기업 환경에서 사용 되는 보안 장비 정리
이 글을 쓰게 된 계기는 국내,해외에 보안 장비가 어떤 것 들이 있고
각 회사의 기술에 대해서 궁금증 으로 작성하게 되었습니다.
전체적은 글의 뼈대 참고는 네트워크 타임즈에 '기업정보보호가이드' 입니다.
대략 보안 장비 정리 계획
1. 안티 DDoS
2. NAC
3. VPN, UTM, XTM
4. IPS
5. Secure SW
6. VoIP Security
7. Wireless Security
8. Web Application Firewall(WAF)
9. Secure Web Gateway(SWG)
10. 정보 유출 방지(DLP DRM)
11. 데이터베이스(DB)보안
12. 보안관리(ESM SIEM RMS)
13. 정보보호컨설팅 및 보안관제
14. 계정접근관리(IAM)
15. 안티바이러스
16. 스마트폰 보안
@ Anti DDoS (안티 DDoS)
2009 7월7일~10일 DDoS공격, 3일간 국가적 손실 최대 544억, 옥션 20억 가까운 피해 사례
이미 DDoS 에 대한 내용은 포탈 사이트 검색으로도 많이 나오니 pass~
[DDoS 공격 유형]
|
대역폭/세션 고갈형 공격 |
L4레이어 : SYN, SYN-ACK, RESET 플러딩, ACK 플러딩, UDP 플러딩 L3레이어 : Land어택, ARP, RARP 플러딩, ICMP 플러딩 L2레이어 : VLAN double-encapsulated, VLAN non-IP flood |
|
서버 자원 고갈형 공격 |
L7레이어 : HTTP GET 플러딩, DNS Lookup 플루딩 캐시 컨트롤 공격(Cache Control Attack) |
[2009 7.7 DDoS 공격패턴]
HTTP GET flooding 공격, UDP 80 과 ICMP를 이용한 대역폭 고갈 공격
[방어 방법]
아웃오브패스(Out of path) : 네트워크 트래픽의 외부에서 공격을 탐지해 차단
인라인 방식(Inline) : 네트워크 트래픽의 경로에 장비가 배치되어서 공격을 탐지해 차단
 |
< 그림 1. Inline mode, Out of path mode 비교 >
 |
< 그림 2. Inline mode 방식 , sniper>
< 그림 3. Out of path mode 방식 , sniper>
http://service14.nis.go.kr/_DATA/certify/OTHER/1675/doc/20091222173540.pdf
{궁금증. sniper 은 어떤 방식으로 공격 탐지 시 해당 라우터를 제어 하게 되는 걸 까요? snmp 등등}
{궁금증. sniper 가 out of path 방식 시에는 최소 2대의 장비가 필요한가요? sensor, ddx}
< 그림 4. Cisco Guard & Cisco Traffic Anomaly Detector Physical Interface >
[방어 기법]
a. 학습-행위기반 방어 엔진
<그림 5. 행위 기반 탐지/방어, sniper>
b. 시그니처 기반 탐지/방어
<그림 6. 시그니처 기반 탐지/방어, sniper>
c. 자체 학습 기능 및 탐지/방어
각 공격의 특성 및 임계치에 따라 유해트래픽의 탐지를 수행하고 차단 대응을 한다.
또한 새로운 유형의 공격에 따른 유해트래픽의 발생을 감시하여 학습기능을 통한
DDoS 자동 패턴화를 수행한 후 탐지, 차단 대응한다.
<그림 7. 자체 학습 기능 및 탐지/방어, sniper>
c. NAC 기반 등 조기 경보 시스템 구축
d. 보안존 서비스
[안티DDoS 제품 및 서비스]
1. 나우콤/스나이퍼DDX
1차공격 대상인 신한은행이 26개 기관 중 홈페이지 장애 없는 서비스 제공
이후 범정부 DDoS 대응 체계 구축 사업 수주, 다수의 레퍼런스 보유
주요 보안 기능
a. 학습-행위기반 방어 엔진
b. 시그니처 기반 탐지/방어
c. 자체 학습 기능 및 탐지/방어
d. QoS(Quality of Service) 기능 지원
e. 실시간 네트워크 트래픽 조회 및 관리
f. HA(고가용성, 이중화) 지원
제품 사양(DDX client 는 Server 접근 프로그램)
 |
고객사(Anti DDoS 이외에 나우콤의 모두 장비 대상 고객사 입니다)
쏠라구구생각
국내 제품 중 몇 안되는 Out of path 방식을 지원합니다.
하지만 mirror 방식으로만 지원하는 방식이 조금 아쉽네요.
아님 mirror 도 별 문제가 없나요? 아시는 분들 답글 좀^^;
2. 아버네트웍스/피크플로우
http://www.arbornetworks.com/ (국내 사이트가 안보이네요, 담당자분들 만들어주세요^^;)
http://blog.naver.com/jamesdck <- 아마 여기가 아버 기술 영업 담당하시는 분 같아요~
범정부 DDoS 사업 수주, 10년 동안 꾸준한 Anti DDoS 제품 솔류션 개발, 전 세계 1위 Anti DDoS 회사
주요 보안 기능
IPv6 트래픽 상세 분석 제공
DNS 서버 방어 기능 강화
전 세계 DDoS 공격 정보 제공(http://atlas.arbor.net)
트래픽 수집을 Netflow(Cisco), sflow(Foundry), cflowd(Juniper)+SNMP, BGP 로 하네요.
http://blog.naver.com/jamesdck/63037965 <- 해당 사이트에 기능 및 장단점
< 전 세계 DDoS 공격 정보 제공 사이트 http://atlas.arbor.net/ >
고객사
 |
쏠라구구생각
이 제품 꽤 좋으네요. 기술력도 좋고 정보 제공 두요. 초대형 시스템을 지원하고 한결같은 DDoS 시장의 제품
3. 시스코/가드&디텍터
http://www.cisco.com/web/KR/learning/events/down/July_DDoS_Webseminar.pdf
시스코 가드&디텍터는 단종 발표를 했습니다. 이게 관련 기사만 링크하겠습니다.
대신 2번의 아버네트웍스의 '피크플로우'로 마이그레이션 옵션을 제공한다고 합니다.
http://www.datanet.co.kr/news/news_view.asp?id=48750&acate1=0&acate2=3
http://www.cisco.com/en/US/prod/collateral/modules/ps2706/end_of_life_c51-573493.html
쏠라구구생각
국내에 DDoS 레퍼런스를 많이 구축하고 그냥 빠져버리니 좀 쓸쓸하네요 --;
4. 안철수연구소/트러스가드 DPX
http://www.ahnlab.com/kr/site/product/productView.do?prodSeq=54
http://www.ahnlab.co.kr/kr/site/html/brochure/TrusGuard_DPX.pdf
구성도
 |
주요 보안 기능
위 구성도를 보니 Inline 방식만 지원하네요.
V3분석 기술로 악성코드 결합공격 차단
365일 24 시간 DDoS 보안관제 서비스(원격, 파견) 제공
클라우드 컴퓨팅을 이용한 DDoS 공격 탐지·차단 기술 <- 이건 머죠?
제품 사양
쏠라구구생각
그냥 보통 제품이다라는 생각입니다. 특장점이 없네요. --;
머 24시간 국내 환경에 최적화된 관제 및 정보를 제공 받는 것은 장점이 되겠네요
5. 시큐비스타/인트루가드
http://www.intruguardkorea.com
http://intruguard.com/Downloads/datasheets/NBAIG2000DataSheet22Apr2008.pdf
구성도
 |
주요 보안 기능
Inline 방식만 지원되나 보네요
공격 발생 2초 이내에 네트워크를 보호
1대의 장비로 8대의 효과(네트워크 그룹 별 보안 설정 관리, 주요 호스트 별 개별 관리) <- 이게 클라우드인가?
제품 사양
쏠라구구생각
그냥 일반적인 Anti DDoS 제품인것 같습니다.
|
이외 Anti DDoS 방어 제품 | |
|
닷큐어/스마트가드
| |
|
라드웨어/디펜스프로 ODS3
| |
|
모젠소프트/리오레이 http://ddos.tistory.com <- DDoS 자료 및 자사 제품 소개, 좋으네요
특징 : M.B.A 알고리즘은 DDOS 공격에 대한 기존 탐지 및 차단 방식의 한계점을 벗어난 Packet의 Micro단위 행태분석을 통해 공격 유무를 판별하는 혁신적인 알고리즘 입니다. | |
|
시큐아이닷컴/엑쉴드 SNXG D
특징 : 삼성 전자 L2 스위치와 결합된 DDoS 방어 솔류션 | |
|
어울림정보기술/시큐어웍스 자드 | |
|
컴트루테크놀로지/디도스캅 | |
|
퓨처시스템/위가디아DDoS | |
|
한세텔레콤/NOD4000 | |
|
LG CNS/세이프존XDDoS |
[안티 봇넷 제품]
6. 트렌드마이크로/TMS2.5 <- 봇넷 자동 차단 솔류션
http://www.tmcs.co.kr/trend/tms/solution_guide_tms.pdf
구성도
주요 보안 기능
요건 지금 까지의 장비와 다르게 내부의 봇넷 PC에 대한 제어
자동 치료 제공하는 안티 봇넷 솔류션
제품 사양
고객사
행정안전부 및 교육과학기술부 산하 36개 기관(TMS 2.5 도입)
쏠라구구생각
DDoS 를 줄이는 방법 중 다른 제품과는 차별화를 둔 제품이네요. 회사의 돈이 많다면 있으면 좋을 듯~
7. 파로스네트웍스/파이어아이 봇월4200
http://www.pharosnetworks.co.kr
 |
http://it.cheongshim.com/pdf/FireEye솔루션소개서(청심IT).pdf
구성도
주요 보안 기능
고객사
쏠라구구생각
요건 Out of path 방식을 지원하는 Anti-Botnet 솔류션입니다. 근데 6번도 out of path 방식이겠네요^^;
[DDoS 대응 서비스]
서비스 Level(ISP등) 에서 DDoS 공격을 차단해서 고객의 서버 보호
구성도
특징
DDoS공격 시 대응 서비스와 우회경로 서비스 제공
Sinkhole 클라우드 기반 안티 DDoS 서비스
인터넷 백본에서 DDoS 트래픽 원천 차단
업체
스마일서브/Anti DDoS http://www.1000dedi.net / 피드백 성실하다. 왠지 믿을만함.
코리아서버호스팅/DDoS 방어 http://www.ksidc.net /
KT/시큐어넷 안티DDoS서비스 http://securenet.bizmeka.com
제이투 씨엔에스/DDoS 보안존 방어 http://www.j2cns.com
가비아/DDoS 보안 http://hosting.gabia.com
코스콤/안심DDoS클린존서비스 http://www.koscom.co.kr
쏠라구구생각
이리 저리 DDoS 대응 서비스 게시판 이랑 찾아보니 업체에서 제공하는 대역폭이 아닌 경우도 있고
실제 공격이 들어와서 고객 사이트 접근이 안되니 다른 업체를 소개해주는 업체도 있다고 하네요.
DDoS 대응 서비스를 신청 할 시에는 직접 방문해서 장비랑 확인하고 꼼꼼하게 보시고 결정해야 할 것 같네요^^;
@ 결론
이상으로 Anti DDoS 관련 네트워크 엔지니어 입장에서 적어보았습니다.
Anti DDoS 제품
Anti BotNet 제품
DDoS 대응 Service
이렇게 구분할 수 있네요. 그럼 다음에는 NAC 제품을 가지고 비교해보겠습니다.^^;
혹시 오타 및 추가 하고 싶은 사항 및 내용 있으시면 덧글 답글 주세요~
[용어 정리]
▲ CC(Common Criteria) 인증은 정보보호제품 평가/인증제도에 따라
민간업체가 개발한 정보보호제품에 구현된 보안기능의 안전성과 신뢰성을 국가차원에서 평가/인증하는 공통평가기준이다.
우리나라는 1998년 2월부터 정보보호제품 평가/인증제도를 시행하고 있으며
2002년부터 CC에 따라 정보보호제품을 평가/인증하고 있다.
2006년 5월 국제 상호인정협정(CCRA)에 인증서 발행국(CAP) 자격으로 가입함으로써
국제수준에 맞는 평가/인증제도를 운영하고 있다.
한국정보보호진흥원(KISA), 한국사업기술시험원(KTL) 등
국가정보원에서 승인한 전문 평가기관에서 평가하고, 국가정보원에서 인증한다. [출처] [보안장비1/Anti DDoS 장비 솔류션]|작성자 쏠라구구
