introducing intelligent application switch – l4 & l7 switch · radware 회사소개 ......
TRANSCRIPT
0
Introducing Intelligent Application Switch – L4 & L7 Switch
목 차
1. Radware 회사 소개2. Radware 장비 및 L4 Switch 소개3. SynApps & Dos Shield 소개4. L7 Switch 소개5. Radware 구성 예 및 실제 Network 구성도6. Technical Tip7. Case Study8. Q&A
• We are a public company since Sept. ‘99 (NASDAQ: RDWR)
• Member of the RAD group
• Sold in over 50 countries
• More than 200 distributors world wide
1. Radware 회사 소개
2. Radware 장비 및 L4 Switch 소개
1x10G+7x1G+16x1FEAS3
8x1FEAS1
2x1G+8x1FEAS1
7x1GAS2
5x1G+16x1FEAS2
Physical Interface System
128M256M512MMaximum Memory
9.6Gbps19.2Gbps44GbpsBackplane Speed
266MHz500MHZ500MHzProcessor Speed
MPC 7410MPC 7410MPC7410 + Network Proc.Processor Model
AS1AS2AS3특징
2. Radware 장비 및 L4 Switch 소개
2. Radware 장비 및 L4 Switch 소개
2. Radware 장비 및 L4 Switch 소개
2. Radware 장비 및 L4 Switch 소개
CID
Http or ftp or Spam Mail Gateway Solution
Internal Network
Http Scanner
Mail Server
Spam Mail Scanner
2. Radware 장비 및 L4 Switch 소개
Firewall /Firewall / VPN Gateway loadVPN Gateway load--balancing
Local clients
Access router
FireProofFireProof
Firewall 1 /VPN
Gateway 1
IDS
Firewall 2 /VPN
Gateway 2
2. Radware 장비 및 L4 Switch 소개
IDS Gateway load-balancing (Fireproof)
2. Radware 장비 및 L4 Switch 소개
•A layer of services available on any and all Radware Products
5 key areas that SynApps addresses
SynAppsTMFailures
Non-optimization
Non-differentiation Security
DoS Attacks
Application Security
DoSShield
BandwidthManagement
Traffic Redirection
HealthMonitoring
3. SynApps & Dos Shield 소개
Health Monitoring
Full Path Health Monitoring
End users
WSD
Web servers Application servers
Database servers
Web serversApplication
servers
Access router
Database servers
Checking Health…Health Passed
Checking Health…Health Failed
3. SynApps & Dos Shield 소개
Traffic Redirection
Traffic RedirectionContent Inspection – Traffic Flow
Internal NetworkFirewall
HTTP SMTP Filter
Trusted Traffic
3. SynApps & Dos Shield 소개
Bandwidth Management
Classify(Priority or VRRP)
PolicyEnforcement
• CBQ
• WRR
• RED
• Rules
• Filters
• Priorities
• BW allocation
Two Stage Classification
Bandwidth ManagementPriority queues
Traffic
Classifier
Real time
Priority 0
Priority 2
Priority 1
Priority 3
Priority 5
Priority 4
Priority 6
Priority 7
VOIP
ERP
IM
SMTP
3. SynApps & Dos Shield 소개
분류 (Classification)
• Configured rule
• Source IP address or network
• Destination IP address or network
• Filters - enhanced parameters matching
– Protocol - TCP, UDP,other IP
– Application port
– Packet based text matching
- including any type of content, URL or cookie
• Filter grouping
• Direction – one way or bi-directional
• Action - block or forward
정책 시행 (Policy enforcement)
Class Based Queuing – (CBQ)
• Traffic is classified and queued according to priority
• More suitable for management by traffic limitations
• Ensures there is no starvation of any class
• Built-in support for borrowing bandwidth between classes
Weighted Round Robin (WRR)
• Each class is queued according to its priority
• Packets are forwarded from the queues according to priority
• Until bandwidth limitation is met
• Optimal for management according to priority
정책 시행 (Policy enforcement)
Random Early Drop (RED)
• Packets are dropped according to priority in cases were queues are overflowed
• This dropping method first effects the rate of lower priority queues (unlike the competition)
정책 시행 (Policy enforcement)
Application Security
Application Security
Access Router
Firewall 2
Firewall 1
FireProofFireProofLocal Clients
IDS Farm
• Real-time packet inspection & attack mitigation• 1,000 + attack signatures• Configurable & updated
ATTACK
Attack inProgress!
3. SynApps & Dos Shield 소개
Attack In Progress
Attack In Progress
Hacking Log Report
Hacking Type
Source, Destination IP
DoS Shield
• 고용량 대역폭 상황을 위한 디자인
• 공격 감지를 위해 트래픽 Sampling
• DoS Shield는 실시간으로 공격 감지 및 차단
• 일반 트래픽은 일상적으로 처리
• 공격 signature을 사용자 정의
• Report Only / Block Modes
3. SynApps & Dos Shield 소개
NoYesProtection from 1000+ attacks
YesNoProtection in Gbit speeds
YesNoSampling
YesYesDoS Protection
Dos ShieldApplicationSecurity
3. SynApps & Dos Shield 소개
4. L7 Switch 소개
전형적인 공격
Access Router
Local Clients
Attack!
Primary Attack – “gatekeeper” 장애Secondary Attack – 정보 소실, 페이지 손실, etc
-TCP/UDP/IP/ICMP등 모든 포트에 대한 Content filtering 지원
-Network Worm Virus 차단 지원
-시간, 횟수, 대여폭, session reset 지원
-포트 단위로 별도 rule 적용 지원
- Hacking 공격(land attack, smurf attack, icmp flooding, Backdoor, DOS, DDOS )등 차단
- Spam mail 차단 지원
- QOS 기능 지원
- IDS 또는 IPS 기능 지원
L7 Switch ?
성능
보안
가용성
유해 트래픽 이란?
DOS (Denial Of Service)DDOS (Distributed Denial Of Service)WormScanningP2P ServiceHacking 공격
Fragmentation 공격
Spam mail등등..
사용자가 시스템이나 네트워크 장비의 리소스를 독점하거나, 파괴하여서다른 사용자들에게 올바른 서비스를 제공하지 못하게 만드는 것을 말한다.
-네트워크를 지나는 패킷을 실시간으로 H/W적으로
감시
-Bit 또는 Octet 단위 검사 가능
-Virus 에 감염된 패킷 차단 및 세션 단절 수행
-Bridge Mode 방식을 이용, 네트워크 성능저하방지
Network 접근 방식
Client Internet
Packet sniffing
Virus Scan SwitchClient Internet
Server
Gateway 접근 방식
-L4 스위치의 Redirction 기능을 이용,
네트워크를 지나는 패킷을 S/W적으로 감시
-Virus에 감염된 패킷 차단 및 치료 후
전달 가능
-네트워크 성능 저하 유발
Switch
구성방식
-Gateway 접근 방식, Network 접근 방식 (Packet Sniffing)
Virus Wall Virus Wall 특징특징 및및 구성구성
OX차단 후 메일 공지
XOIP 주소, 서비스 포트로 차단
2FE5G + 16FENetwork Interface
Software 수동 Update사용자 정의 가능, 향후 자동 Update 예정DB Pattern Update
Hard-diskMemoryVirus DB 저장
E-mail Virus 만 차단ONetwork Virus & E-mail Virus 차단
XOL7 Payload 정보 차단
XOQOS 지원
Server + SoftwareSwitch장비 형태
최대10M 최대 1G (L7시)성능
Gateway 방식(L4 사용 필)Network 방식 (L7 독자적 사용) 구성 방식
Virus ServerRadware FP AS2 (L7 Switch)
L7 Switch & Virus Gateway
Security levels
• Radware is the only vendor that provides complete security from the Network layer up to the Application layer
Router Layer 3
Firewall / VPN / L4 SwitchLayer 4
L7 Switch Layer 7
OXOQOS
OXXWorm 차단
Worm 차단Session 차단
(ip와 port로)Routing 차단추세
Attack DB & L7 Layer에서 차단
일부 DOS 차단ACL을 빼고
Routing만 사용특징
OXXDDOS 공격 차단
OX (일부 가능)XDOS 공격 차단
IDS & IPS 가능X (제한적)XIDS & IPS 지원
743지원 LayerHeader & ContentACL(IP, Port)ACL(IP, Port)차단 방식
L7 filteringL4(IP, Port)로filteringRouting주기능
Radware L7 SwitchFirewallRouter
Router & Firewall & L7 Switch
Radware L7 Switch (ASII)
- TCP/UDP/IP/ICMP등 모든 포트에 대한 Content filtering 지원- Network Worm Virus 차단 지원- 시간, 횟수, 대여폭, session reset 지원- 포트 단위로 별도 rule 적용 지원- Hacking 공격(land attack, smurf attack, icmp flooding, Backdoor, DOS, DDOS )등 차단
- Spam mail 차단 지원- Attack pattern DB- Scan 공격 감지 및 차단- Fragmentation Attack 차단- QOS 기능 지원(P2P Service 제어) - IDS 또는 IPS 기능 지원- L2 Wire-speed
Version(4)
Destination IP Address (32)
Options (0 or 32 if any)
Data (varies if any)
1Bit 0 Bit 15 Bit 16 Bit 31Header
Length (4)Priority & Type
of Service (8) Total Length (16)
Identification (16) Flags(3) Fragment offset (13)
Time to live (8) Protocol (8) Header checksum (16)
Source IP Address (32)
20Bytes
IP Datagram
Source port (16) Destination port (16)
Sequence number (32)
Headerlength (4)
Acknowledgement number (32)
Reserved (6) Code bits (6) Window (16)
Checksum (16) Urgent (16)
Options (0 or 32 if any)
Data (varies)
20Bytes
Bit 0 Bit 15 Bit 16 Bit 31
TCP Segment Format
Source port (16) Destination port (16)
Length (16)
Data (if any)
1Bit 0 Bit 15 Bit 16 Bit 31
Checksum (16)
8Bytes
UDP Segment Format
L7 스위치에서 새로운 바이러스 차단방법
L7 스위치 차단방법
Radware에 적용한 유해 트래픽 차단 정책
• 과다 인입시, 시스템 오동작 및 서비스 장애 발생
• 특정 목적지 IP로 1초에 1000회 이상 인입되는 TCP
패킷을 차단 (Syn-Flooding)
Standard-
syn-urg
• 해킹과 공격 위험 증가 및 일부장비 장애 발생
• 공격대상 선정을 위한 UCP Port 및 IP Address
Scanning 차단과 Back-Door 접근 차단
Standard-
UDP-Scan
• 과다 인입시, 시스템 오동작 및 서비스 장애 발생
• 특정 목적지 IP로 1초에 500회 이상 인입되는 UDP
패킷을 차단
Standard-
UDP-flooding
• 해킹과 공격 위험 증가 및 일부장비 장애 발생
• 공격대상 선정을 위한 TCP Port 및 IP Address
Scanning차단과 Back-Door 접근 차단
Standard-
TCP-Scan
• 과다 인입시, 시스템 오동작 및 서비스 장애 발생
• 브로드캐스트 혹은 멀티캐스트 주소와 필요치 않은
ICMP ECHO 응답에 대해 보내지는 ICMP 패킷 차단
Standard-
Smurf-Dst
• 과다 인입시, 일부 시스템 오동작 및 서비스 장애 발생
• 출발지 와 목적지 IP가 같은 패킷들을 차단
Standard-
Land-Attack
• 과다 인입시, 시스템 오동작 및 서비스 장애 발생
• 특정 IP로 1초에 150회 이상 인입되는 ICMP 차단
Standard-
ICMP-Flood
• 과다 인입시, 시스템 오동작 및 서비스 장애 발생
• 에러가 있는 fragment offset 및 fragment 길이
정보를 가진 IP packet fragment를 차단
Standard -
Fragments–Flag
• 비정상적인 Offset,Fragment Bit, 크기의 ICMP 차단
• 과다 인입시, 시스템 오동작 및 서비스 장애 발생
Standard-
Fragmented–ICMP
정책설정화면상세설명정책명칭
• MS 시스템에서 파일 공유를 위해 제공하는 서비스
이며, 불규칙하게 타 시스템 정보 획득을 위해 트래
픽을 발생 시킴
• 불규칙적으로 발생하는 Netbios 트래픽이 우리은행
보안망에 부하를 일으키고 있음
• Netbios 사용 서비스 포트 차단
(TCP:137,138,139 & UDP:137,138,139)
Sim_Netbios
TCP&UDP
• 네트워크와 메일을 통해 전송되며, 레지스트리변경,
스팸 메일발송, 특정포트 오픈(TCP:10168, 20168)
• TCP:10168과 20168 이용 트래픽 차단
Lovgate Worm
• TCP:139을 이용하며 과다 인입 시, 서비스장애 및
시스템 감염됨
• TCP:139 트래픽중, TCP data 부분에 “scrsvr.exe”를 포함하는 트래픽을 차단
OpaSoft-3 Worm
• TCP:139을 이용하며 과다 인입 시, 서비스장애 및
시스템 감염됨
• TCP:139 트래픽중, TCP data 부분에 “ACACACAC”를 포함하는 트래픽을 차단
OpaSoft-2 Worm
• UDP:137을 이용하며 과다 인입 시, 서비스장애 및
시스템 감염됨
• UDP:137 트래픽중, UDP data 부분에 “AAAAAAAA”를 포함하는 트래픽을 차단
OpaSoft-1 Worm
• 과다 인입시 서비스 장애 및 시스템이 감염됨
• TCP:80 트래픽중, Tcp data 부분에 “Default.ida”를포함하는 트래픽을 차단
Code-red Worm
default
정책설정화면상세설명정책명칭
Radware에 적용한 유해 트래픽 차단 정책
• MS 시스템에서 보안파일 공유를 위해 제공하는
서비스를 이용하며 자가 복제 및 전파하며, 백도어
및 악성 IRCbot이 설치됨.
• 보안파일 공유 서비스 포트 차단 (TCP:445)
Delot_bwm Worm
• Nimda 변종이며, 과다 인입시, 서비스 장애 및
시스템이 감염됨
• TCP:25,110을 사용하는 메일 트래픽중, Tcp data
부분에 “sample.exe”를 포함하는 메일 트래픽을
차단
Nimda-Sample Worm
• MS-SQL의 취약점을 이용하여 공격하며, 과다 인입
시 네트워크속도저하, 시스템을 공격하며 감염
• 취약점 서비스 포트인 UDP:1434를 차단
Slammer-SQL worm
• 과다 인입시 서비스 장애 및 시스템이 감염됨
• TCP:80 트래픽중, Tcp data 부분에 “root.exe”를포함하는 트래픽을 차단
Nimda-root worm
• 과다 인입시 서비스 장애 및 시스템이 감염됨
• TCP:80 트래픽중, Tcp data 부분에 “cmd.exe”를포함하는 트래픽을 차단
Nimda-CMD worm
• 불법자료 획득을 위한 불법자료 서버 접속용 서비스
• 불법자료 서버들에 접속을 위해 대량의 트래픽 이용
• 불법 서버의 서비스 포트를 이용해 차단
(TCP:4661,4662)
당나귀 P2P
서비스
• 불법자료 획득을 위한 불법자료 서버 접속용 서비스
• 불법자료 서버들에 접속을 위해 대량의 트래픽 이용
• 불법 서버의 서비스 포트를 이용해 차단
(UDP:5101,7674,22321,4665)
소리바다 P2P
서비스
정책설정화면상세설명정책명칭
Radware에 적용한 유해 트래픽 차단 정책
• IRC 및 P2P서비스등을 통해 감염되며, 백도어 설치
스팸메일 전송
• Worm이 사용하는 IRC 및 P2P 서비스 포트를 차단
(TCP:2018,2019,2020.2021)
Fizzer worm
• 메일과 네트웍을 통해 감염되며, 레지스트리 변경
백도어 설치되며 스팸메일 전송.
• TCP:25,110 이용하는 메일 트래픽중, 송신인이
“[email protected]” 인 스팸메일 차단
Sobic Worm
• 메일과 네트웍을 통해 감염되며, 레지스트리 변경
백도어 설치되며 스팸메일 전송.
• TCP:25,110 이용하는 메일 트래픽중, 송신인이
“[email protected]” 인 스팸메일 차단
Palyh Worm
정책설정화면상세설명정책명칭
Radware에 적용한 유해 트래픽 차단 정책
Radware MIB로 작성된 통계 데이터
유해트래픽 발생 건수에 대한 통계 데이터
<유해 트래픽 별 발생 Source IP Top>
<유해 트래픽 별 발생 Source IP Top>
Configware Insite
Configware Insite
Configware Insite
RadwareRadware를를 통한통한 QOS QOS 지원지원
P2P 서비스를 10M로 제한한 예
서비스 별 QOS 적용 ( L7 Switch – FireProof )
- 내부적으로 알고 있는 서비스에 1.5배의 서비스에 대해 Rule 설정- 새로운 바이러스에 대해 급격한 서비스 장애 예방
QOS 설정
대역폭대역폭 제한제한 예예
- Switch 기반의 Anti-Virus Scanning & Blocking , TCP Reset
- 성능 저하가 없는 네트워크 구축
- Secured Network 구축이 가능한 솔루션, 주요한 Hacking 공격과 Virus 차단, IDS 기능 지원
- 자유로운 망 구조 구축이 가능한 Switch 솔루션 & 관리용 1개의 IP로 구성 (구성상 BRIDGE)
- In-Bound & Out-Bound 트래픽에 대한 방향성 설정이 가능
- 새로운 Virus에 대해 대처 용이, 네트워크 바이러스 차단
-Virus의 IP-Address 정보를 통한 신속한 조치
- Layer4 수준(port & ip-address)뿐 아니라 Header & Payload(Content) 부분도 검색을 하기 때문에 보다 수준 높은 보안을 설정
- Attack DB로 쉬운 관리 가능
L7 Switch 구축 시 장점?
5. Case Study
Backbone
Network Network 구성도구성도
Radware 적용Virus packet
Block
1Gbps1Gbps
1Gbps 1Gbps
Internet
L 2L 2
L 2 L 2 L 2
L 2
증권사
L4+L7
L4
고객 수용용 Router
대학 가입자 Router/Switch
유해차단 시스템 FP
Backbone
교육망
유해 트래픽 차단 (Network Virus)동일 Mac-address가 들어오더라도 처리무한 Mac address 처리Static-Forwarding Link Loss Carry Forward 기능 지원
L4 Switch
DNS
Router
L4 Switch
DNS
L7 Switch
DNS DNS 적용도적용도
적용 전 적용 후
Router In-addr.arpa
International line
Domestic Backbone Network
Cache Server
국제망국제망 구성도구성도
PublicNetwork
Main S/W II(Public)
Main S/W I(Public)
Virus WallL4 Switch
2 * GE
Web/infra , Billing
Web Server Farm
My home
Web Server Farm
1Gbps
1Gbps
Internet Backbone L2 Switch
Club / BBS
Web Server Farm
1Gbps
Include“ARM”
Include“ARM”
Virus WallL4 Switch
1~2Gbps
기업기업 망망 구성도구성도
Fireproof AS II Fireproof AS II
SwitchSwitch
Switch Switch
Fireproof AS IISwitch
Fireproof AS II
Fireproof AS II
Switch
Fireproof AS II
Switch Switch
SwitchSwitch
Fireproof AS IIFireproof AS II
Switch
1Gbps
범 례범 례
10/100Mbps
Router Router
Internet Internet
증권사증권사 구성도구성도
Switch
Web Server
Internet
Routing Switch
Building 3
Routing Switch
Routing Switch
Routing SwitchBuilding 2
Routing Switch
Routing Switch
Routing Switch
100 BASE-TX
Data Center
100 BASE-TX
대학대학 구성도구성도 –– L7L7
Web Server or Cache server
Internet
Routing Switch
Building 3
Routing Switch
Routing Switch
Routing SwitchBuilding 2
Routing Switch
Routing Switch
Routing Switch
100 BASE-TX
Data Center
100 BASE-TX
대학대학 구성도구성도 –– L4 + L7L4 + L7
SLB + Virus-filtering
D사 구성도
Alpine3808
L 2
RND
MAKING A VIRTUAL WORLD REAL
WWSD
WSD-H PlatformWSD with Synapps
L 2
Firewall
WSD (L4)
KIDCKIDC
L사 구성도Internet
SiSiSiSi
Static Forwarding (L7)
internetinternet
DMZ DMZ
AS I AS I
AS II
건물건물BB
AS II
건물건물AA
A사 구성도
Security Solutions
Anti-Virus
Cache
URL Filtering
IDS Farm
Passive SSL
Firewall/VPNs
SSL Acceleration
SwitchServerFarms
FireProof
CID
CertainT
SynApps Enabled
관리용 회선
관리용 회선
6. Technical Information - TIP
No IP on Interface
7. Why Radware ?
1. Stability- Hanaro(2001.10~Now), Thrunet(2002.1~Now), KT(2002.5~Now)Dacom(2002.1~Now, 2003.3~Now)ISP에서 다년간 검증 완료, 대학, 금융권, 일반 기업등에서 검증 완료
2. Intelligent Application Switch을 제공하는 전문 업체- L4 (WSD, CSD, FP, CSD, CID, PeerDirector, CT-100), L7의 전문 스위치 장비를 생산하는 전문 업체본사의 빠른 고객 지원, 앞서가는 L7 기능, 빠른 고객 요구 수용
3. Market Trend & Market Leading, Market Share- 국내외 L7 시장의 경향과 시장 점유율, 시장의 선두 주자로후발 업체들에 자극을 주고 있는 상황.특히 국내 점유율은 1위를 고수하고 있음.
8. Q&A