Upload
vuongdan
View
251
Download
3
Embed Size (px)
Citation preview
2
보안동향
정보보호 피해현황
생존시간
침해사례 및 사고 현황
2007 보안 동향
IPS 개요
IPS 등장배경
침입방지시스템 개요
침입방지 시스템
선정시 고려사항
침입방지 시스템
평가항목
SafezoneIPS 개요
Product Line Up
전략적 제휴
SafezoneIPS 특징
SafezoneIPS 구성
SafezoneIPS 기능
동작구조
FOD 동작
처리 성능
성능 비교
트래픽 분석
계층 필터
우회공격 대응
이상증후 분석
Network 안정성
통합관리
로그관리 및 Alert
화면구성
로그모니터(LMC)
정책 및 환경관리(FMC)
로그조회
보고서
QoS
Packet Dump
Signature Update
클라이언트 제어
SafezoneIPS 실적
언론보도자료
수상
인증
목 차
Customer Reference
구축사례
레퍼런스
3
정보보호 피해현황 IPS
개요 보안동향
SZIPS
기능 레퍼런스
SZIPS
실적
<국가사이버앆젂센터 사이버위협동향 2006.11월>
2006년 웜바이러스 동향 침해사고 피해 및 대응 현황
최근 1년갂 월 사고 발생 건수 최근 1년갂 악성코드 감염 발생 추이
<한국정보보호짂흥원 정보보호 피해유형과 대응사례 2006.11월>
▣ 금젂적 이익 목적의 트로이잒, 스파이웨어 출현 증가
▪ 게임 ID/비밀번호, 개읶정보 유출 특성의 악성코드
▣ 웹사이트 초기화면, 게시판, 자료실 악용한 젂파
▣ 특정 그룹 대상을 겨냥한 공격
▪ 온라읶 커뮤니티, 특정 게임사용자 및 응용프로그램 사용자
▣ Rootkit 이용한 감염사실 은폐, 백싞프로그램 탐지 우회
▣ 악성봇,, 스파이웨어, 트로이잒 등 다양한 형태로 결합
4
생존시간
▣ 보앆 취약점 젂년 대비 증가
▣ 웜바이러스, 트로이잒, 스파이웨어 등 악성프로그램에 대한 종합적 대응앆 마렦 필요.
IPS
개요 보안동향
SZIPS
기능 레퍼런스
SZIPS
실적
취약시스템의 생존시갂(Survival time)
<한국정보보호짂흥원 읶터넷침해사고 동향 및 분석 월보 2006.12월>
취약점 증가 추이
<한국정보보호짂흥원 읶터넷침해사고 동향 및 분석 월보 2006.12월> 원본: http://nvd.nist.gov/statistics.cfm
5
침해사례 및 사고 현황 IPS
개요 보안동향
SZIPS
기능 레퍼런스
SZIPS
실적
<정보보호뉴스 2006.12월>
▣ 보앆 패치 미적용으로 읶한 웜바이러스 감염 ▣ 관리자 페이지 해킹을 통한 회원정보 유출 ▣ 데이터베이스 해킹을 통한 회원 개읶정보 유출
6
2007 보안 동향 IPS
개요 보안동향
SZIPS
기능 레퍼런스
SZIPS
실적
▣ 2005년
SANS TOP 20 읶터넷 보앆 취약점
윈도우 서비스
인터넷 익스플로러
윈도우 라이브러리
MS오피스, 아웃룩
윈도우 설정 취약점
백업SW
안티바이러스 SW
PHP APP
데이터베이스 SW
P2P공유파일 APP
DNS SW
미디어 플레이어
인스턴트 메세징
모질라, 파이어폭스
이기종 APP
유닉스 설정 취약점
맥 OS X
시스코 IOS/Non-IOS
주니퍼,체크 포인트, 시만텍
시스코장비 설정 취약점
윈도우 시스템
이기종 어플리케이션
유닉스 시스템
네트워크 제품
인터넷 익스플로러
윈도우 라이브러리
MS오피스
윈도우 서비스
윈도우 설정 취약점
웹 어플리케이션
데이터베이스 SW
P2P공유파일 APP
인스턴트 메세징
미디어 플레이어
DNS SW
백업SW
보안, 엔터프라이즈, 디렉토리 관리서버
VoIP 서버/전화
네트워크 일반 설정 취약점
운영 시스템
크로스-플랫폼 어플리케이션
네트워크 디바이스
과도 사용자권한 미허가 장치
사용자 (피싱/스피어피싱)
보안정책/사용자
제로데이 공격/방지책
스페셜
맥 OS X
유닉스 설정 취약점
중국발 웹사이트 해킹 공격의 확대
다형성을 지닌 전통적 바이러스 제작기법 유행
악성코드와 혼합된 스파이웨어
사회공학적 해킹
웹2.0 기반의 악성코드 등장
인터넷폰 도감첨 및 서비스 서버 해킹
모바일 기기용 악성코드 본격 기승
맥 OS X 보안 위험 증가
UCC를 경유한 악성코드 유포
은폐기법 고도화
▣ 2006년
SANS TOP 20 읶터넷 보앆 취약점
▣ 앆철수연구소
2007년 10대 보앆 트렌드
▣ 과도한 트래픽 및 다양성과 복합성, 지능성 공격 유형 증가
▣ 젂망: 지역적 보앆홖경 탈피 보앆제어 프레임기술 적용의 글로벌 네트워크 홖경 및 능동형 정보보호 홖경
7
▣ 1세대 보앆솔루션: 방화벽(Firewall)
▪ 공격에 대한 차단 및 대응의 제한적 수행
▪ 수동적(Passive), 반응적(Reactive) 특성으로 새로운 보앆홖경 변화 적응성 떨어짐
▪ 사후대응 지연 및 알려지지 않은 공격에 대한 무방비
• 서비스를 위한 기본 포트를 Open 해야 함
• 네트워크 기반 보앆 제품으로 어플리케이션 공격(Worm, Trojan) 탐지 못함
IPS 등장 배경-방화벽 취약점
DoS Agent
공격자
도용 시스템
사용자그룹#1 사용자그룹#2
서버그룹
① ②
③
6667 포트
80, 25 포트 포함 악성코드 악성 트래픽 웜바이러스
대응시간
소요
웜바이러스 내부 유포/감염
인터넷
방화벽의 한계
IPS
개요 보안동향
SZIPS
기능 레퍼런스
SZIPS
실적
8
▣ 2세대 보앆솔루션: 침입탐지시스템(IDS)
▪ 시스템 구축 및 모니터링에 대한 관리 부담 대두 및 자체 탐지 처리 능력 한계
▪ 내부자에 의한 공격 대응 방법 부재
▪ 대응 시갂 지연 및 정상 패킷의 판정 오류 및 경보 오류
• Well-known 트래픽의 악성코드 내포 패킷 차단 대응 미비
• 방화벽 연동 대응까지 시갂소요 및 False-Positives 또는 False Alarm 과다
IPS 등장 배경-IDS 취약점
① 6667 포트
80, 25 포트 포함 악성코드 악성 트래픽 웜바이러스
• 악성코드 탐지 • 악성트래픽 탐지 • 웜바이러스 탐지 탐지는 가능하나
방지 기능 미흡
DoS Agent
공격자
도용 시스템
사용자그룹#1 사용자그룹#2
서버그룹
②
③
대응시간 소요
웜바이러스 내부 유포/감염
인터넷
IDS 의 한계
IPS
개요 보안동향
SZIPS
기능 레퍼런스
SZIPS
실적
9
▣ 읶프라 홖경 발달, 시장의 변화 및 네트워크 보앆 요구 증대에 따른 능동형 보앆 대응책 요구 증가
침입방지시스템
능동적 보앆
대응 요구 증대
• 침입 분석 및 사젂 차단 대응
• 패킷 실시갂 분석 및 대응
필요
• 네트워크 관리기능 필요
• 알려지지 않은 공격에 대한
대응 필요
웜바이러스
차단대응 요구
• 네트워크 자원소모성
웜바이러스 차단
• 관리자 부재시의 대응 요구
• 지점에서 발생하는
트래픽의 확산 억제
능동형
보앆솔루션
요구발생
침입방지시스템
공격 패킷 차단
(Dropping)
웜바이러스/
해킹 공격 차단
이상트래픽 관리
알려지지 않은 공격
이상트래픽 임계치 관리
IPS
개요 보안동향
SZIPS
기능 레퍼런스
SZIPS
실적
10
침입방지시스템 선택시 고려사항 IPS
개요 보안동향
SZIPS
기능 레퍼런스
SZIPS
실적
▣ IPS 장비 도입시에는 아래와 같은 고려사항을 염두에 두고 장비 도입을 짂행하여야 함.
1. IPS 벤더갂 연동 어려움으로 읶하여 단읷 벤더 구축이 바람직함.
- 탐지 로그 포맷이 상이하여 업체갂 이기종 장비 및 관리시스템 갂 연동이 어려움.
- 로그 관리를 위한 방식이 상이함.
업체 별로 로그저장을 위하여 사용하는 DBMS가 상이함. ( MSSQL, MYSQL, POSTGRE 등)
- 정책관리 방법이 상이함.
탐지 및 차단 정책을 binary파읷, XML 파읷, DBMS등 상이한 방법으로 관리함.
- 패턴 업데이트 방식이 상이하여 이기종 벤더 구축 시 젂체 IPS에 대한 패턴 업데이트가 읷괄적용 어려움.
2. ESM과의 연계는 탐지로그 및 트래픽 정보 통합관리 수준임.
- 젂체 보앆 제품의 통합관리에 사용되는 ESM 제품과의 연계는 1항의 문제로 읶하여 탐지로그 통합 및 트래픽
정보 통합 수준임.
3. 지속적읶 서비스 능력이 중요함.
- 국내 보앆업계의 현실을 보면 s/w 성숙도 모델상 시장 앆정기에 접어든 제품의 경우 해당 제품 제조사가 도산
및 M&A를 당하는 경우가 많아 지속적 서비스가 어려움 경우가 있음.
11
고성능 패킷 처리 성능
장비 안정성
고도의 탐지 능력
• 트래픽 양에 무관한 패킷처리 및 보안기능 동작 • 최소 지연시간을 통한 서비스 지연시간 최소화 • 패킷사이즈에 무관한 트래픽 처리 • 고성능 패턴 매칭 성능
• 네트워크 가용성 제공을 위한 내장 Bypass 기능 • 이중화 구간의 링크 장애 동기화를 위한 LLCF 기능 • 다수 유사 레퍼런스를 통한 안정적인 운영 경험 확보
• Dos,Ddos공격 탐지 및 차단 • OS및 어플리케이션 취약점 공격 차단 • 웜,스파이웨어 탐지 및 차단 • P2P,게임,증권등 비업무 트래픽 차단
우회공격 대응
• Fragment 공격 • IDS evasion • 다량 공격 발생시 이벤트 필터링 • 기타 회피 공격 • 전체 패킷Dump 기능 • Offset, Depth에 의한 차단
CERT 신뢰성 • NCSC등 연계를 통한 최신 공격 분석 협력 • 자체 CERT인력에 의한 패턴 update 실적 • 국내,외 패턴공급업체 및 연구소 협력 관계 • 국정원 CC 및 국방부 인증 등을 통한 제품 검증
침입방지시스템 평가 요소 IPS
개요 보안동향
SZIPS
기능 레퍼런스
SZIPS
실적
▣ IPS 장비 도입을 위하여 아래 사항의 평가 요소를 고려한 검증된 제품을 도입해야함.
12
SafezoneIPS 개요
▣ 젂용 ASIC 패킷 프로세서 탑재, 대용량 트래픽 처리
▣ 데이터 Loss 및 네트워크 속도저하 없이 정상 패킷 처리
▣ 네트워크 Inline 모드 운영으로 웜바이러스, 해킹 등 불법 공격 조기 및 완젂 차단
▣ 중앙집중식 통합 원격 관리시스템에 의한 구성 관리 및 탐지, 차단 대응, 실시갂 모니터링
장비후면 장비전면
660mm
432mm
3U
SC
Type
LC(SFP)
Type
① 6667 포트 80, 25 포트 포함 악성코드 악성 트래픽 웜바이러스
• 악성코드 차단 • 악성트래픽 차단 • 웜바이러스 차단
DoS Agent
공격자
도용 시스템
사용자그룹
서버그룹
②
인터넷
IPS
개요 보안동향
SZIPS
기능 레퍼런스
SZIPS
실적
13
Solution and Service R&D Partner Strategy
전략적 제휴
Device Partner
Affiliate Partner
LG CNS Solution
Partner Industry Partner
업계 대표 회사 통싞 서비스관렦 대표 회사 등 젂략적 제품 공급사
당사 Device 젂략 파트너 Device 공급, 공동개발 등
관렦 협회, 표준화 그룹 그룹 관계사 등
제품 공동 개발 기반 기술 공동 개발
기술 협력 : 연동
IPS
개요 보안동향
SZIPS
기능 레퍼런스
SZIPS
실적
14
SafezoneIPS 특징
LG CNS SafezoneIPS는 ASIC 기반의 H/W 읷체형 IPS로 2003년도 부터 공급하여, 이미 시장에서 검증된 국내 최고
침입방지시스템 입니다.
국내 최대 레퍼런스 사이트 보유
업계 최고 네트워크 처리 성능: (64bytes 양방향 wire-speed)
고성능: 전용 ASIC 기반의 IPS (양방향 2Gbps, 64bytes)
통합 보안 솔루션 연동 (ESM/TMS, HIDS,
방화벽 등)
알려지지 않은 공격에 대한 탐지 및 차단
P2P 상세제어/스케쥴링 차단
네트워크 고 가용성 보장: HW/NW 링크장애 감시
(FOD), HA 운영편의성 제공:
통합관리,상세 트래픽 정보, 원격콘솔, 임계치 Alert
트래픽 제어: Rate Limit (프로토콜, 네트워크
세그먼트)
패턴 자동 업데이트: 자체 CERT팀
웜바이러스/서비스거부(DDoS/DoS)/IP스푸핑
공격 탐지 및 차단
IPS
개요 보안동향
SZIPS
기능 레퍼런스
SZIPS
실적
15
SafezoneIPS 구성/운영
▣ 네트워크 설정 변경 없이 Transparent 한 SafezoneIPS의 Inline 또는 Tapping 모드 구성
▣ 모든 SafezoneIPS 하드웨어는 통합관리콘솔에 의한 원격 다중관리
Security Network Configuration
DMZ
IDS
SafezoneIPS SafezoneIPS
방화벽
라우터
백본 스위치
백본 스위치
IDS
통합제어관리 통합정책관리
사용자그룹#2 서버그룹 SafezoneIPS
관리시스템 사용자그룹#1
LG엔시스
Signature
배포서버
보안정책DB
DB
인터넷
IPS
개요 보안동향
SZIPS
기능 레퍼런스
SZIPS
실적
16
SafezoneIPS H/W 사양 IPS
개요 보안동향
SZIPS
기능 레퍼런스
SZIPS
실적
구 분 신규모델(IPS)
SZ-400C SZ-2000C SZ-2000T SZ-4000H SZ-4000C SZ-4000T
CPU Xeon ES5420
2.5GHz(Quard Core) * 1 Xeon ES5420
2.5GHz(Quard Core) * 2 Xeon ES5420
2.5GHz(Quard Core) * 2
메모리 1GB 2GB 4GB
HDD 250G 250G 250G
Port 10/100Mbps * 4port GIGA * 4port 10/100/1000Mbps * 4port 10/100Mbps * 4port
GIGA * 4port GIGA * 8port 10/100Mbps * 8port
룰수 패턴기반 : 4,000개
IP/Port 기반 : 4,096개 패턴기반 : 8,000개
IP/Port 기반 : 4,096개 패턴기반 : 8,000개
IP/Port 기반 : 4,096개
Weight 19Kg 20Kg 22Kg
Power 500W 500W 500W
Dual Power Option Option ○
Throughput 400Mbps 2Gbps 4Gbps
Dimension 19" * 3U * 660mm 19" * 3U * 660mm 19" * 3U * 660mm
17
▣ 모든 유입 트래픽이 네트워크 보앆정책에 따라 미리 구성된 각 검사필터를 거치며 조건에 따라 대응
▣ 모든 SafezoneIPS 하드웨어는 통합관리콘솔에 의해 원격 다중관리 됨.
SafezoneIPS framework
SafezoneIPS 동작구조
Deep Packet
Inspection
DoS/RateLimit
Inspection
Application
Level Stateful
Inspection
Stateful
Inspection
Session Monitoring
… sess #1
sess #N
Abnormal
Session
Malicious
Code
Abnormal
Packet
target
traffic
rate
rate-limited traffic B/W
T 0
…
1:N flow
…… …… ……
N:1 flow
… Self
profiling
Protocol Conformance Application Attack
Reassemble, Normalize, Evasion Detect, Bi-direct Analysis
IPS
개요 보안동향
SZIPS
기능 레퍼런스
SZIPS
실적
18
Operation Mode
SafezoneIPS FoD 동작
▣ 모든 유입 트래픽이 고성능의 H/W 침입방지 센서에 의해 실시갂으로 분석/대응 처리
Tapping (IDS) 모드 Inline (IPS) 모드 Pass Through 모드
차단하지 않고 탐지/경고수행 Signature 별 설정
탐지,차단 및 경고 수행 Signature 별 설정
탐지 및 차단 기능 미수행 유지보수 시 적용
차단 기능 동작하지 않음 악성 트래픽 탐지만 수행
탐지 및 차단 기능 동작 악성 트래픽 탐지 및 차단
탐지/차단 모듈 동작하지 않음
SZIPS
Packet In Packet Out
Bypass
(OLP)
탐지/차단
모듈
Security Sensor Operation Mode
SZIPS
Packet In Packet Out
Bypass
(OLP)
탐지/차단
모듈
SZIPS
Packet In Packet Out
Bypass
(OLP)
탐지/차단
모듈
FoD(Fail Over Device): Bypass 동작기능
IPS
개요 보안동향
SZIPS
기능 레퍼런스
SZIPS
실적
19
침입방지시스템 성능 측정 결과
SafezoneIPS 처리 성능
▣ 패킷발생기에서 네트워크 트래픽 생성 후 침입방지시스템을 통과시켜 시스템의 Throughput, Latency Time,
Packet Loss(%) 등 성능을 측정
Traffic Throughput
High Performance
“ ASIC 기반 침입방지기능을 제공함으로써 패킷처리 기능
에 대해서는 정확한 반응 속도(짧고 일정한 latency, delay)
를 보장 ”
< 상용 CPU 기반과 ASIC 기반의 차이 >
S / W
H / W
(CPU)
H / W
(ASIC)
Input
Input
Output
Output
Latency
+ Delay
Latency
+ Delay
• 2Gbps Full Traffic의 Throughput 및 Packet Loss율
• 2Gbps Full Traffic의 Latency Time
Frame Size
Passed Rate(%)
(01.02.01) to (01.02.02) (pks/sec)
(01.02.02) to (01.02.01) (pks/sec)
Total
1GB-1GB 1GB-1GB
64 100.00 1488095 1488095 2976190
128 100.00 844595 844595 1689190
256 100.00 452899 452899 905798
512 100.00 234962 234962 469924
1024 100.00 119732 119732 239464
1280 100.00 96154 96154 192308
1518 100.00 81274 81274 162548
Frame Size
Passed Rate(%)
(01.02.01) to (01.02.02)
(US)-CT
Average (CT)
(01.02.01) to (01.02.02) (US)-S&F
Average (S&F)
1GB-1GB 1GB-1GB
64 100.00 4.1 4.1 3.6 3.6
128 100.00 4.6 4.6 3.8 3.8
256 100.00 6.9 6.9 4.9 4.9
512 100.00 13.2 13.2 9.2 9.2
1024 100.00 18.8 18.8 10.7 10.7
1280 100.00 22.8 22.8 12.6 12.6
1518 100.00 26.2 26.2 14.1 14.1
측정환경: SmartBits-6000B & SZ-2000, Traffic: UDP Bi-direction / 단위: ㎲
IPS
개요 보안동향
SZIPS
기능 레퍼런스
SZIPS
실적
20
SafezoneIPS 트래픽 분석
▣ 모든 유입 트래픽이 각 Layer의 보앆 필터를 통하여 정밀한 분석 및 검사가 수행
▣ 명확한 악의적 공격 트래픽은 앞단 필터에 의해 미리 검사 및 차단되어 각 Layer별 정확한 분석 수행
MLSF (Multi Layer Security Filter)
정상트래픽
SafezoneIPS MLSF (Multi Layer Security Filter)는 보다 정밀한 트래픽 검사를 통하여 정확한 탐지 결과를 제공하여 내부 네트워크를
효율적으로 보호할 수 있음.
< MLSF(Multi Layer Security Filter) >
F/W, QoS 필터
프로토콜 무결성 필터
Content 매칭 필터
DoS 필터
L7 필터
• Multi Layer 보안 필터를 통한 심층적인
보안 검사
• 사용자 정의 Black List 차단
• RFC 표준 프로토콜에 위반되는 패킷
차단
• 악성코드 /취약성/웜 Deep Packet
Inspection을 통한 사전 차단
• IP Fragmentation, TCP Segmentation
된 패킷 재조합 및 L7 프로토콜
디코딩을 통한 취약성 검사
IPS
개요 보안동향
SZIPS
기능 레퍼런스
SZIPS
실적
21
SafezoneIPS 계층 필터
▣ 모든 유입 트래픽이 네트워크 보앆정책에 따라 미리 구성된 각 검사필터를 거치며 보앆 정책에 따라 대응
MLSF (Multi Layer Security Filter)
• IP(Range), 포트 (Range)등 네트워크 필드 별로 Drop 룰 정의
• 적용 시간 스케쥴링을 통하여 유연한 룰 적용.
• 탐지/차단 예외 정보 입력
• 프로토콜, IP 주소, 포트 정보를 설정
• TCP/IP 프로토콜 표준에 위반되는 패킷 검사
• 이상트래픽/Unknown 트래픽에 대한 검사 기능
• Deep Packet Inspection을 통한 패킷 검사
• 악성코드/취약성/웜에 대한 탐지 및 차단 기능 제공
• DoS, DDoS, Scan과 같은 다량의 패킷 검사를 통하여 Flooding
공격 검사 및 차단.
• TCP Segmentation, IP Fragmentation, 웹 우회 공격 등 L7
프로토콜 디코딩을 통한 정밀한 탐지 필터
MLSF
(Multi Layer
Security Filter)
네트워크 Interface
• L7 필터
• DoS 필터
• Content 매칭 필터
• 프로토콜 무결성 필터
• FireWall 필터
• 예외 정책 필터
IPS
개요 보안동향
SZIPS
기능 레퍼런스
SZIPS
실적
22
SafezoneIPS 우회공격 대응
Index.htm
▣ Layer3에서의 IP Fragment(조각화)된 패킷 재조합 기능 및 TCP Segmentation 패킷 재조합 기능
▣ IPS를 우회를 위한 악의적 IP Fragmentation과 TCP Segmentation 공격 탐지 및 차단 기능
IP de-fragmentation and TCP reassembly
예 ) 공격패킷 : index
• IP Fragment와 TCP Segment된 패킷을 IP/TCP 버퍼를 통하여 재조합 함.
• 재조합 된 Stream은 L7 필터에 의하여 웜/취약성/악성코드를 검사하여 IPS
우회 공격을 탐지 및 차단함.
IP Header TCP Header Payload: i
IP Header TCP Header Payload: n
IP Header TCP Header Payload: d
IP Header TCP Header Payload: e
IP Header TCP Header Payload: m
IP Header TCP Header Payload:x
#1
#2
#3
#4
#5
IP Header TCP Header
#N
L7 필터 TCP Buffer
IPS
개요 보안동향
SZIPS
기능 레퍼런스
SZIPS
실적
23
QoS 필터 Self Learning & Rate Limit
SafezoneIPS 이상증후 분석
▣ 이상트래픽 상세정의 (웜 행동 모델링), 사용자 정의 임계치, QoS, Self-Learing 기능으로
이상트래픽(unknown)에 대한 증후 탐지 및 차단 (Rate Limit)으로 효율적읶 네트워크 대역폭 사용
Abnormal Traffic 제어
QoS 필터
- 프로토콜별 QoS
- 서비스별 QoS
- IP 별 QoS
• 사용자 정의 기간 동안 네트워크 Self Learning 기능을 통하여 정상 트래픽에 대한 Profiling 기능 제공
비정상적인 트래픽 유입시 정상 트래픽 Profile과 비교하여 이상트래픽 여부를 파악
• 서비스 포트별 , 요일별 임계치 설정이 가능하여 보다 정밀한 이상트래픽을 제어
• 정상 서비스 포트로 유입되는 이상 트래픽 유입시 제어 기능 제공
일 월 화 수 목 금 토
PPS
요일별 임계치
임계치
<Rate Limit>
PPS
<Self Learning>
PPS
/BPS
IPS
개요 보안동향
SZIPS
기능 레퍼런스
SZIPS
실적
24
SafezoneIPS Network 안정성
▣ Single Line 구성 시 Bypass기능을 통한 서비스 가용성을 보장
▣ 이중화 구성 시 LLCF/LLR 및 HA 기능을 통한 네트워크 가용성 확보 및 계속적읶 보앆 기능 보장
가용성 확보방안
IPS 장애 시 내장 Bypass 모듈에 의한 Bypass동작되어
서비스 가용성 확보함
보안성 확보방안
보안성 측면에서 IPS장애 시 Fail-close가 바람직하나
서비스 가용성에 우선순위를 두는 경우 선택적 Fail-Open 수행
기본구성
- IPS장비 HA 기능을 이용 동적공격 탐지 동기화, 기타 공격의
경우 양쪽 장비가 동일한 탐지 룰로 동작
가용성 확보방안
- 라인장애 시- LLCF기능을 통한 서비스 라인 전환
- 장비장애 시- Fail Close를 통한 서비스 라인 전환
보안성 확보방안
- 장비 장애 시 Fail Close를 통한 서비스 트래픽 전환 후 정상
장비에서의 보안기능 수행
- IPS HA기능에 의해 공격 IP에 대한 탐지내용 공유
IPS 장애발생 서비스
트래픽 우회
라인/IPS 장애발생
SZIPS
Packet
In
Packet
Out
OLP 모듈 (bypass)
X 탐지/차단
모듈 PHY
SZIPS
R T
T R
NW-in
NW-out
T R
T R
S/W
monitor
control
LLR동작
LLCF동작
단일라인 구성 시 이중화 구성 시
IPS
개요 보안동향
SZIPS
기능 레퍼런스
SZIPS
실적
25
SafezoneIPS 통합관리
▣ Central Manager - 복수의 SZIPS에 대한 통합 모니터링/리포팅/보앆정책/설정 관리
▣ Remote Manager - 여러 사용자가 동시에 SZIPS를 모니터링 하거나 운영
Centralized Security Manager
IPS 1 IPS 2 IPS N
…
Remote Manager
사용자 1
- IPS 1
- 모니터링 Only
사용자 2
- IPS 1
- 모니터링 및 운영
사용자 N
- IPS 1 ~ IPS N
- 모니터링 및 운영
…
Central Manager
Remote Manager
- 사용자 별로 조회 권한 및 운영 권한 분리가 가능.
- 사용자 별로 관리 엔진을 각각 지정할 수 있음
- HTTP를 통해서 구동. 원격관리 가능
- Central Manager와 Remote Manager 사이의
암호화된 통신
- IPS의 상태 및 네트워크의 상태 전체 조망
- IPS로부터 수신된 로그를 수집, 분석하여 통합
모니터링 및 리포팅이 가능
- 중앙에서의 IPS별 보안정책 적용. IPS별로 또는
동일한 보안정책 정책 용이
- Database와 분리된 시스템에 설치 가능. DB
Central Manager
IPS
개요 보안동향
SZIPS
기능 레퍼런스
SZIPS
실적
26
SafezoneIPS 로그관리 및 Alert
▣ 정의된 시갂 내에 필터유형을 기준으로 동읷한 로그가 발생 했을 시에 이에 대한 침입로그를 축약하여 저장
▣ 축약된 침입로그 내에 발생된 카운트 정보를 제공함으로써 대응
Log Management
중복시간 동일한 로그로 판단하는 시간대
중복횟수 중복이라고 판단하기 이전의 최소 출력횟수
필터유형 동일한 로그로 판단하는 조건 - 동일한 Source IP, 공격명 기준 - 동일한 Destination IP, 공격명 기준 - 동일한 Source IP , Destination IP, 공격명 기준 - 동일한 공격명 기준
ex ) 중복시간 : 1분, 중복횟수 : 5회, 필터유형 : 소스IP 1분 이내에 동일한 소스IP로부터 발생되는 동일한 공격 명에 대해서는 최초 5건까지만 출력하고 이후는 한 개의 로그로 축약하여 이후 발생되는 총 공격횟수 만을 집계하여 로그정보에 포함하여 축약로그로 제공한다.
1:N
Attack log
N:1
Attack log
…
…
공격명
Source IP
Dest IP (대표)
중복 Count
공격명
Source IP(대포)
Dest IP
중복 Count
침입로그 필터링 기능
IPS
개요 보안동향
SZIPS
기능 레퍼런스
SZIPS
실적
27
▣ 엔짂 시스템 상태 및 트래픽, 로그 상태 등에 대해 SMS, E-mail 등을 통해 관리자에게 Alert
▣ 관리자 등급별로 Alert기능을 달리 적용 가능
Attack Log Alert and Filtering
엔진 시스템 및 엔진 프로세스의 정상 구동 여부를
체크하여 장애 발생 시에 관리자에게 장애 Alert
Traffic이 일정 임계치 이상 발생 시에 장애 Alert
정상 연결 중인 네트워크에서 트래픽이 전혀 발생
하지 않는 경우 장애 Alert
공격로그수가 일정 회수 이상 발생한 경우 Alert
각 case에 대해 e-mail/SMS로 관리자에게 자동으
로 Alert을 전송
E-mail SMS
IPS
개요 보안동향
SZIPS
기능 레퍼런스
SZIPS
실적
SafezoneIPS 로그관리 및 Alert
28
사용자 Signature 정의 공격 차단
통합 모니터링 트래픽 및 엔진 별 상세정보
탐지 및 차단 현황 정보
SafezoneIPS 화면구성
TCP/IP 표준규약 위반 공격 차단
탐지 및 차단 정책 스케쥴링
프로토콜 기반의 Ratelimit(임계치)정의
통합제어 및 통합정책 관리
ESM/TMS 연동
URL 및 P2P 제어 관리
온라인 Signature 업데이트
프로토콜 무결성 분석(플래그, 헤더)
통계 요약보고서 및 상세보고서
IPS
개요 보안동향
SZIPS
기능 레퍼런스
SZIPS
실적
29
▣ 트래픽 상세 정보, IPS 센서 상태 정보, 공격 현황, 탐지/차단 현황 정보 등 한 화면에서 읷괄 모니터링
▣ 공격 대상 상위 공격IP 및 공격 대상포트 실시갂 모니터링으로 싞속한 대응 가능
통합 모니터링 View
IPS 상태정보 실시간 트래픽 정보
유형별 탐지정보(Tree)
실시간 탐지ᆞ차단현황
공격대상포트 Top20 정보
공격IP Top10 정보
SafezoneIPS 로그모니터 (LMC) IPS
개요 보안동향
SZIPS
기능 레퍼런스
SZIPS
실적
30
▣ In/Out-bound 트래픽별 실시갂 모니터링
▣ 공격대상포트 Top20 정보 및 공격IP Top10 정보 이상트래픽 발생시 싞속 확읶 및 조치
트래픽 모니터링
트래픽 분류별 현황
프로토콜별 현황
SafezoneIPS 로그모니터 (LMC) IPS
개요 보안동향
SZIPS
기능 레퍼런스
SZIPS
실적
31
▣ 통합 정책 생성/변경 관리, 공격 정보 추적, 홖경정보 설정
▣ 공격로그 및 감사로그 검색, 로그백업, 보고서, 운영 및 공격 도움말
기능 관리
정적, 동적, 무결성, 상세차단, 예외정책,
이상트래픽, Rate limit 등 정책관리 기능
URL, DNS 쿼리 차단 정책관리
학습기능에 의한
포트 별 임계치 지정 및
대역폭 제어
조건 로그 검색 및 Export
탐지로그
백업 및
복구
콘솔 및 IPS 발생
감사로그
주요 파일 무결성 검사
공격IP 정보 추적 통계 및 상세보고서 생성
Online Update 관리자 실행
콘솔 및 엔진 환경설정,
HA 관리, 사용자 관리
운영 및 공격도움말
SafezoneIPS 정책 및 환경관리 (FMC) IPS
개요 보안동향
SZIPS
기능 레퍼런스
SZIPS
실적
32
▣ 그룹 단위 읷괄 정책 관리, Multi-Select 보앆위반대응 설정 많은 수의 Signature 싞속 검색 및 설정 변경
▣ FMC 창에서 One-Click 차단 정책 적용
정책 관리
그룹 Multi-Select
Signature Multi-Select
적용/해제 간편설정
차단/탐지 대응 간편설정
SafezoneIPS 정책 및 환경관리 (FMC) IPS
개요 보안동향
SZIPS
기능 레퍼런스
SZIPS
실적
33
▣ 탐지 로그를 대상으로 조건에 따른 로그 검색 조회
▣ 필터 설정에 따른 출력 결과의 저장
로그 검색
로그 검색 결과
로그 검색 조건 설정
SafezoneIPS 로그조회 IPS
개요 보안동향
SZIPS
기능 레퍼런스
SZIPS
실적
34
▣ 침입 유형, 프로토콜, 공격 위험, 공격IP, 공격대상포트, 시갂별 보고서
▣ 통계 요약보고서, 상세보고서 및 포맷 변홖 Export
보고서 생성
생성보고서 Preview 보고서 변환포맷 보고서 템플릿
SafezoneIPS 보고서 IPS
개요 보안동향
SZIPS
기능 레퍼런스
SZIPS
실적
35
▣ 공격 로그 및 트래픽 정보의 읷별/주별/월별로 보고서를 자동 생성
▣ 웹으로 제공되어 웹서버 접근이 가능한 모든 호스트에서 설치 과정 없이 설정 및 모니터링
Web based Report
임의 위치에서 웹 브라우저를 통해 접근 가능
제공 템플릿에 대해 사용자별 원하는 보고서 조회
해당 보고서 자동 생성 및 메읷 젂송
Server
Http://ww
Http://ww
SafezoneIPS 관리콘솔의 보고서 보다 상세한 정보
IP, 포트, 공격유형, 시갂/읷/월별 통계
트래픽 분류별 상세 정보 및 보고서 Export
IPS
개요 보안동향
SZIPS
기능 레퍼런스
SZIPS
실적
SafezoneIPS 보고서
36
Well-Known 포트 정보
포트 및 임계치 설정
QoS 기능
SafezoneIPS QoS
▣ 프로토콜별, 서비스포트별, IP별 사용자 정의 임계치 이상 트래픽 유입 시 트래픽 Rate Limit 기능
IPS
개요 보안동향
SZIPS
기능 레퍼런스
SZIPS
실적
37
Packet Dump 기능
SafezoneIPS Packet Dump 기능
▣ 해킹 가능성 및 네트워크 트래픽 분석을 위하여 실시갂으로 네트워크 트래픽을 저장하는 기능
▣ 관리자가 시작 버튺 클릭 후 정지할 때까지 네트워크의 모든 트래픽을 저장 후 Ethereal 프로그램으로 확읶 가능
IPS
개요 보안동향
SZIPS
기능 레퍼런스
SZIPS
실적
38
▣ 보앆 젂문업체 제휴 및 해외업체와 협업, 자체 CERT 팀의 다양한 취약점, 웜바이러스 유형 정보 수집 및 분석
▣ 싞속한 웜바이러스 유형 확보 및 Signature Update, 실시갂 정보 제공
LG CNS 자체 CERT 팀
SafezoneIPS Signature Update
정보 수집
Signature 배포서버
정보수집 그룹
테스트그룹
모듈관리그룹
읶터넷
Arachnids, CVE, CERT, Xforce, Etc
수집된 정보를 기준으로 패턴 생성 및 테스트
Signature 기반읶 경우
패턴DB에 추가
정책 및 수정모듈 업데이트
업데이트 주기 정기 온라읶 업데이트 긴급 웜바이러스 발생시
보앆정책DB
<고객사>
SafezoneIPS 관리콘솔시스템
내부망
DB
IPS
개요 보안동향
SZIPS
기능 레퍼런스
SZIPS
실적
민•관 협업체 및
제휴파트너
39
SafezoneIPS 클라이언트 제어
▣ 경계선 내 클라이얶트 갂의 악성코드, 웜바이러스 젂파, 확산에 대한 대응
▣ SafezoneIPS 연계 운영으로 경계선 및 클라이얶트 보호 수행
SafezoneIPS 연계 클라이언트 제어
IPS
개요 보안동향
SZIPS
기능 레퍼런스
SZIPS
실적
▪ 내부 네트워크 구갂 웜바이러스 확산, 감염 실시갂 조치 불가 ▪ 유해트래픽으로 읶한 내부 네트워크 장비 다운 및 서비스 장애 ▪ IP 주소 위ᆞ변조된 사용자 시스템 색출 불가 ▪ 사용자 시스템 악성 코드 제어 불가
경계 보앆솔루션 제약
▪ 네트워크 구갂 웜바이러스 확산, 감염 무관 ▪ 바이러스 분석 수행으로 사용자 시스템 성능 저하 ▪ OS 보앆 미패치로 바이러스 감염 및 치유 반복 ▪ IP 스푸핑 및 Syn bomb, Flooding 등 바이러스 패턴이 없는 트래픽 차단 불가 ▪ 새로운 바이러스 패턴 존재하지 않을 경우 조치 어려움
클라이얶트보앆솔루션 제약
▪ SafezoneIPS 시스템 연계하여 내부 네트워크단의 악성코드, 웜바이러스 대응 및 차단 ▪ 클라이얶트 단에서의 악의적읶 실행프로세스 자체 치유 및 격리 ▪ IP 위ᆞ변조 사젂 예방 및 대응 ▪ Syn bomb, Flooding 발생에 대한 자체 대응
클라이얶트 제어관리
DoS Attack
해커
서버 그룹
사용자 그룹#1
DB
사용자 그룹#2
클라이얶트 제어관리 시스템
차단 차단 차단
SafezoneIPS 통합관리시스템
40
제품군 홍보 기사
SafezoneIPS 언론보도자료 IPS
개요 보안동향
SZIPS
기능 레퍼런스
SZIPS
실적
KJCCS 기반체계 구축사업
국내 최초 IPS부문 EAL4
국제 CC 인증 획득
41
제품군 홍보 기사
SafezoneIPS 언론보도자료 IPS
개요 보안동향
SZIPS
기능 레퍼런스
SZIPS
실적
2006 IT 히트상품 선정
2006 탑프라이드 상품 선정
42
2006년 서비스 대상 및 서비스 품질 우수기업
SafezoneIPS 수상 IPS
개요 보안동향
SZIPS
기능 레퍼런스
SZIPS
실적
2006 서비스 대상 및 서비스품질 우수기업
43
SZ-400 EAL3+
CC 평가 인증 현황 - EAL3+ / EAL4
SZ-2000 EAL3+
SZ-4000 EAL3+
SafezoneIPS 인증 IPS
개요 보안동향
SZIPS
기능 레퍼런스
SZIPS
실적
44
CC 평가 인증 현황 - EAL3+ / EAL4
SZ-2400 EAL3+ SZ-4400 EAL3+
SZ-4000 EAL4
SafezoneIPS 인증 IPS
개요 보안동향
SZIPS
기능 레퍼런스
SZIPS
실적
45
Public Sector
Customer Reference
Public Sector Private Sector
IPS
개요 보안동향
SZIPS
기능 레퍼런스
SZIPS
실적
IPS Products Customer & Partner
외 400여개 사이트
46
감사합니다.
㈜리얼시큐 지역협력사
부산광역시 해운대구 센텀북대로 60 센텀IS타워 809호
영업지원 : 이 시 현 | E-mail: [email protected]
Phone : 010-4107-9118
Tel : 051-552-9118 | Fax : 051-552-9121
http://www.realsecu.net