하론 UTM (통합보안) 시스템 SX-50, 101, 200 장비는 방화벽 제품입니다. 방화벽 기능외에도 VPN, VLAN, 로드밸런싱, IDS, IPS 기능 등을 포함하고 있습니다.

그러나 무엇보다도 기업에서 꼭 필요한 기능이 있다면 바로 UTM일 것입니다. UTM은 Unified Threat Management 약자로서 안티바이러스 월과 스팸차단 기능을 포함합니다.

메일서버를 직접 사내에서 활용하고 있는 경우나 IDC에서 운영하는 경우에 스팸을 차단하려면 반드시 스팸차단 서버를 네트워크 앞단에 구축하여야 합니다.

사용자 삽입 이미지
그러나 SX-50 장비를 메일서버 유무와 관계없이 회사의 네트워크 앞단에 설치하면 유해트래픽의 차단은 물론, 해커의 공격을 사전 예방할 뿐더라, 직원들이 어떤 메일을 사용하여도 이에 관계없이 SX장비의 POP3 프록시 서버를 통해 메일클라이언트에서 다운로드 받는 모든 메일에 대하여 바이러스와 스팸 체크를 하여 안전하게 사용자의 메일 클라이언트로 배달되도록 할 수 있습니다.

사용자의 경우 메일 클라이언트의 어떤 설정 변경없이도 바이러스 메일을 차단할 수 있습니다. 또한 스팸메일로 분류된 메일들은 제목에 [spam]과 같이 태그를 붙여서 사용자에게 보내며, 아웃룩 등의 필터 규칙을 활용하여 사용자들이 쉽게 스팸을 분류해 낼 수 있어 상당한 편리함을 줍니다.


사용자 삽입 이미지



하론 UTM 활용방안
 
—- 통합위협관리(Unified Threats Management)
—- 스팸메일과 바이러스 메일의 필터링
—- 메일서버 해킹으로 부터 서버 보호 (Firewall, 침입탐지…)
—- 메일서버에 대한 원격접속 관리(보안인증, VPN…)
—- 사용자 수나 트래픽에 따라 SX-50, 101, 200모델
—


하론 UTM 시스템의 구성
사용자 삽입 이미지



Recurrent Pattern Detection(RPD) 기술 탑재 - 스팸 차단


1. 정보의 수집단계

전략적으로 분산된 수집원 들이 전세계에서 발발하는 수천만 건의 메시지를 트래픽을 분석하여 스팸 정보를 수집
사용자 삽입 이미지

전세계에서 발생되는 스팸메일을 수집하는 단계


2. 패턴을 분석

대량으로 발송되는 메시지의 스트럭처 패턴을 분석하여 벌크(bulk) 메일인지를 식별하고 메일이 발송되는 배포 패턴을 식별하여 위험성을 분류

사용자 삽입 이미지

수집된 메일에 대한 분석 단계


3. 실시간 분류

Full mode 쿼리를 통해 패턴 업데이트에 대한 지연을 방지(optional push)합니다. 스팸의 75% 정도는 resolved 케쉬를 사용하여 빠르게 분석하고 모든 메일을 쿼리하는데 트래픽의 1%이하만 사용하여 빠른 분석이 가능합니다. 라운드트립시 300m/s 이하의 시간이 소요되며 대부분 0.5KB 이하의 쿼리 데이터를 사용하므로 실시간 분석이 가능합니다.

사용자 삽입 이미지

분석을 마치고 스팸인지 여부에 따라 분류하는 단계



대량메일(벌크 메일) 배포의 패턴


사용자 삽입 이미지

대량으로 발생되는 스팸을 매월 수천만 건 이상을 분석하여 스팸인지 여부를 판단합니다. 각각의 메시지를 통해 소스, 배포방법, 스팸특성, 바이러스 특성을 분석하여 인터넷 상에 존재하는 PC(IP 주소)에 대하여 얼마나 많은 건수의 메일이 발생하는 지(평균, 표준편차), 위험성 여부, 좀비 PC 여부, 행위변화, 트래픽 처리 여부 등의 정보를 획득합니다.



최첨단의 안티스팸 솔루션 (UTM - 안티스팸, 안티바이러스)


1. 실시간으로 스팸을 차단

RDP 접근방법은 다른 안티스팸 솔루션의 방법론과 달리 전세계에서 발발되는 스팸에 대해 단 시간내에 스팸을 식별하고 차단합니다.


2. 컨텐트 분석이 불필요

메일 내용을 일일이 분석하지 않고 스패머의 전술을 거의 파악하고 있어 면역력을 갖고 있습니다.
사용자 삽입 이미지


3. 거의 0에 가까운 오인율

세계 톱 10 경쟁자와 비교할 때 하론의 RDP 스팸엔진의 오인율은 가장 낮습니다.

  • 스팸 분류 성공율 : 97%
  • 오인율 : 거의 0%에 이름
4. 모든 언어권의 스팸을 처리

어떤 언어, 예를 들면 중국어, 한국어, 일본어, 영어 권의 스팸메일도 분석할 수 있으며 어떤 형식의 인코딩 타입도 처리가 가능합니다. 많은 다른 UTM 제품 들은 한국어나 다른 언어권의 스팸에 대해 취약성을 내포하고 있습니다.


사용자 삽입 이미지

5. 지속성

아웃브레이크 검사로 지속적인 스팸에 대한 업데이트가 이루어 집니다.



제품별 목표 고객

하론 UTM 장비는 규모에 따라 현재 3가지 제품으로 제공됩니다.

  • 중소기업 (5~30 유저) : sx-50
  • 중소기업 (20~100유저) : sx-101
  • 중견기업 이상 (50~1000유저) : sx-200
사용자 삽입 이미지사용자 삽입 이미지사용자 삽입 이미지



블로그 이미지

ICEWARP 이메일서버 avastkorea

ICEWARP 글로벌 이메일 서버 플랫폼으로 한국내 3천여 고객사가 운영 중인 구축형 메일 서버 솔루션, 윈도우 및 리눅스 운영체제 지원, 가상화 엔진 탑재, 또는 SaaS용 메일 운영이 가능합니다.

댓글을 달아 주세요

하론 SX-101 제품과 같은 가격대에 있는 경쟁적인 방화벽(UTM, 침입탐지, VPN) 제품에 대한 성능/사양과 가격을 비교해 보았습니다.

또한 방화벽 Throught과 VPN throughput의 Mbps 당 가격인 단위당 가격을 각각 비교해 보았습니다.

아래 각각의 제품은 각각의 제조사 홈페이지에 기재되어 있는 정보를 토대로 비교하였으며 홈페이지 상의 개제 시점과 정보를 제공하는 사이트에 따라 정보가 정확하지 않을 수도 있습니다.

본 비교자료는 당사의 하론 SX-101 통합보안장비와 포티게이트의 FG-100A, 소닉월의 Pro4060, 와치가드의 Firebox x550e 제품을 비교하였으며 실 판매가는 다소 차이가 있을 수 있습니다. 본 자료를 토대로 방화벽이나 VPN, UTM, 침입탐지 장비를 도입하고자 하는 업체에게 도움이 되고자 합니다.

하론 SX-101 제품은 방화벽, VPN, UTM, IPS 기능이 모두 탑재되어 있습니다. 참고로 sx-101의 동시접속수는 다른 제품들의 동시세션과는 다릅니다. 동시세션은 동시접속 x 접속당 세션수를 의미하므로 차이가 있습니다.


제품비교

Halon

Halon

Fortigate

Sonicwall

Watchguard

 

성능

SX-50

SX-101

FG-100A

Pro4060

Firebox X550e

 

방화벽 성능
(Plain throughput)

2x90 Mbps

4x100 Mbps

100 Mbps

300 Mbps

300 Mbps

 

AES 가속기

5.4 Gbps

5.4 Gbps

 

 

 

 

3DES capacity

223 Mbps

263 Mbps

40 Mbps

 

 

 

VPN encapsulation

20 Mbps

54 Mbps

40 Mbps

 

35 Mbps

 

IPS

 

 

30 Mbps

 

 

 

동시세션

50,000

(동시접속)

100,000
(
동시접속)

200,000

(동시세션)

500,000

(동시세션)

25,000

(동시세션)

 

하드웨어와 시스템

 

 

 

 

운영체제

H/OS Extreme

H/OS Extreme

FortiOS

SonicOS

 

 

프로세서

800 Mhz

1 GHz AES enabled i686

 

Intel 2Ghz

1.3 GHz Intel based

Processor

 

메모리

128 MB

256 MB

 

256MB

 

 

이더넷

10/100 Mbps

4포트

10/100 Mbps
4
포트

10/100 Mbps
8
포트

10/100 Mbps
6
포트

10/100 Mbps

4포트

 

실 판매가

 

3,000,000

(UTM/침탐포함)

6,000,000
(UTM/
침탐포함)

4,800,000
(침탐포함)

9,000,000

(UTM/침탐포함)

8,000,000

 

 

가격/성능(Plain)

17,000/Mbps

15,000/Mbps

48,000/Mbps

30,000/Mbps

26,600/Mbps

 

가격/성능(VPN)

150,000/Mbps

111,000/Mbps

120,000/Mbps

 

228,000/Mbps

 


 하론 방화벽 sx-50, sx-101 제품에 대한 자세한 소개는
http://www.halonsecurity.co.kr 에 있습니다.

블로그 이미지

ICEWARP 이메일서버 avastkorea

ICEWARP 글로벌 이메일 서버 플랫폼으로 한국내 3천여 고객사가 운영 중인 구축형 메일 서버 솔루션, 윈도우 및 리눅스 운영체제 지원, 가상화 엔진 탑재, 또는 SaaS용 메일 운영이 가능합니다.

댓글을 달아 주세요

SX-50 UTM 스팸차단 솔루션으로 스팸메일 차단하기

사용자 삽입 이미지
SX-50의 UTM(통합위협관리) 기능을 통해 스팸메일 차단 솔루션을 도입하면 시스템으로 침투하는 1)스팸메일은 물론 2)바이러스 메일, 3)피싱메일을 일거에 차단할 수 있습니다.

SX-50 UTM 장비는 본래 통합방화벽으로서 방화벽과 VPN, 침입탐지(스노트) 기능을 수행하지만 스팸이나 바이러스 메일을 차단하기 위한 스팸메일 차단 솔루션으로서의 UTM 어플라이언스 장비로 한번에 보안기능을 모두 사용할 수 있어 그 효과가 사뭇 기대됩니다.

시스템 구성

SX-50 UTM 장비의 설치는 메일서버 앞단에 설치하여 랜케이블을 WAN에 바로 접속하고 여기서 메일서버 쪽으로 크로스케이블을 연결하여 메일서버 보호 역할을 하도록 설치하거나 중간에 스위치를 통해 사설IP로 메일서버를 방화벽 내부단으로 구성하여 설치할 수 있습니다.

DNS서버에서 MX레코드를 UTM 장비의 고정IP로 등록하고 SX-50 장비에서 메일서버를 지정하는 형태로 설정하면 간단하게 스팸차단 솔루션으로 바로 사용할 수 있습니다. 또한 침입탐지 기능을 통해 최근 폭발적으로 발생하는 해킹을 방지할 수 있도록 사용할 수 있어 시스템 운영의 가용성을 최대한 높일 수 있게 됩니다.

SX-50 장비는 하드웨어 어플라이언스 방화벽 장비이기 때문에 윈도우나 리눅스 서버에 설치하는 다른 스팸차단 솔루션보다도 보안성과 성능에서 더욱 우수할 뿐아니라 사용자가 쉽게 도입할 수 있는 매우 합리적인 가격으로 제공됩니다.


화면 샘플 및 리포트

사용자 삽입 이미지
좌측의 이미지는 UTM 장비로 얼마만큼의 메일이 수신되었고 얼마만큼이 스팸메일로 분류되었는지를 나타내 줍니다.

한눈에 볼 수 있는 직관적인 분석결과를 보여주므로서 효용성을 바로 쉽게 확인할 수 있습니다.

다만 아쉬운 점이 있다면 다른 고가의 스팸차단 솔루션이 갖고 있는 보고서 기능이 따로 준비되어 있지 않다는 것입니다. 하지만 syslog를 통해 보고서의 기본이 되는 로그를 실시간으로 저장시킬 수 있습니다.

사용자 삽입 이미지
우측 그림은 그래프로 스팸검출 현황을 모니터링 할 수 있는 실시간 그래프입니다.


사용자 삽입 이미지

좌측 이미지는 UTM 장비에서 스팸을 분류하고 이에 대한 결과를 리포트 메일로 보내주기 위한 화면입니다.











스팸메일 차단 결과

사용자 삽입 이미지


본 화면은 스팸으로 분류한 결과에 대해 일정간격으로 담당자 메일로 보고서 메일을 보내준 화면입니다. 메일을 보낸사람과 시각, 분류상태, 결과를 담고있습니다.


사용자 삽입 이미지

좌측 이미지는 위의 그림을 확대한 것으로 메일 발송자와 UTM의 어떤 프로세스를 통해 스켄되었는지를 보여줍니다.













사용자 삽입 이미지
이 이미지 역시 위의 이미지와 함께 표시되는 것으로 해당 메일이 스팸인지 아닌지의 결과를 보여줍니다.




















SX-50 스팸차단 UTM 장비는 스팸을 검출해 내면 UTM 장비단에서 스팸을 차단하는 방식을 사용하지 않고 메일의 헤더에 커스텀헤더를 추가하고 제목에 스팸여부인지만을 태그로 붙여 메일서버로 라우팅하도록 하는 태그방식의 스팸차단 솔루션입니다.

따라서 실제 메일서버단에서 제목에 특정 태그가 붙여 들어온 메일에 대해 스팸폴더로 저장하거나 차단하도록 설정하여야 합니다. 이런 기능이 없는 메일서버라면 사용자가 자신의 메일 클라이언트, 즉 아웃룩 등에서 메일규칙을 만들어 스팸편지함 등에 저장하도록 간단히 설정하면 됩니다.

저희가 운영해본 결과로는 스팸인식율 자체가 다른 솔루션에 비해 낮지 않으며 스팸으로 잘못분류하는 오인율이 극히 작다는 것이 큰 장점일 것입니다.

우리회사에 맞는 UTM 장비의 모델은?

스팸메일 차단을 고려하고 계시다면 메일서버와 상관없이 SX-50을 고려해 보십시오. SX UTM 장비는 SX-50, SX-101, SX-200으로 구분되며 UTM장비로 사용할 경우 사용자수와는 관계없지만 직원이 100명 정도라면 SX-50을 2~300명인 경우는 SX-101을, 그이상의 대기업이라면 SX-200 장비를 사용하시면 됩니다.

SX 스팸차단 장비의 판매형태는 판매와 임대로 나뉠 수 있지만 현재는 판매방식만 사용하고 1년 이후에는 업데이트 구매를 하셔야 합니다. 1년이 지나면 장비자체의 업데이트, UTM 업데이트를 위해 갱신구매가 필요합니다. 갱신구매를 하지 않는 경우 UTM 기능이 중지됩니다.


가격문의 및 구매상담

SX-50이나 SX-101 스팸차단솔루션 도입에 관한 문의는 아래 연락처를 통해 문의하여 주십시오.
기존 고객사의 경우 데모 장비를 통해 충분히 테스트해 볼 수 있도록 넉넉한 기간을 드립니다. 따라서 성능과 효과를 테스트해 보시고 구매를 결정하시기 바랍니다.
제품의 견적은 별도로 요청하여 주십시오.

  • 연락처 : 02)3486-9220
  • 제품소개 : http://www.halonsecurity.co.kr



블로그 이미지

비회원

ICEWARP 글로벌 이메일 서버 플랫폼으로 한국내 3천여 고객사가 운영 중인 구축형 메일 서버 솔루션, 윈도우 및 리눅스 운영체제 지원, 가상화 엔진 탑재, 또는 SaaS용 메일 운영이 가능합니다.

댓글을 달아 주세요

회사 내에 또는 IDC에 메일서버를 두고 메일서버 앞단에 보안게이트웨이인 SX-50이나 SX-101시리즈를 설치하여 해킹을 방지하고 스팸이나 바이러스 등의 위협으로 부터 메일서버를 보호하도록 할 수 있습니다.

이런 기능 중에서 메일서버로 유입되는 스팸과 바이러스 메일을 걸러내기 위한 기능이 UTM(통합위협관리)의 SMTP 프록시입니다. SX 보안게이트웨이 장비에서 UTM/SMTP를 설정하기 위한 과정을 아래와 같이 살펴보겠습니다.

UTM 메일시스템은 Halon-UTM-Scan 이란 커스텀 헤더를 메일 헤더에 추가하는 태그방식의 시스템으로 모든 메일을 분류하여 태그에 스팸여부를 기록하는 방식입니다. 따라서 뒷단의 메일서버에서 또는 사용자의 메일클라이언트에서 규칙을 만들어 스팸을 거부하거나 다른 폴더에 저장하도록 설정하여야 합니다.

네트워크 위상과 MX 레코드

UTM을 통해 귀사의 도메인으로 모든 메일을 전달하도록 하는 가장 좋은 방법은 귀사의 도메인에 대한 MX 레코드를 UTM/SMTP 프록시가 응답할 수 있는 방화벽의 외부 공인 주소로 변경하는 것입니다. 또한 "smtp_relay" 옵션을 반드시 설정하여야 합니다. 이는 실제 SMTP 서버의 IP주소를 등록하는 것입니다. 이 IP주소는 메일서버로 UTM/SMTP가 연결할 내부 또는 외부 조소입니다. 이들 모두를 설정하려면 방화벽 규칙을 추가하여야 합니다.

halon(office1)# mail option set smtp_relay "172.16.0.150"


이 규칙은 웹인터페이스의 UTM->Setting->SMTP Server에서 등록할 수 있습니다.

방화벽 규칙

먼저 UTM/SMTP 프록시에 접속할 수 있도록 방화벽 규칙(정책)을 추가하여야 합니다. WAN(외부 인터넷)에서 귀하의 외부 IP주소(공인) 또는 방화벽 상의 IP 주소로 모든 트래픽을 허용하도록 정책을 추가합니다.

사용자 삽입 이미지

두번쨰로 방화벽 자체에서 메일서버로 SMTP 접속을 사용가능하도록 허용하여야 합니다. 이는 아래 일반 규칙을 추가하면 됩니다.

사용자 삽입 이미지

마지막으로 웹인터페이스나 CLI 모드에서 규칙이 방화벽에 적용하도록 하여야 합니다.


halon(office1)# firewall config use


검사할 도메인을 추가

메일서버에 서로 다른 여러 도메인이 있다면 검사할 도메인을 아래 명령과 같이 방화벽에 추가하여야 합니다.

halon(office1)# mail domain add "Test Domain" "testdomain.com" "[UTM:%REASON%] "

수신자측 도메인을 등록하지 않으면 이메일은 스팸여부를 검사하지 않습니다.


메일서버의 설정

UTM/SMTP 프록시를 사용할 때 연결은 방화벽 자체로 메일이 오게됩니다. 어떤 메일 서버는 기본적으로 로컬 주소로 부터 오는 메일을 릴레이하도록 하기 때문에 "open relay"로 스팸머로 부터 릴레이 공격을 당할 수도 있데 됩니다. UTM/SMTP를 사용하여 메일을 검사하는 경우에도 잘못되는 경우 귀사의 메일서버를 통해 심각한 스팸릴레이 트래픽이 발생될 수 있습니다. 이런 경우 블랙리스트 사이트에 등록될 수도 있습니다. 따라서 반드시 방화벽이 외부에서 접속할 수 있다면, 귀사의 메일서버가 방화벽 자체로 부터 들어오는 릴레이 메일을 허용하지 않도록 설정하여야 합니다. 반드시 LAN에서부터 들어오는 경우에만 릴레이 설정하시기 바랍니다.

UTM/SMTP 프록시 구동

모든 설정이 완료되었으면 UTM/SMTP 프록시를 구동하시기 바랍니다.

halon(office1)# service utm smtp start

이를 완료하였지만 UTM/SMTP를 시작하지 못하면 아래 문제해결을 참조하시기 바랍니다.


문제해결

나의 LAN에서 내 도메인으로 메일을 발송할 수 없는 경우

방화벽으로 향하는 내부 라우팅 때문에, LAN 상에서 외부 IP주소인 서버로 연결할 수 없으며 MX 레코드의 포인터가 외부 주소를 지정하고 있어 문제가 발생합니다. 이런 경우 split-horizon DNS를 사용하는 것을 고려하거나 DNS 레코드를 내부 네트워크에서는 방화벽의 내부 IP주소로 지정하도록 설정하시기 바랍니다. 이런 경우에도 LAN에서 방화벽으로 연결되기 위한 트래픽을 허용하도록 정책을 등록하여야 합니다.


외부 사용자가 UTM/SMTP 프록시로 연결할 수 없는 경우

텔넷을 사용하여 UTM/SMTP 프록시에 연결을 시도하는데 접속이 되지 않는 경우 "could not open a coonection to host on port 25 : connect failed"와 같은 오류 메시지를 볼 수 있습니다. 이 경우는 UTM/SMTP 서비스를 시작하지 않아서 발생하므로 다음과 같이 명령하시기 바랍니다.

halon(office1)# service utm smtp start

또는 SMTP 트래픽이 방화벽으로 들어오도록 방화벽 규칙을 잘못 적용한 경우일 수 있습니다. 이 경우 아래와 같이 명령을 통해 확인해 볼 수 있습니다.

halon(office1)# firewall log on ether1 and port 25

다시 접속을 시도해보고 연결이 제대로 되었는지 확인하시기 바라며 방화벽 상의 외부 주소 인터페이스로 연결을 허용하도록 정책(규칙)을 만드시길 바랍니다.

연결은 되었지만 아무 응답이 없는 경우

연결을 했지만 시간이 흘러도 아무런 응답이 없이 일정시간 이후 접속이 종료된다면 프록시 서비스가 실제 SMTP 서버에 연결을 하지 못해 발생됩니다. 이는 보통 규칙을 빠뜨린 경우에 발생합니다. 이런 경우 아래와 같이 명령하여 확인해 상태를 확인하시기 바랍니다.

halon(office1)# firewall log host <IP of your SMTP-server> and port 25


그리고 다시 접속을 해보고 연결이 제대로 되었는지 확인해보시기 바라며, 그래도 계속 문제가 발생되면 방화벽에서 메일서버로 SMTP 트래픽을 허용하도록 규칙을 다시 만들어 보시거나 기존 규칙을 적절하게 수정하십시오.

그래도 문제가 해결되지 않으면 소프트메일로 연락주시기 바랍니다.

감사합니다.

오봉근이었습니다.





블로그 이미지

비회원

ICEWARP 글로벌 이메일 서버 플랫폼으로 한국내 3천여 고객사가 운영 중인 구축형 메일 서버 솔루션, 윈도우 및 리눅스 운영체제 지원, 가상화 엔진 탑재, 또는 SaaS용 메일 운영이 가능합니다.

댓글을 달아 주세요

  • 안녕하세요 2007.07.02 19:23  댓글주소  수정/삭제  댓글쓰기

    안녕하세요 수고하십니다.

    제가 avast를 사용하고있는데 현재 스캐너 감염이라고 나와요 이거 문제있는 건가요?

    그리고 부팅시예약검사 이거 있잖아요. 파란화면일때 나오는거

    보기가 전부 영어로 되있어서 그러는데 move랑 move 어쩌고 chest랑 뭔차이인가요?

    또 안전지대에 가게 한 파일들은 치료가 된다고 나오면 치료하면 되는건가요? 안되면 그냥 냅두고?

    알려주시길 바랍니다.

  • 안녕하세요 2007.07.02 19:23  댓글주소  수정/삭제  댓글쓰기

    어라;; 댓글이었네;; 어떻게 지우지;;