1 / 40

DDoS 전용 대응장비

DDoS 전용 대응장비. DDoS 공격 탐지 및 차단 , 실시간 모니터링. DDoS eXclusion. INDEX. DDoS 공격 정의 및 개념도. 1. 제안 배경 및 개요. DDoS (Distributed Denial of Service) Attack 분산 서비스 거부 공격으로 다수의 공격자(기형 패킷 )에 의해서 특정 서버가 피해를 받는 것으로 시스템이 느려지거나 다운되는 현상 정상적인 서비스 거부, 서비스 다운 및 시스템 병목현상 발생. DDoS 공격 현황. 1. 제안 배경 및 개요.

uriah-wright
Download Presentation

DDoS 전용 대응장비

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. DDoS전용 대응장비 DDoS공격 탐지 및 차단, 실시간 모니터링 DDoS eXclusion

  2. INDEX

  3. DDoS공격 정의 및 개념도 1. 제안 배경 및 개요 • DDoS (Distributed Denial of Service)Attack • 분산 서비스 거부 공격으로 다수의 공격자(기형 패킷)에 의해서 특정 서버가 피해를 받는 것으로 시스템이 느려지거나 다운되는 현상 • 정상적인 서비스 거부, 서비스 다운 및 시스템 병목현상 발생

  4. DDoS공격 현황 1. 제안 배경 및 개요 • 2009.8: 그루지아블로거 대상 정치적 DDoS (트위터, 페이스북) • 2009.7: 미국 및 한국의 주요 사이트에 대한 DDoS • 2007.9: 게임아이템 거래사이트에 대한 금품요구(트래픽규모: 수Gbps~15G) • 2007.9: 바이럿(Virut) 바이러스에 의한 DDoS • 2007.6: 여행업, 펜션예약 사이트 등 금품요구 • 2007.5: 에스토니아 정부, 국회 등의 사이트 DDoS (약 3주간 마비) • 2007.2: 루트 DNS 6개가 바이럿으로 인한 DDoS • 2007.1: 도메인 등록대행사 사이트에 대한 DDoS • 2006.11: 미국 특정 IP에 대한 DDoS (일부 IDC 부분장애) • 2006.10: 성인 화상채팅사이트 금품요구 등 DDoS공격 DDoS급증공격규모 증가 2000 2006 2007 2010 출처: 국가사이버안전센터

  5. 1 2 3 3 DDoS공격 형태 변화 1. 제안 배경 및 개요 1 • 공격이 점차 자동화되고 정교해짐  손쉬운 공격 툴의 증가 ( Netbot, Slowloris등) BotNet(IRC, HTTP, P2P등)을 이용한 정교한 공격 제어 이메일, 웹 서버를 통한 악성코드 전파 (좀비PC의 증가)  악성코드 제작, 유포, 협박 및 공격 등의 조직적 역할 분담. • HTTP GET과 같은 응용계층을 대상으로 하는 공격이 증가  TCP/ICMP Flooding 등 대역폭 공격과 함께 소량의 응용계층 공격을 감행 소량의 패킷 다량의 패킷 응용 레벨 시스템 레벨 네트워크 레벨 다수 좀비(봇넷) 소수 좀비

  6. DDoS공격 종류 1. 제안 배경 및 개요 구분 어플리케이션 공격 세션고갈 대역폭 고갈 공격

  7. 기)보안장비의 한계점-1 1. 제안 배경 및 개요 기존 네트워크 장비 • ACL(Packet Filtering) , Blackholing & Sinkholing 네트워크 장비에 부하 발생, Application Attack 방어 불가.  Source IP Spoofing 공격 대응 불가 방화벽 • IP, Port Level Filtering  Application Attack 방어 불가.  Source IP Spoofing 공격 대응 불가

  8. IP Spoofed TCP 방어전용 UDP, ICMP 방어 불가능 Packet Latency 문제 발생 대형 네트워크 망의 부적절 정상 1st TCP Handshake Drop 대용량 Syn DDoS 장비 로드↑ 기)보안장비의 한계점-2 1. 제안 배경 및 개요 기존 DDoS 대응 장비 • SYN Proxy를 이용한 방어 ( 보안장비의 Gateway ) • WEB 서비스를 보호하는 목적으로만 적절

  9. INDEX

  10. DDoS대응시스템 요구사항-1 2. DDoS방어장비의 방향성 오탐Zero 원칙 • DDoS전용장비의 오탐으로 서비스의 장애 유발 가능성 사전 제거 • DDoS Attack Packet만 차단 Business 연속성 유지 안정성 • 보안장비 운영으로 망의 Packet Latency를 고려. 성능 지연 제거 • 보안장비의 장애로 인한 망 장애 요소 제거

  11. DDoS대응시스템 요구사항-2 2. DDoS방어장비의 방향성 다양성 (다양한 종류의 공격 방어) • Source IP Spoofing 에 대한 대응 • 다양하고 복합적으로 발생되는 공격에 대한 대응 • 세션고갈공격 / 대역폭 공격 / 웹 어플리케이션 등 다양한 공격 방어 • HTTP no-cache Request Flooding, Cache-Control Attack 방어 자동화 • Zero-Day Attack 및 알려지지 않은 공격 탐지 및 자동화된 대응 (학습기법) • 취약점 발생시 패턴 자동패치 및 대응 (MAPP 체결)

  12. INDEX

  13. DDoS시스템 구성도 3. Sniper DDX 3.1 제품의 기본 특징 구조 분석 설치 위치 • 라우터 와 L4사이  전방위 위치하여 DDoS방어 • 네트워크에 In-line 모드로 설치 특성 • Transparent  다른 장비 구성 변경 없음 다단계방어 - IPS 기 설치시 • 제 1차 방어선 : 접속고갈 공격, 대역폭 확보 • 제 2차 방어선 : 침입 및 해킹 등 위협 방어

  14. DDoS 방어전략 3. Sniper DDX 3.1 제품의 기본 특징 • Attack의 다양성, 복합적으로 발생되는 지능화된 DDoS의 방어 전략 • Self-Learning 기술을 기반한 지능적 탐지/방어 •  행동기반 탐지/방어 + 시그네쳐 기반 탐지/방어 + 자동학습에 의한 탐지/방어

  15. DDoS 방어범위 3. Sniper DDX 3.1 제품의 기본 특징 구분 방어 엔진 방어 범위 방어 방법

  16. DDoS공격별 대응 방법 3. Sniper DDX 3.1 제품의 기본 특징 Smart Session Shaping 공격명 행위기반 정책 패턴기반 정책 시그네쳐 추출

  17. Sniper DDX 특∙장점-1 3. Sniper DDX 3.2 특장점 각종 인증을 통해 증명된 안정성 GS 인증 • 수많은 네트워크보안 프로젝트 수행 경험과 다수의 개발방법론을 벤치마킹하여 국내환경에 적합하게 개발하여 활용 • GS인증 및 국정원 CC인증(EAL4)을 획득한 신뢰성/안정성이 확보된 제품 CC인증(EAL4)

  18. “DDoS 탐지 및 차단 특허” Sniper DDX 특∙장점-2 3. Sniper DDX 3.2 특장점 7/7 DDoS대란 당시 방어 실적 • 공공/금융/민수/교육 분야 40개 기관 긴급 대응 • 7/7 대란 DDoS 대응 관련 기사 14개 • 신속한 패턴 제작 및 대응 • CERT, 제작, 기술지원의 유기적인 관계  뛰어난 조직력  2시간 이내 조치 대응 • 7/7 DDoS 대란 방어를 통한 2009 하반기 히트상품 선정 • 수많은 대형 SI 프로젝트 수행 경험과 다수의 개발방법론을 적용하여 개발한 특허 2009 하반기 히트상품 출처: 아이티데일리(2009.12)

  19. Sniper DDX 특∙장점-3 3. Sniper DDX 3.2 특장점 고객사 맞춤 네트워크 구성 제공 • In-Line 구성 또는 Out of Path 구성 제공  사용자 환경에 맞는 최적의 구성 • 네트워크 환경과 시스템 환경에 맞추어 Flexible한 설치 In-Line 구성 Out of Path 구성 • 넷플로우, 미러링 방식 • 통신사, ISP 망 등 대형망에 적합 • 네트워크에 F/W, IPS 구성과 동일 라인 선상 • 즉각적 차단 가능

  20. Sniper DDX 특∙장점-4 3. Sniper DDX 3.2 특장점 확장성 • 10G 솔루션 보유  10G 확장 가능 • 위협관리 솔루션 연동 가능 (SNIPER TMS 자사 솔루션 보유) • 관제솔루션(TSMA) 연동 가능 (SNIPER TSMA 자사 솔루션 보유) 위협관리솔루션 연동 10G DDoS장비

  21. Sniper DDX 특∙장점-5 3. Sniper DDX 3.2 특장점 실시간 패킷 덤프 이중화 구성 • 이상 트래픽이 감지 될 경우  실시간으로 Packet을 Dump하여, 트래픽 분석 • SNIPER DDX는 안정적인 HA기능 지원 • 네트워크 서비스의 연속성을 보장 • Symmetric 구조와 Asymmetric 구조, 동시 지원 Fail Over • 시스템 장애 시 서비스 단절을 최소화 • 신속한 자체 복구가 가능 • 안정적인 시스템 운영을 지원

  22. Sniper DDX 특∙장점-6 3. Sniper DDX 3.2 특장점 다단계 방어 엔진 IIIIIIIIIIIIIIIIIIIIIIIIIIIIIII Dynamic Filtering Engine IIIIIIIIIIIIIIIIIIIIIIIIIIIIIII IIIIIIIIIIIIIIIIIIIIIIIIIIIIIII S-IP | D-IP | S-Port | D-Port Static Defense Engine S-IP | D-IP | S-Port | D-Port Multi Layered DDoS Engine Triple ‘S’ Engine Protocol Anomaly Filtering Engine Ticket List IP TCP UDP ICMP 인증 / 비인증 사용자의 세션 감사를 통한 탐지 차단기능 비정상 Flag의 탐지 차단기능 특정 IP + Port 를 기반으로 탐지 및 차단 실시간 리스트 차단 Time Slot 동적 할당 특정 IP + Port 를 기반으로 사용자 정의 등록 차단 기능 각종프로토콜 규약 위반 탐지 및 차단 Signature Matching Engine Signature Statistics Analysis Engine A.L.S.I Engine Traffic Anomaly SESSION Table Signature Extraction Engine Layer 7기반의 탐지 차단엔진 IDS 형태의 별도 탐지 장비로 사용가능 비정상 Payload 기반의 탐지 시그네이처 기반의 방어 CERT를 통한 주기적 업데이트 특정 프로토콜의 비정상적인 폭증 탐지 및 차단 특정 서비스의 비정상적인 폭 증 탐지 및 차단 비정상적으로 폭증하는 트래 픽을 분석하여 자동으로 탐지 시그네이처 생성 탐지 차단 기능 제공 Header | Widows | TTL | Payload

  23. Sniper DDX 화면-1 3. Sniper DDX 3.3 제품의GUI 실시간 모니터 메뉴 • 장비정보 • 트래픽 • 세션정보 • 탐지/방어/경보 • 차단 장비 모니터링 • FAN 정보 • POWER 정보 • 시스템 정보 • LINK 정보 확인

  24. Sniper DDX 화면-2 3. Sniper DDX 3.3 제품의GUI 세션 정보 모니터 • 실시간 트래픽량 분석을 통해, DDoS트래픽이 튀는 현상 및 접속 세션을 실시간으로 분석 가능. • 보호 서비스망에 따라 각각의 CPS을 확인 가능, 비인증 된 DDoS공격 량을 실시간으로 확인.

  25. Sniper DDX 화면-3 3. Sniper DDX 3.3 제품의GUI 세션 내역 및 추이 • 실시간 Session 정보 제공, 실시간 트래픽 정보 제공, 사용자, 서비스별 상세내역 제공 • 과다 Session IP 및 Port 사용자 탐색 가능  네트워크 지장을 줄 수 있는Traffic 사용자 확인

  26. Sniper DDX 화면-4 3. Sniper DDX 3.3 제품의GUI 탐지 내역 • 탐지/방어/경보를 통해서 현재 들어오고 있는 공격의 형태들을 확인 • 실시간 정책적용 기능을 통하여 즉각적인 대응

  27. Sniper DDX 화면-5 3. Sniper DDX 3.3 제품의GUI 종합보고서 • 월/일/시간별 탐지로그 제공 / 월/일/시간별트래픽 로그 제공 / 상세필터 제공 • Main 화면의 CPS의 정보를 분 단위 로그로 남겨, 비정상 CPS또는 정상 CPS의 분석 용이.

  28. Sniper DDX 주요기능-1 3. Sniper DDX 3.4 제품의 기능 공격별 탐지 방어 설정 • TCP/UDP/ICMP 등 공격 종류에 따른 탐지 정책 설정 후 탐지/방어 공격 인정 횟수 설정 • 임계치 설정으로 보호대상 서버의 환경에 따라 정교한 정책 설정이 가능함 • 사용자별 맞춤 임계치 설정

  29. Sniper DDX 주요기능-2 3. Sniper DDX 3.4 제품의 기능 비정상 트래픽 발생 시 자동패킷캡쳐 기능 제공 • Sniper DDX는 자동/수동 임계치 초과시 자동으로 Packet Dump 기능 제공 • Capture된 Packet을 통해 Packet 분석 Tool를 이용하여 관리자의 상세분석 지원 설정 탐지& 캡춰 트래픽보기

  30. Sniper DDX 주요기능-3 3. Sniper DDX 3.4 제품의 기능 임계치 설정 기준 및 그 방법 임계치 설정 기준 및 방법 설정 대상

  31. Sniper DDX 주요기능-4 3. Sniper DDX 3.4 제품의 기능 윈스테크넷 취약성 DB 활용 • 윈스테크넷 내 CERT(침해사고대응팀) 상시 취약성 분석 및 DB 구축 • SNIPER DDX 사용자에게SECURECAST 서비스 GENERAL 등급 무상 제공 • WinsTechnetCERT는 10년이상 축적된 취약성 정보와 분석노하우를 바탕으로 신속하고 정밀한 시그니쳐를 제품에 적용하고 있습니다

  32. Sniper DDX 도입현황 3. Sniper DDX 3.5 도입 사례 공공기관 통신/금융/일반기업

  33. Sniper DDX 도입사례-KISA 3. Sniper DDX 3.5 도입 사례 구조분석 사내 정보인프라 시스템에 접근하기 전에 사전에 자동으로 능동적으로 DDoS공격을 차단 축적된 DDoS공격 탐지 Log는 관제의 효율성 및 ROI 효과를 위해 DDX Manager인 중앙관리시스템으로 연동되어 DDoS공격에 대한 중앙관제가능 Manager인 중앙관리시스템으로 연동되어 DDoS공격에 대한 중앙관제 관제의 생산성 및 ROI효과 증진

  34. Sniper DDX 도입사례-국내H사 3. Sniper DDX 3.5 도입 사례 구조분석 예하지점별 안정성 확보 예하지점 내부망에 대한 안정성확보 예하지점별 구성으로 해킹사고시 대상범위 축소 핵심업무서비스 ZONE 보안성 강화 업무서비스 ZONE 내부/외부에서 해킹사고 발생시 완전차단 예하지점에 대한 서비스 가용성 보장 망통신망의 서비스 신뢰성 향상 ISAC 연계로 통합보안관리

  35. 1 2 3 3 4 4 Sniper DDX 구축 후 기대효과 3. Sniper DDX 3.6 기대효과 및 Line-Up 최고 수준의 보안체계 구축 • 금전을 목적으로 한 해커의 랜섬(Ramsom)형 공격에 대응 체계 프로세스 정립 가능 • 기) 운영중인 정보보호제품과의 다중 보호체계 구성으로 보안강화에 시너지 효과 창출 대 고객서비스 신뢰성 향상 • 안전한 고객 서비스 거래 유지 • 네트워크 가용성 확보 • 분산서비스거부(DDoS)로 인한 네트워크 망의 장애 사전 제거 최신 기술의 방어 능력 보유 • 인프라 보호 우의 선점 • 최신 보안기술의 적용을 통한 보안체계 강화 시스템의 안정성과 신뢰성 제고 • 네트워크 망 운영에 피해가 없는 시스템 구축 • 가용성 확보로 서비스의 연속성 확보

  36. Line-Up 3. Sniper DDX 3.6 기대효과 및 Line-Up

  37. INDEX

  38. DDoS엔진 방식별 분류 4. 별첨 1. NBA (Network Behavior Algorithm) • Network 흐름을 학습하여 세부적인 Rate 값을 적용하여 서버 및 서비스를 보호하는 방식 • 관련제품 : 현 시판되는 대부분의 제품 (In-Line 제품, Out-Of-Path) • 주요 특징 : “NBA 방식의 DDoS 대응장비가 시장 평정” 2. MBA (Micro Behavior Algorithm) • Packet 단위의 미세한 움직임을 모니터링 하여 공격 Packet과 정상 Packet 구분하는 방식 • 관련제품 : Rio-Ray 제품 • 주요 특징 : DDoS Attack 탐지율이 떨어짐 3. Pattern Mapping • 알려져 있는 공격 Code 값을 가지고 지나가는 Packet의 Payload부분과 대조하여 탐지하는 기법 • 관련제품 : IPS 제품 • 주요 특징 : Source IP Spoofing 공격 대응 불가 • Proxy 서버처럼 모든 Traffic을 중간에서 확인하고 연결하는 방식 • 관련제품 : 라드웨어, 인트루가드, IntelliGuard 등 • 주요 특징 : 대용량 Traffic 처리에 부적합, 200 ~ 300 Mbps 환경에 적합 4. Syn Proxy 방식

  39. 주요 제품 비교 4. 별첨 구 분 외산 B사 SNIPER DDX 국산 A 사 • 지난 2009 7.7 사이버테러와 같이 변종 DDoS공격 발생 시 제조사별 패킷 분석 후 시그네쳐를 제작하여 해당 장비에 신속히 적용하여야 방어가 가능합니다. • 윈스테크넷은 순수 국내 기술의 제조사로서 기술지원 + 연구소 + CERT + 마케팅의 신속한 협업력과 조직력으로 고객사의 정보보안을 위하여 최선을 다하겠습니다.

More Related