차세대방화벽 차세대 ips, ssl 방화벽...
TRANSCRIPT
"차세대 방화벽, 차세대 IPS, SSL 방화벽"으로
기업 네트워크 보안 강화하기
포티넷코리아 / 박현희부장
2
AUTOMATED
FORTINETSECURITYFABRIC 2018
BROAD
INTEGRATED
3
I. 기업 네트워크 보안의 핵심 “차세대 방화벽”
1. 차세대 방화벽의 필요성
2. 차세대 방화벽 도입 시 고려사항
II. 차세대 방화벽의 핵심 기능
1. 차세대 IPS
2. SSL 방화벽
III. Fortinet 차세대 방화벽
Contents
4
사이버 범죄 – 빠르게 성장하는 산업
$400 billion* = 450조원
2015년 전세계 사이버범죄 손실비용
2019년 $2.1trillion* 예상 = 2370조원
(2.3% of Worldwide GDP)* Source* : Forbes, 2016.01.17.Cyber Crime Costs Projected To Reach $2 Trillion by 2019
5
범죄 소프트웨어 생산자
Source CodeJunior
Developers
Copy & paste
Senior Developers
Exploits Packers Special Platforms
Mobile
사이버범죄 서비스
품질 검사Crypters / Packers
Scanners
호스팅Infections / Drop
ZonesManagement
봇넷 렌탈Installs / Spam /
SEO / DDoS
자금 대여Accounts Receivable
컨설팅
공격 대상
Bank Accounts
Credentials & Data
Digital Real Estate
사이버 범죄 생태계
사어버범죄 실행 복합체
AffiliatesCriminal
OrganisationsSales, Licensing,
Maintenance
Partnerships
Affiliate Programs
FakeAV / Ransomware / Botnets
© Copyright Fortinet Inc. All rights reserved.
I. 기업네트워크 보안의 핵심 – 차세대 방화벽
I-1. 차세대 방화벽의 필요성
8
기존 방화벽의 한계는?
어플리케이션의 진화• 특정 IP와 port에고정되지않는진화된어플리케이션등장
• IP와 port기반으로설정하는기존방화벽은어플리케이션통제불가능
Web의 위험성 증가• 다양한악성웹사이트, Virus/Worm, 게임/성인/도박사이트가Web 형태로운영
• SPAM mail 등을통해악성 URL click을 유도하는피싱공격
전통적인방화벽
진화하는Application
진화하는Application
9
기존 방화벽의 한계는?
통합 보안 기능 부족• 방화벽에 IPS와 Anti-Virus 기능을통합할경우보안효과극대화
• 진화하는 APT및 Zero-day 취약점에대한방어기능필요
트래픽에 대한 가시성• SSL을이용한암호화된트래픽에대한가시성제공불가
• 어플리케이션레벨의실시간트래픽정보와실시간위협정보제공불가
10
차세대 방화벽의 정의 - 위키피디아
A next-generation firewall (NGFW) is a part of the third generation of firewall technology, combining a
traditional firewall with other network device filtering functionalities, such as an application firewall using in-line deep
packet inspection (DPI), an intrusion prevention system (IPS). Other techniques might also be employed,
such as TLS/SSL encrypted traffic inspection, website filtering, QoS/bandwidth management, antivirus inspection and
third-party identity management integration (i.e. LDAP, RADIUS, Active Directory).
일반방화벽
어플리케이션컨트롤, IPS
웹필터링, 안티-바이러스
SSL inspection, ID 기반방화벽
= 차세대방화벽 (NGFW)
11
차세대 방화벽의 필요성
분산된보안 기능의 통합
위협환경에 대한정교한 대응
데이터유출과 보안 공격의감소
기존방화벽의 한계 극복
퍼블릭클라우드 서비스 제어
BYOD 기기제어
소셜미디어 사용관리
대역폭관리
가트너 전망에 따르면
- 설치된 방화벽 중 NGFW의 비율은 2016년 50%에서 2019년 90%까지 증가
- 2018년 이후에는 도입되는 경계 방화벽의 90%가 NGFW
12
차세대 방화벽 도입 전
방화벽
L4 S/W웹필터
Policy Based Routing
ATP
메일보안
Web G/W
DLPIPS
다양한 One-point 보안솔루션
- 방화벽, IPS, DLP, Web G/W, Spam, APT 등
- In-line 보안및Mirrored 방식혼재
복잡한구성
- In-line 보안을지원하기위한 PBR 구성으로
네트워크복잡도증가
- 장애발생시여러벤더및 NW / 보안유관
부서로인해원인파악및대응의어려움
SSL Inspection 필요
- HTTPS 트래픽분석불가로보안취약점존재
보안시스템 구성 고민 사항
Internet
13
차세대 방화벽 도입 후
구성상의 장점
- 복잡한네트웍경로의단순화
(장애발생시원인분석및대응용이)
- 보안장비운영/비용효율성개선
보안 기능 강화
- NGFW과연계한 ATP시스템구축으로
Known / Unknown 위협모두방어
- SSL inspection 통합 (SSL가시성확보)
- Botnet / C&C 탐지및차단구현
보안시스템 구성 기대 효과
NGFW ATP
Internet
I-2. 차세대 방화벽 도입 시 고려 사항
15
Gartner 10대 전략기술 트렌드
Risk-based security and self-protection
Adaptive Security Architecture
Adaptive Security Architecture
Continuous Adaptive Risk
and Trust Assessment
16
The Adaptive Security Architecture (Gartner)
17
Adaptive Security Architecture를 위한 차세대 방화벽의 조건
보안사고 대응을 위하여 가시성을 높일 것
방어 확률을 높이기 위해 다단계 방어 체계를 갖출 것
(알려진 공격 방어 → 알려지지 않은 공격 방어 → 포렌식 분석)
보안장비 간 상호 연계하여 위협 정보 Database를 공유하고,
이를 통한 Self-operation 기능을 제공할 것 (세부적인 통제 최소화, API 활용)
모든 보안 및 네트워크 이벤트를 심층 분석하여 장시간 지속 공격(APT) 및
우회 공격을 파악할 수 있을 것
18
차세대 방화벽 도입시 고려사항
보안 효율성
• 차세대방화벽은광범위한 위협에 대한 대응이필요한장치
• 어플리케이션컨트롤, IPS, 웹필터링, 안티-바이러스, IP/Domain 평판, SSL 검사
등의기능과빠른 보안위협 시그내쳐 업데이트를제공해야함
• 장치간연동을통해 APT 및 우회 공격을 방어할수있어야함
트래픽 가시성
• 응용프로그램, 사용자, 장치및위협을식별하여보다심층적인보안제공
• 정보보안이벤트대응및전략적보안결정에도움을줄수있도록, 단일화면을
통한가시성과 풍부한 보고 기능을제공해야함
성능 및 신뢰성
• 차세대방화벽의기능을사용할때원하는성능을유지해야만의미가있음
• 비즈니스 연속성 및 대역폭 요구 사항을 지원할 수 있는 성능과,
다양한이중화 구성과안정적인 Fail-over를통한신뢰성을제공해야함
© Copyright Fortinet Inc. All rights reserved.
II. 차세대 방화벽의 핵심기능
II-1. 차세대 IPS
21
차세대 IPS란?
Gartner의 정의
Next-Gen IPS (NGIPS)
• 1세대 IPS 기능
• 어플리케이션인지
• 컨텍스트인지
• 컨텐츠인지
• 애자일엔진
NSS Labs의 테스트 방법
※ 아직대부분의 NGFW은 1세대 IPS
기능만을갖고있다. 향후 NGIPS 기능은
NGFW에통합될것이다. (2011)
※ NG-IPS : 디폴트 & 커스텀시그내쳐모두평가
User-ID 정책은평가하지않음
※ NGFW : 디폴트시그내쳐만평가, User-ID 정책을평가
22
차세대 IPS란?
세션기반동작 (Stateful-inspection)
L7검사기능없음
어플리케이션 제어 불가
일반방화벽
L7 검사 (빠른검사속도)
패킷기반 (Deep Packet Inspection)
어플리케이션/컨텐츠 인지 불가
우회/회피/난독화공격에취약함
오탐과시그내쳐대응의무한반복
1세대 IPS
L7 검사 (DPI, 빠른검사속도)
세션기반동작 (Stateful-inspection)
어플리케이션/컨텐츠 인지 가능
우회/회피/난독화공격탐지가능
프로토콜이해→발전된 IPS 시그내쳐
Protocol Anomaly 에대응
차세대 IPS
23
차세대 IPS 엔진의 구조 (예시)
세션 기반의 IPS Engine
주요 어플리케이션과 컨텐츠 별로
별도의 Decoder가 존재하여 회피,
혼잡 공격을효과적으로 방어
다양한 Fragmentation(분할),
Evasion(회피), Obfuscation(난독화)
등의 방어에유리
하드웨어 기반의 IPS 시그내쳐패턴
매칭을 통해고성능 IPS 기능수행
세션처리
어플리케이션디코더
컨텐츠디코더
하드웨어 기반의고속 패턴 매칭
24
차세대 IPS의 장점 – IPS 시그내쳐
1세대 IPS
• 인코딩여부에따라서다른패턴생성필요
• URL 인코딩방법에따로모든패턴을
별도로유지해야함
차세대 IPS
• 인코딩여부와상관없이하나의 패턴 사용가능
• IPS 엔진에서 HTTP 디코더가자동으로디코딩
• 각종 URL 인코딩변화에추가패턴없이대응가능
(content:"/etc/passwd"; nocase;)
(content:"%2fetc%2fpasswd"; nocase;)
(content:"/etc%2fpasswd"; nocase;)
(content:"%2fetc/passwd"; nocase;)
(--protocol tcp; --service HTTP; --flow from_client; --pattern \”/etc/passwd"; --context uri; --no_case;)
차세대 IPS 를 사용할 경우보유 및 유지해야할 시그내쳐 패턴수가 줄어들고 각종변형,
회피, 혼잡공격을 효과적으로 방어할수 있습니다.
25
차세대 IPS의 장점 – Evasion Attack (우회/회피 공격) 방어
• 보안장비에탐지되지않기위해공격을위장하거나수정하는것
• 다양한종류의 Evasion이있으며동시에여러개가사용될수있음 (개별시그내쳐로대응하기어려움)
• 클라이언트사이드와서버사이드난독화모두가능
26
차세대 IPS 도입시 고려사항
IPS 시그내쳐• 빠른시그내쳐 Update 주기
• IPS 시그내쳐의 정확성 (객관적인탐지율테스트)
차세대 IPS 제공 기능
• 어플리케이션, 프로토콜, 컨텐츠, 컨텍스트인지기능
• 사용자운영편의성및위협정보에대한가시성
• Evasion 공격에 대한 방어 효율성
• 다양한구성방안지원 (L2, L3, Sniffer, HA 등)
• IPS 처리 성능 (SSL 트래픽처리포함객관적인성능테스트)
II-2. SSL 방화벽
28
SSL 트래픽 증가와 가시성 확보의 필요성
SSL 트래픽
over40%
HTTPS (SSL)을 이용한
인터넷브라우징
암호화된 멀웨어
over50%
기업대상 공격의 50% 이상에서
암호화된트래픽이 사용됨
Source: Google Web Performance Labs Source: Gartner
암호화된트래픽을포함해서
모든트래픽이동일하게
검사되어야합니다.
암호화된트래픽을검사하지
않는것은문을모두열어놓은
것과마찬가지입니다.
29
SSL 검사 및 활용방안
복호화 후 차세대 방화벽의
모든 기능 수행
(멀웨어 차단, 어플리케이션
제어, IPS, 웹필터)
외부 장비로 복호화 트래픽 미러링
• 기존 운영중인 웹보안 장비
• 네트워크/메일 DLP 장비
• 네트워크 모니터링 및 포렌식 장비
• ATP 솔루션 (샌드박스)
• 패킷 분석 (WireShark)
• 스마트 스위치
SSL Mirror
30
SSL 복호화 후 보안 기능 적용
SSL 복호화 후 차세대 방화벽
의 모든 기능을 수행
SSL 복호화 트래픽을 다수의
인터페이스로 미러링 전달
31
SSL 방화벽 도입 시 고려사항
SSL 방화벽의 장점
• SSL 트래픽에 대해서도 차세대 방화벽기능을모두수행
• 기존에운영중인다양한 HTTP 보안장비를 계속 활용 가능
• 기존에운영중인방화벽과무관하게 SSL 복호화전용장비로만사용가능
SSL 방화벽 도입시
고려사항
• SSL 암복호화및차세대방화벽기능동시수행시의성능과 안정성
• SSL복호화트래픽을인터페이스제한없이복제하여미러링가능한지여부
(별도MirrorTAP 불필요)
• SSL Mirror 로트래픽을전송할경우수신장치와의 호환성검증
• SSL 암복호화기능 On/Off 또는트래픽증가에따른추가라이선스 비용여부
• 정책설정을통해간편하게원하는 SSL트래픽만암복호화하거나, 원하는
트래픽만미러링수행
© Copyright Fortinet Inc. All rights reserved.
III. Fortinet 차세대 방화벽
33
FortiGuard 연구소
Protection Services Detection Services
Mobile Security
App Control IPSWeb Filtering
Industrial Security Antivirus
VirusOutbreak
Content Disarm & Reconstruct
Security Audit Update
Anti-spam
Web SecurityAnti-botnet
Advanced Threat Protection
TIS
Indicator of Compromise
AIUEBA
시그내쳐업데이트 주기
• IPS : Per 1일
• App-Control : Per 1일
• Anti-Virus : Per 1시간
• Web Filter : Per 5분
34
FortiView
35
FortiASIC - 하드웨어 기반 트래픽 처리
경쟁사 방화벽 아키텍처
멀티 CPU 최적화
포티넷 방화벽 아키텍처
전용 ASIC 하드웨어칩과 멀티 CPU 최적화
방화벽 Latency 최소화 (2~3㎲)More Performance
Less Latency
Less Power
Less Space
FirewallVPN
NGFWNG-IPS
SSL
PolicySecurity
Mbps Gbps
Network Processor방화벽과 VPN 트래픽
H/W 가속
Content Processor컨텐츠검사및
암복호화 H/W 가속
36
High-EndMid-Range Entry-Level
FortiGate 30-90
FortiGate 100-900
FortiGate 1000-3000
FortiGate 6000
Rugged
FortiGate 5000/7000
FortiGate 01 - Unlimited
ChassisUltra High-End Cloud
Accelerate Network Traffic
Accelerate Content Inspection
다양한 제품 포트폴리오
37
SSL Full Inspection 지원
별도의라이선스없이 SSL Full Inspection 기능을제공하여암호화된위협에대응가능
FortiGate에서 SSL 암호화된트래픽을복호화한후에 NGFW의모든기능을직접수행
사용자 인터넷
SSL 접속
FortiGate
SSL 트래픽암복호화및NG-IPS 기능수행
(Web filter, App control, Anti-Virus, IPS, Botnet 등)
38
2018 NSS NGFW 결과
2018 NSS NGFW테스트결과
» Block Rate 99.13%
» Evasion – 100% (190/190)
» Throughput – 6.753Gbps
» 방어/비용효율성 (TCO) – 1위
39
2018 NSS NGFW 결과
NGFW 테스트결과 99.13%방어
» 2056/2074방어
» Evasion Attack테스트결과 pass
» 안정성테스트결과 pass
» 조사대상중가장낮은 Latency
40
차세대 방화벽 도입 사례
TAP
Smart TAP
전체트래픽
Mir
ror
복호화트래픽
Mir
ror
암호화트래픽
평문트래픽
암호화트래픽제외설정
차세대방화벽에SSL암복호화 구현
• 기존 HTTP 보안장비 연동• 빅데이터 분석
내부사용자인터넷1
① 보안위협 차단 기능 :
NGFW 기능 및 SSL 암복호화
멀웨어/바이러스 차단(AV)
애플리케이션 제어 적용
외부 접속 URL 제어(웹 필터링)
사용자 ID 기반의 보안 정책 구현 (AD연동)
통합 관리 및 통제 구현
② SSL 미러링 연동구성 :
APT 대응 시스템
침입탐지시스템
차세대보안관제 연동(SIEM)
2
41
Summary
I. 차세대 방화벽은 기업 네트워크 보안의
핵심입니다. 도입 및 운영을 위해 여러
고려사항을 충분히 검토하십시오.
II. 차세대 방화벽은 보안탐지의 정확성과
안정적인 시스템 성능, 그리고 운영 효율화를
위한 가시성이 중요합니다.
III. 차세대 IPS는 오탐을 줄이며, 최신 우회
공격까지 효과적으로 차단할 수 있습니다.
IV. SSL 트래픽에 대한 보안 모니터링은 반드시
수행해야 합니다.
THANK YOU