침입방지시스템 유해트래픽 탐지 및 차단, 실시간 모니터링 Intrusion Prevention System.

Presentation on theme: "침입방지시스템 유해트래픽 탐지 및 차단, 실시간 모니터링 Intrusion Prevention System."— Presentation transcript:

1 침입방지시스템 유해트래픽 탐지 및 차단, 실시간 모니터링 Intrusion Prevention System

2 INDEX 제안 배경 및 개요 주요기능 제품특장점 Support 요약 & 별첨 Chapter 1 Chapter 2

3 INDEX 제안 배경 및 개요 주요기능 제품특장점 Support 요약 & 별첨 Chapter 1 Chapter 2

4 국내 사이버침해사고 동향 사이버 침해사고에 대한 사회적 관심 증가 침해사고 통계 요약 Ⅰ. 제안 배경 및 개요
웜/바이러스 신고건수 증가 2011년 3.4대란과 같은 범 국가적 공격위협 양상 사이버 침해사고로 인한 피해 규모 증가  위협은 줄어들지 않고 있습니다 <자료출처: KrCERT 2011_06월 인터넷침해사고 동향 및 분석 월보>

5 해외 공격동향 3위 4위 2위 2위 3위 6위 발달된 IT인프라에 따른 공격 위협 증가 Ⅰ. 제안 배경 및 개요
<악성 Malware 분포 > <성인 Contents 분포 > <스팸 URL 호스트페이지 분포 > 2위 3위 6위 <피싱 URL 호스트페이지 분포> <피싱 발신지 분포> <스팸 발신지 분포> IBM X-Force 팀에서 분류한 08년도 공격항목에서 우리나라는 여러 공격형태의 주요 분포지로 조사됨.

6 피해사례 사이버 침해사고에 따른 피해규모의 증가 Ⅰ. 제안 배경 및 개요 2003 2008 2008 Slammer Worm
SQL Injection 프로그램 취약성 소송가액 2천억 원 손해배상 16억 원 피해액 7조 5천억 원 1.25대란-“SQL Slammer” XX사 1,100만명 정보유출 X메일 55만명 정보유출 2011 2011 2009 총성 없는 전쟁 개인정보 유출 DDoS 공격 정확한 피해집게 불가 경제적 손실 2천억 원 피해액 363억 XX사 전산망 해킹 XX캐피탈 150만명 정보 유출 범 국가적 7.7대란 발생

7 사이버침해사고의 영향 사이버 침해사고는 사업의 영속성을 위협 Ⅰ. 제안 배경 및 개요 보안사고발생 대외 경쟁력 약화
기업 전산망 장애 기업 대외 신인도 추락 잠재 고객 확보 곤란 기업 비밀 유출/파괴 투자비용손실 기업의 이윤 감소 주가 하락

8 왜 SNIPER IPS 인가 ? 5년 연속 국내 IPS 시장 점유율 1위 Ⅰ. 제안 배경 및 개요
10G급 DDX-OP 라인업 추가 10G 고성능 안티DDoS 솔루션(DDX)출시 좀비PC방지 시스템(BPS) 출시 40G DDX-OP 센서 40G 고성능 IDS 10G급 고성능 침입방지시스템(IPS) 출시 2008년 12월 2009년 7월 2010년 10월 2011년 4월 2008년 11월

9 CLEAN NETWORK ENVIRONMENT
기대효과 Ⅰ. 제안 배경 및 개요 최고 수준의 네트워크 보안환경 구축 - 네트워크 진입구간에서 유해트래픽 유입을 탐지 및 차단함으로써 네트워크의 안전성 및 신뢰성 향상 - 정밀한 탐지/차단 성능을 통한 사이버 침해사고 예 방 효과 - 사이버 침해사고 대응체계의 수립 대 고객 서비스 신뢰도 향상 - 네트워크의 위험요소 사전 제거 - 정보수집 공격 사전 대응을 통한 내부정보유출 예방 - 사이버 침해사고 대응체계 수립을 위한 기본 요건을 충족함으로써 고객 신뢰도 향상 네트워크 가용성 및 서비스 연속성 확보 - 유해 트래픽 사전 대응을 통한 네트워크 망의 가용성 확보 (불 필요 트래픽 사전 제거) - 유해 트래픽 유입으로 인한 서비스 및 H/W 장애를 예방함으로써 서비스 연속성 확보 네트워크 자원 관리의 효율성 - 유해 트래픽 사전 탐지/제거를 통한 네트워크 자원 가용성 상승 - 사이버 침해사고 대응을 위한 관리 효율성 상승으로 TCO 절감 CLEAN NETWORK ENVIRONMENT

10 INDEX 제안 배경 및 개요 주요기능 제품특장점 Support 요약 & 별첨 Chapter 1 Chapter 2

11 SNIPER IPS 개요 유해트래픽 탐지/차단을 위한 No.1 솔루션 Ⅱ. 주요기능 5년 연속 국내 IPS 시장점유율 1위
Transparent지원으로 네트워크 구성/패킷의 변경 없음 HA(이중화 구성) 지원 / Hardware By pass 가상 IPS (Virtual IPS) 지원 방화벽 (Firewall) / QoS 기능 지원 비정상 트래픽 (Anomaly) 탐지/분석 네트워크 환경변화 (BcN/IPv6)에 능동 대응 침해사고분석대응팀(CERT) 자체 운영, 신규패턴 신속적용

12 SNIPER IPS 구성환경 Ⅱ. 주요기능 < IN-LINE 구성 > < MIRRORING 구성 >
Internet <라우터> <방화벽> <침입방지시스템> <백본스위치> Internet <라우터> <방화벽> <침입방지시스템> <백본스위치> 탐지 및 차단 가능 ! 장애포인트 없음 !

13 국내 환경에 최적화된 구성, 다양한 운영 모드 지원
간단한 설치와 운영모드 변경 Ⅱ. 주요기능 국내 환경에 최적화된 구성, 다양한 운영 모드 지원

14 운영 : 이중화 구성(HA) Ⅱ. 주요기능 이중화 구성 (HA) Router#1↔IPS 구간 링크 Down
IPS 시스템은 L4가 연결된 IPS 인터페이스를 강제로 Down 시켜 모든 서비스가 Standby 시스템(Router#2-IPS-L4#2)으로 전송되도록 함 IPS ↔ Active L4구간 링크 Down IPS 시스템은 Router#1과 연결된 IPS 인터페이스를 강제로 Down 시켜 모든 서비스가 Standby 시스템(Router#2- IPS - L4#2)으로 전송되도록 함 Router #1 Router #2 Active L4 #1 Standby L4 #2 VRRP Heartbit & Sync Trunk 1 2 HA 안정적인 서비스 제공 IPS간에는 Sync Trunk (Heartbit 링크) 를 이용하여 Local 서버팜에 접속하는 세션 테이블 정보 및 기타 상태 정보들을 교환하여, 한 쪽 시스템의 장애 발생 시에도 서비스는 안정적으로 제공할 수 있도록 구성함 Router#1의 인터페이스까지 Down되면 정의된 Static 정보가 사라짐으로 외부에서 Local 서버팜으로 접속 키 위한 라우팅 정보는 Router#2로 알려짐 모든 패킷은 Router#2로 전송되어 정상적인 서비스를 제공받을 수 있음

15 공격대응범위 폭넓은 공격 대응 범위 지원 Ⅱ. 주요기능 국내 62% “UTM 도입 필요성 못 느낀다”
- ITDaily 2009/04/26 자사 네트워크의 어떤 취약성이 존재하고 이를 해결하기 위한 보안솔루션이 무엇인지 정확히 파악해야 합니다. 다양한 공격에 대응하며 서비스의 성능을 유지 할 수 있는 보안솔루션은 SNIPER IPS입니다.

16 SNIPER IPS 관련패턴 다수 보유 공격대응 : BOT Bot의 위협 & 대응 Ⅱ. 주요기능
DoS 1:1 공격자 DDoS N:1 Handler PC Agent TCP (Syn, Null, Fin, Ack, Push, Reset Ugt, Xmas) Flooding, Connect DoS Checksum (TCP, UDP, IP), Teadrop UDP Flooding, ICMP Flooding Ugt, Xmas) DDoS, Connect DDoS UDP DDoS, ICMP DDoS 대상자 운영체제 취약점, 비밀번호의 취약성, 웜 바이러스의 Backdoor 등을 통한전파 특정 Site 서비스 거부 공격 제2의 해킹 경유지로의 사용 시스템 운영체제의 패치 및 철저한 보안관리가 필요 BoT NET정보 모니터링 및 정보수집 BoT에 사용되는 특정 툴 방어 감염PC로부터의 DoS공격 방어 SNIPER IPS 관련패턴 다수 보유

17 WEB관련 취약성은 독자CERT에서 지속적인 관리와 업데이트를 실시 하고 있습니다.
Ⅱ. 주요기능 웹공격의 대응 어플리케이션 취약성 정보수집의 위협 WEB 어플리케이션(PHP、Apache、 IIS、JSP、 Oracle등)의 취약성을 이용한 공격에 대응합니다. 공격자가 외부에 공개되는 웹 서버의 특성을 이용하여 공격에 필요한 정보를 수집하는 행위를 차단합니다. 서비스거부 정보수집 Injection、XSS의 대응 DoS, DDoS의 위협 Backdoor WEB서비스에 치명적인 영향을 미치는 DoS, DDoS공격에 대응합니다. SQL구문, OS Command Injection공격에 일부 대응 Worm 악성 Bot 대응 Worm의 위협 WEB CGI 보다 지능화되고 대량화 되어가는 BoT공격에 대응합니다. Worm공격으로 인하여 로컬 PC가 감염될수 있습니다. 서비스공격 중국 발 해커 Web Shell의 위협 WEB관련 취약성은 독자CERT에서 지속적인 관리와 업데이트를 실시 하고 있습니다. 중국 발 공격에 사용되는 공격툴에 대한 탐지 및 방어 한번의 공격으로 성공할 수 있는 Web Shell을 탐지 차단합니다.

18 공격대응 : Web Web Zone의 위협 Ⅱ. 주요기능 Mail Server 위협 Web Server 위협
메일의 첨부파일에 악성코드가 삽입되는 위협이 존재 Web Server 위협 외부에 오픈되어 있는 웹서버는 DoS, DDoS공격이나 Web 쉘등을 이용한 공격에 쉽게 노출. DB Server 위협 SQL구문을 이용한 공격(SQL Injection등)의 대상이 되고 있음. DNS Server 위협 공격자는 DNS Server를 공격의 숙주로 활용하여 공격의 범위를 넓혀갈 수 있습니다. SNIPER IPS는 웹취약성 대응을 위하여 공격 카테고리를 분류하여 전용 시그네처를 관리하고 있습니다.

19 공격대응 : DHCP DHCP 공격 Ⅱ. 주요기능
공격자는 DHCP통신에서 사용하는 Discover, Discover Offer, Request, Decline, ACK, NACK등의 메시지를 대량으로 발송하여 DHCP서버가 정상적으로 동작하지 않도록 합니다. DHCP통신이 이루어지기 전까지는 IP주소가 없기 때문에 SNIPER IPS에서는 MAC주소를 바탕으로 임계치를 넘어선 공격에 대해 탐지 방어를 수행하게 됩니다.　(Discover Flooding, ACK Flooding, Request Flooding, Decline Flooding…) SNIPER IPS는 DHCP통신 중 MAC주소나 DHCP타입에 오류가 발생한 경우, 탐지 방어 하는 것이 가능합니다.(Invalid DHCP Type, Invalid MAC Address) 또한, DHCP에서의 Buffer Overflow공격에도 대응 가능합니다.

20 운영 : Real-Time Monitoring
Ⅱ. 주요기능 실시간 대응 구분 SNIPER 타사 IPS 공격이벤트 OK 세션모니터링 및 재현 HTTP, FTP, Telnet 없음 방어상황 모니터링 트래픽 모니터링 실시간 룰 설정 탐지 및 방어 중에 룰 설정 및 변경 네트워크 보안의 최전방에 위치하는 IPS로서는 실시간 대응의 중요도는 매우 높습니다. IPS는 네트워크 공격에 대응하는 기능 뿐만 아니라 트래픽량에 대한 실시간 분석도 반드시 필요(샘플링이 아닌 전수검사)

21 운영 : VIRTURE IPS 가상탐지정책 구축 Ⅱ. 주요기능
IP Pool이란 네트워크를 IP영역별로 구분하여 (Subneting) 그룹화 시키는 것을 의미 IP Pool을 3단계 (그룹, 본사, 지점)로 분류하여 관리 IP영역별 Virtual IPS 작성, 서로 다른 탐지정책 적용 가능 다중 보안정책 설정, 총소유비용(TCO) 절감 도입규모 최소화를 통해 전력량 감소 효과 (Green IT 실현) 장비당 256개 VIPS 센서 구성 호스트/서브넷에 각 VIPS별 정책수립 및 수행

22 운영 : GUI Ⅱ. 주요기능 실시간 트래픽 감시/대응 실시간 트래픽 현황 실시간 이벤트 탐지현황
실시간 세션정보(HTTP/FTP/Telnet 등) 및 네트워크 트래픽 상황 확인 실시간 탐지/방어정보(해킹/사용자정의/네트워크) 및 방어상황 확인 실시간 트래픽 현황 실시간 이벤트 탐지현황

23 운영 : GUI Ⅱ. 주요기능 실시간 탐지/방어/경보 실시간 탐지/방어 현황 (상세정보 확인지원) 공격 별 통계 현황
실시간 세션정보(HTTP/FTP/Telnet 등) 및 네트워크 트래픽 상황 확인 실시간 탐지/방어정보(해킹/사용자정의/네트워크) 및 방어상황 확인 실시간 탐지/방어 현황 (상세정보 확인지원) 공격 별 통계 현황

24 부가기능 : firewall & Network Quota
Ⅱ. 주요기능 Firewall SNIPER IPS는 Firewall 기능을 일부 제공하고 있습니다. (NAT, VPN 미지원) 포트 및 프로토콜 별 제어 네트워크 방향 별 제어 등 엔진 내부에 위치하여 방어처리 극대화 Network Quota 한정된 대역폭 하의 트래픽 문제해결 인터페이스별 대역폭 제한 가능 bps(사이즈 별), pps (패킷수 별)를 기준으로 제한 프로토콜, 포트 별 Filtering 기능 제공 제한 된 패킷들은 Drop되어짐

25 INDEX 제안 배경 및 개요 주요기능 제품특장점 Support 요약 & 별첨 Chapter 1 Chapter 2

26 고성능 / 정밀 탐지를 위한 SNIPER IPS 엔진 구조
ENGINE ARCHITECTURE Ⅲ. 제품특장점 고성능 / 정밀 탐지를 위한 SNIPER IPS 엔진 구조 IP 및 Port정보를 기반으로 차단정보를 저장 및 수행 합니다. ACL 및 세션 방화벽 기능을 제공하여 외부 및 내부의 접근을 제어 할 수 있습니다. 시그니쳐 기반의 공격을 탐지/방어 합니다.(패턴매칭) 세션 기반의 공격을 상세 분석 합니다. (세션재조합, 서비스거부, 서비스공격등) 차단내역은 Black Hole에 전송됩니다. Layer 7까지 분석 가능한 ALSI 엔진을 탑재하여 정밀한 분석능력을 보유하고 있습니다.

27 주요 적용 기술 Ⅲ. 제품특장점 고성능/정밀 탐지를 위한 최신기술 적용

28 오탐지 최소화 방안 제시 신 기술 적용 및 정밀한 정책 설정기능 지원 Ⅲ. 제품특장점
Application Level Stateful Inspection Engine Exclude Mechanism Dynamic Policy Rule Mechanism Local, Remote Cross-Analysis Mechanism Raw Data Analysis Function Anomaly Detection Mechanism Signature 축약 및 Session 조합분석 기능 호스트, 네트워크 예외 설정 기능 Threshold (공격인정횟수, 공격인정시간) 설정가능 Self-Training 방식으로 비정상 트래픽 탐지 기능 네트워크 영역 구분관리(LCRS, LSRC, LCLS, Total별 분석) Protocol Header, Hexa Code, Payload 분석 기능

29 CC & 보안적합성 Common criteria 보안적합성 Ⅲ. 제품특장점 EAL4 SNIPER IPS E4000 EAL3
정보관련 시스템이나 정보관련 제품에 필요한 보안 요건이 규정. 정보기술을 이용한 제품이나 시스템이 반드시 갖추어야 할 보안 기능에 관한 요건, 설계부터 제품화에 따른 과정에서 보안기능이 실현되어 있는 것을 확인하는 요건들이 망라되어 있음.(7단계의 보증레벨) EAL4 SNIPER IPS E4000 EAL3 Level SNIPER IPS 10G SNIPER IPS E2000 SNIPER IPS E1000 구분 보안적합성 국가/공공기관은 국내/외 CC인증제품과 검증필 제품목록에 등재된 제품 중에서 선택하여 도입이 가능하며, 도입 제품에 대해 반드시 국가정보원의 보안적합성 검증절차를 거쳐 사용해야 합니다. - 출처 : 국정원

30 SECURITY EMERGENCY RESPONES CENTER
사이버침해사고 대응센터 Ⅲ. 제품특장점 독자 사이버침해사고 대응센터 운영 WINS SECURITY EMERGENCY RESPONES CENTER 업계 최초 MAPP 체결 Microsoft사에서 출시하고 있는 제품들의 취약성 정보를 조기에 입수하여 해결방안을 보다 빠르게 제시 합니다. 또한, 보안취약성 정보를 조기에 취득해 보안제품에 적용함으로써 해당 취약성에 대한 패치가 적용되기 전까지의 보안 공백 및 제로데이공격(Zero-day Attack)에도 대응 할수 있게 되었습니다.

31 INDEX 제안 배경 및 개요 주요기능 제품특장점 Support 요약 & 별첨 Chapter 1 Chapter 2

32 정보보호 지능화 서비스 Securecast 서비스 Ⅳ. SUPPORT
전세계에서 매일 보고되는 새로운 취약성 정보를 신속하게 취합/분석(WINS CERT) 국내 환경에서 발생가능한 위협정보를 온라인(securecast.co.kr)으로 실시간 제공하고, 예보 및 경보하는 정보보호 지능화 서비스 (Information Security Intelligence Service)입니다. WINS CERT는 10년 이상 축적된 취약성 정보와 분석노하우를 바탕으로 신속하고 정밀한 시그니처를 제품에 적용하고 있습니다. WINS Technet 침해사고대응팀 WAF / 취약성 / 악성코드 / 공격 Tool 데이터베이스 보안위험등급 5단계 (정상-관심-주의-경계-심각) 취약성 신고센터 각종 자동보고서 (pdf, xls, doc, and etc.) 회원등급 구분 (Platinum / Premium / General)

33 보안관제서비스 Ⅳ. SUPPORT

34 SNIPER Center와 SNIPER IPS 제품을 고객통보후 GUI/SSH 접속을 통한 기술지원
Ⅳ. SUPPORT 원격 리모트 콜 서비스 SNIPER 정보 등록 장비 상태, Syslog 정보 제공 SNIPER 원격지원센터 SNIPER IPS/IDS와 연동하여 응답률, 통신량, CPU 점유율, HDD 사용량, 버전 정보 등을 모니터링 필요 시 직접 GUI / SSH 접속으로 상세 정보 확인 카테고리 별 등록으로 효율적인 관리 장애와 같은 오작동 발생시 간략한 로그 수록, 날짜 별, 장비 별 검색 기능 장애처리시간 단축 이상징후 탐지 SNIPER Center와 SNIPER IPS 제품을 연동하여 실시간 모니터링 제공 고객통보후 GUI/SSH 접속을 통한 기술지원 서비스 제공

35 INDEX 제안 배경 및 개요 주요기능 제품특장점 Support 요약 & 별첨 Chapter 1 Chapter 2

36 국내 No.1의 침입방지시스템 SNIPER IPS
요약 Ⅴ. 요약 및 별첨 국내 No.1의 침입방지시스템 SNIPER IPS 정밀한 탐지능력 및 안정적인 성능 국내 대형 레퍼런스(통신/금융/정부)에서 검증된 고성능 10G 제품 군 보유 국내 IPS/DDX 시장 점유율 1위 업체의 기술력(네트워크 보안 관련 특허 18개 보유) 지능화/복합적인 최신 공격에 대응 국내 No.1의 독자적인 CERT(침해사고 대응팀) 운영 지속적인 연구/업데이트를 통한 최신 공격 대응(국내 최초 MAPP 체결) 웹 접속 방식을 이용한 관리와 직관적인 User Interface 확장성 & 통합관리 다양한 보안솔루션(TMS, 내부보안)과의 연동을 통하여 보안영역 확대 200Mbps ~ 10Gbps 제품 군 보유로 네트워크 망의 확장에 유연한 대응 시장 및 고객의 요구사항에 유연하게 대처할수 있는 유연한 제품설계

37 주요 고객사 Ⅴ. 요약 및 별첨

38 HARDWARE SPEC. Ⅴ. 요약 및 별첨 NE1000 NE2000 NE5000 10G 성 능 시스템일반 인터페이스 기 타
Throughput 200Mbps 2Gbps 6Gbps 10Gbps 시스템일반 Rack Size 2U 3U 4.5U CPU Intel Xeon Quad Core 2.4 IntelXeon Quad Core 2.4 x 2 Intel Xeon Quad Core 2.4 x 2 Intel Xeon Quad Core 2.66 * 2 HDD 500G 1TB x 2 메모리 DDR3 6G DDR3 8G DDR3 12G DDR3 12GB CF 2GB 운영체제 Embedded OS 인터페이스 모니터링 10/100 * 2 100/1000 * 4 or Fiber * 4 Max Fiber 10G * 4 관리/HA 100/1000 * 2 Serial RJ45 * 1 RS232 * 1 기 타 Redundant Power ○ Redundant FAN Lockable Front Bezel Failure Detection (FAN, POWER) LCD VFD (Color) 크기 (mmW x mmD x mmH) 494 x 578 x 88 494 x 590 x 132 494 x x 200 무게 14.5Kg 18.95Kg 26Kg 전압 100/240V 47/63Hz 100/240V 47/63Hz V 47/63Hz 최대소비전력 420W, 7-3A 500W, 8-3A 1350W, 20~10A 동작환경 5C to 35C 0C to 40C 보관온도 -20C to 70C

39 SNIPER IPS Specification SNIPER IPS Specification
SOFTWARE SPEC. Ⅴ. 요약 및 별첨 SNIPER IPS Specification 설치 및 관리 멀티시스템 통합 (ESM) O Transparent (Bridge) WEB기반 관리 관리채널 SSL암호화 이중화 구성 (HA) 실시간 모니터링 실시간 탐지/방어정보 트래픽 추이/네트워크 부하 프로토콜 별 점유율 탐지 및 차단 수준 Application Level Stateful Inspection Packet단위공격 탐지/방어 Defragmentation Reassembly Dynamic Block List 1,000,000 Protocol Decoding MPLS, DHCP, 802.1q, GRE, IPinIP 등 SNIPER IPS Specification 탐지 항목 DoS O 스캔공격 (probing) 서비스공격 프로토콜 취약성 Backdoor Web CGI Worm Anomaly 사용자정의 시그니처 관리 Import/Export Signature 라이브업데이트 Update Scheduling CC인증 시그네쳐 수 3,000+ 24시간 대응체제 침입대응 Detect Only Block Allow Alert Log

40 SNIPER IPS Specification SNIPER IPS Specification
SOFTWARE SPEC. Ⅴ. 요약 및 별첨 SNIPER IPS Specification 경보 및 타 시스템 연동 O Screen Display Alarm Sound Script Syslog SNMP 내부정보유출감시 Telnet FTP / Rlogin NETBIOS Raw Data SNIPER IPS Specification 보고서 일별, 주간별, 월별 보고서 작성 O 설정별 자동 보고서 작성 Customize Export (Word, Excel, PDF, HTML등) 부가기능 Firewall QoS Passive Mode (IDS로 사용) False Positive 최소화 예외 조건 설정 (Filter) 탐지정책 튜닝 Raw Data 수집 및 분석 기능 내장 내부/외부 망(IP) 구분 설정 내부/외부 망연결 방향별 룰 구분 Application Level Stateful Inspection 인증 국가정보원 CC인증(EAL4)

41 SNIPER 제품 군 Ⅴ. 요약 및 별첨

42 감사합니다.