• 검색 결과가 없습니다.

Network Security #4

N/A
N/A
Protected

Academic year: 2022

Share "Network Security #4"

Copied!
75
0
0

로드 중.... (전체 텍스트 보기)

전체 글

(1)

Network Security #4

IMS584 (네트워크보안

!

)

! Fall, 2011

!

Prof. Huy Kang Kim

(2)

General notice (student presentation)

•  Presentation date: Sep-26!

•  Read the following RFC paper and give 30 minutes’

presentation + 10 minutes’ Q&A session!

–  “

Security Architecture for the Internet Protocol”, RFC4301, Kent, S., and K. Seo, Dec 2005!

•  http://tools.ietf.org/html/rfc4301!

•  They are the formerly author of RFC2401!

–  What are the revised points of RFC4301 than RFC2401?!

–  What do they want to comply? ! –  What are your opinions? !

!

•  Any volunteer? !

!

(3)

General notice (2nd homework)

Excercise for writing RFC document - "RFC for online go-stop protocol"

!

o target

!

1. online go-stop (godori game) game

!

o writing in Korean is allowed without any penalty ! o make a group with 3~4 students for your homework

!

Your homework must include these following items.

!

(1) Define communication protocol for online go-stop.

!

(2) In security section, describe the possible vulnerabilities in online go-stop.

!

(3) Design your own secure measure for online go-stop.

!

- viewpoint of confidentiality, integrity, and availability

!

- describe what is your protocol's strength and why you design your own secure features for eliminating vulnerabilities.

!

- You will get no point in case that your protocol is not creative and logically perfect.

!

- You will get not point if your protocol's contribution is not applicable in the field or not clear.

!

(4) write down in RFC paper style!

You have to submit peer assessment result by contribution portion for your team's homewok.

!

(when your group's members are student A, B and C.

!

A: 55 point, B: 25 point, C: 20 point, total sum must be 100)

!

due date: 17 Oct, 2011

(4)

Supplementary slides

for the previous class

(5)

Center for Information Security Technologies

Additional slide notes for the previous class

R: Risk

RR: Residual Risk V: Vulnerability S: Safeguard T: Threat

Concept of risk, threat, vulnerability and safeguard!

Source : ISO/IEC JTC 1/SC 27 TR 13335

Asset values

Vulnerability Threat

Residual risk

safeguard

The goal of risk management : to reduce risk !

Risk = threat x asset value x vulnerability severity

(6)

Center for Information Security Technologies

Additional slide notes for the previous class

Relationship between threat, risk, asset, vulnerability , and safeguard

Threats Vulnerabilities

Security Controls Security Risks Assets

Security!

Requirements

Asset Values!

and Potential!

Impacts

exploit

expose increase

increase

increase have

protect against

met by indicate

reduce

(7)

Old school hacking technique

- Firewalking

(8)

Center for Information Security Technologies

Understanding ICMP and probing

●   ICMP scanning & TTL !

–  Just sending manipulated TTL value of ICMP packet and watch the replied packet’s size and TTL value

OS! ICMP request packet TTL! ICMP reply packet TTL!

Linux kernel 2.6! 64! 64!

Linux kernel 2.2~2.4! 255! 64!

Linux kernel 2.0! 64! 64!

FreeBSD! 255! 255!

Solaris! 255! 255!

HP-UX! 255! 255!

Windows 95! 32! 32!

Windows 98! 128! 32!

Windows NT! 128! 32!

Windows 2000, XP, 2003! 128! 128

(9)

Center for Information Security Technologies

Understanding ICMP and probing

●   Various ICMP probing technique!

–  Echo Request(Type 8) & Echo Reply(Type 0) !

–  Timestamp Request(Type 13) & Timestamp Reply(Type 14) ! –  Information Request(Type 15) & Information Reply(Type 16) ! –  ICMP Address Mask Request(Type 17) & ICMP Address Mask

Reply(Type 18) !

●   Hows your firewall and security devices? Do they

strictly filter all types of ICMP incoming packets? !

(10)

Center for Information Security Technologies

Understanding ICMP and probing - Firewalk

●   Firewalk

(http://packetstormsecurity.org/UNIX/audit/firewalk/)

!

–  Probe the status of ACL (Access Control List) of Firewall or Switch or Router!

1. send ICMP packet (set the packet’s TTL = 1 when this packet arrives to firewall)

!

2. if this packet can be arrived to router B, then the packet is destroyed because the TTL becomes 0. also, router will send ICMP reply packet back to hacker’s machine with ICMP Time Exceed message (Type 11)

!

3. If the packet is blocked by firewall or ACL of switches in the middle of path, then hacker will get no reply.

!

4. With changing TTL values, changing target ports of the destination,

!

hacker can guess the ACL in the Firewall and target network architecture.

!

Hacker’s!

machine

firewall Router B

Router A

Attack !

Target!

network

TTL=2 TTL=1 TTL=0

(11)

Center for Information Security Technologies

Understanding source routing

●   It can be established under dynamic routing !

–  Strict source routing!

–  Loose source routing!

●   Related traceroute command !

–  traceroute –g waypoint_IP destination_IP /* loose source routing */!

–  traceroute –G waypoint_IP destination_IP /* strict source routing */!

●   See the supplementary documents on EKU

(12)

Network Security #4

IMS584 (네트워크보안

!

) Firewalls past and future!

! Fall, 2011

!

Prof. Huy Kang Kim

(13)

Agenda

•  I. keyword

!

•  II. Firewall basic!

•  III. Firewall (past and future)

(14)

Key word

Firewall

!

• A component or set of components that restricts access between a protected network and the Internet, or between other sets of networks.

!

• The very basic security component for network security.!

Host

!

• A computer system attached to a network.

!

Bastion host

!

• A computer system that must be highly secured because it is vulnerable to attack, usually because it is exposed to the Internet and is a main point of contact for users of internal networks. It gets its name from the highly fortified projections on the outer walls of medieval castles.

!

Dual-homed host

!

• A general-purpose computer system that has at least two network interfaces (or homes).

!

Network address translation (NAT)

!

• A procedure by which a router changes data in packets to modify the network addresses. This allows a router to conceal the addresses of network hosts on one side of it. This technique can enable a large

!

• number of hosts to connect to the Internet using a small number of allocated addresses or can allow a network that's configured with illegal or unroutable addresses to connect to the Internet using valid addresses. It is not actually a security technique, although it can provide a small amount of additional security. However, it generally runs on the same routers that make up part of the firewall.

(15)

Keyword (2)

Proxy

!

• A program that deals with external servers on behalf of internal clients. Proxy clients talk to proxy servers, which relay approved client requests on to real servers, and relay answers back to clients.!

Packet filtering

!

• The action a device takes to selectively control the flow of data to and from a network. Packet filters allow or block packets, usually while routing them from one network to another (most often from the Internet to an internal network, and vice versa). To accomplish packet filtering, you set up a set of rules that specify what types of packets (e.g., those to or from a particular IP address or port) are to be allowed and what types are to be blocked. Packet filtering may occur in a router, in a bridge, or on an individual host. It is sometimes known as screening.

!

Perimeter network

!

• A network added between a protected network and an external network, in order to provide an additional layer of security. A perimeter network is sometimes called a DMZ

(16)

Remember!

  Packet filtering!

–  흔히 커널 레벨에서 수행되고

Proxy

방식에 비해 제한된 검

사만을 수행하므로 더 많은 트래픽을 처리할 수 있다는 장 점이 있다

.

!

– 

구현 예:

!

•  ipf , ipfw (FreeBSD/Mac OS X), pf (OpenBSD, BSD계열 시스템), iptables/ipchains (Linux)!

  Proxy!

–  세션에 포함되어 있는 정보의 유해성을 검사 가능 !

–  출발지에서

Firewall

까지의 세션과

Firewall

에서 목적지까 지의 두 세션으로 만든 다음 하나의 세션에서 다른 세션으

로 정보를 넘겨주기 전에 검사를 수행

. Packet filtering

방식

에 비해

Firewall

에 더 많은 부하를 주어서 속도는 느리지

만 더 많은 검사를 수행할 수 있음

(17)

Remember!

•  NAT !

–  보안 목적 외에도 원래는 IP 주소의 고갈에 대한 해결 방법!

–  RFC1918 에 정의!

–  내부 네트워크 주소와 외부 네트워크에서의 주소를 다르게 유 지하는 것이 일반적. !

–  Static-NAT, Dynamic-NAT, PAT, LSNAT (Distributed NAT)!

•  Static-NAT : 내부 private IP address 를 외부 public IP address 로 1:1 mapping !

•  Dynamic-NAT : 한정된 public IP address 를 pool 방식으로 M:N mapping : 내부 à 외부 , M > N 이 일반적!

•  PAT (port address translation): 외부 à 내부, M < N 이 일반적!

•  LSNAT (load sharing NAT) : network traffic 분산기능

(18)

Firewall configuration example

•  Traditional way!

–  Firewall, DMZ, intranet 으로 분리!

–  서비스 장비들의 경우 DMZ 에 위치!

–  NAT IP 적용하는 것이 일반적

(19)

•  허용할 network 접속과 허용하지 않을 network 접속을 걸 러내는 역할

Firewall (illustration)

(20)

Agenda

•  I. keyword

!

•  II. Firewall의 이모저모

!

•  III. Firewall 의 과거와 미래

(21)

Firewall type

•  소프트웨어 기반 Firewall!

–  CPU 장착한 네트워크 장비(실제로는 Linux, FreeBSD, UNIX 구동됨) 순수하 소프트웨어로 구현된 Firewall 동작하는 Firewall !

•  하드웨어 기반 Firewall!

–  네트워크가 복잡해지고 트래픽이 증가하면서 네트워크 트래픽의 양은 순수 소프트웨

Firewall 처리할 있는 한계를 넘어섬!

–  하드웨어의 발전 속도 < 네트워크 트래픽의 증가 속도!

–  ASIC (application-specific integrated circuit) 이용하여 방화벽의 초당 패킷처리 늘림.!

•  NPU 기반 Firewall!

–  소프트웨어 기반의 방화벽은 속도를 빠르게 하기 힘들고, 순수 하드웨어 기반의 방화 벽은 유연성이 떨어지는 문제가 있음.!

–  공통으로 사용되는 패킷처리 함수를 하드웨어로 구현하되 프로그래밍도 가능한 NPU 이용하여 개선한 방식!

•  멀티코어 프로세서 기반의 Firewall!

–  NPU 기반의 Firewall 뛰어난 성능에 유연성을 겸비하였으나, 프로그래밍하기가 려운 문제가 존재!

–  따라서, 제품 개발에 소요되는 시간이 제품의 전체 수명 주기의 많은 부분을 차지하게 되는 문제가 있다. 범용적으로 널리 쓰이는 CPU 같은 명령어를 가지고 있어서 발자에게 익숙한 처리 단위(CPU 코어) 가지고 있어서, 번에 많은 양의 패킷을

처리할 있게 것이 멀티코어 프로세서 기반 firewall

(22)

Firewall operation policy

•   Firewall guideline!

The firewall should allow for filtering of communication protocols based on complex rule sets.!

The firewall should provide extensive logging of traffic passed and blocked.!

The firewall should be the only entry and exit point to the public Internet from the LAN.!

The firewall operating system should be sufficiently hardened to resist both internal and external attacks.!

The firewall should fail closed.!

The firewall should not disclose the internal nature, names, or addressing of the LAN.!

The firewall should only provide firewall services. No other service or application should be running on the firewall.!

(23)

Firewall can do and cannot do

•  Can

!

–  A firewall is a focus for security decisions (chokepoint)!

–  A firewall can enforce a security policy!

–  A firewall can log Internet activity efficiently!

–  A firewall limits your exposure!

•  Cant

!

–  A firewall can't protect you against malicious insiders!

–  A firewall can't protect you against connections that don't go through it!

–  A firewall can't protect against completely new threats!

–  A firewall can't fully protect against viruses!

–  A firewall can't set itself up correctly

(24)

Firewall’s weakness and limitation

•  DoS, DDoS 공격에 취약!

–  Small packet, Fragmented packet 에 부하를 받음!

–  이겨내는 방법!

•  Firewall load balancing, network 2중화, high performance firewall 로 업그레이드!

•  Anti-DDoS 장비와 병행하여 사용!

•  전통적인 Firewall 공격/우회 방법 – 50 ways to defeat your firewalls!

–  http://all.net/journal/50/firewall.html !

•  Firewall 에서는 web shell backdoor 을 막을 수 없음!

•  http 상에서 동작하는 Web hard, P2P 차단에 취약!

(25)

Firewall - considerations

•   Issue #1!

•  룰 개수가 점차 늘어난다고 할 때 어떻게 최적화 시킬 것인가!

개수를 줄인다.!

그룹화를 해서 처리한다. !

명시적으로 deny 를 하는 rule 을 잊으면 안된다.!

•  룰 유효기간 관리, 정기 룰 review !

나중에는 추가했던 이유를 몰라서 삭제를 못한다.!

•   Issue #2!

•  High performance – small packet, traffic 증가, DoS 증가!

•  병목을 최소화!

•  HA (High Availability; Fault Tolerant )필요

(26)

Recommended reading

•   recommended paper!

•  Dynamic rule-ordering optimization for high-speed firewall filtering!

Hazem Hamed DePaul University, Chicago, Illinois !

Ehab Al-Shaer DePaul University, Chicago, Illinois !

SIGSAC 2006: ACM Special Interest Group on Security, Audit, and Control!

•  http://portal.acm.org/citation.cfm?id=1128817.1128867

(27)

Firewall HA

•  HA – High Availability ( 고가용성)!

–  The oldest method - DNS round robin!

–  L4 switch load balancing!

–  Firewall Load Balancing (FLB) – e.g. FireProof!

–  Bypass switch ! –  L2 fallback!

–  Active-Standby, Active-Active

(28)

Firewall HA configuration

이중화로 가용성과 안정성을 높이는 동시에 DMZ 구간의 부하분산 구성

!

각 Firewall에 부하를 분산시킴으로 해서 응답속도를 향상 시킴

L4/L7 스위치 L4/L7 스위치

server server

L4/L7 스위치 인터넷

DMZ

내부사설망

F/W F/W

(29)

Firewall HA configuration example

• L4 switch 없이 구성!

!

!

!

!

!

!

!

!

!

!

!

• 반드시 Firewall 간 동기화 기 능이 제공되어야 함

•   L4 switch 를 이용한 active-standby 구성 !

!

!

!

!

•   L4 switch 를 이용한

active-active 구성

(30)

Firewall HA configuration example

•  Full mesh - 최근에는 지원되는 switch/vendor 에 따라 L2 switch 생 략 구성 가능

L2 L2 Router

사용자 사용자 사용자 server server

L2 L2

L2 L2

L4/L7 switch L4/L7 switch L4/L7 switch L4/L7 switch

server server

L4/L7 switch

DMZ

L2 L2 Router

사용자 사용자 사용자 server server

L4/L7 switch L4/L7 switch L4/L7 switch L4/L7 switch

(31)

Example: network configuration

•  Proxy configuration vs. server load balancing configuration

!

One-armed configuration inline configuration!

!

!

!

Router

server server server server ISP

Router

L2

server server server server ISP

(32)

참고: network configuration

•  One-armed 구조!

–  DNS!

–  하단 보호대상 server 대수 만큼 VIP 필요!

–  물리적 구성을 바꾸지 않아도 되는 장점!

•  Inline 구조!

–  Transparent !

–  Bypass switch 필수

(33)

PC based security suite – BMT example

!

•  http://

www.matous ec.com/ !

•  http://

www.matous ec.com/

projects/

proactive- security- challenge/

results.php

(34)

Personal Firewall

•  MS Windows Firewall 은

Windows XP SP2 부터 기본 포함!

–  시작 – 설정 – 제어 판 – Windows 방화 벽!

•  Or install 3

rd

party personal

firewall software!

(35)

Let’s think about…

국내에 한때 유행하던 Personal Firewall vendor 들은 다 어디 로 갔을까? !

MS 때문인가?!

백신업체 때문인가?!

Positioning 애매했던 제품!

!

PC 보안 솔루션 중 Firewall 기능의 Convergence!

PC based Firewall : Windows OS 기능 포함되기 시작!

PC based IDS – BlackICE!

PC based IPS – Blink (eeye digital cooperation) 등!

Anti-Virus!

!

How about PC-based Firewall’s future?!

How can we figure out the future? !

What technology can be applied?

(36)

Agenda

•  I. keyword

!

•  II. Firewall의 이모저모

!

•  III. Firewall 의 과거와 미래

(37)

Firewall history (1)

•   1

st

generation Firewall!

•  Packet filter !

•  최초 제안: 1988 – DEC (Digital Equipment Corporation) !

•  패킷 자체만을 보고 미리 설정된 정책에 따라 허용 또는 거부를 결정하는 초창기 Firewall!

•  Firewall 내부에서 상태(세션)를 관리하지 않는 기본 형태. 특정 IP 를 허용 또는 거부하거나 특정 Port 를 허용 또는 거부하는 용도 로 사용!

•  단점: !

모든 패킷이 모든 정책에 해당되는지 검사하므로 정책이 많아질수록 속도가 느려짐!

돌아오는 패킷을 허용하는 정책으로 인해 보안이 취약!

FTP 같이 파생 세션을 만드는 일부 프로토콜을 지원하기 위해 모든 포트를 열어야 있음

(38)

Firewall history (2)

•  2

nd

generation Firewall!

–  Stateful inspection !

–  1세대 Firewall 의 문제를 해결하기 위해 패킷 단위의 검사가 아 닌 세션 단위의 검사를 하는 것이 stateful inspection 임!

–  기본적인 stateful inspection: 다양한 파생 세션을 모두 처리하 지 못 하는 경우가 있음, FTP의 능동적/수동적 데이터 세션 등 복잡한 파생세션을 별도의 정책 추가 없이 모두 처리할 수 있도 록 확장됨!

–  DoS 공격 (서비스 거부 공격) 을 막기 위해서는 stateful inspection 이 필요

(39)

Firewall history (3)

•  3

rd

generation Firewall!

–  Application Firewall (application layer firewall, proxy-based firewall) !

–  초창기에 네트워크를 기반으로 하던 공격 패턴이 점차 발달하 여 일상적인 트래픽과 같은 특성을 가지면서 시스템을 공격하 는 형태로 발전하게 되었다. 패킷 필터 기반의 방화벽으로는 이 러한 공격을 방어하기 어려워지면서 패킷의 내용을 검사하고 더 나아가서는 어플리케이션에 어떠한 영향을 미칠지를 분석하 는 Firewall !

–  예: IPS, WAF, UTM!

(40)

Firewall history (4)

•  참고: IPS = Firewall + IDS = Intrusion Prevention System

!

•  참고: WAF = Web Application Firewall (통칭 웹방화벽)

!

•  참고: UTM 이란?

!

–  한국IDC !

•  2005년UTM 시장을 지정하고, 보고서를 내놓으면서 최초 언급!

•  “Firewall과IPS, 바이러스차단 여러가지 보안기능을 포함하는 트워크 어플라이언스장비”!

•  네트워크Firewall, 네트워크 침입감지 예방, Gateway Anti-Virus 기능을 반드시 포함!

–  NSS 그룹!

•  “Firewall, VPN, IDS, IPS, Anti-Virus, Anti-Spam, Anti-Spyware 기본적인 7가지 기능을 갖추고 있어야 UTM이라고 규정한다.”

(41)

Firewall history (4) - UTM

•  all-in-one type!

–  장점: 다기능, SOHO 에 유리, network 구성 편리!

–  단점: performance, single point of failure

(42)

Firewall 의 기술 변천 (1)

Trend #1!

–  IDS 와의 연동 시도 (Firewall 과 IDS 는 명확히 분리되어야 한 다는 관점)!

•  OPSEC 과 ESM!

•  http://www.opsec.com/!

•  IDS 에서 탐지된 event 를 Firewall 로 전송, 차단 !

•  약점: 오탐 발생시 정상적인 traffic 역시 차단 가능!

Trend #2!

–  Firewall 에서도 Access control 기능 외에 침입패턴 탐지기능을 갖추어야 한다는 관점!

•  Checkpoint Firewall-1!

•  Netscreen Firewall!

–  DoS 공격, worm 공격 등 단순한 pattern 을 차단 기능보유!

–  Trend#1 과 Trend#2 는 발전하여 최근의 IPS 의 모태가 되었음

(43)

Firewall 의 기술 변천 (2)

•  Trend #3!

–  Performance 에 초점을 둔 진화!

–  10/100 Mbps -> 1Gbps -> 10G bps!

–  과도기에는 load balancing 으로 해결!

–  UNIX/NT machine 상에서 software type 으로 동작 -> 전용 hardware 상에서 동작 -> ASIC type 으로 동작 -> NPU/

multicore 형태로 진화!

–  network 장비 내 module 화 동향 (e.g. Cisco FWSM (FireWall Service Module)

(44)

Firewall 의 미래?

•  NAC, NAP 와의 연동!

•  IPS 로의 진화 또는 UTM 으로의 진화!

•  Network 장비의 기능이 대부분의 firewall 기능을 흡수 할 것으로 예상됨!

•  그럼에도 high performance Firewall 로의 trend 는 영

속할 것임

(45)

Network Security #5

IMS584 (네트워크보안

!

) VPNs past and future!

! Fall, 2011

!

Prof. Huy Kang Kim

(46)

Key word

•  OSI 7 layer - IPSec

OSI 7 Layer

Physical Data Network

TCP/IP Layer LINK Network

Transport Transport

Session

Presentation Application

Applications

Secure Socket Layer (SSL)

IPSec

(47)

VPN

Public

!

Network

Virtual

Private Network

#1 VPN 인터넷을 이용하므로 전용선이 불필요 - 비용절감

#2 인터넷 (public

network) 에서 end-to- end encryption 을 이용

Public network 안전하게 구성하여! Intranet 확장성 !

Fully managed function!

제공

(48)

Why VPN?

• 기업 network 환경 변화!

!

!

!

!

!

!

!

!

!

!

• 원격 접속 사용자의 급격한 증가!

–  해외지사, 지점/지사, 원격근무자, 재택근무자, 출장자, 이동근무자 !

• 원격 사용자들에 접속 및 관리의 한계!

–  네트워크 변경에 따른 Client 환경 관리!

–  추가 접속자들을 위한 지속적인 접근 제어 필요!

–  고객 사이트, 공항, 파트너 사이트, PC방 등

(49)

Why VPN?

•  원격 근무자 증가 추세!

•  다양한 유형 접속 device 의 안전한 통신 보장 필요

(50)

Why VPN? – VPN 의 장점

•  비즈니스를 수행을 위한 이동성 제고

!

– 비즈니스 성공을 위해 필수적인 이동성과 보안성에서의 신뢰성 제고!

– 점점 복잡해지는 비즈니스 형태를 고려한 최상의 시스템 제공!

– 공급자와 파트너를 위한 접근 제어로 time-to-market 최대화!

– 생산시간의 다운타임 감소!

–  Mobile 비즈니스 분야의 노하우와 네트워크 보안 분야의 기술력 병합!

•  기존 네트워크 보안 및 무결성을 유지하면서 사용자 접근 제어 가능 (smart VPN)!

– 사용자 무결성 검증 (Client Integrity Scan)!

– 다방향에서 접근하는 접근 통제 (Multi dimension access control)!

– 세션 유지 (Session Persistence)!

– 사용자를 위한 최적화 된 원격 접속 시스템!

– 사용자, 디바이스, 사용자 위치에 의한 접근 권한 관리

(51)

VPN 의 약점

•  DMZ 에 표준 SSL VPN 을 위치시킴으로써 야기되는 보안 위험들 !

–  내부 방화벽에서 여러 개의 포트들이 열려야 하기 때문에, 심각한 보안 취약점들을 야기 !

–  SSL 암호 해독 키가 안전하지 못한 환경(DMZ)에서 관리됨 !

–  암호 해독이 DMZ에서 이루어지기 때문에, 중요한 정보의 교환이 안전하지 못한 DMZ 네트워크 상에서 (암호화되지 않은) 일반 텍스 트 형태로 이루어짐 !

–  외부 방화벽이 SSL VPN에 의해 우회가능. 외부 방화벽에 의해 차 단되어야 하는 프로토콜들이 DMZ로 터널링됨에 따라 방화벽을 통 과 !

(52)

VPN 의 약점 (2)

(53)

VPN 의 약점 (3)

•  백 오피스에 표준 SSL VPN 을 위치시킴으로써 야기되는 보안 위험들 !

–  방화벽이 차단해야 할 프로토콜들이 내부 네트워크로 가는 도중에 SSL에서 터널링되기 때문에 전체 방화벽 인프라가 손상됨!

–  인증되지 않은 사용자들로부터의 네트워크 패킷이 경계에서 멈추 지 않고 내부 네트워크로 직접 전송됨

(54)

VPN 의 약점 (4)

(55)

VPN 의 약점 (5)

•  Secure case

(56)

IPSec VPN – 전통적인 VPN

특 징!

IPSec VPN

!

주요기능 : IP망에서 안전하게 정보를 전송하는 표준화된 3계층 프로토콜!

두개의 보안 프로토콜 AH(Authentication Header)와 ESP!

(Encapsulation Security Payload)를 통하여 패킷인증과 패킷 암호화 !

및 키관리 기능을 갖는 터널링 기법

H.Q

Branch Office

APP Server Host

라우터

TCP/IP Client VPN -Box

TCP/IP Client

Nomal Data!

Encryption Data

Remote Client

VPN -Box

인터넷/공중망

IPSec S/W 설치 LAN –to-LAN

LAN –to-Client

(57)

MPLS VPN

특 징 !

MPLS VPN

!

라우팅기능 향상을 위한 기술로 출발하였으며 L2(Switching)기능과!

L3(IP 라우팅) 기능을 통합한 기술에서 출발 !

- 비연결형으로 동작하는 IP망 내에 논리채널인 LSP(Label Switched !

Path) 를 구성하여 연결형으로 동작하도록 함으로써 IP 트래픽의!

흐름을 제어할 수 있는 기술로 IP DATA에 Label을 붙여 보안성 확보

Branch Office

TCP/IP Client MPLS VPN

Branch Office

TCP/IP Client H.Q

APP Server Host

TCP/IP Client 라우터

VPN 노드 [IDC] DMZ[IDC] 망관리실

트래픽 관리!

- Report 제공!

- CoS 측정!

- QoS 측정

망관리서버

(58)

MPLS

• 

Multiprotocol Label Switching !

• 

네트웍 트래픽

흐름의 속도를 높이고 관리하기 쉽게 하기 위한 입증된 표준 기술!

주어진 패킷에 대하여 특정 라우팅 경로를 설정하는 것에 관여 하는데, 각 패킷 내에는 라벨이 있어서 라우터 입장에서는 그 패킷을 전달해야할 노드의 주소를 보는데 소요되는 시간을 절 약할 수 있다. !

  IP, ATM

및 프레임

릴레이

네트웍 프로토콜 등과 함께 동작!

MPLS는 네트웍의

OSI

표준 참조모델과 관련하여, 3 계층(라우 팅)이 아닌, 스위칭을 하는 2 계층에서 대부분의 패킷이 전달될 수 있게 함. !

•  MPLS는 트래픽을 전반적으로 빠르게 움직이게 하는 것 외에 도,

QoS

를 위한 네트웍 관리를 쉽게 해줌

(59)

VPN 기술 issue

•  기반 기술의 변화 !

–  새로운 IPsec 표준 : IKEv2, Updated AH/ESP!

•  IPsec-based VPN 이나 SSL-VPN, MPLS-VPN 이 대두됨.!

•  기반 환경의 변화 (on-going issue)!

–  IPv4 -> IPv6!

•  Wireless VPN!

–  Wireless LAN 보안 표준 !

•  WEP -> WPA -> 802.11i!

•  AP와 end-node 사이의 무선 구간에만 적용 가능!

•  Remote-access 환경에서 유선구간에도 적용 가능한 기술의 필요성!

•  VoIP with VPN

!

(60)

VPN 기술동향

•  IPSec VPN -> SSL VPN 으로 변화!

–  Application-to-Application & Server-to-Server 데이터 암호화를 위해 VPN 도입의 증가 추세!

–  SSL VPN의 등장과 국외 시장조사기관들의 장미빛 미래 전망!

–  SSL 가속기 수요의 증대!

–  암호키 관리를 위한 HSM 수요 증가!

–  IPSec VPN의 위협 요소!

•  Remote access 대해 SSL VPN을 선택!

–  SSL VPN 의 편의성과 보안성의 trade-off!

–  OTP 와 결합된 부가인증으로 해결

(61)

87

VPN 기술 동향 – IPSec vs SSL

•  IPSec!

– 안전한 네트워크 접속을 제공하므로써 인터넷의 보안 취약점 극복!

– 기업 네트워크 유지 비용의 대폭 절감!

– 클라이언트 서버 기존 어플리케이션을 완벽히 지원!

– 유지보수 지원이 필수적인 클라이언트 소프트웨어 필요!

•  SSL!

– 클라이언트 소프트웨어 불필요!

–  SSL 가능하게 하는, 언제 어디서나 사용가능 브라우져를 이용!

– 최소의 비용으로 원격 제어 서비스 확대 가능!

– 제한된 몇몇 어플케이션에 접근 허용 !

– 보편화 SSL 기업에게 새로운 과제를 부여!

•  네트워크 접근이 허용되었을 때의 제어!

•  디바이스 보안 확인!

•  기업 상황에 따라 SSL이나 IPsec VPN 선택 !

– 두가지 기술이 가지고 있는 각각의 장단점을 파악하여 기업이 처한 문제점을 해결할 있는 가장 적합한 기술을 택하여 적용하는 것이 중요

(62)

VPN 기술 동향 – IPSec vs SSL

SSL VPN! IPSec VPN!

인증! 단방향 또는 양방향 토큰 인증 !

전자인증서! 토큰에 의한 이중인증!

암호화! 강력한 암호화!

표준화된 브라우져 기반! 강력한 암호화!

수행에 의존!

전반적인 보안성! End to End 보안!

사용자에서 리소스까지 암호화!

Edge to Client!

사용자에서 VPN 게이트웨이까지 암호화!

접근성! 언제 어디서든 접근 가능! 정의된 사용자 기반 접근!

비용! 저렴!

클라이언트 소프트웨어 불필요! 높음!

클라이언트 소프트웨어 구입 유지비용 소요!

설치! 플러그 플레이 설치!

클라이언트 소프트웨어 또는 하드웨어 
 설치 불필요!

기술적인 설치 지원 필요!

클라이언트 소프트웨어 혹인 하드웨어 필요!

사용자 편의성! 기반의 편리한 사용자 인터페이스 제공!

사용자 교육 불필요! 기술적 마인드가 부족한 사용자에게는 불편함!

사용자 기술 교육 필요 !

어플리케이션 지원! 기반 어플리케이션!

파일 공유 이메일! 모든 IP 기반 어플리케이션!

사용자! 고객, 파트너, 원격접속자, 밴더 ! 내부 사용자에게 보다 적합!

확장성! 유연한 확장성 ! 서버 쪽에서만 확장성을 지니고 있으며, 사용자 측면의 확장성은 기대하기 어려움

(63)

IPSec VPN vs SSL VPN ( 구성)

(64)

( 참고) VPN 간 비교

IPSec VPN! SSL VPN!

Applications! All IP-based services! Web-enabled applications, file sharing and e-mail!

Encryption! Strong and consistent – tied to specific

implementation! Strong but variable – depends on browser!

Authentication! Strong – two way authentication using

tokens and digital certificates! Variable – one or two way authentication using tokens and digital certificates!

Overall Security! Strong – tied to specific devices and

implementations! Moderate- any device can be used creating holes!

Accessibility! Formal access to well-defined and

controlled user base! Casual access to broadly distributed user base!

Ease of Use! Moderate – can be challenging for non-

technical users! Very high – uses familiar web browers!

Scalability! Very High – independent of applications! High – easily deployed, requires tight application integration!

Complexity! High! Moderate

(65)

( 참고) VPN 간 비교 (2)

IPSec VPNs! MPLS VPNs!

Time to Market! High. Can be deployed across any existing IP network.!

Low. Requires participating network elements at the core and edge to be MPLS capable.!

Security! High. Authentication, Authorization,

Encryption at IP network layer.! Low. Separates traffic between

customers using VPN membership Ids.!

Scalability! Medium. Requires planning to address key distribution, key management and peering configuration.!

High. No site to site peering is required.!

Reliability! Low. Utilizes IP based DIffServ Class of Service for classifying packets.!

High. Utilizes traffic engineering and queuing capabilities to provide

guaranteed SLAs.!

Manageability! Low. No network level provisioning required.!

Medium. Requires provisioning of devices at the customer edge and provider edge.!

Service Models!

High-speed Internet services!

E-commerce!

Application hosting!

High-speed Internet services!

Business quality IP VPN services!

E-commerce, Application hosting

(66)

92

실제 제품 사례 (Nokia product 예)

•  사용자 측면!

– 회사 임원 홍길동은 네트워크에 접속하고자 하는 위치와는 관계 없이 어플리케 이션 컨텐츠에 접근 가능해야 함!

!

•  기업측면!

– 기업은 사용자가 누구인지, 어떠한 디바이스를 사용하는지, 어떻게 디바이스를 보호할 있을지 등에 대하여 자동적으로 접근권한을 제어할 있는 솔루션이 필요

회사 임원!

홍길동!

!

회사 임원!

홍길동!

!

회사 임원!

홍길동!

!

회사 노트북! 집에서 사용하는 PC! 회의장 또는 PC방의 PC

(67)

93

사용 시나리오 – 홍길동 (회사 PC)

Internet

Enterprise Resources

Client
 Server!

Applications

Intranet Email File Upload File!

Download Nokia!

Secure Access System

Client Integrity Scan

Certificate identifying laptop Personal FW running

Up to date Virus Files

접속 요청

Authentication Process

(68)

94

사용 시나리오 – 홍길동 (회사 PC 접근 제어 결과)

Internet

Enterprise Resources

Client
 Server!

Applications

Intranet Email File Upload File!

Download

Client Integrity Scan

Certificate identifying laptop Personal FW running

Up to date Virus Files

Authentication Process

Nokia Secure Access !

System

(69)

95

사용 시나리오 – 홍길동 (자택 PC)

Internet

Enterprise Resources

Client
 Server!

Applications

Intranet Email File Upload File!

Download

Client Integrity Scan

Certificate identifies Home PC Personal FW running

Up to date Virus Files 접속 요청

Authentication Process

Nokia Secure Access !

System

(70)

96

사용 시나리오 – 홍길동 (자택 PC 접근제어 결과)

Enterprise Resources

Client
 Server!

Applications

Intranet Email File Upload

Internet

File!

Download

Client Integrity Scan

Certificate identifies Home PC Personal FW running

Up to date Virus Files

Authentication Process

Nokia Secure Access !

System

(71)

97

사용 시나리오 – 홍길동 (회의장 내)

Internet

Enterprise Resources

Client
 Server!

Applications

Intranet Email File Upload File!

Download

Client Integrity Scan

Certificate

Personal FW running Up to date Virus Files 접속 요청

Authentication Process

Nokia Secure Access !

System

(72)

98

사용 시나리오 – 홍길동 (회의장 접근제어 결과)

Enterprise Resources

Client
 Server!

Applications

Intranet Email File Upload Nokia Secure Access !

System

Internet

File!

Download

Client Integrity Scan

Certificate

Personal FW running Up to date Virus Files

Authentication Process

(73)

부가적인 네트워크 접근 제어 기능 추가

회사 임원!

홍길동!

!

회사 임원!

홍길동! 회사 임원

!

홍길동!

회사 노트북!

사용자 무결성 확인 (Client Integrity scan) 과

인증서 체크를 통하여 사용하고 있는 디바이스가!

회사 노트북인지 확인하여 회사 보안 정책에 적용!

집에서 사용하는 PC

사용자 무결성 확인 (Client Integrity scan) 과

인증서 체크를 통하여!

홍길동이 집에서 사용하는 PC인지, !

업데이트가 되지 않은 AV가 작동되고 있는가를 확인!

회의장 또는 카페의 PC!

사용자 무결성 확인 (Client Integrity scan) 과

인증서 체크를 통하여 신뢰할 없는 PC로 확인!

이메일, 클라이언트서버어플리케이션, 인트라넷, 파일 다운로드/업로드

모두 접근 허용!

접근을 통한 아웃룩 이메일 다운로드 접속. 업로드 불가!

!

접근을 통한 아웃룩 이메일 접속

(74)

생각해 보세요

•  국내 VPN 장비 업체들의 시장점유율은 외산에 비해 어느 정도나 될까?!

–  민간업계에서는 점유율이 해가 갈수록 떨어져 가고 있는데 그 이유 는?!

–  MS(ForeFront/IAG series), CISCO, juniper, Nokia, SonicWall 등 외 산 vendor 의 공격적인 마케팅에 대비하여 어떤 차별성을 가져야 할 까? !

(75)

VPN 의 미래

•  UTM 화 되는 trend 로 인해 Firewall, IDS/IPS, Anti-Virus, Anti-Spam 기능을 추가하게 될 것!

•  VoIP, IPv6, Wireless 등 다양한 환경을 지원하는 것이 필 수!

•  범용성과 사용의 편의성 덕분에 SSL VPN 의 약진이 두드 러 질 것!

•  Smart Access Control + NAP/NAC !

참조

관련 문서

q 등록기관: 인증서 신청자의 신원 확인 및 인증서 등록을 대행하는 기관 q 인증기관: 인증서를 발행하는 기관. q 인증기관:

Network Computers Network computer 제조업체 (Oracle, IBM, Sun). 독립된

§ 고속의 처리를 요구하는 IP 보안 프로토콜(IPSec)에 사용 l 암호키 관리: 네트워크에서 소요되는 전체 키의 개수가 많음 l 암호키 분배: 사전에 비밀키가 안전하게

위하여 연결설정(SYN) 요청 à 위조된 IP 주소로 부터 응답(ACK)을 받을 때까지 대기 q 위조된 대량의 연결설정(SYN) 요청 패킷이 수신되면 서버의 대기

LoRa® Network Server – Open Source... LoRa® Network Server

Analytics Data Security Network Security Zero Trust. Citrix Ready Workspace

In summary, in order to detect malicious flows in a target network traffic, the flow correlation index between the target network traffic and the seed flow is calculated,

– An artificial neural network that fits the training examples, biased by the domain theory. Create an artificial neural network that perfectly fits the domain theory