정보보호 심포지움 2002Sym

posiu

m o

n Info

rmation S

ecurity

2002

글로벌글로벌 네트워크네트워크 보안제어기술보안제어기술

장 종 수

jsjang@etri.re.kr

ETRI, 네트워크보안연구부

정보보호 심포지움 2002Sym

posiu

m o

n Info

rmation S

ecurity

2002 목목 차차

1. 환경 변화 및 정보보호 요구사항• 네트워크 환경 변화• 서비스 환경 변화• 사이버테러 동향• 정보보호 서비스 환경 변화• 정보보호 시장의 변화• 정보보호 요구사항의 변화

2. 글로벌 네트워크 보안제어 기술• 정책기반 보안관리 기술• 보안관리 정보모델• 네트워크 보안서비스• 보안관리 메커니즘• 정보전달 프로토콜

3. 결론

정보보호 심포지움 2002Sym

posiu

m o

n Info

rmation S

ecurity

2002 네트워크네트워크 환경환경 변화변화

미래 네트워크(NGN)의 모습- 모든 네트워크이 인터넷의 하부구조로 통합

B

A

액세스G/W

전전자교환기A

B액세스G/W

인터넷

ProgrammableSoftSwitch

트렁크G/W

트렁크G/W

데이터 데이터

음성+데이터

음성+데이터

VoP

전전자교환기

음성음성

정보보호 심포지움 2002Sym

posiu

m o

n Info

rmation S

ecurity

2002

네트워크 구조 측면의 진화

– 인터넷을 기반으로 하는 통신망의 융합이 본격적으로 진행• 방송, 통신, 정보, 문화간의 영역 파괴

• 인터넷 Infrastructure는 새로운 미래형 네트워크(NGN)으로 발전

– 인터넷기반망은 전용회선에 의한 단순한 연결에서 백본망, 액세스망, 구내망으로 구분·발전

• 백 본 망 : 전국의 주요지역의 POP 및 대형 IDC간을 연결

• 액세스망 : POP에서 가입자의 라우터나 모뎀간을 연결

• 구 내 망 : LAN, 홈네트워크 등 가입자 내부망

– 유무선 통합 Backbone의 등장• Gateway 또는 Special-purpose Router 기반 망 구성

• 정보단말의 무선화 확산

Paradigm ShiftParadigm Shift

정보보호 심포지움 2002Sym

posiu

m o

n Info

rmation S

ecurity

2002 서비스서비스 환경환경 변화변화

Middleware(Network Service)

IP

Every Network

EverythingOver IP

IP OverAny Networks

Resource 관리, QoS 제어,Naming 서비스, Mobility 지원,세션 관리, Network 보안서비스 등

인터넷 프로토콜

ATM, LAN, FR, SMDS, SONET,Wireless, Modems, 위성 등

Every Application 메일, 전화, 신문, 방송, 영화,상거래 등

미래사회의 서비스 제공 모습

– 모든 정보통신서비스는 인터넷을 통하여 제공

– 유무선통합 or 복합형 서비스 제공을 위한 미들웨어 서비스요구

정보보호 심포지움 2002Sym

posiu

m o

n Info

rmation S

ecurity

2002

서비스 기술 발전 추세

– 데이타서비스 뿐만 아니라 기존의 정보통신서비스를 전송할수 있는 기술적 기반을 이미 확보

• 인터넷 서비스의 보편화, 상업화

• 인터넷기반으로 서비스의 수렴화

• 임무 대행 및 에이전트 서비스의 활성화

– Mbps급의 멀티캐스팅, VoIP, ASP, Grid, 3D 등 멀티미디어형가상현실 및 원격협업 서비스로 발전

• 멀티미디어 실시간 서비스의 확산

• 문자형 쌍방향 서비스(Kbps) → Interactive 가상현실 서비스(Mbps)

• 상호교신성 서비스의 확산

– 전자정부, 전자거래 등 안전한 서비스의 제공 요구의 증가

Paradigm ShiftParadigm Shift

정보보호 심포지움 2002Sym

posiu

m o

n Info

rmation S

ecurity

2002 사이버테러사이버테러 동향동향

사이버 테러 변화 모습– 해킹 및 바이러스 기술의 급속한 확산 및 통합화 경향

해킹기술 영역 바이러스기술 영역

정보보호 심포지움 2002Sym

posiu

m o

n Info

rmation S

ecurity

2002

변화 추이

– 해킹기술과 바이러스 기술의 통합화 (Blended Attack)

– System Attack에서 Network/Service Attack으로 변모• Hacktivism 확장 : 개인적 목적 -> 정치/사회,군사/산업적 목적

– 멀티미디어 Contents에 대한 침해 증가• Worm & DDoS Attack• Infrastructure Attack 시도

• Wireless Hacking 등장

– 해킹/바이러스는 자동화, 지능화, 대중화, 분산화, 대규모화, 은닉화 경향

Paradigm ShiftParadigm Shift

정보보호 심포지움 2002Sym

posiu

m o

n Info

rmation S

ecurity

2002 정보보호정보보호 서비스서비스 환경환경 변화변화

암호기술

PKI

침입탐지

VPN

항바이러스

침입차단

M-commerce

정보통신기반보호법지식정보화사회

차세대인터넷IMT-2000

디지털방송

가상사회

현재 사회 바이러스시스템 침해

해킹개인정보침해

저작권침해

사이버테러

네트워크 파괴 정보전

신용파괴

Bio + IT

전자정부

T-commerce

미래 정보보호 서비스– 지식정보화 사회는 시스템 및 네트워크 레벨의 신뢰가 중요

– 미래 사회를 위한 정보보호 통합 인프라 구축 필요

정보보호 심포지움 2002Sym

posiu

m o

n Info

rmation S

ecurity

2002

Paradigm ShiftParadigm Shift

미래 정보보호 서비스 및 산업 발전 추세

– 정보보호 서비스의 통합화 경향• 정보보호와 네트워크 기술의 통합화

• 정보보호 기능간의 통합화

• 성능 보장형 정보보호 서비스

• Biometric 기술의 수용

– 인프라 보호측면의 정보보호 기술의 확산• 인터넷 Infrastructure Protection 요구 증가

• 통신망 및 서비스에 독립적인 정보보호 필요

• 무선인터넷 환경에서의 정보보호 필요성 증가

– GoS(Grade of Security Service)• Easy Security• 지능형, 능동형 정보보호

정보보호 심포지움 2002Sym

posiu

m o

n Info

rmation S

ecurity

2002 기본기본 네트워크네트워크 보안보안

개별 보안제품의 운용 : 바이러스백신,방화벽,IDS 등

통합보안관리 제품 운용 : ESM

Crypto, PKI, VPN, …

코어망

V

V

V

IDS IDS

ESM

ContentsServer

Work Group

VirusVaccine

FW

로드밸런싱

V

액세스망액세스망 액세스망액세스망

시스템간, 네트워크간, 사업자간 연동 불가

다양한 공격에 대한 안전한 보안관리 불가

사이버공격에 대한 탐지 및 대응의 실시간성 부재

단품위주의 소규모 망 기반의 보안제품 치중

시스템간, 네트워크간, 사업자간 연동 불가

다양한 공격에 대한 안전한 보안관리 불가

사이버공격에 대한 탐지 및 대응의 실시간성 부재

단품위주의 소규모 망 기반의 보안제품 치중

정보보호 심포지움 2002Sym

posiu

m o

n Info

rmation S

ecurity

2002 보안제품의보안제품의 문제점문제점

단일제품 보안의 한계

개별적인 보안 장비 및 소프트웨어에 지나치게 의존

이기종 정보보호 시스템의 산재

각기 다른 다양한 보안정책의 적용

보안제품의 복잡성 증가 및 운영상의 어려움

운영자 실수에 의한 위험 증가

다양한 보안위협에 대한 효율적이고 체계적인 대응 능력 요구

급속한 보안환경 변화 대처에 어려움

정보보호 심포지움 2002Sym

posiu

m o

n Info

rmation S

ecurity

2002 정보보호정보보호 시장의시장의 변화변화

정보통신 환경 변화에 따른 새로운 정보보호 제품군 출현

통신분야에서 정보보호가 부가 기능에서 핵심요소 기능으로 부각

보안기능별 제품에서 통합보안 형태의 제품으로 발전

네트워크 차원의 정보보호 서비스의 중요성이 증가

방어적인 정보보호 제품에서 능동적인 정보보호 제품으로 발전

BT-IT 융합기술 발전에 따른 생체인식 시장의 급성장

과거

단일기능보안제품

- VPN- IDS- Firewall- 백신

통합기능보안제품

- 통합 VPN- ESM- Secure 엔진

현재 미래

능동감지형보안제품

- 능동 보안기술- 광 정보보호기술- All IP 유무선통합 보안기술

정보보호 심포지움 2002Sym

posiu

m o

n Info

rmation S

ecurity

2002 보안보안 제품제품 변화변화 방향방향

Firewall

IDS

Vaccine

ESM

H/W-basedFirewall

IPS

IntegratedSecuritySystem

AdvancedESM

VPN

IntegratedVPN

NetworkVaccine

DigitalVaccine

GlobalIDS

Router

High-PerformanceSecurity G/W

SecurityG/W

SecureRouter

ActiveSecurity Node

GlobalESM

침입차단시스템

침입탐지시스템

항바이러스제품보안관리시스템

라우터

가상사설망시스템

미래형 보안장치

Integrated, Networked, Managed, H/W-based, Intelligent & Multiple Security Node

정보보호 심포지움 2002Sym

posiu

m o

n Info

rmation S

ecurity

2002 정보보호정보보호 요구사항의요구사항의 변화변화

네트워크 측면-초고속 처리 능력-네트워크 장비와 연동성-Policy 기반 제어성-정보보호 인프라 구축

서비스 측면-사용자 요구 반영 가능-응용서비스별 차등 서비스

사이버테러 측면-해킹기술 진화에 부응-네트워크 공격에 대응

정보보호 측면-보안서비스 통합화-해킹에 능동적으로 대응

Secure Node화

Leveled Security Service

High Performance

Security Management

Secure Networking

표준 인터페이스

해킹 탐지기법의 다양화

Grade of Security

Network Security

Easy Security

Active SecurityNetwork Security Service

Integrated Security

정보통신 및 서비스의 파라다임 변화를 수용

미래형 네트워크/서비스에 적합한 복합형 정보보호 서비스 시스템

정보보호 심포지움 2002Sym

posiu

m o

n Info

rmation S

ecurity

2002 미래미래 정보보호정보보호 서비스서비스 규격규격

Network Security Service– Secure Transaction & Secure Information Delivery– Inter-operability among heterogeneous systems– Integration of Security & Network Node– Infrastructure Protection

Integrated Security Service– Integrated Security System(Server, Node)– Security Management for Secure Networking

Easy Security Service– Quality-proven & Grade of Service Paradigm– Adaptive Contents Security & Digital Right Management

Active Security Service– Intelligent Sensing & Dynamic Policy Enforcement– Dynamic Service Co-relation– Wireless & Wired Hacking Detection & Protection

Global NetworkGlobal NetworkSecurity ManagementSecurity Management

정보보호 심포지움 2002Sym

posiu

m o

n Info

rmation S

ecurity

2002 글로벌글로벌 네트워크네트워크 보안제어보안제어 기술기술

개념– 네트워크 레벨에서 차별화된 보안 서비스 제공

– 네트워크 보안 관리/제어 구조 및 프레임워크 제공• 보안서비스 : Protection, Security Solution, Management• Protection : ISP Network, ISP’s Customer Network, Principal

Equipments (Intrusion Detection & Response)• Security Solution : VPN Service, Authentication Service, PMI Service • Management : Policies(Detection, Response, Operation, …), Traffic

Measuring, Global Security Management, …

보안 관리 프레임워크– Security Management Architecture– Security Management Information Model– Network Security Service Definition– Security Management Mechanism– Security Control/Management Protocol

정보보호 심포지움 2002Sym

posiu

m o

n Info

rmation S

ecurity

2002 글로벌글로벌 보안제어보안제어 네트워크네트워크

Edge Router

Internet 2Security Infra

Cam-Net 2

1472

Cam-Net 1

Cam-Net 3

1472

1472

AccessNetwork

OfficeContentsFactory

ATM 단말

xDSL 기반액세스망

ATM Switch

Edge Point

Security Overlay NetworkEdge PointEdge Point

Edge Point

차세대통신망

POPPOP

PON 기반액세스망

Abilene

무선기반액세스망

MPLS Switch

Access Router

Edge Router

AccessNetwork

AccessNetwork

Security Extranet

Access Gateway

Access Gateway

Edge Gateway

NAP

관제서비스

정보보호 심포지움 2002Sym

posiu

m o

n Info

rmation S

ecurity

2002 정책기반정책기반 보안관리보안관리 구조구조

IETF Policy WG Policy Framework

정책 프레임워크에 따른 체계적, 종합적 보안제어 관리 : 광광역망차원의역망차원의 보안보안 구조구조 확립확립

경보정보 및 통계정보 공유 : 상호보완적상호보완적 사이버테러사이버테러 대응대응 체체제제 구축구축

광역망 액세스 점에서 유해유해 트래픽트래픽 차단차단 방안방안 제공

정보보호 심포지움 2002Sym

posiu

m o

n Info

rmation S

ecurity

2002

정책정책 프레임워크프레임워크 기능기능 컴포넌트컴포넌트

Policy Management Tool

Policy Consumer(Policy Decision Point)

Policy Repository(Directory Server, DB)

NotificationStatus &

Conf.

RepositoryAccess

Protocol

AlternatePolicyComm.

Path

Policy Server

Policy Target(Policy Enforcement Point)

PolicyProtocol

- Network Element Interface

- Policy Rules

- Policy Transform- Device Adaptors

- User Interface (Policy Editing)- Policy Translation, Rule Validation- Conflict Detection, Notification Generation- Management Information Repository

정보보호 심포지움 2002Sym

posiu

m o

n Info

rmation S

ecurity

2002

보안정책보안정책 서버서버 ::– 네트워크 규모의 침입분석 및 대응 메커니즘

• 망의 구성정보, 상태정보, 주요 관리요소 정보, 트래픽 통계정보,…

– 차등 네트워크 보안서비스 제공 메커니즘

– 체계적인 보안정보 관리 체계 및 도메인간 협력 메커니즘

• DMTF CIM, IETF PCIM

• Security Management Networking

보안보안 노드노드 : : – 패킷 센서, 패킷 분석 엔진, 트래픽 측정 엔진 고성능화

– 실시간 분석 및 능동적인 대응 메커니즘

– 경보정보의 축약 및 안전한 전달 프로토콜

– 낮은 False Alarm 및 Packet Loss

– 사용자 평면과 보안관리자 평면의 성능적 독립성 유지

정보보호 심포지움 2002Sym

posiu

m o

n Info

rmation S

ecurity

2002 보안관리보안관리 정보정보 모델모델

ManagedElement(abstract) [PCIM]

Policy (abstract) [PCIM]

PolicySet (abstract) [PCIMe]

PolicyGroup [PCIM]PolicyRule [PCIM]

PolicyCondition (abstract) [PCIM]

PolicyAction (abstract) [PCIM]

CompoundPolicyCondition [PCIMe]

SimplePolicyCondition [PCIMe]

PolicyPacketMonitoringCondition(abstract) [NSPIM]

PolicyOnePacketCondition [NSPIM]PolicyLinearPacketCondition [NSPIM]

PolicyRepeatedPacketCondition [NSPIM]PolicyIPFragmentationCondition [NSPIM]

PolicyComparisonCondition (abstract) [NSPIM]

PolicyTwoVariableComparisonCondition [NSPIM]

PolicyVariableValueComparisonCondition [NSPIM]

PolicyPayloadMatchingCondition [NSPIM]

CompoundPolicyAction [PCIMe]

PolicyIntrusionReponseAction (abstract) [NSPIM]

PolicyAlertAction (abstract) [NSPIM]

PolicyAggregatedAlertAction [NSPIM]

PolicyMessageStoreAction [NSPIM]

PolicyMessageShowAction [NSPIM]

SimplePolicyAction [PCIMe]

PolicyBlockPermitAction (abstract) [NSPIM]

PolicyPacketBlockAction [NSPIM]PolicySessionBlockAction [NSPIM]

PolicyVariable (abstract) [PCIMe]

PolicyExplicitVariable [PCIMe]

PolicyImplicitVariable (abstract) [PCIMe]

subtree of more specific classes [PCIMe, NSPIM]

PolicyValue (abstract) [PCIMe]

subtree of more specific classes [PCIMe]

클래스 상속 계층 구조

DMTF CIM (Common Information Model)

IETF PCIM (Policy Core Information Model)

– Policy domain내에서논리적으로 중앙 집중적인 관리

– System/Device 집합의정책기반 구성 제공

– Protocol, device, Vendor independence

– 상호동작 용이 등 확장성 있는 정책의 표현

정보보호 심포지움 2002Sym

posiu

m o

n Info

rmation S

ecurity

2002

UMLUML을을 통한통한 Smurf Smurf 정책정책 규칙규칙 모델링모델링 ((예예))

PolicyVariableValueComparisonConditionOperator : "=="

PolicyIntegerValueIntegerList : {_ICMP}

PolicyVariableValueComparisonConditionOperator : "=="

PolicyIPProtocolVariable PolicyICMPTypeVariable PolicyIntegerValueIntegerList : {8}

PolicyOnePacketConditionConditionListType:CNF

PolicyAggregatedAlertActionShortDescription:"smurf"를 이용한

서비스 거부 공격이 시도됨

PolicyRulePolicyRulename:"Smurf"

Priority:2IntrusionImpact:6

PolicyKeywords:{LADON6001}

PolicyActionInPolicyRule

PolicyConditionInPolicyCondition PolicyConditionInPolicyCondition

PolicyVariableInComparisonCondition

PolicyConditionInPolicyRule

PolicyValueInComparisonConditionPolicyVariableInComparisonCondition

PolicyValueInComparisonCondition

PolicyTwoVariableComparisonConditionOperator : "=="

PolicyHomenetBroadcastVriablePolicyDestinationIPv4Variable

PolicyConditionInPolicyCondition

PolicyVariableInComparisonCondition

PolicyValueInComparisonCondition

PolicyMessageShowActionPolicyMessageStoreAction

PolicyActionInPolicyActionPolicyActionInPolicyAction

PolicyReapatedPacketConditionFirstTimeInterval:1

FirstBoundOfNumberOfPackets:3SecondTimeInterval:2,

SecondBoundOfNumberOfPackets:20

PolicyOnePacketConditionInRepeatedPacketCondition

6001 Pattern [Smurf:IcmpAnomaly;2;6;MStore|MShow] while(3:1 - 20:2) {

icmp any > _homenet_br (CTYPE:8) } (MESSAGE: "smurf를 이용한 서비스 거부 공격이 시도됨")

정보보호 심포지움 2002Sym

posiu

m o

n Info

rmation S

ecurity

2002 네트워크네트워크 보안보안 서비스서비스

사용자가 요구하는 수준으로 차별화된 보안서비스를제공하기 위한 Grade of Security Service

정보보호 심포지움 2002Sym

posiu

m o

n Info

rmation S

ecurity

2002 보안보안 관리관리 메커니즘메커니즘(1)(1)

차별화된 네트워크 서비스

– Security Level Management Service• Intrusion Detection, Vulnerability Check, Intrusion Protection,

Traceback• Zone-based, System-based, Class-based Prevention

– Security Level Assurance Service• SLA(QoS, Security Service Level)• Routing Service Provisioning based on Security Service Level• Flow-based, Session-based Assurance Provision

정보보호 심포지움 2002Sym

posiu

m o

n Info

rmation S

ecurity

2002

보안관리 메커니즘의 동작 원리– Security Level Management Service

• 입력 패킷의 목적지 주소의 보안 등급에 따라

• 차별화된 탐지 및 대응 기법/수준 적용

• 보안관리 네트워킹을 통한 인터도메인 협력 체계

NSL3

NSL1

NSL1

NSL2

NSL2

Security Management Plane

User Plane

NSL3NSL3

NSL3NSL3

Networking EquipmentOr Security related Equipment(Router, Switch, Firewall, IDS,…)

Policy Server Group(ESM, CA, AAA, BB, NMS, RS, CS …)

정보보호 심포지움 2002Sym

posiu

m o

n Info

rmation S

ecurity

2002 보안보안 관리관리 메커니즘메커니즘(2)(2)

Qbone– to specify and deploy the QBone Premium Service (QPS), an inter-

domain virtual leased-line IP service built on diff-serv forwarding primitives

Simple Inter-domain Bandwidth Broker Signaling (SIBBS)– proposed by Internet2 community

• QBone Signaling Design Team has been working since 2000– Cisco, Siemens, Deutsche Telekom ,CITI University of Michigan, etc.

– Characteristics of SIBBS• NNI protocol defined for communication between inter-domain BB• TCP is transport• Fundamental messages:

– Resource Allocation Request– Resource Allocation Answer

• Simple request-response protocol• Requires some basic authentication• Supports setup, modification, takedown• Intended to be flexible and extensible

정보보호 심포지움 2002Sym

posiu

m o

n Info

rmation S

ecurity

2002

Inter-domain Policy Framework– Hitachi, GMD FOKUS (INET conference 2000)

– Two architectures

– Policy exchange protocol• Policy advertisement phase (e.g. resource information)

– BGP4 protocol is recommended

• Policy request-response and/or notification phase– COPS protocol is recommended

SPS

Domain A

Domain A

PS

Domain B

Domain B

PS

• SPS: Super Policy Server

Domain A

Domain A

PS

Domain B

Domain B

PS

[Flat architecture] [Hierarchical architecture]

정보보호 심포지움 2002Sym

posiu

m o

n Info

rmation S

ecurity

2002 정책정책 전달전달 프로토콜프로토콜

COPS(Common Open Policy Service) 프로토콜– IETF의 RAP WG에서 제안

– 정책서버(PDP: Policy Decision Point)와 클라이언트(PEP: Policy Enforcement Point) 사이의 TCP 기반 정책정보 전달 프로토콜

– Client/Server Model: requests, updates, deletes -> decisions– extensible: 자체수정 없이 다양한 클라이언트 타입 지원

• COPS-RSVP, COPS-PR, …– Security 제공: message level , IPSEC , TLS

PEP

LPDP

PDP

Network Node Policy ServerCOPS

정보보호 심포지움 2002Sym

posiu

m o

n Info

rmation S

ecurity

2002 경보경보 전달전달 프로토콜프로토콜

IAP(Intrusion Alert Protocol)– IETF의 IDWG 에서 제안

– 침입탐지 구성 요소들 사이(sensor/analyzers와 managers)에 침입 경보 데이터(Intrusion alert data)를 교환하기 위한 응용계층의프로토콜

– 전달되는 경보는 IDMEF( Intrusion Detection Message Exchange Format)에서 명세

– 수송계층 프로토콜로 TCP 사용

– Communication Mode• Request-Response Pairs로 이루어 짐

• Two major phases: – Connection setup phase(TCP Setup, Security Setup, Channel

Setup)– Data transport phase

정보보호 심포지움 2002Sym

posiu

m o

n Info

rmation S

ecurity

2002 경보경보 전달전달 프로토콜프로토콜

IDXP(Intrusion Detection Exchange Protocol)– IETF의 IDWG에서 제안

– BEEP(Blocks Extensible Exchange Protocol)의 profile로 명세됨.

– BEEP: generic application protocol framework for connection-oriented, asynchronous interactions.

– exchange data: IDMEF message, unstructured text, binary data

– Alert data의 security-sensitive한 특성상 BEEP security profile(SASL/TLS) 을 기반으로 동작

– 주요한 IDXP Profile Elements• IDXP-Greeting: identifies an analyzer/ manager at end of a BEEP

channel• Option: convey optional channel parameters• IDMEF-Message: carries the structured information to be

exchanged

정보보호 심포지움 2002Sym

posiu

m o

n Info

rmation S

ecurity

2002

결결 론론

정보보호는 가입자 망이나 해당 보안 관리자만의 문제가 아님

네트워크 및 서비스 진화 동향에 따른 네트워크 보안제어 프레임워크 개발이 필요

인프라에서의 유해 정보에 대한 통계적 분석이 필요함

망간의 유기적 협력을 통한 글로벌 대응 체계의 구축이 필요함

망간 교환되는 정보보호관련 정보의 표준화 및 교환의무화를 위한 방안이 필요함