SSL/TLS 작동원리및가시성확보및 AISVA 의제품구조에대한 WHITE PAPER

Transcription

1 /TLS 작동원리및가시성확보및 AISVA 의제품구조에대한 WHITE PAPER

2 - 목차 - 1. /TLS 의정의및작동원리 1) /TLS 개요 2) /TLS 동작 3) /TLS 차이점 2. /TLS 가시성확보의필요성 1) /TLS 이용한보안위협증가 2) APT 공격에서의 활용사례 3) 로보호된웹사이트의보안공백 4) 가시성을제공하는방식 5) 트래픽방향성에따른 처리방식 6) 가시성장비선정에서의주요체크포인트 7) 가시성장비를통한보안수준향상 3. APPLICATION INSIGHT SVA 제품구성

3 1. /TLS 의정의및작동원리 인터넷사용이급증함에따라해킹이나바이러스, 개인정보유출등이발생빈도도비례하여증가하고있다. 이에대한역기능들을방어하고통제하기위한 Web 보안의중요성도함께증대되고있다. 과 TLS는전송레벨의 Web 보안프로토콜로서현재유. 무선네트워크환경에서사용자의인증, 데이터의무결성및기밀성을보장하기위하여보안시스템개발시그활용도가매우크다. 본 WHITE PAPER 에서는 과 TLS의변화과정을확인하고프로토콜의주요동작과정및안정성을분석해본다. 또한사용자의익명성을제공하기위하여 과 TLS를확장한 SPSL(Secure and Private Socket Layer) 프로토콜을분석한다. 인터넷은정보의자유로운상호접금및공유를가능하게하였을뿐만아니라금융, 주식거래등다양한웹서비스및전자상거래와같은 e-business를창출하였다. 그러나개방성, 공유성의특징을가지고있는인터넷은이러한순기능만가지고있는것은아니다. 인터넷사용이증가함에따라해킹이나바이러스, 개인정보유출등의발생빈도도비례하여증가하고있다. 이러한역기능들을방어및통제하기위한 Web 보안의중요성도함께증대되고있다. 본 White Paper에서는전송레벨에서의웹보안프로토콜인 과 TLS의변화과정을살펴보고, 각프로토콜의구조및동작과정그리고안전성을진단한다. 1) / TLS 개요 (Secure Sockets Layer) 은 1994년 Netscape 社에의해서 Netscape 웹브라우져를통한안전한통신을위하여처음으로제안되었으며, 1996년 Internet Engineering Task Force(IETF) 에서 v3.0을제안하였다. 이후에도 v3.0은지속적으로수정, 보안되었으며 1999년에는 TLS(Transport Layer Security) 로명칭이바뀌어 RFC 2240(TLS v1.0) 으로표준화되었다. HTTP FTP SMTP / TLS TCP IP [ 그림 1] /TLS 위치

4 Handshake protocol APPLICATION Change Alert Cipher Spec Protocol Protocol Record Layer [ 그림 2] /TLS 구조 Protocols secured by 과 TLS 는 [ 그림 1] 과같이전송계층과응용계층사이에위치함으로서다양한응용계층의프 로그램들과쉽게보안설정을할수있으며, /TLS 는 [ 그림 2] 와같이레코드레이어와 Handshake, Change Cipher spec, Alert, Application data 프로토콜로이루어져있다. 2) / TLS 의동작 /TLS는크게세션 (session) 상태와커넥션 (connection) 상태로나누어서이루어진다. 실제통신은하나의세션안에여러개의커넥션이포함되는형태로이루어진다. 상태는예비상태 (pending state) 와현재상태 (current state) 로나뉘어지며, 예비상태는서버와클라이언트가통신을수행하면서설정된알고리즘과키를임시로저장하는상태이며, 현재상태는레코드레이어에서실제데이터가처리될때의상태를의미한다. 각각의상태는다시 read 상태와 write 상태로이루어지며 read 상태는상대방이전송한데이터를읽기위한상태이며, write 상태는상대방에게데이터를전송할때사용되는상태를말한다. Handshake 프로토콜에서는알고리즘을포함함보안파라미터 (security parameters) 가설정되고, 이것은레코드레이어로전달되어키블록을생성하고예비상태로저장된다. 저장된예비상태는 Change cipher spec 프로토콜에의해현재상태로옮겨진다. 이렇게옮겨지면예비상태는 NULL 상태로다시초기화된다. SENDER RECEIVER Pending write state CCS Pending read state Current write state Current read state [ 그림 3] 상태의변화

5 이때, Change Cipher spec 메시지를보내면예비 write 상태가현재 write 상태로바뀌고, 다시 Change cihper spec 메시지를받게되면예비 read 상태가현재 read 상태로변경된다. 위의 그림 3 은예비상태와현재상태로변화화는과정을나타낸것이다. Full Handshake 에의해세션이한번생성되면이후통신은 Abbreviated Handshake 프로토콜에 의해하나의세션상태를공유하면서커넥션상태만을재생성하여이루어질수있다. session identifier peer certificate compression method cipher spec master secret is resumable 임의의바이트로서세션구분담당 x. 509 v3 형식의인증서압축알고리즘명시암호통신에사용할알고리즘및키길이명시서버와클라이언트가공유하는 48 바이트의비밀값새로운커넥션을생성할수있는지를나타내는플래그 [ 표 1] /TLS 세션상태의파라미터 server and client random server write MAC secret client write MAC secret server write key client write key initialization vectors sequence numbers Hello 메시지에서교환되는서버와클라이언트의 32 바이트의비밀랜덤값서버가 MAC 생성시사용할비밀값클라이언트가 MAC 생성시사용할비밀값서버의암호화키클라이언트의암호화키블록암호알고리즘사용시초기벡터 (IV) 값 Change eciper spec 메시지를보내거나받으면 0으로초기화되고메시지마다 1씩증가 [ 표 2] /TLS 커넥션상태의파라미터 커넥션상태는표 2 와같은파라미터를포함하고있다. 각비밀키는세션상태의 master secret 과서버와클라이언트의랜덤수로생성되므로각커넥션상태는다르게설정된다. 3) 과 TLS 의차이점 TLS는 에서여러사항을고려하여수정과보안이이루어졌다. 우선, 키생성과정에서 은해쉬함수를직접이용하나, TLS에서는의사난수함수 (PRF) 를이용하여생성한다. 또한 에서는총 12개의 error 메시지가존재하나 TLS에서는 에서의 no-certificate 메시지를제외한 12가지가추가되었다. Certificate Request 은기존 TLS에서는 rsa_ephemeral_dh,

6 dss_emhemeral_dh, fortezza 방식이제외되었다. Cipher suite 관련 TLS 에서는 Fortezza 알고리즘 이제외되었다. 2. /TLS 가시성확보의필요성 1) /TLS 이용한보안위협증가 최근몇년간의주요보안이슈는 DDoS 와 APT 라할수있다. 특히, APT 의경우, 사실상그 동안의보안위협들이다양한방식으로혼합되어일어나기때문에이를방어하기위해서는다 양한애플리케이션에대해다양한방법으로대처해야만한다. 그런데, APT 를비롯한다양한보안위협들에대해서는다양한솔루션이등장하고있으며, 전통적인보안솔루션에서도이를방어하기위한다양한기능개선들을추가하고있는데반해, 새로운보안의위협으로대두되고있는것이있다. 바로 (Secure Socket Layer) 또는 TLS(Transport Layer Security) 라고불리는암호규약이다. TLS 는클라이언트 / 서버응용프로그램이네트워크로통신을하는과정에서도청, 간섭, 위조를방지하기위해서설계되었으며, 암호화를통해최종단간의인증, 통신기밀성을유지시켜준다. 그런데, 암호화통신으로인해보안솔루션이이를해독하고분석및방어하는것을방해하는현상이발생하게되었다. 보안을강화하기위한방식이오히려보안솔루션을무력하게되는상황을만들게된것이다. 최근의추세는개인정보, 거래정보와같은중요한정보는암호화하여전송하도록하고있으며, 주요웹사이트에서도 HTTP 가아니라 HTTPS 를사용하는경우가많아졌다. 특히구글, 페이스북, 아마존등의해외주요웹사이트의경우, 전면적으로 HTTPS 를사용하고있다. 문제는 APT 를이용한다양한공격들에서 HTTPS 를적극활용하고있으며, 이를통한악성코드유포등에대한분석및차단이점점어려워지고, 암호화된트래픽은지속적으로늘어나고있다는것이다. 물론, 최근의보안솔루션들 대표적으로웹애플리케이션방화벽, 침입방지솔루션, 차세대방화벽등 은 /TLS 에대한보안기능들을지원하고있으나, 평문형태의데이터처리성능에비해서암호화된데이터에대한처리성능이현저하게낮기때문에증가하고있는암호화트래픽에대해서효과적으로대응하기는어려운상황이며, 지속적으로증가하고있는 트래픽에대하여대응방법이제한적이라는것이다.

7 2) APT 공격에서의 활용사례 APT 공격에서가장흔히사용되는방식이 Drive by download 방식이며, Watering Hole 유형의기법을통해감염된사이트에방문과동시에악성코드를다운로드하도록하는방식을많이사용한다. 보안솔루션은해당사이트자체를미리인지하여차단하는방식을사용하거나, 실시간해당사이트의응답데이터를분석하여악성여부를판단한다. 또는다운로드된악성파일을검사하는정적분석또는동적분석을통하여파일자체를차단하기로한다. 그런데최근공격자들은악성파일을감염시키는과정에서보안솔루션의방어를회피하기위하여, 로암호화된사이트를이용하는경우가증가하고있으며, 이런경우기존의보안솔루션으로방어하는것이어려운경우가많이있다. 이미감염된 PC 를원격으로제어하거나, 감염 PC로부터정보를유출할때노출을최소화하기위하여 로암호화한통신을사용하기도하기도한다. 3) 로보호된웹사이트의보안공백 많은웹서버로유입되는다양한공격들을침입방지시스템및웹애플리케이션방화벽등의보안솔루션을통하여방어하고있다. 현재의대부분의보안제품들은 에대한보안기능을지원하고있지만, 처리시에발생하는성능문제를안고있으며, 증가하는 트래픽에대응하기위해서는장비증설이필요한경우가많다. 또한평문통신에비해암호화된통신을처리하는성능 10% 내외수준인경우가대부분이다. 따라서 처리를위해서는보안장비의증설하거나, 증설이어려운경우는해당트래픽을 그냥통과시킬수밖에없는상황이다. 이러한경우, 통신보안을위해도입한 로인하여 보안의공백이발생하는경우가발생한다. 4) 가시성을제공하는방식 가시성을제공하는방식은여러가지방식이있지만, 크게 2 가지형태로나눌수있다. 네 트워크상에서인라인으로설치된보안장비에게복호화된트래픽을전달하는방식과미러링 으로설치된보안장비에게복호화트래픽을전달하는방식이다.

8 첫번째로, 인라인형태의보안솔루션 방화벽, IPS, DLP 등 - 에게가시성을제공하기위해서 는다음과같은순서로트래픽을처리한다. 1 Client 에서 Server 로접속하는 접속을가시성장비에서연결처리 2 가시성장비에서복호화한트래픽을보안장비로전달 3 보안장비에서는보안기능수행후, 가시성장비로트래픽전달 4 가기성장비는암호화한트래픽을다시서버로전달 전통적인방식의네트워크기반의보안솔루션에제공하는방식으로, 보안장비의 처리를 위한성능감소를제거하여효과적인망운영을할수있도록지원하며, 암복호화처리가 애초에불가능한보안제품이라하더라도완전한보안기능을사용할수있도록지원한다. 두번째로, 미러링형태로연결된보안솔루션 IDS, 로그분석솔루션, 포렌식솔루션등 에게가시성을제공하기위해서는복호화된트래픽을복사해서전달한다. 두가지방식의차이점은보안장비에게단순히전달만하느냐, 보안장비를통과한트래픽을서버로다시전달하느냐의차이만존재한다. 최근 APT 방어나이상징후분석등을위한보안솔루션을위해적합한방식이라할수있다. 5) 트래픽방향성에따른 처리방식 가시성장비는기본적으로 프록시의구조를가지고있으며, 클라이언트의 접속을처 리하기위해서는반드시필요한요소가있다. 인증서와개인키가바로그것이다. 인증서와 개인키가없다면, 어떠한 에대한처리도불가능하다.

9 단순히, 암복호화를하기위해서라면, 실제서버와는무관한인증서 / 개인키를등록할수도 있겠지만, 유효하지않은인증서를사용했을경우에는사용자는항상에러페이지를보게될 것이다. 인증서 / 개인키를처리하는방식도보통 2 가지방식으로처리된다. 내부웹서버를보호하기위해서가시성장비를활용할때는실제웹서버의인증서 / 개인키를추출하여그대로등록하는방식을사용한다. 웹애플이케이션방화벽을포함한대부분의프록시장비에서사용하는방식이다. 가시성장비가마치웹서버인것처럼동일한인증서 / 개인키를이용하여 접속을처리하고, 복호화한평문데이터를보안솔루션으로전달하는방식이다. 내부웹서버가아니라, 인터넷에있는불특정다수의웹서버로접속하는 통신에대해서는첫번째방식을사용할수가없다. 통신을처리하기위해서는인증서와개인키가반드시필요한데, 개인키는다른말로는비밀키라고도부르는것으로외부에노출될경우모든보안이무력화될수있기때문에절대공개되지않아야한다. 다시말해, 인터넷상에존재하는외부서버의개인키를등록하는것을불가능하다. 그래서, 가시성장비는인증서와개인키를자동으로생성하는방식을사용한다. 가시성장비에서는사설 CA(Certificate Authority) 를설치하고, 트래픽이발생할때마다해당도메인에적합한인증서와개인키를자동으로생성하여, 클라이언트와 통신을수행한다. 이때에도생성된인증서는신뢰된인증기관에서발행된것을아니므로, 클라이언트에서는인증서오류메시지가발생할수있다. 오류없이처리하기위해서는가시성장비에서사용하는사설 CA 인증서를클라이언트에신뢰된인증기관으로등록하는절차가필요하다.

10 사설 CA 인증서를등록하는절차는웹브라우저에서몇번의클릭을통해가능하며, 일반사 용자에게편이성을제공하기위해별도의프로그램을한번실행하는것으로대신하기도한다. 6) 가시성장비선정에서의주요체크포인트 가시성장비는암복호화에관련된기능을대행하여다른보안솔루션에게 처리에대한부담을줄여본연의보안기능에충실하도록가시성을제공하는것이다. 본연의기능으로만볼때는매우단순한구조로되어있으므로, 도입검토시에기능적요소는크게중요하지않는것처럼보인다. 그러나, 실제로어떤방식으로또는어떤보안장비에게가시성을제공할것이냐에따라검토해야할중요한몇가지요소가있다. 가장핵심적인요소는성능이다. 다른보안솔루션에게충분한수준의성능으로가시성을제공하느냐이다. 현재시장에출시된가시성장비는그리많지는않지만, 처리성능에대한수치를볼때중요한요소가있다. 바로인증서의공개키길이이다. 과거에는 성능에대한테스트에서주목되지않은항목이라 1024Bits 의사설인증서로테스트되는경우가많았지만, 현재대부분의웹사이트에서사용하는인증서는 2048 Bits 로구성되어있다. 발표기관에따라차이가나기는하지만, 대부분의기업, 기관에서공개된문서에따르면, 1024 Bits 와 2048 Bits 의키길이차이에따라성능이 3~4배까지차이가나는것으로알려져있다. 따라서단순히성능수치를볼것이아니라공개키길이가얼마일때의성능인지를반드시확인할필요가있다. 두번째로는 을처리하는방식또는순서와관련된것이다. 인라인 (In-Line) 형태의보안솔루션에가시성을제공하는경우를보면, 클라이언트와가시성장비사이의 세션, 가시성장비와보안솔루션사이의평문세션, 그리고가시성장비와서버사이의 세션으로구성된다. 그리고, 보안솔루션이프록시방식이라면, 가시성장비와보안솔루션사이에도클라이언트사이드세션과서버사이드세션으로 2개로나누어진다. 1 클라이언트 가시성장비 () 2 가시성장비 보안솔루션 ( 평문 ) 3 보안솔루션 가시성장비 ( 평문 ) 4 가시성장비 서버 (, 평문 ) 보안솔루션특성에따라클라이언트의요청데이터또는서버의응답데이터가보안솔루션 을지나면서차단되거나변경되는경우도있으며, 패킷의전송흐름도독립적으로일어나는 경우가있다. 따라서가시성장비에서도최대 4 개의세션을독립적이면서도연관되게처리해

11 야한다. 그렇지않을경우, 세션에단절이발생하거나, 정상적으로암복호화가수행되지않는 경우도있다. 따라서실제로구성하고자하는보안솔루션과의연동테스트는필수적이다. 그밖의요소로는네트워크구성과관련해서투명프록시형태로구성이가능해야하며, 장애시에는선택적으로바이패스하는형태로대비책을가지고있어야하며, 부가적인기능이어느정도로지원하느냐를검토해야할것이다. 단순히다양한기능을지원하는것보다는운영환경에얼마나적합하냐는것이더중요하다. 7) 가시성장비를통한보안수준향상 로암호화된서비스의증가는필연적이며, 보안솔루션의 에대한지원도필수적이라할수있다. 전체트래픽에서 에대한비중이극히적은경우에는기존솔루션에서 보안기능을추가하는것으로대신할수있겠지만, 지속적으로증가하는 트래픽에대응을하기에는어려움이있을것이다. 기존보안솔루션의증설만으로는목표달성이어려울수있으며, 가시성장비에대한검토또는도입을통해 통신에대한보안공백을해소하는계기로만드는것이필요한시점이왔다. 3. APPLICATION INSIGHT SVA 소개 APPLICATION INSIGHT SVA( Visibility Appliance) 는 Traffic 에대한복호화및암호화를제공함 으로써기존보안장비에서암호화된트래픽에대해서도강력한보안정책이적용될수있도록 트래픽에대한가시성을제공하는전용어플라이언스제품입니다. 1. 제품구성도 1.1. 구성모드 AISVA 제품은 Active Inline 과 Passive Inline 을동시적으로지원하여다양한보안제품들과연동이가능하도록설계되어있습니다. - eth 1 ~ eth 4 : Active Inline Port (For IPS, FW, WAF 등의인라인장비 ) - eth 5 ~ eth 16 : Passive Inline Port (Option NIC, For IDS, TMS 등의미러링장비 )

12 [ AISVA 구성모드 ] 1.2. Session Flow AISVA 는 Inbound 및 Outbound 트래픽에대해서동시적으로암복호화가가능합니다. 즉, 외부에서내부 서버로의통신 / 내부에서외부 서버로의통신에대해서동시적인암 복호화가가능합니다. 복호화 Session Flow 과정은다음과같습니다. - Active-Inline ( 인라인장비 ) 1 AISVA가 Proxy로작동하여클라이언트와직접세션을맺고 통신을한다. AISVA에내부 서버의 IP, Port, 사용중인 인증서를등록해야한다. 2 AISVA는암호화되어있던 트래픽을복호화하여 eth2번포트로전송한다. 이때 eth1 번을통해유입된 None- 트래픽도함께전송한다. 3 복호화된 트래픽은 IPS/WAF 등과같은 In-Line 보안장비를통과한후 eth3 포트를통 해재유입된다. 4 AISVA 는 eth3 번을통해유입된트래픽을다시암호화하여 eth4 번으로전송한다. - Passive-Inline ( 미러링장비 ) 5 2 번단계에서 eth 2 번을통과하는트래픽을 Passive Inline Port(eth 5 ~ eth 16) 에동시적으로 복사하여준다.

13 IPS / WAF Extern 1 alclien eth2 eth Internal Server External Server eth1 5 eth4 Internal Client eth5 ~ eth 16 (Option NIC) Packet Collector [ AISVA Session Flow ] 1.3. Outbound 인증서 AISVA 는외부 ( 인터넷 ) 의 서버와의통신에대해서도암복호화가가능합니다. 단, Outbound 암복호화기능은선택사항으로불필요할경우에는사용하지않아도무방합니다. Outbound 설정은 Inbound 설정과다르게 인증서를등록하지않아도됩니다. AISVA 가아웃바운드트래픽의 TCP 세션에서 세션을자동으로추출하고내부사용자의앞단 에서 Proxy 로작동하여해당 통신의인증서를자동생성하여복호화가진행됩니다. 그러나, AISVA 의 Root CA 를이용하여인증서를발급하게되어내부클라이언트의브라우저에서 신뢰할수없는인증서로경고나오류가발생하게됩니다. 그래서 AISVA 의 Root CA 인증서를내 부클라이언트의 PC 에신뢰할수있는인증서로등록해야합니다.

14 IPS / WAF External Server 4 eth1 3 eth2 2 eth3 eth4 1 Internal Client 발급대상 : 발급자 : VeriSign 발급대상 : 발급자 : Monitorapp [ Outbound Certification ] 1.4. Offload AISVA 는웹서버의부하를줄이기위하여 통신의 Offload 를지원합니다. 클라이언트와 AISVA 는기존그대로 통신을하고, AISVA 와웹서버는일반평문통신을하게 됩니다. Offload 기능은기능변경이후 eth1 / eth2 번만을 Inline 으로연결하여사용가능합니다. eth1 eth2 Client Server [ Offload ] 1.5. Bypass AISVA 는장애상황에맞게대처하기위해아래와같이 Bypass 를지원합니다. - eth2 / eth3 Link Down : eth1 eth4 다이렉트통신

15 IPS / WAF / FW Externa l Link Down eth2 eth3 Internal Server Externa l eth1 Bypass Traffic eth4 Internal Client - Software Fail / Hardware Fail / Power Off : eth1 eth2, eth3 eth4 통신 IPS / WAF External Client Link Down eth2 eth3 Internal Server External Server eth1 Bypass Traffic eth4 Internal Client