정보보호심포지움 2002 글로벌네트워크보안제어기술 장종수 jsjang@etri.re.kr ETRI, 네트워크보안연구부
목 차 1. 환경변화및정보보호요구사항 네트워크환경변화 서비스환경변화 사이버테러동향 정보보호서비스환경변화 정보보호시장의변화 정보보호요구사항의변화 2. 글로벌네트워크보안제어기술 정책기반보안관리기술 보안관리정보모델 네트워크보안서비스 보안관리메커니즘 정보전달프로토콜 3. 결론
네트워크환경변화 미래네트워크 (NGN) 의모습 - 모든네트워크이인터넷의하부구조로통합 A B 전전자교환기 데이터 액세스 G/W 음성 음성 + 데이터 트렁크 G/W VoP Programmable SoftSwitch 인터넷 트렁크 G/W 음성 + 데이터 전전자교환기 음성 데이터 액세스 G/W A B
네트워크구조측면의진화 인터넷을기반으로하는통신망의융합이본격적으로진행 방송, 통신, 정보, 문화간의영역파괴 인터넷 Infrastructure 는새로운미래형네트워크 (NGN) 으로발전 인터넷기반망은전용회선에의한단순한연결에서백본망, 액세스망, 구내망으로구분 발전 백본망 : 전국의주요지역의 POP 및대형 IDC 간을연결 액세스망 : POP 에서가입자의라우터나모뎀간을연결 구내망 : LAN, 홈네트워크등가입자내부망 유무선통합 Backbone의등장 Gateway 또는 Special-purpose Router 기반망구성 정보단말의무선화확산 Paradigm Shift
서비스환경변화 미래사회의서비스제공모습 Everything Over IP IP Over Any Networks 모든정보통신서비스는인터넷을통하여제공 유무선통합 or 복합형서비스제공을위한미들웨어서비스요구 Every Application 메일, 전화, 신문, 방송, 영화, Middleware (Network Service) IP Every Network 상거래등 Resource 관리, QoS 제어, Naming 서비스, Mobility 지원, 세션관리, Network 보안서비스등 인터넷프로토콜 ATM, LAN, FR, SMDS, SONET, Wireless, Modems, 위성등
서비스기술발전추세 데이타서비스뿐만아니라기존의정보통신서비스를전송할수있는기술적기반을이미확보 인터넷서비스의보편화, 상업화 인터넷기반으로서비스의수렴화 임무대행및에이전트서비스의활성화 Mbps 급의멀티캐스팅, VoIP, ASP, Grid, 3D 등멀티미디어형가상현실및원격협업서비스로발전 멀티미디어실시간서비스의확산 문자형쌍방향서비스 (Kbps) Interactive 가상현실서비스 (Mbps) 상호교신성서비스의확산 전자정부, 전자거래등안전한서비스의제공요구의증가 Paradigm Shift
정보보호심포지움 2002 사이버테러동향 사이버테러변화모습 해킹및바이러스기술의급속한확산및통합화경향 해킹기술영역바이러스기술영역
변화추이 해킹기술과바이러스기술의통합화 (Blended Attack) System Attack 에서 Network/Service Attack 으로변모 Hacktivism 확장 : 개인적목적 -> 정치 / 사회, 군사 / 산업적목적 멀티미디어 Contents 에대한침해증가 Worm & DDoS Attack Infrastructure Attack 시도 Wireless Hacking 등장 해킹 / 바이러스는자동화, 지능화, 대중화, 분산화, 대규모화, 은닉화경향 Paradigm Shift
정보보호서비스환경변화 미래정보보호서비스 지식정보화사회는시스템및네트워크레벨의신뢰가중요 현재사회 미래사회를위한정보보호통합인프라구축필요 VPN 암호기술침입탐지항침입차단 PKI 바이러스 바이러스해킹시스템침해개인정보침해 Bio + IT 차세대인터넷 IMT-2000 디지털방송 정보통신기반보호법 저작권침해 전자정부 T-commerce M-commerce 사이버테러 네트워크파괴 신용파괴 가상사회 정보전 지식정보화사회
미래정보보호서비스및산업발전추세 정보보호서비스의통합화경향 정보보호와네트워크기술의통합화 정보보호기능간의통합화 성능보장형정보보호서비스 Biometric 기술의수용 인프라보호측면의정보보호기술의확산 인터넷 Infrastructure Protection 요구증가 통신망및서비스에독립적인정보보호필요 무선인터넷환경에서의정보보호필요성증가 GoS(Grade of Security Service) Easy Security 지능형, 능동형정보보호 Paradigm Shift
기본네트워크보안 개별보안제품의운용 : 바이러스백신, 방화벽,IDS 등 통합보안관리제품운용 : ESM Crypto, PKI, VPN, V ESM IDS IDS V Contents Server 로드밸런싱 FW V Work Group V Virus Vaccine 코어망 액세스망액세스망 액세스망액세스망 시스템간, 네트워크간, 사업자간연동불가 다양한공격에대한안전한보안관리불가 사이버공격에대한탐지및대응의실시간성부재 단품위주의소규모망기반의보안제품치중
단일제품보안의한계 보안제품의문제점 개별적인보안장비및소프트웨어에지나치게의존 이기종정보보호시스템의산재 각기다른다양한보안정책의적용 보안제품의복잡성증가및운영상의어려움 운영자실수에의한위험증가 다양한보안위협에대한효율적이고체계적인대응능력요구 급속한보안환경변화대처에어려움
정보보호시장의변화 정보통신환경변화에따른새로운정보보호제품군출현 통신분야에서정보보호가부가기능에서핵심요소기능으로부각 보안기능별제품에서통합보안형태의제품으로발전 네트워크차원의정보보호서비스의중요성이증가 방어적인정보보호제품에서능동적인정보보호제품으로발전 BT-IT 융합기술발전에따른생체인식시장의급성장 단일기능보안제품 -VPN -IDS - Firewall - 백신 통합기능보안제품 - 통합 VPN - ESM - Secure 엔진 능동감지형보안제품 - 능동보안기술 - 광정보보호기술 - All IP 유무선통합보안기술 과거 현재 미래
IDS Firewall 보안제품변화방향 Integrated, Networked, Managed, H/W-based, Intelligent & Multiple Security Node 침입차단시스템 침입탐지시스템 IPS H/W-based Firewall Global IDS 보안관리시스템 가상사설망시스템 Advanced ESM ESM Integrated Security System Global ESM VPN Integrated VPN Security G/W High-Performance Security G/W Network Vaccine Digital Vaccine Secure Router Router Active Security Node Vaccine 라우터 미래형보안장치 항바이러스제품
네트워크측면 - 초고속처리능력 - 네트워크장비와연동성 -Policy 기반제어성 - 정보보호인프라구축 정보보호요구사항의변화 정보통신및서비스의파라다임변화를수용 미래형네트워크 / 서비스에적합한복합형정보보호서비스시스템 서비스측면 - 사용자요구반영가능 - 응용서비스별차등서비스 사이버테러측면 - 해킹기술진화에부응 - 네트워크공격에대응 정보보호측면 - 보안서비스통합화 - 해킹에능동적으로대응 High Performance Secure Node 화 표준인터페이스 Security Management Leveled Security Service Grade of Security 해킹탐지기법의다양화 Network Security Service Secure Networking Network Security Integrated Security Easy Security Active Security
미래정보보호서비스규격 Network Security Service Secure Transaction & Secure Information Delivery Inter-operability among heterogeneous systems Integration of Security & Network Node Infrastructure Protection Integrated Security Service Integrated Security System(Server, Node) Security Management for Secure Networking Easy Security Service Quality-proven & Grade of Service Paradigm Adaptive Contents Security & Digital Right Management Active Security Service Intelligent Sensing & Dynamic Policy Enforcement Dynamic Service Co-relation Wireless & Wired Hacking Detection & Protection Global Network Security Management
글로벌네트워크보안제어기술 개념 네트워크레벨에서차별화된보안서비스제공 네트워크보안관리 / 제어구조및프레임워크제공 보안서비스 : Protection, Security Solution, Management Protection : ISP Network, ISP s Customer Network, Principal Equipments (Intrusion Detection & Response) Security Solution : VPN Service, Authentication Service, PMI Service Management : Policies(Detection, Response, Operation, ), Traffic Measuring, Global Security Management, 보안관리프레임워크 Security Management Architecture Security Management Information Model Network Security Service Definition Security Management Mechanism Security Control/Management Protocol
POP xdsl 기반액세스망 Edge Point Edge Router Access Network 글로벌보안제어네트워크 무선기반액세스망 Security Overlay Network Edge Point Edge Point Security Extranet MPLS Switch Access Router Access Gateway 차세대통신망 Access Network ATM Switch Edge Router ATM 단말 Office Edge Gateway PON 기반액세스망 Edge Point NAP Internet 2 Security Infra Contents Factory POP Access Gateway Access Network Cam-Net 3 1472 Abilene 관제서비스 1472 Cam-Net 1 1472 Cam-Net 2
정책기반보안관리구조 IETF Policy WG Policy Framework 정책프레임워크에따른체계적, 종합적보안제어관리 : 광역망차원의보안구조확립 경보정보및통계정보공유 : 상호보완적사이버테러대응체제구축 광역망액세스점에서유해트래픽차단방안제공
정책프레임워크기능컴포넌트 Policy Server Policy Management Tool Alternate Policy Comm. Path Notification Status & Conf. Policy Consumer (Policy Decision Point) Policy Protocol Policy Target (Policy Enforcement Point) Repository Access Protocol - User Interface (Policy Editing) - Policy Translation, Rule Validation - Conflict Detection, Notification Generation - Management Information Repository - Policy Transform - Device Adaptors - Network Element Interface Policy Repository (Directory Server, DB) - Policy Rules
보안정책서버 : 네트워크규모의침입분석및대응메커니즘 망의구성정보, 상태정보, 주요관리요소정보, 트래픽통계정보, 차등네트워크보안서비스제공메커니즘 체계적인보안정보관리체계및도메인간협력메커니즘 DMTF CIM, IETF PCIM Security Management Networking 보안노드 : 패킷센서, 패킷분석엔진, 트래픽측정엔진고성능화 실시간분석및능동적인대응메커니즘 경보정보의축약및안전한전달프로토콜 낮은 False Alarm 및 Packet Loss 사용자평면과보안관리자평면의성능적독립성유지
보안관리정보모델 DMTF CIM (Common Information Model) IETF PCIM (Policy Core Information Model) Policy domain 내에서논리적으로중앙집중적인관리 System/Device 집합의정책기반구성제공 Protocol, device, Vendor independence 상호동작용이등확장성있는정책의표현 ManagedElement(abstract) [PCIM] Policy (abstract) [PCIM] PolicySet (abstract) [PCIMe] PolicyGroup [PCIM] PolicyRule [PCIM] PolicyCondition (abstract) [PCIM] CompoundPolicyCondition [PCIMe] PolicyPacketMonitoringCondition(abstract) [NSPIM] PolicyOnePacketCondition [NSPIM] PolicyLinearPacketCondition [NSPIM] PolicyRepeatedPacketCondition [NSPIM] PolicyIPFragmentationCondition [NSPIM] SimplePolicyCondition [PCIMe] PolicyComparisonCondition (abstract) [NSPIM] PolicyTwoVariableComparisonCondition [NSPIM] PolicyVariableValueComparisonCondition [NSPIM] PolicyAction (abstract) [PCIM] PolicyPayloadMatchingCondition [NSPIM] CompoundPolicyAction [PCIMe] PolicyIntrusionReponseAction (abstract) [NSPIM] PolicyAlertAction (abstract) [NSPIM] PolicyAggregatedAlertAction [NSPIM] PolicyMessageStoreAction [NSPIM] PolicyMessageShowAction [NSPIM] PolicyBlockPermitAction (abstract) [NSPIM] SimplePolicyAction [PCIMe] PolicyVariable (abstract) [PCIMe] 클래스상속계층구조 PolicyPacketBlockAction [NSPIM] PolicySessionBlockAction [NSPIM] PolicyExplicitVariable [PCIMe] PolicyImplicitVariable (abstract) [PCIMe] subtree of more specific classes [PCIMe, NSPIM] PolicyValue (abstract) [PCIMe] subtree of more specific classes [PCIMe]
UML 을통한 Smurf 정책규칙모델링 ( 예 ) 6001 Pattern [Smurf:IcmpAnomaly;2;6;MStore MShow] while(3:1-20:2) { icmp any > _homenet_br (CTYPE:8) } (MESSAGE: "smurf 를이용한서비스거부공격이시도됨 ") PolicyConditionInPolicyCondition PolicyVariableValueComparisonCondition Operator : "==" PolicyOnePacketCondition ConditionListType:CNF PolicyConditionInPolicyRule PolicyConditionInPolicyCondition PolicyRule PolicyRulename:"Smurf" Priority:2 IntrusionImpact:6 PolicyKeywords:{LADON6001} PolicyActionInPolicyRule PolicyConditionInPolicyCondition PolicyAggregatedAlertAction ShortDescription:"smurf" 를이용한서비스거부공격이시도됨 PolicyVariableValueComparisonCondition Operator : "==" PolicyValueInComparisonCondition PolicyVariableInComparisonCondition PolicyVariableInComparisonCondition PolicyValueInComparisonCondition PolicyTwoVariableComparisonCondition Operator : "==" PolicyIPProtocolVariable PolicyICMPTypeVariable PolicyIntegerValue IntegerList : {8} PolicyIntegerValue IntegerList : {_ICMP} PolicyValueInComparisonCondition PolicyVariableInComparisonCondition PolicyDestinationIPv4Variable PolicyReapatedPacketCondition FirstTimeInterval:1 FirstBoundOfNumberOfPackets:3 SecondTimeInterval:2, SecondBoundOfNumberOfPackets:20 PolicyOnePacketConditionInRepeatedPacketCondition PolicyHomenetBroadcastVriable PolicyActionInPolicyAction PolicyMessageStoreAction PolicyActionInPolicyAction PolicyMessageShowAction
네트워크보안서비스 사용자가요구하는수준으로차별화된보안서비스를제공하기위한 Grade of Security Service
보안관리메커니즘 (1) 차별화된네트워크서비스 Security Level Management Service Intrusion Detection, Vulnerability Check, Intrusion Protection, Traceback Zone-based, System-based, Class-based Prevention Security Level Assurance Service SLA(QoS, Security Service Level) Routing Service Provisioning based on Security Service Level Flow-based, Session-based Assurance Provision
보안관리메커니즘의동작원리 NSL2 Security Level Management Service 입력패킷의목적지주소의보안등급에따라 차별화된탐지및대응기법 / 수준적용 보안관리네트워킹을통한인터도메인협력체계 NSL3 NSL1 Security Management Plane NSL3 NSL1 NSL3 Policy Server Group (ESM, CA, AAA, BB, NMS, RS, CS ) Networking Equipment Or Security related Equipment (Router, Switch, Firewall, IDS, ) User Plane NSL2 NSL3 NSL3
보안관리메커니즘 (2) Qbone to specify and deploy the QBone Premium Service (QPS), an interdomain virtual leased-line IP service built on diff-serv forwarding primitives Simple Inter-domain Bandwidth Broker Signaling (SIBBS) proposed by Internet2 community QBone Signaling Design Team has been working since 2000 Cisco, Siemens, Deutsche Telekom,CITI University of Michigan, etc. Characteristics of SIBBS NNI protocol defined for communication between inter-domain BB TCP is transport Fundamental messages: Resource Allocation Request Resource Allocation Answer Simple request-response protocol Requires some basic authentication Supports setup, modification, takedown Intended to be flexible and extensible
Inter-domain Policy Framework Hitachi, GMD FOKUS (INET conference 2000) Two architectures PS Domain A [Flat architecture] PS Domain B SPS: Super Policy Server Domain A SPS Policy exchange protocol Policy advertisement phase (e.g. resource information) BGP4 protocol is recommended Policy request-response and/or notification phase COPS protocol is recommended PS PS Domain B [Hierarchical architecture]
정책전달프로토콜 COPS(Common Open Policy Service) 프로토콜 IETF 의 RAP WG 에서제안 정책서버 (PDP: Policy Decision Point) 와클라이언트 (PEP: Policy Enforcement Point) 사이의 TCP 기반정책정보전달프로토콜 Client/Server Model: requests, updates, deletes -> decisions extensible: 자체수정없이다양한클라이언트타입지원 COPS-RSVP, COPS-PR, Security 제공 : message level, IPSEC, TLS Network Node PEP LPDP COPS Policy Server PDP
경보전달프로토콜 IAP(Intrusion Alert Protocol) IETF 의 IDWG 에서제안 침입탐지구성요소들사이 (sensor/analyzers 와 managers) 에침입경보데이터 (Intrusion alert data) 를교환하기위한응용계층의프로토콜 전달되는경보는 IDMEF( Intrusion Detection Message Exchange Format) 에서명세 수송계층프로토콜로 TCP 사용 Communication Mode Request-Response Pairs 로이루어짐 Two major phases: Connection setup phase(tcp Setup, Security Setup, Channel Setup) Data transport phase
경보전달프로토콜 IDXP(Intrusion Detection Exchange Protocol) IETF 의 IDWG 에서제안 BEEP(Blocks Extensible Exchange Protocol) 의 profile 로명세됨. BEEP: generic application protocol framework for connectionoriented, asynchronous interactions. exchange data: IDMEF message, unstructured text, binary data Alert data 의 security-sensitive 한특성상 BEEP security profile(sasl/tls) 을기반으로동작 주요한 IDXP Profile Elements IDXP-Greeting: identifies an analyzer/ manager at end of a BEEP channel Option: convey optional channel parameters IDMEF-Message: carries the structured information to be exchanged
결 정보보호는가입자망이나해당보안관리자만의문제가아님 네트워크및서비스진화동향에따른네트워크보안제어프레임워크개발이필요 인프라에서의유해정보에대한통계적분석이필요함 망간의유기적협력을통한글로벌대응체계의구축이필요함 망간교환되는정보보호관련정보의표준화및교환의무화를위한방안이필요함 론