차세대 서비스를 위한 보안 기술 ㈜ 시큐어소프트 김홍선 사장

 Flexible Business Flows  Restructuring, M&A & Relocation  Mobile business environments  High Agility in adopting new challenges  Distributed/Global Resources  Low cost & High availability -> Outsourcing  Global presence  The Internet as the Business Backbone  Legitimate communication schemes  Web, s, ERP, IP Phones, Remote Connectivity, etc.  Interface with various parties  Employees, Partners, Customers, Investors, Public Current Theme of Business Processes

 Various Options of Internet Connectivity  Access Media  Broadband, Wireless LAN, CDMA/GSM, WiBro 등  IP Devices  PC, Notebook, PDA, Cellular, IP Phone, 게임기 등  Internet-centric Services  Intranet/Extranet/E-Commerce 의 절대적 의존  Design with upgrade paths – BcN, IPv6, etc.  Efficiency of ROI  기존 투자에 대한 효과 극대화  Vendor independence – 표준 지향  Network administration 의 비용 절감 Paradigms of IT Infrastructure Flexibility + Mobility + Efficiency

 Perimeter Defense  Firewall –Commodity 화 되면서 VPN 기능 통합 –Software -> Appliance -> Hardware –Comprehensive coverage : ISP, Enterprises, SMP, SOHO  IDS - 관제 서비스와 연동되거나 IPS 로 진화  Applications & PC security  PKI & encryption – Component level 로 embedded  Anti-virus –PC Firewall 과의 통합 or Recovery Service 와의 연동 –Integration with Perimeter Appliance  Service  Consulting - 취약점 진단, 모의 해킹 & Policy setup  Managed Security Service - Remote administration or Total Outsourcing 정보보호산업의 현황

 Security Appliances  Ease of Implementation with Lower Points of Failures  Lower Cost of Manufacturing  Hardware engineering for High-end Services  Reasons - Real-time processing of high traffic transactions  Enabling Technologies -Network Processor, Custom Chipsets and ASICs  Security 시장의 Convergence  Embedded Security –PC Firewall, Anti-Virus, PKI, etc.  Network & Security –Consistent Transactions Control –Efficiency of Administration & Technical Services  Integration of Security Technologies –Integration of Firewall, Intrusion Prevention, Anti-Virus 정보보호산업의 Market Dynamics

Issues & Resolutions (1)  Deep Packet Inspection  Intrusion Detection & Prevention  End-Point Security with Quarantine Process  NAV (Network Anti-Virus) Capabilities  Real-time Anomaly Detection & Prevention  Managed Security Service with IDS/IPS agents Zero-Day Attacks Virus/Worm Propagation From IP Device 유해 트래픽 – Worm, P2P, Spam, etc.

Issues & Resolutions (2)  Network Access Management  Dynamic Policy Enforcement  AAA for WiBro, WiMax, and BcN  Seamless Integration with Legacy Systems  IP Management & User-aware Authentication  RADIUS & EAP  802.1x based Network Port Authentication Security Technologies for New Services 기업의 정보유출과 개인정보보호 Increase of Wireless LAN Deployment

Threat 1 - Gateway Perspective (D)DoS(D)DoSWORMWORM 유해 트래픽 - Buffer Overflow 를 이용 - 대용량 traffic 발생 - Network 가용성 위협 - Buffer Overflow 를 이용 - 대용량 traffic 발생 - Network 가용성 위협 - 무작위 공격에 의한 - 대용량 traffic 발생 - Global / speedy - Network 가용성 위협 - 무작위 공격에 의한 - 대용량 traffic 발생 - Global / speedy - Network 가용성 위협 - Intentional : : 유해 사이트, Spam - Unintentional : P2P, Messenger - Intentional : : 유해 사이트, Spam - Unintentional : P2P, Messenger IT 인프라와 서비스의 위협 트래픽 오염 정보 유출 네트워크 마비 위 협 요 소위 협 요 소위 협 요 소위 협 요 소 위 협 요 소위 협 요 소위 협 요 소위 협 요 소 Traditional Attack Traditional Attack - 시스템 권한 습득 및 정보 습득에 목적 - 시스템 권한 습득 및 정보 습득에 목적

New Security Requirements Deep Packet Inspection Deep Packet Inspection 실시간 해킹 탐지 (Signature 방식 ) 어플리케이션 통제 Packet 의 내용부분 검사 Wire Speed 유지 Throughput Latency Packet-Size Independence Packet-Size Independence Concurrent TCP Sessions Concurrent TCP Sessions Known Attack Detection & Prevention 최대한의 패턴 보유 Signature Matching 을 통한 탐지 및 차단 Signature Matching 을 통한 탐지 및 차단 최소화된 오탐율 Unknown Attack Detection & Prevention Anomaly Detection & Prevention Anomaly Detection & Prevention 지능형 임계값 설정 (Self Learning) 지능형 임계값 설정 (Self Learning) Granularity ( 섬세하고 세밀한 제어 ) Granularity ( 섬세하고 세밀한 제어 ) 네트워크 인프라 보호 네트워크 인프라에 대한 Monitoring Rate Control 을 통한 가용성 보장

기존 제품의 한계와 IPS 의 등장 Deep Packet Inspection 시 Wire Speed 유지 Unknown Attack Detection & Prevention Deep Packet Inspection Firewall IDSVirus Wall IPS 네트워크 인프라 보호 Known Attack Detection & Prevention

기존 제품 기반의 IPS 개발 방향 IDS X-based IPS - 패턴 및 다양한 탐지기법의 부족 - Traffic anomaly 분석에 한계 - Deep packet inspection 처리에 한계 -Traffic anomaly 분석에 의한 차단 기능 추가 - 간단한 탐지 패턴 추가 -Traffic 차단을 위한 기능 추가 (In-line mode 지원 ) -Unknow Attack 차단 불가 -Virus 외의 알려진 공격 차단 불가 - 성능의 한계 스위치 장비 FirewallVirusWall - 기존의 CPU 방식으로는 wire speed 보장 불가 - 간단한 탐지 패던 추가 - 알려진 WORM 탐지 패턴 추가 - 패턴 및 다양한 탐지기법의 부족 - Deep packet inspection 처리에 한계 New Design (IPS Architecture) New Design (IPS Architecture)

Performance Factors Throughput Packet-size Independence Concurrent TCP Sessions Latency Base : Deep Packet Inspection Packet Loss => High feasibility of Attacks Performance Degradation => Service 중단

IPS 의 Mission Statement  Real-time Deep Pack Inspection  Guaranteed Performance with packet-size independence  64 바이트에서도 wire speed 보장  Intrusion Prevention for Known Attacks  최대한의 signature 와 효율적인 업데이트 능력  최소한의 시간지연 (latency)  Anomaly Detection & Prevention for Unknown Attacks  방대한 states 상황을 저장하고 모니터링하는 능력  Robustness for Mission Critical Service  유해 트래픽과 어플리케이션에 대한 방어  P2P, Messenger, URL Filtering, 스팸메일 등

Network Security 의 Roadmap  제품마다 독립적으로 발전하던 보안기술이 “ 사용자의 보호 ” 라는 궁극적이고 공통된 목표를 달성하기 위하여, Network Security Layer 측면에서 아래와 같이 유기적으로 결합해야 함  Firewall 의 경우, Application level 의 보안 정책을 IPS 에게 맡기고 방화벽은 본래의 낮은 보안 Layer 를 형성하며 고성능으로 발전  IPS 의 경우, Deep Packet Inspection 을 in-line 모드화하면서 차단기능을 강화. 고성능을 바탕으로 하여 보다 상위 레벨인 Application level 의 보안 정책을 담당  공통된 기반 기술과 사용자의 요구 사항을 바탕으로 Security 와 Network 의 Convergence 가속화 IPS Deep Contents Inspection High-Performance Firewall Higher Layer Lower Layer

Threats 2 – End-Point Perspective  Lack of manageability and accountability  Legal responsibility of protecting critical assets (Service Providers, Manufacturers, HIPPA, Government, Financial Institutions, etc.)  Instantaneous infection through the network  Patch management 의 한계  Protection from access points  User-based AAA system 의 필요성 Access/Authorization Management Rapid Propagation of Virus/Worm Threats from Internal Resources

The Need for The Mobility Support Mobile Devices (Notebook PC, PDA, etc) Mobile Devices (Notebook PC, PDA, etc) Wireless Communications (Cellular, Wi-Fi, etc) Wireless Communications (Cellular, Wi-Fi, etc) Internet Connections (Home, Public Hotspot, Internet Café, etc) Internet Connections (Home, Public Hotspot, Internet Café, etc) Business Environment New Mobility Support for Enterprise Networks New Mobility Support for Enterprise Networks 802.1x Based Authentication 면역 네트워크 (Quarantine) Policy Enforcement

VPN Enterprise Network Resource Enterprise Network Resource Wireless Wired Outside Un-Trusted Network Inside Trusted Network ISP Hot Spot Mobil e Wireless LAN IEEE 802.1x based Authentication VPN Network S/W IEEE 802.1x Based Authentication Dynamic / Static VLAN WPABX VoI P Access Scenario for Enterprise Network

(Gartner Research, 월 ) 성숙된 시장 제품인 기술에 대한 보안 지 원  지속 성장 동력 신규 시장 WiMax,  신 성장 동력 WiBro 지원 예정  신 성장 동력 Technology Trigger Peak Of Inflated Expectations Trough of Disillusionment Slope of Enlightenment Plateau of Productivity Maturity Visibility n a/g b 위치인지 기술 WPA (WiFi Protected Access) i e(QOS) d (WiMax Access) e (WiMax Mobile) RFID k UWB 무선 기술 성숙 주기 : 새로운 제품 포트폴리오

Network Service Authentication Server Authenticator Supplicant RADIUS All Traffic Logical Port Physical Port AP Switch IEEE 802.1X Model

Security Level Authentication Encryption Default SSID Disabled Static WEP Shared Key Shared Key Dynamic WEP EAP-MD5 PEAP EAP-TTLS EAP-TLS MAC Authentication TKIP MAC Filtering AES EAP-SIM EAP (Extensible Authentication Protocol) High Low

IEEE 802.1x Dynamic WEP EAP-TLS EAP-TTLS PEAP 무선 랜 보안 규격인증방식암호화 TKIP 64/128 bit Per Session Per User Per Packet IEEE i Compatible An Example for Wireless LAN Security

Multi-Dimensional Access Matrix Unauthorized PC Authorized Notebook Interne t Enterprise Network Enterprise Network Home, Hotel, Library, Customer Site or Internet Cafe  User Integrity Check  Up to date Virus Files  Personal F/W running  Certificate  Authentication Process  L2 Level Access Control Through Switch, Router, Firewall, IPS, VPN, AP …  802.1X Standard Intranet Extranet ERP Integrated Policy Enforcement Server IEEE 802.1x Authentication Server F/W SSL VPN Authorized Notebook Authorized Notebook Wired Wireless

Audi t Encryption Privilege Definition User Identification & Authentication Layer 2 IEEE 802.1x Layer 3 and Upper AAA Server Policy Management Server Policy management based on AAA IPSEC VPN SSL VPN etc. Authorization Security Policy etc. Inventory Control Accounting Logging, ESM etc. Authentication Access Control

 Beyond Perimeter Defense  Protection from Virus/Worms infection  Monitoring internal activities  Dynamic policy updates  Efficient control of security budgets  Freedom from dominant players Objective of Secure Enterprise Mobility  End-Point Security  User-aware AAA implementation  Multi-layered Security  Standard-based Security Planning  Manageability  Accountability Policy Enforcement

Security as the Enabler of IT Infrastructure 802.1X Based AAA Quarantine Gateway End-Point Security Firewall/VPN IPS Enterprise Network Monitoring Dynamic Updates Access Control & Tunneling AAA

 Deep Packet Inspection – IPS, Firewall  Zero-Day Attacks Defense  802.1x Based Authentication  Quarantine Network  Dynamic Policy Enforcement Summary: Key Technologies & Terms