방어
6천여 개 공격탐지 Rule 보유
3단계 공격 방어 Mechanism
Internet
VPN
Anti-Virus
- SSL VPN 기능
- IPSec VPN 기능
(G-to-G, G-to-C VPN
- 바이러스,웜.스파이웨어,피싱 등
내부유입 차단
- HTTP/SMTP/POP3/FTP 등 지원
Anti-Spam
-
Black List 기반 스팸차단
스팸엔진 기반 차단
Keyword 기반 차단
Spam 메일 격리 & 저장
Web Hacking Protection
- 금지패턴 차단, URL내 확장자
차단(exe, dll, bat등)
- 명령어 삽입 차단, SQL 삽입
차단, XSS차단기능
3. UTM 주요기능
Q3 : 방화벽은 어떤 기능을 제공하나요
A3 : 방화벽은 흔히 경계보안장비 또는 침입차단시스템이라고 합니다. 경계보안장비라 불리는 이유는 기업의 내부망과 외
부망 사이에 방화벽이 위치하여 내/외부를 나누는 기능 때문에 경계보안장비라 합니다.
침입차단시스템이라 불리는 이유는 기업 외부에서 내부로 들어오는 트래픽에 대해 방화벽 정책을 통해 차단하기 때문
에 침입차단시스템이라고 합니다.
DMZ
1
주요역할
 IP 또는 Port를 기준으로 경계보안장비
- 외부에서 내부로 침입하는 트래픽 통제
- 내부에서 외부로 허가받지 않은 트래픽 통제
• 웹서버
• 이메일서버
Server Farm
• 내부서버
• DB서버
방화벽
2
주요기능
 다양한 NAT지원(1:1, 1:M, N:M, 1:N 등)
 QoS지원 : 정책 별/ IP별 / Port 별 QoS 설정
 ADLS 멀티라인 부하분산 지원
 SMART HA지원 : 다양한 이중화 지원
 DHCP 지원, Voice 통신지원(H323, SIP)
User Zone
• 사용자
3. UTM의 주요 기능
Q4 : Application Control 기능은 방화벽과 다른가요?
A4 : 최근 방화벽은 차세대 방화벽기술로 진화하였습니다. 기존 방화벽이 “IP 와 Port“를 기준으로 트래픽을 통제하였다면
차세대 방화벽은 Application을 직접적으로 통제가 가능하다.
 Application Control 기능(1,900개 이상)
1
P2P
1
주요역할
메신져
웹하드
주요기능
P2P – Bit Torrent, Skype, eDongkey, eMule
•
IM – NateOn, MSN, Google Talk, Skype
•
Game – 리니지, 스타크래프트, WoW
•
Media – GomTV, PandoraTV, Nate Video, iTunes
•
Web – Daum 블로그, Naver 블로그, 싸이월드
•
Business – MSSQL, MYSQL, Oracle
•
VoIP – NetMeeting, Net2Phone, SIP, H.323
웹메일
 프로토콜 분석을 통한 다단계 Application
Control 엔진 탑재
- 사용자 이동, IP 변경에 상관 없이 애플리케이션
별 User ID로 행위 제어
2
•
 내부 및 개인정보 유출 방지
- Application Control을 통한 내부정보 원천 차단
- 통제가 취약한 P2P, 메신져, 웹하드, 웹메일등
어플리케이션 통제
3. UTM의 주요 기능
Q5 : IPS는 어떤 위협으로부터 대응을 하나요?
A5 : IPS는 주로 알려진 공격을 방어하는 솔루션입니다.
• Signature Basis 공격 차단
6500+ 이상의 공격 패턴 차단
실시간 침입 차단 Pattern Update
사용자 정의 Pattern 입력 및 차단
인터넷
Pattern Update중에도 서비스 장애 없이 동작
주기적으로 Signature
업데이트
1
주요역할
2
주요기능
 트래픽 병목 구간에 위치하여 실시간 트래픽 탐지/차단
- 실제 차단을 수행하지 않는 시뮬레이션 모드
- 탐지된 패킷을 차단할 수 있는 차단 모드
 내부 좀비PC 모니터링 및 차단
8가지 Action 설정
(Pass,Drop,Reset,Reset Client,Reset Server,Drop
Session,Pass Session,Clear Session)
• Anomaly Basis 공격 차단
Worm Traffic으로 부터 Network 보호
DOS, DDOS 공격 차단
Source IP / Destination IP별 Session 제한 (TCP, UDP)
Buffer Overflow Attack 방어
 알려진 공격에 대한 Signature 대응
- Signature : TCP stream 조합 검사, IP 조각 패킷 조합 검사, Client Port
검사, To Server Packet 검사
SCAN 방어 (TCP, UDP, Stealth Scan)
3. UTM 주요기능
Q6 : 다양한 UTM 기능이 유해 또는 위협을 어떤 방식으로 대응하나요?
A6 : 각각의 보안 기능은 아래와 같이 단계별로 유해 및 위협을 대응하고 있습니다.
수많은 애플리케이션,
서비스, 위협 등이 존재
방화벽
Application
Control
• 불법적인 접근 차단
• 웹메일/웹하드 통제
• P2P/메신저 통제
• SNS외 다수 App 통제
IPS
• 외부의 해킹 방어
DDoS
• 알려지지않은 공격 대응
3. UTM 주요기능
Q7 : VPN 종류 및 기능?
A7 : VPN은 암호화 기술을 이용하여 Public 망을 전용선처럼 사용할 수 있도록 하는 기술이다. VPN은 2가지 기술이 존재
합니다. IPSec VPN과 SSL VPN, VPN은 2가지로 디자인이 가능합니다. Site-to-Site, Site-to-Client로 디자인이 가능합
니다. 이중 IPSec은 두가지 모두 디자인이 가능하지만, SSL VPN은 Site-to-Client 전용 VPN 기술입니다.
Backbone Network
SSL VPN Tunnel
DMZ
서버팜
Internet
Branch Z
Network
사무실 A
사무실 B
사무실 C
IPSec VPN Tunnel
3. UTM 주요기능
Q8 : Anti-virus 와 Anti-spam 기능은?
A8 : 아래 설명 참조
Anti-virus
Anti-Virus Stream-Based
Anti-Virus File-Based
Input
Anti-spam
Output
Input
Mail-Server
악성메일
정상메일
Output
메일 Relay 차단
Buffer Scan Deliver
(File) (File) (File)
Latency
1
주요역할
Full AntiVirus
DB
Time
Buffer
(File)
Scan
(File)
Deliver
(File)
스팸메일
Most
Recently
DB
Latency
RBL
메일크기제한
Time
 파일 단위로 유입되는 악성코드를 탐지 및 차단
 End-Point 안티바이러스는 사용자 PC에 감염된
악성코드를 탐지 및 차단
 UTM에서의 안티바이러스는 네트워크를 통해
유입되는 악성코드를 1차 원천 차단
1
주요역할
주요기능
 고객사 내부에 운용중인 메일서버로 송신되는
스팸, 정크메일의 차단 및 내부정보의 유출을 방지
 포티넷 자체 엔진 탐재
 빠른 검색 속도의 Stream-based 방식 or 높은
탐지율의 File-based 방식 모두사용
 환경에 따라 Stream-based와 File-based를
선택하여 사용
 파일의 확장자 및 이름에 대한 검사 예외
설정으로 불필요한 시스템 자원 낭비 방지
차단키워드 목록
비허용 명령어 차단
2
2
정상메일만 수신
메일발신자당 세션제한
 Global Anti-Spam 솔루션으로 다국어 키워드
필터 지원 : 제목, 본문, 정규식 표현 적용 가능
 발신자 도메인이 실제 도메인인지 DNS Query를
주요기능
통해 자동 확인
 RBL (Real time Blocking List) 기능 지원
 비허용 명령어 차단, 메일주소 허용/차단, 외부
스팸 탐지 서버 관리
4. 최근 인기있는 UTM 서비스
관리서비스가 추가된 소닉월 차세대 UTM 서비
스
20
참조
최근 다양한 사업자들이 UTM 임대서비스를
출시하고 있습니다.
22
1. 시장동향
Managed 서비스는 하드웨어와 소프트웨어, 라이선스등을 통하하여 IT시스템을 구축하고 매월 정액료를 받는 서비스입니
다. 초기 투자비용 없이 필요한 IT 서비스만 선택하여 단기간에 시스템을 구축하고 이용할 수 있는 장점이 있다.
[국내 통신사 Managed 사업 사례]
[국내 물리보안사 Managed 사업 사례]
1. 시장동향
Managed 서비스의 주요 Target 고객은 대기업보다는 주로 중/소기업이 이용을 하고 있습니다. IT에 투자되는 예산이 비교
적 부족한 중/소기업이 필요로하는 서비스 사업으로 관련 서비스도 중/소기업에 최적화되어 서비스 되고 있습니다.
[국내 통신사 UTM 판매 현황]
[국내 통신사 서비스별 판매 현황]
UTM 판매현황
서비스별 판매비중
3000
10%
2500
15%
2000
40%
1500
5%
1000
5%
5%
500
5%
15%
0
대기업
중견기업
중/소기업
UTM
보안스위치
백신
DLP
DB접근제어
DB암호화
일반스위치
무선랜