Download
1 / 9
90 likes | 296 Views
II. 제안 시스템. 1. 대표 구성도 ( 전체 ). Internet. (a). T3. (b). 100M. DR. Flow 정보. A. 본사. GSR. (A). L3 Switch. (B). 10G. L4 탐지 / 차단. DMZ. mobile. Web. web. 10G. L7 탐지 / 차단. 본사 ( T3) 방화벽 앞단 (B) 플로어 생성기 설치 DR (100M) 방화벽 앞단 (A) 플로어 생성기 설치 평상시 트래픽 상황을 관제센터 전달 (365/24 관제 )
E N D
II. 제안 시스템 1. 대표 구성도 (전체) Internet (a) T3 (b) 100M DR Flow 정보 A 본사 GSR (A) L3 Switch (B) 10G L4 탐지/차단 DMZ mobile Web web 10G L7 탐지/차단 본사 ( T3) 방화벽 앞단(B) 플로어 생성기 설치 DR (100M) 방화벽 앞단(A) 플로어 생성기 설치 평상시 트래픽 상황을 관제센터 전달 (365/24관제) 평상 시 트레픽 DB 구축 공격 시 IP Null처리, Backup IP 변경. DNS, DMZ IP로 변경, 정상트레픽 Proxy 통해 비공개된 IP를 통해 웹서버 통신으로 안정적 서비스 제공 Proxy server ( 본사 웹서버 backup IP) (DR 웹서버 Backup IP) 365/24시간 관제 중 공격 발생시 DNS 변경을 통한 우회망으로 DDoS 공격 우회. DMZ ( DDoS Mitigation Zone)에서 관제 연동 5단계 DDoS 대응 공격트래픽 차단 후 본사및 DR의 Backeup IP로 정상 트래픽만 전송 현재 KT 라인 (2월) SKBB 라인(3월말),Dacom ( 2Q )
실시간 트래픽 모니터링 Profiling/Baselining 종합상황판 관제 지역별, 고객별 모니터링 인터페이스/IP 클래스별 모니터링 트래픽 Top N 정보 제공 Src/Dst IP, Protocol, Port, TCP Flags 장비별 모니터링 정상트래픽 상태 모니터링 모니터링을 통한 트래픽 Profile 생성 Profile 분석을 통한 Baseline 생성 Baseline의 주기적 갱신 동적 학습 Baseline/Threshold 생성 다면분석을 통한 비정상 트래픽 감지 심층분석 단계를 통한 공격/침해 확인 이벤트 상세 분석 – BAREDATA 분석 Port/Host Scan, DDoS, DoS 탐지 최적의 조치를 위한 네트워크/보안장비 연동 실시간 / 기간별 트래픽 현황 통계 Capacity Planning 정보 분류별 트래픽 통계 트래픽 추세 상세 분석 성능분석 정보 이상 탐지 및 분석 트래픽분석 및 보고서 II. 제안 시스템 2. 솔루션 : UTTM - 통합관제부 관제콘솔
분석 계층 관제 계층 수집 계층 상황제어 상황관제 이벤트관제 공격관제 트래픽관제 차단정보생성 이벤트 분석 트래픽 분석 환경설정 결과보고 운영자 DB Interface DB 통계/ 분석 이벤트 /공격 관리 데이터 임계치학습 임계치관리 H/A 분석기 분석기 Rocket interface ftp interface FlowAnalyzer 통계/분석 이벤트생성 공격 감지 제어 Rule Base Engine 수집기#1 수집기#2 수집기#3 수집기#4 Aggregation Filtering Formatting Rocket interface ftp interface FlowCollector Netflow v5, v9 sflow cflowd ipfix nflows (netflow, sflow, cflowd, ipfix) Network Layer Network Device II. 제안 시스템 2. 솔루션 : UTTM – 통합관제부 (구성) • UTTM은 데이터 수집계층, 분석계층, 관제계층으로 구성
II. 제안 시스템 2. 솔루션 : 차단 및 제어 부문 –단계별 차단 전략 차단 제어 부분은 효과적인 방어 체계 구축을 위하여 총 5단계의 방어 절차를 거칩니다. 평상시에는 4단계 까지만 적용이 되고 방어 시스템으로 탐지가 잘 되지 않는 Slow 공격이나 ZeroDay 성 DDoS 공격시에 시스템이 영향을 받으면 5단계 비상 운영 Smart DNS 1 단계 안내 서버 n y W.List B.List NBA Based Defense System (L4) 2 단계 n 인증서버 y Signature & Baseline Based Defense System (L7) 3 단계 L7 보안 Proxy Performance Based Mitigation 4 단계 Authentication Based Zombie Defense System 5 단계 Code Red 5 Step : ‘Slow/ Zero day Attack’차단 Most Effective & Strongest DDoS Defense System Code : Red 시만 적용
II. 제안 시스템 2. 솔루션 : 차단 및 제어 부문 –세부기능
II. 제안 시스템 3. 제안 서비스의 특장점 • 효율적인 공동관제 시스템 • 공격시 다수의 관계자가 한 대쉬보드를 공유하면 공동관제 가능 • 실시간 Alert 지원 - SMS 등 • 모바일 관제 - Smart Phone 관제화면 지원 (2Q ) • 예방 관제 – 공격 조기 공지, 공격유형 공지, 블랙 ip 공유 • 주요이벤트 통합 – 보안이벤트 • 보안성 • 대용량 밴드위스 공격에 대응 ( 150 G, TCP 20G ) • Slow 공격 , Zero Day 공격 대응 • Smart DNS 운영 ( DNS 서버 공격에 안전 ] • 안정성 • 연동망 차단 문제 해결 (통신사별 DMZ 운영 ) • NAT False Negative 문제 해결 • 차단에 대한 보완조치 ( 안내, 민원서버 운영 ] • 경제성 ( 10.28 조치 기준 ) • ‘장비 + 서비스’ 모델 대비 5% 수준 (3년 운영)– 근거 별첨 • 운영의 편리성 • 전문인력이 필요치 않음 • 365*24 모니터링 관제요원 (이동상황) 공동관제 SK증권관제센터 ㈜USECDDOS 대응센타
III. 기타 경제성 분석 • 10.28 금감원 조치를 수용하기 위한 스펙을 기준으로 하여 ‘장비와 회선 확대’ 방식 대비 절감액 산출 한 • 것 입니다. 구성요소에는 공격을 방어하기 위한 밴드위스 , 장비 구매 ( 2년간 유지 보수 금액 포함) , 365/24를위한 운영 인력 비용을 3년 운영 기준으로 통합한 모델입니다. • 특이사항(장비) • 특이사항(서비스) - 유지보수비도입 : 1년 이후부터 적용 15%/년 기준 - 운영인원 : 금감원 지침 의무사항인 365* 24 (기존인원활용)서비스를 위해 4개조 운영 (1일 2조 투입 방식 운영 기준) 인력단가 500 만원 (간접비 포함) - 회선 3G : TCP 공격만 3G 도달 기준에 맞춘 설계 ( 4개회선) - 3년 운영 : DDoS 장비는 내수연한을 3년을 기준 • - 365/24 시간관제 : 100 M 기준 ( web ) • 우회망 : 100 G 공격 대응 우회로 • DMZ : UDP/ICMP 100G 방어, TCP 20G 방어 • [ 옵션 ] • - Chasing : 트레픽 증가 시 지원 150만원/월 추가 • - DFWC ( Client) : 모듈 적용시 100 만원 / 월 추가
V. 기타 차단 방식별 장단점 분석 –Comparing Sheet (with 장비방식 ) • Vs HW 장비 방식 유효기간 : ~ 2010.1Q
V. 기타 차단 방식별 장단점 분석 - Comparing Sheet (with 통신사 ) • Vs 통신사 유효기간 : ~ 2010.1Q
