1 / 42

침입방지시스템

침입방지시스템. 유해트래픽 탐지 및 차단 , 실시간 모니터링. I ntrusion P revention S ystem. INDEX. INDEX. 국내 사이버침해사고 동향. Ⅰ. 제안 배경 및 개요. 사이버 침해사고에 대한 사회적 관심 증가. 침해사고 통계 요약. 웜 / 바이러스 신고건수 증가 2011 년 3.4 대란과 같은 범 국가적 공격위협 양상 사이버 침해사고로 인한 피해 규모 증가  위협은 줄어들지 않고 있습니다.

idana
Download Presentation

침입방지시스템

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. 침입방지시스템 유해트래픽 탐지 및 차단, 실시간 모니터링 Intrusion Prevention System

  2. INDEX

  3. INDEX

  4. 국내 사이버침해사고 동향 Ⅰ. 제안 배경 및 개요 사이버 침해사고에 대한 사회적 관심 증가 침해사고 통계 요약 • 웜/바이러스 신고건수 증가 • 2011년 3.4대란과 같은 범 국가적 공격위협 양상 • 사이버 침해사고로 인한 피해 규모 증가  위협은 줄어들지 않고 있습니다 <자료출처: KrCERT 2011_06월 인터넷침해사고 동향 및 분석 월보>

  5. 해외 공격동향 Ⅰ. 제안 배경 및 개요 발달된 IT인프라에 따른 공격 위협 증가 3위 4위 2위 <악성 Malware 분포 > <성인 Contents 분포 > <스팸 URL 호스트페이지 분포 > 2위 3위 6위 <피싱 URL 호스트페이지 분포> <피싱 발신지 분포> <스팸 발신지 분포> • IBM X-Force 팀에서 분류한 08년도 공격항목에서 우리나라는 여러 공격형태의 주요 분포지로 조사됨.

  6. 피해사례 Ⅰ. 제안 배경 및 개요 사이버 침해사고에 따른 피해규모의 증가 2003 2008 2008 프로그램 취약성 SQL Injection Slammer Worm 손해배상 16억 원 소송가액 2천억 원 피해액 7조 5천억 원 1.25대란-“SQL Slammer” XX사 1,100만명 정보유출 X메일 55만명 정보유출 2011 2011 2009 DDoS 공격 개인정보 유출 총성 없는 전쟁 정확한 피해집게 불가 경제적 손실 2천억 원 피해액 363억 XX사 전산망 해킹 XX캐피탈150만명정보 유출 범 국가적 7.7대란 발생

  7. 기업 대외 신인도 추락 • 기업 전산망 장애 • 잠재 고객 확보 곤란 기업의 이윤 감소 보안사고발생 주가 하락 • 기업 비밀 유출/파괴 • 대외 경쟁력 약화 • 투자비용손실 사이버침해사고의 영향 Ⅰ. 제안 배경 및 개요 사이버 침해사고는 사업의 영속성을 위협

  8. 왜 SNIPERIPS 인가 ? Ⅰ. 제안 배경 및 개요 5년 연속 국내 IPS 시장 점유율 1위 • 10G급 DDX-OP 라인업 추가 • 10G 고성능 안티DDoS솔루션(DDX)출시 • 좀비PC방지 시스템(BPS) 출시 • 40G DDX-OP 센서 • 40G 고성능 IDS • 10G급 고성능 침입방지시스템(IPS) 출시 • 2011년 4월 • 2010년 10월 • 2009년 7월 • 2008년 12월 • 2008년 11월

  9. 기대효과 Ⅰ. 제안 배경 및 개요

  10. INDEX

  11. SNIPER IPS 개요 Ⅱ. 주요기능 유해트래픽 탐지/차단을 위한 No.1 솔루션 • 5년 연속 국내 IPS 시장점유율 1위 • Transparent지원으로 네트워크 구성/패킷의 변경 없음 • HA(이중화 구성) 지원 / Hardware By pass • 가상 IPS (Virtual IPS) 지원 • 방화벽 (Firewall) / QoS기능 지원 • 비정상 트래픽(Anomaly) 탐지/분석 • 네트워크 환경변화 (BcN/IPv6)에 능동 대응 • 침해사고분석대응팀(CERT) 자체 운영, 신규패턴 신속적용

  12. Internet Internet SNIPER IPS 구성환경 Ⅱ. 주요기능 < MIRRORING 구성 > < IN-LINE 구성 > <라우터> <라우터> <방화벽> <방화벽> <침입방지시스템> <침입방지시스템> <백본스위치> <백본스위치> 탐지및 차단 가능 ! 장애포인트 없음 !

  13. 간단한 설치와 운영모드 변경 Ⅱ. 주요기능 국내 환경에 최적화된 구성, 다양한 운영 모드 지원

  14. 이중화 구성 (HA) Router #2 Heartbit & Sync Trunk 1 Router #1 VRRP Standby L4 #2 2 Active L4 #1 HA 안정적인 서비스 제공 운영 : 이중화 구성(HA) Ⅱ. 주요기능 • Router#1↔IPS 구간 링크 Down • IPS 시스템은 L4가 연결된 IPS 인터페이스를 강제로 Down 시켜 모든 서비스가 Standby 시스템(Router#2-IPS-L4#2)으로 전송되도록 함 • IPS ↔ Active L4구간 링크 Down • IPS 시스템은 Router#1과 연결된 IPS 인터페이스를 강제로 Down 시켜 모든 서비스가 Standby 시스템(Router#2- IPS - L4#2)으로 전송되도록 함 • IPS간에는 Sync Trunk (Heartbit링크) 를 이용하여 Local 서버팜에 접속하는 세션 테이블 정보 및 기타 상태 정보들을 교환하여, 한 쪽 시스템의 장애 발생 시에도 서비스는 안정적으로 제공할 수 있도록 구성함 • Router#1의 인터페이스까지 Down되면 정의된 Static 정보가 사라짐으로 외부에서 Local 서버팜으로접속 키 위한 라우팅 정보는 Router#2로 알려짐 • 모든 패킷은Router#2로 전송되어 정상적인 서비스를 제공받을 수 있음

  15. 공격대응범위 Ⅱ. 주요기능 폭넓은 공격 대응 범위 지원 국내 62% “UTM 도입 필요성 못 느낀다”    전문 보안 기능의 요구 높고, UTM 장비의 신뢰도 낮기 때문 - ITDaily 2009/04/26 • 자사 네트워크의 어떤 취약성이 존재하고 이를 해결하기 위한 보안솔루션이 무엇인지 정확히 파악해야 합니다. • 다양한 공격에 대응하며 서비스의 성능을 유지 할 수 있는 보안솔루션은 SNIPER IPS입니다.

  16. TCP (Syn, Null, Fin, Ack, Push, Reset Ugt, Xmas) DDoS, Connect DDoS TCP (Syn, Null, Fin, Ack, Push, Reset Ugt, Xmas) Flooding, Connect DoS Checksum (TCP, UDP, IP), Teadrop Checksum (TCP, UDP, IP), Teadrop UDP DDoS, ICMP DDoS UDP Flooding, ICMP Flooding DoS 1:1 DDoS N:1 공격대응 : BOT Ⅱ. 주요기능 Bot의위협 & 대응 • 운영체제 취약점, 비밀번호의 취약성, 웜 바이러스의 Backdoor 등을 통한전파 • 특정 Site 서비스 거부 공격 • 제2의 해킹 경유지로의 사용 • 시스템 운영체제의 패치 및 철저한 보안관리가 필요 PC Agent PC Agent PC Agent PC Agent 공격자 BoT NET정보 모니터링 및 정보수집 공격자 BoT에 사용되는 특정 툴 방어 대상자 Handler SNIPER IPS 관련패턴 다수 보유 감염PC로부터의 DoS공격 방어 Handler

  17. 공격대응 : Web Ⅱ. 주요기능 웹공격의 대응 정보수집의 위협 어플리케이션 취약성 공격자가 외부에 공개되는 웹 서버의 특성을 이용하여 공격에 필요한 정보를 수집하는 행위를 차단합니다. WEB 어플리케이션(PHP、Apache、 IIS、JSP、 Oracle등)의 취약성을 이용한 공격에 대응합니다. 서비스거부 정보수집 DoS, DDoS의 위협 Injection、XSS의 대응 WEB서비스에 치명적인 영향을 미치는 DoS, DDoS공격에 대응합니다. Backdoor SQL구문, OS Command Injection공격에 일부 대응 Worm Worm의 위협 악성 Bot대응 WEB CGI 보다 지능화되고 대량화 되어가는 BoT공격에 대응합니다. Worm공격으로 인하여 로컬 PC가 감염될수 있습니다. 서비스공격 Web Shell의 위협 중국 발 해커 WEB관련 취약성은 독자CERT에서 지속적인 관리와 업데이트를 실시 하고 있습니다. 한번의 공격으로 성공할 수 있는 Web Shell을 탐지 차단합니다. 중국 발 공격에 사용되는 공격툴에 대한 탐지 및 방어

  18. 공격대응 : Web Ⅱ. 주요기능 Web Zone의 위협 • Mail Server 위협 • 메일의 첨부파일에 악성코드가 삽입되는 위협이 존재 • Web Server 위협 • 외부에 오픈되어 있는 웹서버는DoS, DDoS공격이나 Web 쉘등을 이용한 공격에 쉽게 노출. • DB Server 위협 • SQL구문을 이용한 공격(SQL Injection등)의 대상이 되고 있음. • DNS Server 위협 • 공격자는 DNS Server를 공격의 숙주로 활용하여 공격의 범위를 넓혀갈 수 있습니다. SNIPER IPS는 웹취약성 대응을 위하여 공격 카테고리를 분류하여 전용 시그네처를 관리하고 있습니다.

  19. 공격대응 : DHCP Ⅱ. 주요기능 DHCP 공격 • 공격자는 DHCP통신에서 사용하는 Discover, Discover Offer, Request, Decline, ACK, NACK등의 메시지를 대량으로 발송하여 DHCP서버가 정상적으로 동작하지 않도록 합니다. DHCP통신이 이루어지기 전까지는 IP주소가 없기 때문에 SNIPER IPS에서는 MAC주소를 바탕으로 임계치를 넘어선 공격에 대해 탐지 방어를 수행하게 됩니다.(Discover Flooding, ACK Flooding, Request Flooding, Decline Flooding…) • SNIPER IPS는 DHCP통신 중 MAC주소나 DHCP타입에 오류가 발생한 경우, 탐지 방어 하는 것이 가능합니다.(Invalid DHCP Type, Invalid MAC Address) • 또한, DHCP에서의 Buffer Overflow공격에도 대응 가능합니다.

  20. 운영 : Real-Time Monitoring Ⅱ. 주요기능 실시간 대응 • 네트워크 보안의 최전방에 위치하는 IPS로서는 실시간 대응의 중요도는 매우 높습니다. • IPS는 네트워크 공격에 대응하는 기능 뿐만 아니라 트래픽량에 대한 실시간 분석도 반드시 필요(샘플링이 아닌 전수검사)

  21. 운영 : VIRTURE IPS Ⅱ. 주요기능 가상탐지정책 구축 • IP Pool이란 네트워크를 IP영역별로 구분하여 (Subneting) 그룹화 시키는 것을 의미 • IP Pool을 3단계 (그룹, 본사, 지점)로 분류하여 관리 • IP영역별 Virtual IPS 작성, 서로 다른 탐지정책 적용 가능 • 다중 보안정책 설정, 총소유비용(TCO) 절감 • 도입규모 최소화를 통해 전력량 감소 효과 • (Green IT 실현) • 장비당 256개 VIPS 센서 구성 • 호스트/서브넷에 각 VIPS별 정책수립 및 수행

  22. 운영 : GUI Ⅱ. 주요기능 실시간 트래픽 감시/대응 실시간 트래픽 현황 실시간 이벤트 탐지현황 • 실시간 세션정보(HTTP/FTP/Telnet 등) 및 네트워크 트래픽 상황 확인 • 실시간 탐지/방어정보(해킹/사용자정의/네트워크) 및 방어상황 확인

  23. 운영 :GUI Ⅱ. 주요기능 실시간 탐지/방어/경보 실시간 탐지/방어 현황 (상세정보 확인지원) 공격 별 통계 현황 • 실시간 세션정보(HTTP/FTP/Telnet 등) 및 네트워크 트래픽 상황 확인 • 실시간 탐지/방어정보(해킹/사용자정의/네트워크) 및 방어상황 확인

  24. 부가기능 : firewall & Network Quota Ⅱ. 주요기능 Firewall • SNIPER IPS는 Firewall 기능을 일부 제공하고 있습니다. • (NAT, VPN 미지원) • 포트 및 프로토콜 별 제어 • 네트워크 방향 별 제어 등 • 엔진 내부에 위치하여 방어처리 극대화 Network Quota • 한정된 대역폭 하의 트래픽 문제해결 • 인터페이스별 대역폭 제한 가능 • bps(사이즈 별), pps (패킷수 별)를 기준으로 제한 • 프로토콜, 포트 별 Filtering 기능 제공 • 제한 된 패킷들은 Drop되어짐

  25. INDEX

  26. ENGINE ARCHITECTURE Ⅲ. 제품특장점 고성능 / 정밀 탐지를 위한 SNIPER IPS 엔진 구조 • IP 및 Port정보를 기반으로 차단정보를 저장 및 수행 합니다. • ACL 및 세션 방화벽 기능을 제공하여 외부 및 내부의 접근을 제어 할 수 있습니다. • 시그니쳐 기반의 공격을 탐지/방어 합니다.(패턴매칭) • 세션 기반의 공격을 상세 분석 합니다. (세션재조합, 서비스거부, 서비스공격등) • 차단내역은 Black Hole에 전송됩니다. • Layer 7까지 분석 가능한 ALSI 엔진을 탑재하여 정밀한 분석능력을 보유하고 있습니다.

  27. 주요적용 기술 Ⅲ. 제품특장점 고성능/정밀 탐지를 위한 최신기술 적용

  28. 오탐지 최소화 방안 제시 Ⅲ. 제품특장점 신 기술 적용 및 정밀한 정책 설정기능 지원 • Signature 축약 및 Session 조합분석 기능 • 호스트, 네트워크 예외 설정 기능 • Self-Training 방식으로 비정상 트래픽 탐지 기능 • Protocol Header, Hexa Code, Payload 분석 기능 • Threshold (공격인정횟수, 공격인정시간) 설정가능 • 네트워크 영역 구분관리(LCRS, LSRC, LCLS, Total별 분석)

  29. 구분 SNIPER IPS E1000 SNIPER IPS E2000 SNIPER IPS E4000 SNIPER IPS 10G Level EAL4 EAL4 EAL4 EAL3 CC & 보안적합성 Ⅲ. 제품특장점 Common criteria • 정보관련 시스템이나 정보관련 제품에 필요한 보안 요건이 규정. 정보기술을 이용한 제품이나 시스템이 반드시 갖추어야 할 보안 기능에 관한 요건, 설계부터 제품화에 따른 과정에서 보안기능이 실현되어 있는 것을 확인하는 요건들이 망라되어 있음.(7단계의 보증레벨) 보안적합성 • 국가/공공기관은 국내/외 CC인증제품과 검증필 제품목록에 등재된 제품 중에서 선택하여 도입이 가능하며, 도입 제품에 대해 반드시 국가정보원의 보안적합성 검증절차를 거쳐 사용해야 합니다. • - 출처 : 국정원

  30. 사이버침해사고 대응센터 Ⅲ. 제품특장점 독자 사이버침해사고 대응센터 운영 WINS SECURITY EMERGENCY RESPONES CENTER 업계 최초 MAPP 체결 • Microsoft사에서 출시하고 있는 제품들의 취약성 정보를 조기에 입수하여 해결방안을 보다 빠르게 제시 합니다. • 또한, 보안취약성 정보를 조기에 취득해 보안제품에 적용함으로써 해당 취약성에 대한 패치가 적용되기 전까지의 보안 공백 및 제로데이공격(Zero-day Attack)에도 대응 할수 있게 되었습니다.

  31. INDEX

  32. 정보보호 지능화 서비스 Ⅳ. SUPPORT Securecast서비스 • 전세계에서 매일 보고되는 새로운 취약성 정보를 신속하게 취합/분석(WINS CERT) 국내 환경에서 발생가능한 위협정보를 온라인(securecast.co.kr)으로 실시간 제공하고, 예보 및 경보하는 정보보호 지능화 서비스 (Information Security Intelligence Service)입니다. WINS CERT는 10년 이상 축적된 취약성 정보와 분석노하우를 바탕으로 신속하고 정밀한 시그니처를 제품에 적용하고 있습니다. WINS Technet 침해사고대응팀 • WAF / 취약성 / 악성코드 / 공격 Tool 데이터베이스 • 보안위험등급 5단계 (정상-관심-주의-경계-심각) • 취약성 신고센터 • 각종 자동보고서 (pdf, xls, doc, and etc.) • 회원등급 구분 (Platinum / Premium / General)

  33. 보안관제서비스 Ⅳ. SUPPORT

  34. SNIPER Center와 SNIPER IPS 제품을 연동하여 실시간 모니터링 제공 고객통보후 GUI/SSH 접속을 통한 기술지원 서비스 제공 SNIPER CENTER Ⅳ. SUPPORT 원격 리모트 콜 서비스 SNIPER 정보 등록 장비 상태, Syslog정보 제공 SNIPER 원격지원센터 • SNIPER IPS/IDS와 연동하여 응답률, 통신량, CPU 점유율, HDD 사용량, 버전 정보 등을 모니터링 • 필요 시 직접 GUI / SSH 접속으로 상세 정보 확인 • 카테고리 별 등록으로 효율적인 관리 • 장애와 같은 오작동 발생시 간략한 로그 수록, 날짜 별, 장비 별 검색 기능 • 장애처리시간 단축 이상징후 탐지

  35. INDEX

  36. 요약 Ⅴ. 요약 및 별첨 국내 No.1의 침입방지시스템 SNIPER IPS

  37. 주요 고객사 Ⅴ. 요약 및 별첨

  38. HARDWARE SPEC. Ⅴ. 요약 및 별첨

  39. SOFTWARE SPEC. Ⅴ. 요약 및 별첨

  40. SOFTWARE SPEC. Ⅴ. 요약 및 별첨

  41. SNIPER 제품 군 Ⅴ. 요약 및 별첨

  42. 감사합니다.

More Related