침입탐지(IDS), 침입차단(IPS), 방화벽, VPN을 한번에!

사내 또는 IDC에서 PC나 서버를 운영하다보면 보이지 않은 엄청난 위협에 네트워크와 시스템 들이 그대로 노출되어 있음을 알 수가 있습니다. 최근에 뉴스를 볼 때면 중국발 해킹으로 미국, 한국, 유럽국가 들의 국방부 전산망이 공격당하고 있다는 소식을 접할 수 있으며 이 때마다 기업의 시스템 관리자들은 우리 회사의 네트워크에 대한 보안 시스템에 대해 고민을 하고 있는 것으로 알고 있습니다.


끊임없는 해킹 공격에 노출

저희 회사를 예를 들어보면, 보안시스템을 갖추기 이전에는 사내 내부 테스트 서버가 국내 해커의 공격으로 동영상 제공서버로 악용되었던가 하면, 시스템의 비밀번호를 바꿀수 없도록 해킹을 다하여 시스템 운영에 문제가 생기거나, 가끔은 웹사이트가 중국 해커에 의해 공격당하여  "당신네 웹사이트는 내가 해킹했고 데이터는 삭제하지 않았다"와 같은 경고 페이지를 남기고 사라지는 등의 공격사례가 여러 차례 발생되었습니다.

보이지 않는 공격

대부분의 경우 공격을 당하고 있는 상태에서도 회사의 임원이나 시스템 관리자들은 해킹에 대한 우려는 있지만 설마 우리가 당하고 있는지 현실적으로 알아채지 못하는 경우가 많고 심지어는 어떤 정보가 밖으로 유출되는지 무감각한 상태에 있는 경우도 많이 있습니다.

해커의 공격은 보이지 않게 이루어지고 있습니다.

해킹 공격에 대한 사례

저희쪽 방화벽 시스템의 일례를 보면 아래 이미지 처럼 끊임없이 외부 IP에서 네트워크에 접속하기 위하여 아이디 무차별 대입(brute-force attack) 방식으로 공격하고 있는 모습을 보실 수 있을 겁니다.

사용자 삽입 이미지

하나의 경유지IP를 사용한 무차별 공격


당사의 하론 침입탐지가 탐지해낸 공격의 패턴을 보면 DoS 공격을 비롯하여 다양한 시도가 있는 것을 아래 그림에서 볼 수 있듯이 확인하실 수 있습니다.

사용자 삽입 이미지

하론 침탐에 걸린 공격 리스트


위의 그림을 보면 대부분 공격 IP는 전혀 다른 IP 대역도 있지만 많은 부분이 우리가 사용하고 있는 네트워크(IP 대역)에서 공격하고 있음을 알 수 있습니다. 이는 같은 인터넷 망을 사용하고 있는 서버나 개인 사용자 PC가 경유지로 활용되고 있음을 보여줍니다.


왜 침임탐지(IDS)가 필요한가?

앞의 사례만으로도 충분히 침입탐지가 필요하다는 것을 알 수 있습니다. 기업고객들을 보면 대부분 방화벽이 있으니까 우린 보안 시스템이 제대로 동작하고 있다고 판단하는 경향이 있습니다. 방화벽은 NAT 기능을 통해 내부 서버나 PC의 IP를 사설 IP 체계로 변환하고 사용하지 않는 포트를 막는데 그 역할이 있습니다. 따라서 방화벽 만으로는 웜, 백도어, 스팸메일, DoS 공격, SQL Injection 공격 등 자동화된 도구에 의한 공격은 피하기 어렵습니다. 물론 기본적인 보안 정책을 통해 일차적인 공격을 차단할 수는 있을 것입니다.

사용자 삽입 이미지

하론 침입탐지 화면(스놋트)


이런 보이지 않는 해커, 자동화도구를 통한 공격을 차단하기 위해서는 침입탐지(IDS), 침입차단(IPS) 시스템의 도입이 불가피합니다. 침입탐지의 거의 대부분은 스놋트(Snort)라는 공개 소프트웨어 기반으로 동작되고 있으며 저희 하론 장비 역시 스놋트를 탑재하여 스놋트 규칙을 통해 침입에 대한 공격을 감지하고 차단하고 있습니다.

침입탐지 구축의 이유는 앞서 설명한 바와 같이 다양한 외부의 공격으로 부터 내부 네트워크, 서버 시스템, 사용자 시스템을 보호하는데 있습니다.

하론은 VPN(PPTP, IPSEC), 방화벽, 침입탐지, UTM을 지원하는 통합보안 솔루션입니다.



소프트메일의 복합적인 침입탐지 솔루션

소프트메일은 하론 방화벽/침입탐지 어플라이언스와 액티브웍스 스놋트 센서(SMC), 키위 시스로그 데몬을 통합한 솔루션을 공급합니다. 이 시스템은 3가지 솔루션이 유기적으로 통합 운영되는 것으로서 회사 네트워크의 보안에 큰 장점을 제공해 줍니다.

사용자 삽입 이미지

하론에서 시스로그 서버로 실시간 로그


이 시스템은 외부 해킹 공격으로 부터 침입을 감지하는 하론 침입탐지(IDS) 어플라이언스에서 침입을 감지하여 자동차단하며 동시에 시스로그(syslog)데몬인 Kiwi 서버로 실시간으로 침탐에 대한 로그를 전송하고 kiwi 로그뷰어를 통해 하론에서 들어오는 로그를 실시간으로 볼 수 있게 됩니다. 아래 동영상은 하론 침입탐지에서 외부 공격을 실시간으로 분석하여 Kiwi 시스로그로 보내주는 장면을 찍은 비디오 입니다.



Kiwi에 쌓이는 로그는 다시 스놋트 데이터를 수집하는 액티브웍스 매니저(ActiveWorx)를 통해 다시 실시간으로 시스로그를 데이터베이스에 수집, 저장합니다. 액티브웍스 콘솔인 데스크탑은 하론 침탐장비에서 경고한 또는 차단한 정보들을 실시간으로 시스템 관리자가 모니터링할 수 있도록 잘 정돈된 이미지와 함께 통계를 보여줍니다.

소프트메일 침입탐지 패키지는 하론 침입탐지와 액티브웍스 스놋트 콘솔 어플라이언스로 구성

소프트메일 솔루션은 하론 침입탐지 + 스놋트 콘솔(어플라이언스) 제품으로 구성되어 있습니다. 기본적으로 하론 장비만으로도 침입탐지 시스템을 구성하실 수 있으나 모니터링을 위한 콘솔 어플라이언스도 함께 사용하시면 좋은 선택이 될 것입니다.

하론 통합보안 제품은 침입탐지 외에도 VPN, 방화벽, 스팸차단 등의 기능을 하나로 통합만 통합보안 어플라이언스 제품입니다.

블로그 이미지

ICEWARP 이메일서버 avastkorea

ICEWARP 글로벌 이메일 서버 플랫폼으로 한국내 3천여 고객사가 운영 중인 구축형 메일 서버 솔루션, 윈도우 및 리눅스 운영체제 지원, 가상화 엔진 탑재, 또는 SaaS용 메일 운영이 가능합니다.

댓글을 달아 주세요

하론 UTM (통합보안) 시스템 SX-50, 101, 200 장비는 방화벽 제품입니다. 방화벽 기능외에도 VPN, VLAN, 로드밸런싱, IDS, IPS 기능 등을 포함하고 있습니다.

그러나 무엇보다도 기업에서 꼭 필요한 기능이 있다면 바로 UTM일 것입니다. UTM은 Unified Threat Management 약자로서 안티바이러스 월과 스팸차단 기능을 포함합니다.

메일서버를 직접 사내에서 활용하고 있는 경우나 IDC에서 운영하는 경우에 스팸을 차단하려면 반드시 스팸차단 서버를 네트워크 앞단에 구축하여야 합니다.

사용자 삽입 이미지
그러나 SX-50 장비를 메일서버 유무와 관계없이 회사의 네트워크 앞단에 설치하면 유해트래픽의 차단은 물론, 해커의 공격을 사전 예방할 뿐더라, 직원들이 어떤 메일을 사용하여도 이에 관계없이 SX장비의 POP3 프록시 서버를 통해 메일클라이언트에서 다운로드 받는 모든 메일에 대하여 바이러스와 스팸 체크를 하여 안전하게 사용자의 메일 클라이언트로 배달되도록 할 수 있습니다.

사용자의 경우 메일 클라이언트의 어떤 설정 변경없이도 바이러스 메일을 차단할 수 있습니다. 또한 스팸메일로 분류된 메일들은 제목에 [spam]과 같이 태그를 붙여서 사용자에게 보내며, 아웃룩 등의 필터 규칙을 활용하여 사용자들이 쉽게 스팸을 분류해 낼 수 있어 상당한 편리함을 줍니다.


사용자 삽입 이미지



하론 UTM 활용방안
 
—- 통합위협관리(Unified Threats Management)
—- 스팸메일과 바이러스 메일의 필터링
—- 메일서버 해킹으로 부터 서버 보호 (Firewall, 침입탐지…)
—- 메일서버에 대한 원격접속 관리(보안인증, VPN…)
—- 사용자 수나 트래픽에 따라 SX-50, 101, 200모델
—


하론 UTM 시스템의 구성
사용자 삽입 이미지



Recurrent Pattern Detection(RPD) 기술 탑재 - 스팸 차단


1. 정보의 수집단계

전략적으로 분산된 수집원 들이 전세계에서 발발하는 수천만 건의 메시지를 트래픽을 분석하여 스팸 정보를 수집
사용자 삽입 이미지

전세계에서 발생되는 스팸메일을 수집하는 단계


2. 패턴을 분석

대량으로 발송되는 메시지의 스트럭처 패턴을 분석하여 벌크(bulk) 메일인지를 식별하고 메일이 발송되는 배포 패턴을 식별하여 위험성을 분류

사용자 삽입 이미지

수집된 메일에 대한 분석 단계


3. 실시간 분류

Full mode 쿼리를 통해 패턴 업데이트에 대한 지연을 방지(optional push)합니다. 스팸의 75% 정도는 resolved 케쉬를 사용하여 빠르게 분석하고 모든 메일을 쿼리하는데 트래픽의 1%이하만 사용하여 빠른 분석이 가능합니다. 라운드트립시 300m/s 이하의 시간이 소요되며 대부분 0.5KB 이하의 쿼리 데이터를 사용하므로 실시간 분석이 가능합니다.

사용자 삽입 이미지

분석을 마치고 스팸인지 여부에 따라 분류하는 단계



대량메일(벌크 메일) 배포의 패턴


사용자 삽입 이미지

대량으로 발생되는 스팸을 매월 수천만 건 이상을 분석하여 스팸인지 여부를 판단합니다. 각각의 메시지를 통해 소스, 배포방법, 스팸특성, 바이러스 특성을 분석하여 인터넷 상에 존재하는 PC(IP 주소)에 대하여 얼마나 많은 건수의 메일이 발생하는 지(평균, 표준편차), 위험성 여부, 좀비 PC 여부, 행위변화, 트래픽 처리 여부 등의 정보를 획득합니다.



최첨단의 안티스팸 솔루션 (UTM - 안티스팸, 안티바이러스)


1. 실시간으로 스팸을 차단

RDP 접근방법은 다른 안티스팸 솔루션의 방법론과 달리 전세계에서 발발되는 스팸에 대해 단 시간내에 스팸을 식별하고 차단합니다.


2. 컨텐트 분석이 불필요

메일 내용을 일일이 분석하지 않고 스패머의 전술을 거의 파악하고 있어 면역력을 갖고 있습니다.
사용자 삽입 이미지


3. 거의 0에 가까운 오인율

세계 톱 10 경쟁자와 비교할 때 하론의 RDP 스팸엔진의 오인율은 가장 낮습니다.

  • 스팸 분류 성공율 : 97%
  • 오인율 : 거의 0%에 이름
4. 모든 언어권의 스팸을 처리

어떤 언어, 예를 들면 중국어, 한국어, 일본어, 영어 권의 스팸메일도 분석할 수 있으며 어떤 형식의 인코딩 타입도 처리가 가능합니다. 많은 다른 UTM 제품 들은 한국어나 다른 언어권의 스팸에 대해 취약성을 내포하고 있습니다.


사용자 삽입 이미지

5. 지속성

아웃브레이크 검사로 지속적인 스팸에 대한 업데이트가 이루어 집니다.



제품별 목표 고객

하론 UTM 장비는 규모에 따라 현재 3가지 제품으로 제공됩니다.

  • 중소기업 (5~30 유저) : sx-50
  • 중소기업 (20~100유저) : sx-101
  • 중견기업 이상 (50~1000유저) : sx-200
사용자 삽입 이미지사용자 삽입 이미지사용자 삽입 이미지



블로그 이미지

ICEWARP 이메일서버 avastkorea

ICEWARP 글로벌 이메일 서버 플랫폼으로 한국내 3천여 고객사가 운영 중인 구축형 메일 서버 솔루션, 윈도우 및 리눅스 운영체제 지원, 가상화 엔진 탑재, 또는 SaaS용 메일 운영이 가능합니다.

댓글을 달아 주세요

액티브웍스(Activeworx) 제품은 스노트(Snort) 침입탐지 엔진에서 필터링하는 해커의 침입 로그를 관리하는 실시간 모니터링 & 로그분석 제품입니다.

스노트에서 검출하는 로그 자료는 MySQL 또는 MS-SQL로 실시간으로 저장되는데 액티브웍스 센서는 이 저장된 데이터베이스를 엑티브웍스로 보내주는 역할을 하게 됩니다. 여러지역에 스노트(또는 하론 방화벽의 스노트, 스노트 호환 침탐 장비) 침탐을 설치하는 경우 각각의 스노트에 액티브웍스를 설치하지 않고 센서를 설치하여 중앙에서 복수의 센서를 관리할 수 있습니다.

본 동영상은 복수의 스노트 센서를 구축한 경우 액티브웍스에서 어떻게 관리하는지에 관한 동영상으로서 액티브웍스 사용 방법에 대해 교육하는 자료입니다.

블로그 이미지

ICEWARP 이메일서버 avastkorea

ICEWARP 글로벌 이메일 서버 플랫폼으로 한국내 3천여 고객사가 운영 중인 구축형 메일 서버 솔루션, 윈도우 및 리눅스 운영체제 지원, 가상화 엔진 탑재, 또는 SaaS용 메일 운영이 가능합니다.

댓글을 달아 주세요

Microsoft IIS, Microsoft Windows Firewall, Microsoft .NET 프레임워크를 사용하는 호스트에 영향을 주는 취약성이 발견되었습니다.

세부내용 :

Microsoft 보안 게시판 MS07-041:
Microsoft 인터넷 정보 서비스(IIS)에 취약성이 있는 코드를 공격자가 실행하도록 하는 프로그램 오류가 포함되어 있습니다. 이 문제는 URL 처리시에 발생하며 잘못된 형식의 요청이 Null 포인터를 발생시키는 원인이 되어 사용자가 운영하는 서비스의 문맥에서 어떤 코드를 실행시키도록 할 수 있습니다.

이외에 MS07-40(.NET 프레임워크)과 MS07-038(윈도우 방화벽) 취약성 정보가 포함되어 있습니다.

권고:

저세한 사항은 스놋트 홈페이지 http://www.snort.org/vrt/advisories/vrt-rules-2007-07-10.html 에서 확인해 볼 수 있으며 스놋트 규칙은 2007년 7월 9일자 http://www.snort.org/pub-bin/downloads.cgi  에서 다운로드 받아 업데이트하시기 바랍니다.

하론 방화벽의 침탐에서 역시 스놋트 규칙을 사용하기 때문에 이 규칙을 하론 장비에서 업데이트하시기 바랍니다.

블로그 이미지

ICEWARP 이메일서버 avastkorea

ICEWARP 글로벌 이메일 서버 플랫폼으로 한국내 3천여 고객사가 운영 중인 구축형 메일 서버 솔루션, 윈도우 및 리눅스 운영체제 지원, 가상화 엔진 탑재, 또는 SaaS용 메일 운영이 가능합니다.

댓글을 달아 주세요

3DES
Tripple DES is much more secure than normal DES

AES

Automatic IPSec

DES
DES is one of the crypto algorithms used by Halon

DHCP
Dynamic Host Configuration Protocol, distributes IP addresses to clients as they connect to the network, unlike static IP-addresses, where the client already know what IP it will use.

DNS
Domain Name System resolves hostnames to ip-addresses.

Gateway

HEX
Is a number system from 0-F (A=10,B=11,C=12,D=13,E=14,F=15).

ICMP

ICMP Code
The ICMP Code extends the ICMP Type as it sets a "return code" for the packet, eg. Type:3 Code:1 means that "the destination is unreachable because (and it's here the code comes in) the host is unreachable. See ICMP Type.

ICMP Type
A ICMP Type defines the type of ICMP packet being sent, eg. Type:3 are "Destination Unreachable", Type:0 is a ICMP Reply and a Type:6 is a ICMP Request.

ICMPv6

IP

IPSec

IPv4
See IP.

IPv6
IPv6 works similar to IP, but the address-space is much bigger and the address is made by 8 semicolon separated HEX-string from 00 to FF. like F0:FF:12:00:DA:45:11:31.

MAC

MTU
Maximum Transmission Unit specifies the largest size for a datagram that will be passed through the firewall.

Manual IPSec

Mobile IPSec

Network Types
You can optimize your network for you type of connects, normal suites any type of network, high-latency are good for satellite connections, aggressive are for highly access firewall as it drops old states quickly while conservative hold on to old states for as long as possible.

PPS
Pings for second, sets the maximums pings the firewall will respond to, this is a good protection for ping attacks.

PPTP

QoS
QoS stands for Quality of Service, it enables you to set the (QoS) Priority and amount of (QoS) Bandwidth different services will be using.

QoS Bandwidth

QoS Bandwidth Default
Sets the default bandwidth for that interface, to be used when there is no available queues for the matching firewall policy.

QoS Bandwidth Maximum
Sets the maximum bandwidth for that interface.

QoS Borrow

QoS ECN
Explicit Congestion Notification, which implies (QoS) RED, tells compatible clients to hold back traffic as the queue length increases.

QoS Priority
Specifies the priority of a given queue, this is not the same as (QoS) Bandwidth, a higher Priority lets the packet jump ahead in the queue, so this doesn't affect the amount of packets, just the delay unlike (QoS) Bandwidth.

QoS RED
Random Early Detection avoids network congestion.

RIJNDAEL

TCP Destination Port
This is the port the packet have for its destination. eg. port 80 for a http server.

TCP Forward Port
The port the packet will be forwarded to, this gives you the possibility to have different internal and external ports and a service. This only applies to packet forwards.

TCP Source Port
This is the port the packet comes from, this is often on the client side a random port from 1024 to 65535.

Timeout Frags
Sets the time until unassembled fragment expires.

Timeout Interval
How often the firewall will clean up packet fragments and expired states.

Timeout Source Track
The seconds to keep a source tracking entry in memory after the last state expires.

VLAN

VLAN Tag

VPN
Virtual Private Network enables clients to dial-in to a already existing network from a remote place making himself a part of the network.
블로그 이미지

비회원

ICEWARP 글로벌 이메일 서버 플랫폼으로 한국내 3천여 고객사가 운영 중인 구축형 메일 서버 솔루션, 윈도우 및 리눅스 운영체제 지원, 가상화 엔진 탑재, 또는 SaaS용 메일 운영이 가능합니다.

댓글을 달아 주세요