Web Insight 1.1.0 Intelligent Web Application Firewall

www.monitorapp.com

기술 및 서비스

1.1

1.2

1.3

Application Insight 소개

Adaptive Profiling Technology

11

1.4 AI Managed Security Service

Innovative Web Acceleration

1.1 Application Insight 소개 (1/2)

Application InsightTM 기술

Transparent Gateway & Web Application Acceleration

Adaptive Profiling TechnologyPatent

Advanced Application Inspection

Advanced Deep Packet Inspection

ApplicationInsightTech

• Awareness of Packet Header + Packet Data

• Signature-based Inspection

• DoS Attack Prevention

• Self Learning Algorithm• Positive Security Model

• Awareness of Bi-directional Session• Signature and Profile based Inspection

다양한 장애 상황에 대응 가능한트래픽 매니지먼트 기술과속도 저하를 방지하는웹 가속 기술

웹 애플리케이션 보호를 위한지능화된 자기학습 보안기술

애플리케이션 레벨의 완벽한 보안검사를 위한양방향 세션 검사 패킷 레벨의 기본적인 공격 방어 기술

1.1 Application Insight 소개 (2/2)

Application Insight 구조 Application Insight Manager

Web Cloaking & Content Filtering Advanced Application Inspection

Transparent Application Gateway Deep Packet Inspection

• 멀티 도메인 관리 • Signature 와 Profile 의 자동관리 • 자동화된 정책과 소프트웨어 분배 • Self Learning 알고리즘 • 로깅 , 보고서 , 통계 기능 실시간 보안과 성능 모니터링•

• Web Cloaking

• Business Sensitive Application Content

Filtering

• Bi-directional Stream Inspection

• Signature-Based Inspection

• Profile-Based Inspection

• Transparent 게이트웨이• Fail-Open and Fail-Over

• 고성능 웹 가속기능

• Kernel based

• Deep Packet Inspection

1.2 Innovative Web Acceleration

Web Acceleration Technologies

M.B.R.T

Memory Buffer Recycling Technology

Dynamic Connection Pool

D.C.P E.P.M

Event Polling Mechanism

High Performance Web Acceleration

3 가지 (Memory Buffer Recycing

Tech, EventPolling Mechanism,

Dynamic Connection Pool) 의 웹 가속 기술들을 병행 사용하여

높은 성능을 구현

1.3 Adaptive Profiling Technology

Adaptive Profiling Technology 특허

업데이트가 필요없으며 , 알려지지 않은 공격에 대한 최상의 방어 모델

Self Learning Engine 에 의해 웹 서버의 정상적인 Response 를 토대로 ProfileDB 를 구축

Client 들의 Request 를 ProfileDB 와 비교하여 비정상적인 형태 의 Request 들은 원천 차단

1.4 AI Managed Security Service

Managed Security Service 특허

제품 소개

2.2

2.3

2.4

Web Insight 개요

Web Insight 구성도

Web Insight 기능 및 특징

2

2.1 웹 보안의 필요성

2.1 웹 보안의 필요성 (1/5)

과거와 현재의 공격 기법 차이해커의 공격 수법

Attack Sophistication

1980 1985 1990 1995 2000

HIGH

LOW

해커의 기술적 수준

Intruder Knowledge

Tools

Attackers

패스워드 추측

스니핑

세션 하이재킹

패스워드 크래킹

웹 해킹

서비스 거부

스캔

* 출처 : John Pescatore, Security Analyst, Gartner Group

시스템 해킹의 시대

네트워크 해킹의 시대

웹 해킹의 시대

웹 서비스에 대한 치명적인 위험성의 증가

2.1 웹 보안의 필요성 (2/5)

80 포트는 웹 서비스를 위해 항시 개방해 놓으므로 해커에 의한 공격위협에 항상

노출되어 있음

웹 어플리케이션이 해킹을 당할 시 DB 접근을 통해 중요한 정보 유출이 가능

IDS, IPS 등 기존 보안 제품의 한계성으로 웹 공격 위험성 증대

기존 공개된 웹 취약성에 대해 상시 공격 위협성 존재

최근 중국 / 남미 등지에서 국내로의 웹 해킹 공격 사례 증가

“ 현재 해킹공격의 70~80% 는 웹을 겨냥하고 있음”

최근 해킹 공격 사례 / 보도자료

2.1 웹 보안의 필요성 (3/5)

공공기관 인터넷 해킹 사고 급증 (2004 년 8 월 )

◦ 7 월 기준 국가 및 공공기관 , 초중고교와 대학에서 해킹으로 인한 인터넷 피해건수가 1825 건으로 집계됨

국내 인터넷 사이트 해킹 급증 , 주의 당부 (2004 년 9 월 )

◦ 정보통신부는 최근 외국의 해킹그룹에 의해 해킹당하는 국내 홈페이지가 급증하고 있다며 홈페이지 및 웹서버 관리자의 주의를 당부했음 .

웹 사이트 대량 변조 , 취약점 보완 필요 (2004 년 12 월 )

◦ 외국의 해커그룹이 450 여개의 국내 홈페이지를 변조하는 등의 사건 발생

국내 주요기관 사이트 점검요망 (2005 년 8 월 )

◦ 최근 급증하고 있는 중국 발 해킹공격 등에 대비해 각급 기관들은 자체 점검 / 보완대책 수립 필요

웹 해킹을 통한 악성코드 감염 주의 (2005 년 9 월 )

◦ 한국정보보호진흥원 인터넷침해대응센터는 최근 일반 사용자들이 해킹당한 홈페이지를 방문만 해도 악성코드에 감염시키는 웹 해킹사고가 지속되고 있어 웹서버 예방과 대책이 필요하다고 함

2.1 웹 보안의 필요성 (4/5)

기존 보안 시스템의 한계 방화벽

◦ 웹 프로토콜에 대한 제어 불가능 (80,443 Port)

◦ 임무의 초점은 네트워크 인프라를 보호하는 데 있음

IDS(Intrusion Detection System)

◦ False Positive 가 많고 , 우회 공격과 SSL 패킷에 대해서는 방어능력이 없음

IPS(Intrusion Prevention System)

◦ 보호하고자 하는 영역이 네트워크 전체이므로 웹 보안에 대해서는 패킷 필터링

방식의 한계로 인해 검사 정확도 결여

◦ SSL 통신에 대해 검사가 불가하므로 웹 보안에 취약

◦ 시그니쳐 방식이므로 지속적인 업데이트가 필요

L7 스위치 ◦ 네트워크 대역폭 관리와 제어 및 로드밸런싱이 주 기능임 ◦ 유해트래픽 차단기능으로 보안기능구현이 가능하나 네트워크 트래픽에 국한 되며 HTTP/HTTPS 에 대한 전문적인 보안은 불가

► IPS 와 웹 방화벽의 기능 비교

구분 IPS 웹 방화벽 (WI-1000)

내용

- HTTP,HTTPS 에 대한 보안능력 미흡

- False Positive 의 가능성 존재

- 알려지지 않은 공격에 대해 최대한 빠른 Signature Update 가 최선

- SQL 에 대한 구문 별 , 필드 별 설정은 불가

- 대용량 트래픽 처리 가능

- HTTP,HTTPS 에 대한 강력하고 전문적인 보안 가능- False Positive 의 가능성 없음- Positive Security Model 구현으로 알려지지 않은 공격에 대해 원천적으로 차단 가능- DB 의 필드 별 보호가 가능

웹 서버 DB 서버

HTTP

방화벽 IPS

Telnet

DoS/DDoS

WORM

Signature 공격 쿠키변조

OWASP Top10 공격

홈페이지 변조

2.1 웹 보안의 필요성 (5/5)

2.2 Web Insight Introduction(1/3)

Web Insight Looks

WI-100 WI-500 WI-1000 NIC 10/100 * 4

Console Port * 2(Serial)

Cel-M 1.2G

SDRAM512M

NIC 10/100 /1000* 4

NIC 10/100 * 4 Bypass NIC * 1 pair Console Port * 2(Serial) Pentium4 2.8Ghz * 1

SSL Acceleration Card*1

NIC 10/100/1000 * 4

NIC 10/100 /1000* 2(Optical) Bypass NIC *1 pair Console Port * 3 (UTP:1,Serial:2) Xeon 3.2Ghz * 2 SSL Acceleration Card*1

* 관리서버는 별도 구축

Web InsightTM

Powered by Application InsightTM

High Performanceby Web AccelerationHigh Performance

by Web Acceleration

Business Continuity by Traffic

Management

Business Continuity by Traffic

Management

Preemptive Protection by Adaptive ProfilingPreemptive Protection by Adaptive Profiling

Fail-Open / Fail-Over 기능을 통해 어떠한 장애 발생 가능성에 대해서도 웹 통신의 가용성을 보장합니다 .

모니터랩 고유의 고성능 웹 게이트웨이에 의해 웹 통신 속도를 보장합니다 .

동종제품 중 최고의 성능 (Connections Per Sec-ond) 보장

특허출원 기술인 Adaptive Profiling 기능에 의해 Signature 에 의존하지 않는 능동적이고사전적인 방어가 가능합니다 .

“ 안전한 웹 어플리케이션 통신을 훨씬 더 쉽고 비용 효율적으로 가능하게 합니다 .”

2.2 Web Insight Introduction(2/3)

다양한 응용프로그램 보호 기술

Packet

Inspection

By Signature

Application

QoS

Content

Filtering

AdaptiveApplicationProfilingEngine

ApplicationInspectionBy Signature

AdaptiveApplicationProfilingEngine

Web

Cloaking

ApplicationInspectionBy Profile

Web

Client

Web

Server

완벽히 웹 환경을 보호하기 위한 다계층 보안 정책 적용

2.2 Web Insight Introduction(3/3)

Web Insight 구성

2.3 Web Insight 구성도

Web

Server

Web

Application

Database

DMZ

Internet

Firewall (80 port opened)

Web Insight

· Cross-Site Scripting· Buffer Overflow· SQL Injection· File Upload· Directory Traversal· Command Injection· Potential Threats

· probing vulnerabilities of site· scanning to find vulnerable server

Normal Traffic

2.4 Web Insight 기능 및 특징 (1/11)

다양한 장애상황에 대응하는 Traffic Management

Fail - Open

Fail – Over

장애 발생

Web

Server

Web

Application

Database

Bypass

장애 발생

Web

Server

Web

Application

Database

Web Insight

전

환

2.4 Web Insight 기능 및 특징 (2/11)

High Performance Web Acceleration

M.B.R.T

D.C.P E.P.M

Innovative Web Acceleration

Req Req

ResRes

Clients Server

ONE

TWO

1

2

3

4

Web-Insight

높은 성능 구현을 위해 주요 웹 가속 기술들을 최적으로 조합하여 사용

Advanced Application Inspection

2.4 Web Insight 기능 및 특징 (3/11)

• Reassembling • Normalization • Encryption • Bidirectional Inspection • Protocol Conformance • Eliminate Ambiguity

Packet

Filtering

Packet Filter StatefulInspection Application Inspection

01101100101001101 0110110010100110110010110 011011001101

TrafficWeb Insight

Firewall

Track

Sessions

0110110010100110110010110

Deep Packet Inspection

IPS

Analyze

Packet Header

& Payload

Profile-Based Positive Security Model

2.4 Web Insight 기능 및 특징 (4/11)

최초 일정기간 Learning 과정을 통해

올바른 통신들을 Profiling 화한 후

정상적이지 않은 Request 들은 잠재

적인 위협요소로 판단하여 차단시킴

업데이트가 필요없으며 , 알려지지 않은

공격에 대한 최상의 방어 모델임• Learning Mode

• Passive Mode

• Active Mode

Signature-Based Negative Security Model

2.4 Web Insight 기능 및 특징 (5/11)

OWASP 에서 규정한 모든 웹 공격들을

차단 가능

• Web Insight 의 강력한 Inspection

Engine 에 의해 웹 공격들을 차단 /

탐지하는 룰을 설정

• 기존의 공격들 외에 사용자정의에 의한 차단룰을 추가할 수 있음

다양한 웹 어플리케이션 보안 기능 1

2.4 Web Insight 기능 및 특징 (6/11)

Data Theft 방지

Cookie 보안

Error Page 지정

Web Server Cloaking

웹 서버의 response 를 변조하여 해커의웹 서버 분석시도 차단

쿠키 암호화를 통한 정보유출 차단

주민번호 , 신용카드번호 같은 중요 정보유출 차단

HTTPS 지원

Error Page 를 통한 정보유출을 관리자가임의의 Error Page 를 지정함으로서 방지

2.4 Web Insight 기능 및 특징 (7/11)

다양한 웹 어플리케이션 보안 기능 2

Cross Site Scripting 차단

SQL Injection 차단

Command Injection 차단

File Upload 차단

Directory Traversal 차단

인코딩 우회공격 차단

Buffer-Overflow 차단

Application Exploits 차단

2.4 Web Insight 기능 및 특징 (8/11)

로그 관리 기능

웹서버 별 , 게이트웨이 별 , 출발지 IP 별 ,

룰이름 별 , 시간 별 검색 및 조회 가능 선택적인 백업 , 삭제 , 내보내기 가능

로그를 클릭하면 로깅 된 HTTP 요청

전체 및 상세정보 ( 설명 , 레퍼런스 등) 를

볼 수 있음

2.4 Web Insight 기능 및 특징 (9/11)

통합 관리 기능

중앙의 관리자는 여러 사이트들에

배치된 Web Insight 들을 중앙 Ma-

nager 를 통해 모든 정책과 관리를

제어

2.4 Web Insight 기능 및 특징 (10/11)

시스템 모니터링 기능

현재 Web Insight 의 구동 및 통신

상태 현황을 입체적으로 확인 가능

• CPU 상태 모니터링- 사용자 사용량

- 시스템 사용량

- 여분 ( 사용 가능량 )

• Memory 상태 모니터링- 전체 메모리량

- 메모리 사용량

- 여분 ( 사용 가능량 )

통계 및 보고 기능

2.4 Web Insight 기능 및 특징 (11/11)

Web Insight 의 수행내용 결과 , 보안 /

환경구성에 대한 보고서를 작성

• 해커의 공격에 대한 방어결과 보고

• 월별 / 주별 / 일별 / 시간별 로그에대한 통계를 보고• 환경설정 내용 보고

감사합니다 .

㈜모니터랩

서울시 용산구 한강로 3 가 40-151 고려빌딩 202 호

Tel) 02-749-0799, Fax) 02-749-0798

e-mail) sales@monitorapp.com

홈페이지 ) www.monitorapp.co.kr / www.monitorapp.com