효율적인 인터넷 환경을 위한 apo 네트워크 보안서비스
DESCRIPTION
효율적인 인터넷 환경을 위한 APO 네트워크 보안서비스. ㈜더존정보보호서비스 DUZON Information Security Service. 1. APO 통합보안관제서비스. APO 보안관제서비스 는 웜 , 바이러스 , 불법 해킹 등으로부터 중요 정보와 시스템의 손상을 막기 위해 고객사의 보안시스템 또는 업무시스템을 원격지에서 실시간 모니터링 및 분석하며 , 이상 발생 시 즉각 대응하는 서비스입니다. 2. Internet. 2. APO 네트워크보안 주요 기능. - PowerPoint PPT PresentationTRANSCRIPT
DUZON is IT Leader
효율적인 인터넷 환경을 위한
APO 네트워크 보안서비스
㈜더존정보보호서비스㈜더존정보보호서비스DUZON Information Security ServiceDUZON Information Security Service
DUZON is IT Leader
APO 보안관제서비스는 웜 , 바이러스 , 불법 해킹 등으로부터 중요 정보와 시스템의 손상을 막기 위해 고객사의 보안시스템 또는 업무시스템을 원격지에서 실시간 모니터링 및 분석하며 , 이상 발생 시 즉각 대응하는 서비스입니다 .
1. APO 통합보안관제서비스
2
DUZON is IT Leader
2. APO 네트워크보안 주요 기능
3
APO 네트워크보안은 Firewall, IPS 등 네트워크 보안에 필요한 보안기능을 하나의 장비를 통해 서비스하는 One-Stop Network Protection System 입니다 .이를 통해 외부에서의 침입이나 사용자의 부주의로 인한 정보 유출을 원천적으로 차단해 줍니다 .
- FireWall ( 방화벽 ) : 침입차단시스템- IPS (Intrusion Protection System) : 침입방지시스템- VPN (Virtual Private Network) : 가상 사설망- SSL VPN : 원격지 접속자를 위한 S/W 기반 가상 사설망- 중요서버 (ERP 서버 등 ) 에 대한 보안기능 제공 (DMZ 구성 )- 다중 회선 수용기능 : 2 회선까지 수용이 가능하여 장애복구 및 회선 분배 가능 Internet
지점 /공장 /대리점
본사
엄무용서버 공인 IP 사용
DUZON is IT Leader
2. APO 네트워크보안 주요 기능
1.1 고객사 위협성 점검사례 (1)
* A 고객사 : 중국발 해킹이 발생된 곳 ( 웹을 이용 )* A 고객사 : 중국발 해킹이 발생된 곳 ( 웹을 이용 )
DUZON is IT Leader
2. APO 네트워크보안 주요 기능
1.2 고객사 위협성 점검사례 (2)
* W 고객사 : 유럽국가에서 서버로 침입시도가 이루어진 곳 * W 고객사 : 유럽국가에서 서버로 침입시도가 이루어진 곳
DUZON is IT Leader
2. APO 네트워크보안 주요 기능
1.3 고객사 위협성 점검사례 (3)
* S 고객사 : 해킹이 이루어져 서버가 다른 외부로 공격을 시도하는 공격 경유지로 사용되고 있는 곳 * S 고객사 : 해킹이 이루어져 서버가 다른 외부로 공격을 시도하는 공격 경유지로 사용되고 있는 곳
DUZON is IT Leader 7
들어오는 접속에 대한 접근제어 외부에서 DMZ 구간의 웹서버 , 메일서버
등으로의 접근에 대해 통제가 가능함 . 내부 사용자와의 통신에 대해서도 통제 가능
불필요한 외부접속 차단 내부 사용자가 외부로의 접근에 대해서도 선별적
으로 허용 가능 ( EX : 메신저 차단 , 특정 사이트 차단 , P2P 차단 등으로 네트워크 회선 속도 향상 )
방화벽의 한계 IP 와 Port 만 가지고 확인을 하므로 허용된
사용자가 공격을 할 경우 차단 불가능 특정 서비스의 경우 외부에 무조건 노출시켜야 함
(EX : 웹서버의 경우 모든 사용자에게 80 포트 허용해야 함 .)
접근이 허가되지않은 사용자
DM
Z 구
간
접근이 허가된사용자
일반 내부사용자관리자
Internet
ADSL/CABLE/VDSL/ 전용선 등
APO Gate
Switch
웹 , 메일 , 파일서버 등
허가된 접속
비인가 접속
구성도구성도 필요성필요성
출발지 IP출발지Port
목적지 IP목적지 Port
정책
any any 211.5.1.2 80 allow
211.11.1.10
any 211.5.1.3 any deny
2. APO 네트워크보안 주요 기능
1.4 FireWall ( 방화벽 ) : 침입차단시스템
DUZON is IT Leader 8
외부에서 들어오는 유해 트래픽 차단 외부의 사용자에 의한 해킹 시도 탐지 및 차단 웜이나 기타 악성코드 차단
내부사용자의 불법행위 탐지 내부 사용자가 DMZ 구간에 있는 서버에
해킹시도를 할 경우 , 이를 탐지하고 차단시킴
아래의 그림과 같은 구조로 대부분 탐지하게 됨 .
때문에 , 패턴의 개수는 곧 탐지 수준을 좌우하게 됨 .
( 상용제품 중 가장 많은 패턴보유 , 대략 4,000 여 개이며 일반 사용 제품의 경우 2,000~3,000 개 수준 )
DM
Z 구
간
일반 내부사용자관리자
Internet
ADSL/CABLE/VDSL/ 전용선 등
APO Gate
Switch
웹 , 메일 , 파일서버 등
정상 트래픽
구성도구성도 필요성필요성
DoS Attack유해 트래픽
1 AAAAAAAAAAAAA
2 BBBBAAAAAAABBCC
3 DCDJKDKJSJKWJ
4 SFDFEQRFDFSSDFA
공격탐지패턴
2. APO 네트워크보안 주요 기능
1.5 IPS (Intrusion Protection System) : 침입방지시스템
DUZON is IT Leader 9
지점과의 연동으로 마치 하나의 네트워크 구성 VPN 으로 네트워크 망을 구성하게 되면 본사와
지사간은 마치 하나의 네트워크로 구성된 듯한 효과가 나타나게 됨 .
때문에 , 지사의 내부사용자가 본사의 서버에 마치 본사의 직원이 접근하듯이 접근 가능함 .
송수신 데이터의 안전성 확보 VPN 구간을 터널링 구간이라고도 하는데 , 이
구간에서는 모든 데이터가 암호화되어 송수신 되므로 유출 우려가 없음
ERP 서버가 주요 대상이 됨 . 각 지사와 본사간의 통신이 필요한 경우 적절한 모델임 .
일부 그룹웨어 경우 , 메시지 전송 시 FTP 를 통해서 첨부된 파일을 업로드 하는데 보안상 문제 (FTP 계정 노출 등 ) 가 있으므로 , 본사 , 지사로 구분된 경우 VPN 을 통해 반드시 안전성을 확보할 필요가 있음 .
DM
Z 구
간
내부사용자
ADSL
웹 , 메일 , 파일서버 등
구성도구성도 필요성필요성
APO Gate
Internet
ADSL
APO Gate
지방 지사
서울본사
같은 네트워크로인식 . 내부직원끼리
통신하듯이 통신하게 됨
2. APO 네트워크보안 주요 기능
1.6 VPN (Virtual Private Network) : 가상 사설망
DUZON is IT Leader
구성도구성도 필요성필요성
ADSL
APO Gate
내부사용자
내부서버
2. APO 네트워크보안 주요 기능
1.7 SSL VPN ( 원격지 접속자를 위한 모델 ) (APO Gate-120E, APO Gate -220/220E)
10
내부사용자
ADSL같은 네트워크로 인식 . 내부네트워크 통신처럼
통신이 가능함
Internet
지점 /공장
본사
SSL VPN
Agent를 통해
언제 어디서든
본사 네트워크
접속
지점 /공장 등의 소수인원 본사 접속이 이루어지는 경우 SSL VPN 기능으로 외부 근무자 ( 지점 /공장 ,
외근자 , 출장자 등 ) 의 PC 에 Client 설치 후 일반인터넷을 활용하여 VPN 서비스 제공 .
본사의 네트워크망에 바로 접속 하게 됨 . 때문에 지사의 내부사용자나 , 외근자가 본사의
서버에 마치 본사의 직원이 접근하듯이 접근 가능함 .
송수신 데이터의 안전성 확보 SSL VPN 구간을 장비와 외부 사용자 PC
구간을 터널링으로 연결하여 , 이 구간에서는 모든 데이터가 암호화되어 송수신 되므로 유출 우려가 없음
SSL VPN 을 구성함에 있어 본사에 고정 공인 IP 가 필요 없음 .
ERP 서버 등 주요 서버 접속하여 업무를 진행하는 경우 대상이 됨 . 다수의 원격지에서 소수의 인원이 본사간의 통신이 필요한 경우 적절한 모델임
본사에만 장비 필요함 . 외부의 다수 지점에서 소수의 인원들이 본사 접속
업무를 볼 때 적합한 모델임 .
DUZON is IT Leader
2. APO 네트워크보안 주요 기능
1.8 SSL VPN ( 원격지 접속자를 위한 모델 ) (APO Gate-120E, APO Gate -220/220E)• 기존 네트워크 구성에 대한 보안성 강화
- 지점 , 공장 , 대리점의 본사 업무 서버에 대한 보안 접속을 위해 SSL VPN 구성
( 외부에서 고정 IP 를 통해 접속하는 방식을 원천적으로 개선 )
- 본사 network 보안을 위해 네트워크보안 도입 구축 : 내 외부 접속자는 보안 장비를 거쳐 서버
접속 가능
- 고정 공인 IP 사용으로 인한 외부의 무분별한 웜 등의 공격에 대응하기 위해 서버를 비롯한 PC
등의 내부 IP 를 전부 사설 IP 로 변경 ( 네트워크보안 장비의 NAT 기능 활용 )
• 도입 후 기대 효과
- SSL VPN 구현으로 언제 , 어디서든 인터넷 연결만 가능하면 회사 내부망에 있는 서버 /PC 에
안전한 접속 보장 및 송수신 데이터 보안성 유지
- 본사 서버의 공인 IP 대신 사설 IP 적용으로 외부로부터 해킹 등의 비인가자의 접근과 웜
등으로부터 시스템 보호
- APO 네트워크 보안장비를 통해서 외부로부터의 해킹 , 웜 등의 위험에 원천적으로 방어하며
업무서버에 대한 보안안전성을 극대화하여 원활한 업무환경 구축
11
DUZON is IT Leader 12
네트워크 구성 변화 없음• 기존 네트워크에 어떤 변화도 없이 설치가 용이• 기존 서비스에 장애 발생 없으며 ,
개인사용자에게도 전혀 문제가 없음 IPS 기능으로 침해사고 탐지 및 예방
• 중요 서버 앞 단에 장비를 둠으로써 , 내 /외부에서 접근하는 모든 패킷에 대해서 유해 트래픽인지 또는 공격성이 있는 패킷 인지 탐지 가능
• 방화벽을 이용해서 별도의 세밀한 접근제어가 가능하므로 기존 방화벽에 변화 필요 없음
구성도구성도 필요성필요성
Internet
ADSL/CABLE/VDSL/ 전용선 등
APO Gate
기존 방화벽또는 VPN
일반 내부사용자
DMZ 구간
ERP 또는 중요서버
DoS Attack
유해 트래픽
내 /외부로부터의 접근이 필요한 ERP 서버에 대한 안정적인 운영과 데이터 보안 모델 제공
2. APO 네트워크보안 주요 기능
1.9 중요서버 (ERP 서버 등 ) 에 대한 보안기능 제공
DUZON is IT Leader
2. APO 네트워크보안 주요 기능
1.10 다중 회선 지원 기능
다중회선 지원 2 개의 회선을 동시에 수용함으로 내부 사용자들의 인터넷 업무 환경을 원활히 , 빠르게 할 수 있음
회선 장애 시 끊김 없는 인터넷 업무 가능
회선의 장애가 발생 할 시 중단 되었던 인터넷 업무를 다중 회선을 수용 함으로 1 개의 회선에 장애가 발생하더라도 또 다른 회선을 사용하여 인터넷 업무를 볼 수 있으므로 중단 없는 업무를 가능하게 할 수 있음
DM
Z 구
간
일반 내부사용자관리자
Internet
ADSL/CABLE/VDSL/ 전용선 등
APO Gate
Switch
웹 , 메일 , 파일서버 등
구성도구성도 필요성필요성