"차세대 방화벽, 차세대 IPS, SSL 방화벽"으로

기업 네트워크 보안 강화하기

포티넷코리아 / 박현희부장

2

AUTOMATED

FORTINETSECURITYFABRIC 2018

BROAD

INTEGRATED

3

I. 기업 네트워크 보안의 핵심 “차세대 방화벽”

1. 차세대 방화벽의 필요성

2. 차세대 방화벽 도입 시 고려사항

II. 차세대 방화벽의 핵심 기능

1. 차세대 IPS

2. SSL 방화벽

III. Fortinet 차세대 방화벽

Contents

4

사이버 범죄 – 빠르게 성장하는 산업

$400 billion* = 450조원

2015년 전세계 사이버범죄 손실비용

2019년 $2.1trillion* 예상 = 2370조원

(2.3% of Worldwide GDP)* Source* : Forbes, 2016.01.17.Cyber Crime Costs Projected To Reach $2 Trillion by 2019

5

범죄 소프트웨어 생산자

Source CodeJunior

Developers

Copy & paste

Senior Developers

Exploits Packers Special Platforms

Mobile

사이버범죄 서비스

품질 검사Crypters / Packers

Scanners

호스팅Infections / Drop

ZonesManagement

봇넷 렌탈Installs / Spam /

SEO / DDoS

자금 대여Accounts Receivable

컨설팅

공격 대상

Bank Accounts

Credentials & Data

Digital Real Estate

사이버 범죄 생태계

사어버범죄 실행 복합체

AffiliatesCriminal

OrganisationsSales, Licensing,

Maintenance

Partnerships

Affiliate Programs

FakeAV / Ransomware / Botnets

© Copyright Fortinet Inc. All rights reserved.

I. 기업네트워크 보안의 핵심 – 차세대 방화벽

I-1. 차세대 방화벽의 필요성

8

기존 방화벽의 한계는?

어플리케이션의 진화• 특정 IP와 port에고정되지않는진화된어플리케이션등장

• IP와 port기반으로설정하는기존방화벽은어플리케이션통제불가능

Web의 위험성 증가• 다양한악성웹사이트, Virus/Worm, 게임/성인/도박사이트가Web 형태로운영

• SPAM mail 등을통해악성 URL click을 유도하는피싱공격

전통적인방화벽

진화하는Application

진화하는Application

9

기존 방화벽의 한계는?

통합 보안 기능 부족• 방화벽에 IPS와 Anti-Virus 기능을통합할경우보안효과극대화

• 진화하는 APT및 Zero-day 취약점에대한방어기능필요

트래픽에 대한 가시성• SSL을이용한암호화된트래픽에대한가시성제공불가

• 어플리케이션레벨의실시간트래픽정보와실시간위협정보제공불가

10

차세대 방화벽의 정의 - 위키피디아

A next-generation firewall (NGFW) is a part of the third generation of firewall technology, combining a

traditional firewall with other network device filtering functionalities, such as an application firewall using in-line deep

packet inspection (DPI), an intrusion prevention system (IPS). Other techniques might also be employed,

such as TLS/SSL encrypted traffic inspection, website filtering, QoS/bandwidth management, antivirus inspection and

third-party identity management integration (i.e. LDAP, RADIUS, Active Directory).

일반방화벽

어플리케이션컨트롤, IPS

웹필터링, 안티-바이러스

SSL inspection, ID 기반방화벽

= 차세대방화벽 (NGFW)

11

차세대 방화벽의 필요성

분산된보안 기능의 통합

위협환경에 대한정교한 대응

데이터유출과 보안 공격의감소

기존방화벽의 한계 극복

퍼블릭클라우드 서비스 제어

BYOD 기기제어

소셜미디어 사용관리

대역폭관리

가트너 전망에 따르면

- 설치된 방화벽 중 NGFW의 비율은 2016년 50%에서 2019년 90%까지 증가

- 2018년 이후에는 도입되는 경계 방화벽의 90%가 NGFW

12

차세대 방화벽 도입 전

방화벽

L4 S/W웹필터

Policy Based Routing

ATP

메일보안

Web G/W

DLPIPS

다양한 One-point 보안솔루션

- 방화벽, IPS, DLP, Web G/W, Spam, APT 등

- In-line 보안및Mirrored 방식혼재

복잡한구성

- In-line 보안을지원하기위한 PBR 구성으로

네트워크복잡도증가

- 장애발생시여러벤더및 NW / 보안유관

부서로인해원인파악및대응의어려움

SSL Inspection 필요

- HTTPS 트래픽분석불가로보안취약점존재

보안시스템 구성 고민 사항

Internet

13

차세대 방화벽 도입 후

구성상의 장점

- 복잡한네트웍경로의단순화

(장애발생시원인분석및대응용이)

- 보안장비운영/비용효율성개선

보안 기능 강화

- NGFW과연계한 ATP시스템구축으로

Known / Unknown 위협모두방어

- SSL inspection 통합 (SSL가시성확보)

- Botnet / C&C 탐지및차단구현

보안시스템 구성 기대 효과

NGFW ATP

Internet

I-2. 차세대 방화벽 도입 시 고려 사항

15

Gartner 10대 전략기술 트렌드

Risk-based security and self-protection

Adaptive Security Architecture

Adaptive Security Architecture

Continuous Adaptive Risk

and Trust Assessment

16

The Adaptive Security Architecture (Gartner)

17

Adaptive Security Architecture를 위한 차세대 방화벽의 조건

보안사고 대응을 위하여 가시성을 높일 것

방어 확률을 높이기 위해 다단계 방어 체계를 갖출 것

(알려진 공격 방어 → 알려지지 않은 공격 방어 → 포렌식 분석)

보안장비 간 상호 연계하여 위협 정보 Database를 공유하고,

이를 통한 Self-operation 기능을 제공할 것 (세부적인 통제 최소화, API 활용)

모든 보안 및 네트워크 이벤트를 심층 분석하여 장시간 지속 공격(APT) 및

우회 공격을 파악할 수 있을 것

18

차세대 방화벽 도입시 고려사항

보안 효율성

• 차세대방화벽은광범위한 위협에 대한 대응이필요한장치

• 어플리케이션컨트롤, IPS, 웹필터링, 안티-바이러스, IP/Domain 평판, SSL 검사

등의기능과빠른 보안위협 시그내쳐 업데이트를제공해야함

• 장치간연동을통해 APT 및 우회 공격을 방어할수있어야함

트래픽 가시성

• 응용프로그램, 사용자, 장치및위협을식별하여보다심층적인보안제공

• 정보보안이벤트대응및전략적보안결정에도움을줄수있도록, 단일화면을

통한가시성과 풍부한 보고 기능을제공해야함

성능 및 신뢰성

• 차세대방화벽의기능을사용할때원하는성능을유지해야만의미가있음

• 비즈니스 연속성 및 대역폭 요구 사항을 지원할 수 있는 성능과,

다양한이중화 구성과안정적인 Fail-over를통한신뢰성을제공해야함

© Copyright Fortinet Inc. All rights reserved.

II. 차세대 방화벽의 핵심기능

II-1. 차세대 IPS

21

차세대 IPS란?

Gartner의 정의

Next-Gen IPS (NGIPS)

• 1세대 IPS 기능

• 어플리케이션인지

• 컨텍스트인지

• 컨텐츠인지

• 애자일엔진

NSS Labs의 테스트 방법

※ 아직대부분의 NGFW은 1세대 IPS

기능만을갖고있다. 향후 NGIPS 기능은

NGFW에통합될것이다. (2011)

※ NG-IPS : 디폴트 & 커스텀시그내쳐모두평가

User-ID 정책은평가하지않음

※ NGFW : 디폴트시그내쳐만평가, User-ID 정책을평가

22

차세대 IPS란?

세션기반동작 (Stateful-inspection)

L7검사기능없음

어플리케이션 제어 불가

일반방화벽

L7 검사 (빠른검사속도)

패킷기반 (Deep Packet Inspection)

어플리케이션/컨텐츠 인지 불가

우회/회피/난독화공격에취약함

오탐과시그내쳐대응의무한반복

1세대 IPS

L7 검사 (DPI, 빠른검사속도)

세션기반동작 (Stateful-inspection)

어플리케이션/컨텐츠 인지 가능

우회/회피/난독화공격탐지가능

프로토콜이해→발전된 IPS 시그내쳐

Protocol Anomaly 에대응

차세대 IPS

23

차세대 IPS 엔진의 구조 (예시)

세션 기반의 IPS Engine

주요 어플리케이션과 컨텐츠 별로

별도의 Decoder가 존재하여 회피,

혼잡 공격을효과적으로 방어

다양한 Fragmentation(분할),

Evasion(회피), Obfuscation(난독화)

등의 방어에유리

하드웨어 기반의 IPS 시그내쳐패턴

매칭을 통해고성능 IPS 기능수행

세션처리

어플리케이션디코더

컨텐츠디코더

하드웨어 기반의고속 패턴 매칭

24

차세대 IPS의 장점 – IPS 시그내쳐

1세대 IPS

• 인코딩여부에따라서다른패턴생성필요

• URL 인코딩방법에따로모든패턴을

별도로유지해야함

차세대 IPS

• 인코딩여부와상관없이하나의 패턴 사용가능

• IPS 엔진에서 HTTP 디코더가자동으로디코딩

• 각종 URL 인코딩변화에추가패턴없이대응가능

(content:"/etc/passwd"; nocase;)

(content:"%2fetc%2fpasswd"; nocase;)

(content:"/etc%2fpasswd"; nocase;)

(content:"%2fetc/passwd"; nocase;)

(--protocol tcp; --service HTTP; --flow from_client; --pattern \”/etc/passwd"; --context uri; --no_case;)

차세대 IPS 를 사용할 경우보유 및 유지해야할 시그내쳐 패턴수가 줄어들고 각종변형,

회피, 혼잡공격을 효과적으로 방어할수 있습니다.

25

차세대 IPS의 장점 – Evasion Attack (우회/회피 공격) 방어

• 보안장비에탐지되지않기위해공격을위장하거나수정하는것

• 다양한종류의 Evasion이있으며동시에여러개가사용될수있음 (개별시그내쳐로대응하기어려움)

• 클라이언트사이드와서버사이드난독화모두가능

26

차세대 IPS 도입시 고려사항

IPS 시그내쳐• 빠른시그내쳐 Update 주기

• IPS 시그내쳐의 정확성 (객관적인탐지율테스트)

차세대 IPS 제공 기능

• 어플리케이션, 프로토콜, 컨텐츠, 컨텍스트인지기능

• 사용자운영편의성및위협정보에대한가시성

• Evasion 공격에 대한 방어 효율성

• 다양한구성방안지원 (L2, L3, Sniffer, HA 등)

• IPS 처리 성능 (SSL 트래픽처리포함객관적인성능테스트)

II-2. SSL 방화벽

28

SSL 트래픽 증가와 가시성 확보의 필요성

SSL 트래픽

over40%

HTTPS (SSL)을 이용한

인터넷브라우징

암호화된 멀웨어

over50%

기업대상 공격의 50% 이상에서

암호화된트래픽이 사용됨

Source: Google Web Performance Labs Source: Gartner

암호화된트래픽을포함해서

모든트래픽이동일하게

검사되어야합니다.

암호화된트래픽을검사하지

않는것은문을모두열어놓은

것과마찬가지입니다.

29

SSL 검사 및 활용방안

복호화 후 차세대 방화벽의

모든 기능 수행

(멀웨어 차단, 어플리케이션

제어, IPS, 웹필터)

외부 장비로 복호화 트래픽 미러링

• 기존 운영중인 웹보안 장비

• 네트워크/메일 DLP 장비

• 네트워크 모니터링 및 포렌식 장비

• ATP 솔루션 (샌드박스)

• 패킷 분석 (WireShark)

• 스마트 스위치

SSL Mirror

30

SSL 복호화 후 보안 기능 적용

SSL 복호화 후 차세대 방화벽

의 모든 기능을 수행

SSL 복호화 트래픽을 다수의

인터페이스로 미러링 전달

31

SSL 방화벽 도입 시 고려사항

SSL 방화벽의 장점

• SSL 트래픽에 대해서도 차세대 방화벽기능을모두수행

• 기존에운영중인다양한 HTTP 보안장비를 계속 활용 가능

• 기존에운영중인방화벽과무관하게 SSL 복호화전용장비로만사용가능

SSL 방화벽 도입시

고려사항

• SSL 암복호화및차세대방화벽기능동시수행시의성능과 안정성

• SSL복호화트래픽을인터페이스제한없이복제하여미러링가능한지여부

(별도MirrorTAP 불필요)

• SSL Mirror 로트래픽을전송할경우수신장치와의 호환성검증

• SSL 암복호화기능 On/Off 또는트래픽증가에따른추가라이선스 비용여부

• 정책설정을통해간편하게원하는 SSL트래픽만암복호화하거나, 원하는

트래픽만미러링수행

© Copyright Fortinet Inc. All rights reserved.

III. Fortinet 차세대 방화벽

33

FortiGuard 연구소

Protection Services Detection Services

Mobile Security

App Control IPSWeb Filtering

Industrial Security Antivirus

VirusOutbreak

Content Disarm & Reconstruct

Security Audit Update

Anti-spam

Web SecurityAnti-botnet

Advanced Threat Protection

TIS

Indicator of Compromise

AIUEBA

시그내쳐업데이트 주기

• IPS : Per 1일

• App-Control : Per 1일

• Anti-Virus : Per 1시간

• Web Filter : Per 5분

34

FortiView

35

FortiASIC - 하드웨어 기반 트래픽 처리

경쟁사 방화벽 아키텍처

멀티 CPU 최적화

포티넷 방화벽 아키텍처

전용 ASIC 하드웨어칩과 멀티 CPU 최적화

방화벽 Latency 최소화 (2~3㎲)More Performance

Less Latency

Less Power

Less Space

FirewallVPN

NGFWNG-IPS

SSL

PolicySecurity

Mbps Gbps

Network Processor방화벽과 VPN 트래픽

H/W 가속

Content Processor컨텐츠검사및

암복호화 H/W 가속

36

High-EndMid-Range Entry-Level

FortiGate 30-90

FortiGate 100-900

FortiGate 1000-3000

FortiGate 6000

Rugged

FortiGate 5000/7000

FortiGate 01 - Unlimited

ChassisUltra High-End Cloud

Accelerate Network Traffic

Accelerate Content Inspection

다양한 제품 포트폴리오

37

SSL Full Inspection 지원

별도의라이선스없이 SSL Full Inspection 기능을제공하여암호화된위협에대응가능

FortiGate에서 SSL 암호화된트래픽을복호화한후에 NGFW의모든기능을직접수행

사용자 인터넷

SSL 접속

FortiGate

SSL 트래픽암복호화및NG-IPS 기능수행

(Web filter, App control, Anti-Virus, IPS, Botnet 등)

38

2018 NSS NGFW 결과

2018 NSS NGFW테스트결과

» Block Rate 99.13%

» Evasion – 100% (190/190)

» Throughput – 6.753Gbps

» 방어/비용효율성 (TCO) – 1위

39

2018 NSS NGFW 결과

NGFW 테스트결과 99.13%방어

» 2056/2074방어

» Evasion Attack테스트결과 pass

» 안정성테스트결과 pass

» 조사대상중가장낮은 Latency

40

차세대 방화벽 도입 사례

TAP

Smart TAP

전체트래픽

Mir

ror

복호화트래픽

Mir

ror

암호화트래픽

평문트래픽

암호화트래픽제외설정

차세대방화벽에SSL암복호화 구현

• 기존 HTTP 보안장비 연동• 빅데이터 분석

내부사용자인터넷1

① 보안위협 차단 기능 :

NGFW 기능 및 SSL 암복호화

멀웨어/바이러스 차단(AV)

애플리케이션 제어 적용

외부 접속 URL 제어(웹 필터링)

사용자 ID 기반의 보안 정책 구현 (AD연동)

통합 관리 및 통제 구현

② SSL 미러링 연동구성 :

APT 대응 시스템

침입탐지시스템

차세대보안관제 연동(SIEM)

2

41

Summary

I. 차세대 방화벽은 기업 네트워크 보안의

핵심입니다. 도입 및 운영을 위해 여러

고려사항을 충분히 검토하십시오.

II. 차세대 방화벽은 보안탐지의 정확성과

안정적인 시스템 성능, 그리고 운영 효율화를

위한 가시성이 중요합니다.

III. 차세대 IPS는 오탐을 줄이며, 최신 우회

공격까지 효과적으로 차단할 수 있습니다.

IV. SSL 트래픽에 대한 보안 모니터링은 반드시

수행해야 합니다.

THANK YOU