Transcript Document

INDEX
Chapter 1
Chapter 2
Chapter 3
Chapter 4
• 제안 배경 및 개요
• DDoS 보안장비의 방향성
• 제품 소개
• 별첨
DDoS 공격 정의 및 개념도
1. 제안 배경 및 개요
 DDoS (Distributed Denial of Service) Attack
 분산 서비스 거부 공격으로 다수의 공격자(기형 패킷)에 의해서 특정 서버가 피해를
받는 것으로 시스템이 느려지거나 다운되는 현상
 정상적인 서비스 거부, 서비스 다운 및 시스템 병목현상 발생
3/41
DDoS 공격 현황
1. 제안 배경 및 개요
 2009.8: 그루지아 블로거 대상 정치적 DDoS
(트위터, 페이스북)
 2009.7: 미국 및 한국의 주요 사이트에 대한 DDoS
 2007.9: 게임아이템 거래사이트에 대한 금품요구
(트래픽규모: 수Gbps~15G)
DDoS
공격
 2007.9: 바이럿(Virut) 바이러스에 의한 DDoS
DDoS 급증
공격규모 증가
 2007.6: 여행업, 펜션예약 사이트 등 금품요구
 2007.5: 에스토니아 정부, 국회 등의 사이트 DDoS
(약 3주간 마비)
 2007.2: 루트 DNS 6개가 바이럿으로 인한 DDoS
 2007.1: 도메인 등록대행사 사이트에 대한 DDoS
 2006.11: 미국 특정 IP에 대한 DDoS
(일부 IDC 부분장애)
 2006.10: 성인 화상채팅사이트 금품요구 등
2000
2006
2007
2010
출처: 국가사이버안전센터
4/41
DDoS 공격 형태 변화
1. 제안 배경 및 개요
 공격이 점차 자동화되고 정교해짐
 손쉬운 공격 툴의 증가 ( Netbot, Slowloris 등)
 BotNet(IRC, HTTP, P2P등)을 이용한 정교한 공격 제어
 이메일, 웹 서버를 통한 악성코드 전파 (좀비 PC의 증가)
1
 악성코드 제작, 유포, 협박 및 공격 등의 조직적 역할 분담.
 HTTP GET과 같은 응용계층을 대상으로 하는 공격이 증가
 TCP/ICMP Flooding 등 대역폭 공격과 함께 소량의 응용계층 공격을 감행
1
다량의 패킷
소량의 패킷
3
네트워크 레벨
2
소수 좀비
시스템 레벨
응용 레벨
다수 좀비(봇넷)
5/41
DDoS 공격 종류
구분
세션고갈
1. 제안 배경 및 개요
대역폭 고갈 공격
어플리케이션 공격
사용 프로토콜
TCP
주로 UDP/ICMP
HTTP
공격 PC 위치
국내/국외
국내
국내/국외
IP변조여부
변조/실제IP
변조/실제IP
실제IP
공격 유형
64byte 이하 100Mbyte
수십만~수백만 PPS
1000~1500byte
1Gbyte
수십만 PPS
동일 URL 접속 시도
공격 효과
네트워크 장비, 보안장비,
서버 등의 부하 발생
회선 대역폭 초과
웹 서버 부하 발생
피해 시스템
공격 대상 시스템 또는 동일
네트워크에서 사용 중인 모
든 시스템
동일 네트워크에서 사용
중인 모든 시스템
공격 대상 시스템
주요 공격 예)
TCP SYN Flooding/TCP
NULL Flooding/TCP ACK
Flooding/
UDP Flooding/Ping
Flooding/ICMP Flooding
HTTP no-cache Request
Flooding, Cache-Control
Attack
비고
6/41
기)보안장비의 한계점-1
1. 제안 배경 및 개요
 ACL(Packet Filtering) , Blackholing & Sinkholing
 네트워크 장비에 부하 발생, Application Attack 방어 불가.
 Source IP Spoofing 공격 대응 불가
 IP, Port Level Filtering
 Application Attack 방어 불가.
 Source IP Spoofing 공격 대응 불가
7/41
기)보안장비의 한계점-2
1. 제안 배경 및 개요
 SYN Proxy를 이용한 방어 ( 보안장비의 Gateway )
 WEB 서비스를 보호하는 목적으로만 적절
IP Spoofed TCP 방어전용
UDP, ICMP 방어 불가능
Packet Latency 문제 발생
대형 네트워크 망의 부적절
정상 1st TCP Handshake Drop
대용량 Syn DDoS 장비 로드↑
8/41
INDEX
Chapter 1
Chapter 2
Chapter 3
Chapter 4
• 제안 배경 및 개요
• DDoS 보안장비의 방향성
• 제품 소개
• 별첨
DDoS 대응시스템 요구사항-1
2. DDoS 방어장비의 방향성
오탐 Zero 원칙
 DDoS전용장비의 오탐으로 서비스의 장애 유발 가능성 사전 제거
DDoS Attack Packet만 차단  Business 연속성 유지
안정성
 보안장비 운영으로 망의 Packet Latency를 고려.
 성능 지연 제거
 보안장비의 장애로 인한 망 장애 요소 제거
10/41
DDoS 대응시스템 요구사항-2
2. DDoS 방어장비의 방향성
다양성 (다양한 종류의 공격 방어)
 Source IP Spoofing 에 대한 대응
 다양하고 복합적으로 발생되는 공격에 대한 대응
 세션고갈공격 / 대역폭 공격 / 웹 어플리케이션 등 다양한 공격 방어
 HTTP no-cache Request Flooding, Cache-Control Attack 방어
자동화
 Zero-Day Attack 및 알려지지 않은 공격 탐지 및 자동화된 대응 (학습기법)
 취약점 발생시 패턴 자동패치 및 대응 (MAPP 체결)
11/41
INDEX
Chapter 1
Chapter 2
Chapter 3
Chapter 4
• 제안 배경 및 개요
• DDoS 보안장비의 방향성
• 제품 소개
• 별첨
DDoS시스템 구성도
3. Sniper DDX
3.1 제품의 기본 특징
구조 분석
 라우터 와 L4사이
 전방위 위치하여 DDoS 방어
 네트워크에 In-line 모드로 설치
 Transparent  다른 장비 구성 변경 없음
 제 1차 방어선 : 접속고갈 공격, 대역폭 확보
 제 2차 방어선 : 침입 및 해킹 등 위협 방어
13/41
DDoS 방어전략
3. Sniper DDX
3.1 제품의 기본 특징
 Attack의 다양성, 복합적으로 발생되는 지능화된 DDoS의 방어 전략
 Self-Learning 기술을 기반한 지능적 탐지/방어
 행동기반 탐지/방어 + 시그네쳐 기반 탐지/방어 + 자동학습에 의한 탐지/방어
14/41
DDoS 방어범위
구분
방어 방법
3. Sniper DDX
3.1 제품의 기본 특징
방어 엔진
방어 범위
 자가 학습기능 & 자동시그네쳐 생성
 Non Spoofed &
Spoofed DDoS with DATA
자가 학습 후 방어
시그네쳐 추출 엔진
행동 기반
Statistic
Analysis Engine
행동 기반
Triple ‘S’
Engine
시그네쳐
Multi-Filtered
Engine
 화이트리스트, 블랙리스트
 Non-Spoofed TCP/UDP/ICMP Protection
시그네쳐
A.L.S.I Engine
 De-Fragmentation, De-Segmentation
 L7 기반 세션조합 공격 방어
알려지지 않은 공격
 임계치 기반 탐지/ 방어 수행
 Non Spoofed & Spoofed DDoS
 Spoofed TCP(Syn) Protection
 Hybrid DDoS Protection
알려진 공격
15/41
DDoS 공격별 대응 방법
공격명
행위기반 정책
3. Sniper DDX
3.1 제품의 기본 특징
패턴기반 정책
Smart Session
Shaping
시그네쳐 추출
변조되지 않은 TCP SYN Flooding
○
변조되지 않은 TCP
ACK/FIN/SYNACK/RST Flooding
○
변조되지 않은 UDP Flooding
○
○
변조되지 않은 ICMP Flooding
○
○
○
변조된 TCP SYN Flooding
○
변조된 TCP
ACK/FIN/SYNACK/RST Flooding
○
변조된 UDP Flooding
○
○
○
변조된 ICMP Flooding
○
○
○
변조되지 않은 Fragment 공격
○
변조된 Fragment 공격
○
변조된/변조되지 않은 Combine 공
격
상위 항목 복합 적용
상위 항목 복합 적용
상위 항목 복합 적용
상위 항목 복합 적용
16/41
Sniper DDX 특∙장점-1
각종 인증을 통해 증명된 안정성
3. Sniper DDX
3.2 특장점
GS 인증
 수많은 네트워크보안 프로젝트 수행 경험과 다수의
개발방법론을 벤치마킹하여 국내환경에 적합하게 개발하여
활용
 GS인증 및 국정원 CC인증(EAL4)을 획득한
신뢰성/안정성이 확보된 제품
CC인증(EAL4)
17/41
Sniper DDX 특∙장점-2
3. Sniper DDX
3.2 특장점
“DDoS 탐지 및 차단 특허”
7/7 DDoS 대란 당시 방어 실적

 수많은 대형 SI 프로젝트 수행 경험과 다수의 개발방법론을
적용하여 개발한 특허
공공/금융/민수/교육 분야 40개 기관 긴급 대응
 7/7 대란 DDoS 대응 관련 기사 14개
 신속한 패턴 제작 및 대응
 CERT, 제작, 기술지원의 유기적인 관계
 뛰어난 조직력  2시간 이내 조치 대응
 7/7 DDoS 대란 방어를 통한 2009 하반기 히트상품 선정
2009 하반기 히트상품
출처: 아이티데일리 (2009.12)
18/41
Sniper DDX 특∙장점-3
3. Sniper DDX
3.2 특장점
고객사 맞춤 네트워크 구성 제공
 In-Line 구성 또는 Out of Path 구성 제공  사용자 환경에 맞는 최적의 구성
 네트워크 환경과 시스템 환경에 맞추어 Flexible한 설치
In-Line 구성
 네트워크에 F/W, IPS 구성과 동일 라인 선상
 즉각적 차단 가능
Out of Path 구성
 넷플로우, 미러링 방식
 통신사, ISP 망 등 대형망에 적합
19/41
Sniper DDX 특∙장점-4
3. Sniper DDX
3.2 특장점
확장성
 10G 솔루션 보유  10G 확장 가능
 위협관리 솔루션 연동 가능 (SNIPER TMS 자사 솔루션 보유)
 관제솔루션(TSMA) 연동 가능 (SNIPER TSMA 자사 솔루션 보유)
20/41
Sniper DDX 특∙장점-5
3. Sniper DDX
3.2 특장점
실시간 패킷 덤프
이중화 구성
 이상 트래픽이 감지 될 경우
 SNIPER DDX는 안정적인 HA기능 지원
 실시간으로 Packet을 Dump하여, 트래픽 분석
 네트워크 서비스의 연속성을 보장
 Symmetric 구조와 Asymmetric 구조, 동시 지원
Active
Standby
Active
Active
Fail Over
 시스템 장애 시 서비스 단절을 최소화
 신속한 자체 복구가 가능
 안정적인 시스템 운영을 지원
Sniper DDX 정상
Symmetric
Sniper DDX 장애
Asymmetric
DDX
DDX
21/41
Sniper DDX 특∙장점-6
3. Sniper DDX
3.2 특장점
다단계 방어 엔진
Protocol
Anomaly
Filtering
Engine
Protocol Anomaly Filtering
Engine
IP
TCP
UDP
ICMP
각종프로토콜 규약 위반 탐지 및
차단
Dynamic
Filtering
Engine
Static
Defense
Engine
Triple S
Engile
Signature
Matching
Engine
Static
Anomaly
Engine
Signature
Extraction
Engine
A.L.S.I
Engine
Dynamic Filtering Engine
Static Defense Engine
Triple ‘S’ Engine
S-IP | D-IP | S-Port | D-Port
S-IP | D-IP | S-Port | D-Port
Ticket List
특정 IP + Port 를 기반으로
탐지 및 차단 실시간 리스트
특정 IP + Port 를 기반으로
사용자 정의 등록 차단 기능
인증 / 비인증 사용자의 세션
감사를 통한 탐지 차단기능
비정상 Flag의 탐지 차단기능
차단 Time Slot 동적 할당
Signature Matching Engine
Statistics Analysis Engine
Signature Extraction Engine
A.L.S.I Engine
Signature
Traffic Anomaly
Header | Widows | TTL | Payload
SESSION Table
비정상 Payload 기반의 탐지
시그네이처 기반의 방어
특정 프로토콜의 비정상적인
폭증 탐지 및 차단
CERT를 통한 주기적 업데이 트
특정 서비스의 비정상적인 폭 증
탐지 및 차단
비정상적으로 폭증하는 트래
픽을 분석하여 자동으로 탐지
시그네이처 생성 탐지 차단 기능
제공
Layer 7기반의 탐지 차단엔진
IDS 형태의 별도 탐지 장비로
사용가능
22/41
Sniper DDX 화면-1
3. Sniper DDX
3.3 제품의GUI
실시간 모니터 메뉴





장비정보
트래픽
세션정보
탐지/방어/경보
차단
장비 모니터링




FAN 정보
POWER 정보
시스템 정보
LINK 정보 확인
23/41
Sniper DDX 화면-2
3. Sniper DDX
3.3 제품의GUI
세션 정보 모니터

실시간 트래픽량 분석을 통해, DDoS 트래픽이 튀는 현상 및 접속 세션을 실시간으로 분석 가능.

보호 서비스망에 따라 각각의 CPS을 확인 가능, 비인증 된 DDoS공격 량을 실시간으로 확인.
24/41
Sniper DDX 화면-3
3. Sniper DDX
3.3 제품의GUI
세션 내역 및 추이

실시간 Session 정보 제공, 실시간 트래픽 정보 제공, 사용자, 서비스별 상세내역 제공

과다 Session IP 및 Port 사용자 탐색 가능  네트워크 지장을 줄 수 있는 Traffic 사용자 확인
25/41
Sniper DDX 화면-4
3. Sniper DDX
3.3 제품의GUI
탐지 내역

탐지/방어/경보를 통해서 현재 들어오고 있는 공격의 형태들을 확인

실시간 정책적용 기능을 통하여 즉각적인 대응
26/41
Sniper DDX 화면-5
3. Sniper DDX
3.3 제품의GUI
종합보고서

월/일/시간별 탐지로그 제공 / 월/일/시간별 트래픽 로그 제공 / 상세필터 제공

Main 화면의 CPS의 정보를 분 단위 로그로 남겨, 비정상 CPS또는 정상 CPS의 분석 용이.
27/41
Sniper DDX 주요기능-1
3. Sniper DDX
3.4 제품의 기능
공격별 탐지 방어 설정
 TCP/UDP/ICMP 등 공격
종류에 따른 탐지 정책 설정
후 탐지/방어
공격 인정 횟수 설정
 임계치 설정으로 보호대상
서버의 환경에 따라 정교한
정책 설정이 가능함
 사용자별 맞춤 임계치 설정
28/41
Sniper DDX 주요기능-2
3. Sniper DDX
3.4 제품의 기능
비정상 트래픽 발생 시 자동패킷 캡쳐 기능 제공

Sniper DDX는 자동/수동 임계치 초과시 자동으로 Packet Dump 기능 제공

Capture된 Packet을 통해 Packet 분석 Tool를 이용하여 관리자의 상세분석 지원
29/41
Sniper DDX 주요기능-3
3. Sniper DDX
3.4 제품의 기능
임계치 설정 기준 및 방법
설정 대상
 1주일간 학습 및 탐지
시그니쳐 기반 정책의
자동 임계치 설정
 학습된 이벤트 와 관련된 IP에 대해 검증 작업 진행
 해당 IP중 주요 고객 IP및 정상 접속 사용자에 대해 예외 처리 학습 진행
 차단 가능성이 있는 정상 모든 접속 IP 사전 추출
 정상 사용자에 대해 예외처리 또는 임계치를 정밀하게 적용 서비스 보장
Smart Session Shaping
세션 기반 임계치 설정
 자동 임계치 설정에 의한 정책 적용
 1일 학습 후 정책 검증 및 적용 완료
 급격한 트래픽 상황 변화(월말/월초,연말정산 기간)에도 적용 가능함
Auto Signature 기반
임계치 설정
 자동 임계치 설정에 의한 정책 적용
 1주일간 탐지모드 설정 후 정상 트래픽 상황에서 탐지
30/41
Sniper DDX 주요기능-4
3. Sniper DDX
3.4 제품의 기능
윈스테크넷 취약성 DB 활용
 윈스테크넷 내 CERT(침해사고대응팀) 상시 취약성 분석 및 DB 구축
 SNIPER DDX 사용자에게 SECURECAST 서비스 GENERAL 등급 무상 제공
 WinsTechnet CERT는 10년이상 축적된 취약성 정보와 분석노하우를 바탕으로 신속하고 정밀한 시그니쳐를 제품에
적용하고 있습니다
31/41
Sniper DDX 도입현황
공공기관
3. Sniper DDX
3.5 도입 사례
통신/금융/일반기업
32/41
Sniper DDX 도입사례-KISA
3. Sniper DDX
3.5 도입 사례
구조분석
1)
사내 정보인프라 시스템에 접근하기 전에
사전에 자동으로 능동적으로 DDoS 공격을
차단
2)
축적된 DDoS 공격 탐지 Log는 관제의 효
율성 및 ROI 효과를 위해 DDX Manager인
중앙관리시스템으로 연동되어 DDoS 공격
에 대한 중앙관제가능
3)
Manager인 중앙관리시스템으로
연동되
어 DDoS 공격에 대한 중앙관제
4)
관제의 생산성 및 ROI효과 증진
33/41
Sniper DDX 도입사례-국내H사
3. Sniper DDX
3.5 도입 사례
구조분석
1)
예하지점별 안정성 확보
예하지점 내부망에 대한 안정성확보 예하
지점별 구성으로 해킹사고시 대상범위 축
소
2)
핵심업무서비스 ZONE 보안성 강화 업무서
비스 ZONE 내부/외부에서 해킹사고 발생
시 완전차단 예하지점에 대한 서비스 가용
성 보장
3)
망통신망의 서비스 신뢰성 향상
4)
ISAC 연계로 통합보안관리
34/41
Sniper DDX 구축 후 기대효과
1
3. Sniper DDX
3.6 기대효과 및 Line-Up
최고 수준의 보안체계 구축
 금전을 목적으로 한 해커의 랜섬(Ramsom)형 공격에 대응 체계 프로세스 정립 가능
 기) 운영중인 정보보호제품과의 다중 보호체계 구성으로 보안강화에 시너지 효과 창출
2
대 고객서비스 신뢰성 향상
 안전한 고객 서비스 거래 유지
 네트워크 가용성 확보
 분산서비스거부(DDoS)로 인한 네트워크 망의 장애 사전 제거
3
최신 기술의 방어 능력 보유
 인프라 보호 우의 선점
 최신 보안기술의 적용을 통한 보안체계 강화
4
시스템의 안정성과 신뢰성 제고
 네트워크 망 운영에 피해가 없는 시스템 구축
 가용성 확보로 서비스의 연속성 확보
35/41
Line-Up
In-Line
3. Sniper DDX
3.6 기대효과 및 Line-Up
DDX 1000
DDX 2000
DDX 4000
DDX 5000
2Gbps
4Gbps
12Gbps
2U
Intel Xeon
Quad Core 2.0 x 2
S-ATA2 500GB
4GB
1GB
Embedded OS
3U
Intel Xeon
Quad core 3.0 x 2
S-ATA2 1TB * 2
8GB
1GB
Embedded OS
4.5U
Intel Xeon
Quad Core 2.66 * 2
S-ATA2 1TB * 2
12GB
1GB
Embedded OS
Performance
Throughput
400Mbps
System
Rack Size
CPU
HDD
Memory
DOM
OS
2U
Intel Xeon
Quad Core 2.0 x 1
S-ATA2 500GB
2GB
1GB
Embedded OS
Interface
Management
Serial
USB
Copper 100/1000 * 2
or
Fiber * 2
Copper 100/1000 * 2
RJ45 * 1
*2
Redundant Power/FAN
Failure Detection (FAN/POWER)
Dimensions (mmW x mmD x mmH)
무게
전압
최대소비전력
동작환경
○
○
430 x 427 x 88
14.5Kg
100/240V 47/63Hz
460W, 8A~4A
5℃ to 35℃
Monitoring (패킷수집)
Copper 100/1000 * 4
or
Fiber * 4
Copper 100/1000 * 2
RJ45 * 1
*2
Copper 100/1000 * 4
or
Fiber * 4
Copper 100/1000 * 2
RJ45 * 1
*2
Copper 100/1000 * 2
RS232 * 1
*4
○
○
432 x 431 x 134
18.95Kg
100/240V 60/50Hz
650W, 9-5A
5℃ to 35℃
○
○
430 x 512 x 200
26Kg
100-240V 47/63Hz
1350W, 20~10A
5℃ to 35℃
Max Fiber 10G * 4
Etc.
○
○
430 x 427 x 88
14.5Kg
100/240V 47/63Hz
460W, 8A~4A
5℃ to 35℃
36/41
INDEX
Chapter 1
Chapter 2
Chapter 3
Chapter 4
• 제안 배경 및 개요
• DDoS 보안장비의 방향성
• 제품 소개
• 별첨
DDoS 엔진 방식별 분류
1. NBA
(Network
Behavior
Algorithm)
 Network 흐름을 학습하여 세부적인 Rate 값을 적용하여 서버 및 서비스를 보호하는 방식
 관련제품 : 현 시판되는 대부분의 제품 (In-Line 제품, Out-Of-Path)
 주요 특징 : “NBA 방식의 DDoS 대응장비가 시장 평정”
2. MBA
(Micro Behavior
Algorithm)
 Packet 단위의 미세한 움직임을 모니터링 하여 공격 Packet과 정상 Packet 구분하는 방식
 관련제품 : Rio-Ray 제품
 주요 특징 : DDoS Attack 탐지율이 떨어짐
3. Pattern
Mapping
4. 별첨
 알려져 있는 공격 Code 값을 가지고 지나가는 Packet의 Payload부분과 대조하여 탐지하는 기법
 관련제품 : IPS 제품
 주요 특징 : Source IP Spoofing 공격 대응 불가
 Proxy 서버처럼 모든 Traffic을 중간에서 확인하고 연결하는 방식
4. Syn Proxy 방식  관련제품 : 라드웨어, 인트루가드, IntelliGuard 등
 주요 특징 : 대용량 Traffic 처리에 부적합, 200 ~ 300 Mbps 환경에 적합
38/41
주요 제품 비교
구 분
SNIPER DDX
구성방식
 In-line 또는 Out-Of-Path
인증
 EAL 4 CC인증 회득 (국내 최초)
 GS인증
4. 별첨
외산 B사
국산 A 사
 In-line 또는 Out-Of-Path
 In-Line
 인증 없음
 인증 없음
L4 공격 방어
 시그네쳐 + 행위기반 (NBA)
 시그네쳐 + 행위기반 (NBA)
 패킷기반
L7 공격 방어
 시그네쳐 + 행위기반 (NBA)
 행위기반
 △
 보유
 미보유
 미보유
10G 보유
 보유
 10G UTM 보유
 미보유
침해사고대응팀 보유
 보유
 보유
 미보유
IPS 시그네쳐 보유 여부
 보유
 미보유
 보유
 NBA + IPS
 NBA
 MBA
위협관리시스템 ( TMS )
보유 여부
기반기술
 지난 2009 7.7 사이버테러와 같이 변종 DDoS 공격 발생 시 제조사별 패킷 분석 후 시그네쳐를 제작하여 해당
장비에 신속히 적용하여야 방어가 가능합니다.
 윈스테크넷은 순수 국내 기술의 제조사로서 기술지원 + 연구소 + CERT + 마케팅의 신속한 협업력과 조직력으로
고객사의 정보보안을 위하여 최선을 다하겠습니다.
39/41
경기도 성남시 분당구 삼평동 633 판교세븐벤처밸리 1동 4층, 7층
URL. www.wins21.co.kr
E-Mail. [email protected]