PowerPoint Presentation

Similar documents
Sena Device Server Serial/IP TM Version

Subnet Address Internet Network G Network Network class B networ

歯규격(안).PDF

PowerPoint 프레젠테이션

UDP Flooding Attack 공격과 방어

4? [The Fourth Industrial Revolution] IT :,,,. : (AI), ,, 2, 4 3, : 4 3.

<4D F736F F F696E74202D20C6AEB7A2315F33335FC7C3B6F3C0CCC7CFC0CC20B1E8B1E2BFB5B4EBC7A55F BFCFC0FCC1A4BAB95F E >

OUR INSIGHT. YOUR FUTURE. Disclaimer Presentation ( ),. Presentation,..,,,,, (E).,,., Presentation,., Representative.( ). ( ).

PWR PWR HDD HDD USB USB Quick Network Setup Guide xdsl/cable Modem PC DVR 1~3 1.. DVR DVR IP xdsl Cable xdsl Cable PC PC DDNS (

네트워크 안정성을 지켜줄 최고의 기술과 성능 TrusGuard는 국내 최초의 통합보안솔루션으로서 지난 5년간 약 4천여 고객 사이트에 구축 운영되면서 기술의 안정성과 성능면에서 철저한 시장 검증을 거쳤습니다. 또한 TrusGuard는 단독 기능 또는 복합 기능 구동 시

Network seminar.key

<C0CCBCBCBFB52DC1A4B4EBBFF82DBCAEBBE7B3EDB9AE2D D382E687770>

6강.hwp

TTA Verified : HomeGateway :, : (NEtwork Testing Team)

HTTP 2.0 : The New Web Standard and Issue

Windows 8에서 BioStar 1 설치하기

Cloud Friendly System Architecture

USB USB DV25 DV25 REC SRN-475S REC SRN-475S LAN POWER LAN POWER Quick Network Setup Guide xdsl/cable Modem PC DVR 1~3 1.. DVR DVR IP xdsl Cable xdsl C

08SW

Cisco SDN 3.0 DDoS DDoS Cisco DDoS Real Demo 2008 Cisco Systems, Inc. All rights reserved. 2

PowerPoint 프레젠테이션

Remote UI Guide

Microsoft PowerPoint - L4-7Switch기본교육자료.ppt

Secure Programming Lecture1 : Introduction

SSL/TLS 작동원리및가시성확보및 AISVA 의제품구조에대한 WHITE PAPER

ORANGE FOR ORACLE V4.0 INSTALLATION GUIDE (Online Upgrade) ORANGE CONFIGURATION ADMIN O

PowerPoint Presentation

Æí¶÷4-¼Ö·ç¼Çc03ÖÁ¾š

Portal_9iAS.ppt [읽기 전용]

bn2019_2

1217 WebTrafMon II

TCP.IP.ppt

歯I-3_무선통신기반차세대망-조동호.PDF

SSL Strip Attack JAC (SemiDntmd) 이우승 semidntmd.tistory.com

5th-KOR-SANGFOR NGAF(CC)


Microsoft PowerPoint - 2.Catalyst Switch Intrastructure Protection_이충용_V1 0.ppt [호환 모드]

TTA Journal No.157_서체변경.indd

Analyst Briefing

PowerPoint Presentation

자바-11장N'1-502

Samsung SDS Enterprise Cloud Networking CDN Load Balancer WAN

요 약 문 1. 제목 : 개인정보 오남용 유출 2차 피해 최소화 방안 2. 연구의 배경 개인정보란 살아 있는 개인에 관한 정보로서 개인을 알아볼 수 있는 정보로 해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 것을 포함한다.

Assign an IP Address and Access the Video Stream - Installation Guide

chapter4

Today s Challenge 급속도로증가하는트래픽 최근들어, 스마트폰, 태블릿 PC 등모바일단말기의증가와 VoIP, IPTV, 화상회의등 IP 기반애플리케이션의수요증가로인해네트워크상의트래픽은 예년에없던급증세를타고있습니다. 한조사기관에따르면, 2015 년까지 IP 트

ESET Endpoint Security

Voice Portal using Oracle 9i AS Wireless

歯이시홍).PDF

15_3oracle

10X56_NWG_KOR.indd

제20회_해킹방지워크샵_(이재석)

슬라이드 제목 없음

SMB_ICMP_UDP(huichang).PDF

OMA Bcast Service Guide ATSC 3.0 (S33-2) T-UHDTV 송수신정합 Part.1 Mobile Broadcast (Open Mobile Alliance) 기반 Data Model ATSC 3.0 을위한확장 - icon, Channel No.

Microsoft PowerPoint - ch02_인터넷 이해와 활용.ppt

VZ94-한글매뉴얼

PowerPoint 프레젠테이션

thesis-shk

목차 데모 홖경 및 개요... 3 테스트 서버 설정... 4 DC (Domain Controller) 서버 설정... 4 RDSH (Remote Desktop Session Host) 서버 설정... 9 W7CLIENT (Windows 7 Client) 클라이얶트 설정

목 차 Ⅰ. 일반사항 1 Ⅱ. 특기사항 3 Ⅲ. 물품내역 및 세부규격 8 Ⅳ. 주의사항

[Brochure] KOR_TunA

PowerPoint Presentation


Microsoft PowerPoint - ch13.ppt

슬라이드 1

Mstage.PDF

cam_IG.book

PowerPoint 프레젠테이션

Web Application Hosting in the AWS Cloud Contents 개요 가용성과 확장성이 높은 웹 호스팅은 복잡하고 비용이 많이 드는 사업이 될 수 있습니다. 전통적인 웹 확장 아키텍처는 높은 수준의 안정성을 보장하기 위해 복잡한 솔루션으로 구현

서현수

본 CERT) "Security Consumer Report - DLP" 는 한국침해사고대응팀협의회(CNCERT:CNsortium of 회원으로 활동하는 보안 담당자가 자발적으로 보고서 위원회를 구성한 후 국내에서 유 통되는 DLP 제품을 조사( 기획 수행 제작) 한

FileMaker 15 WebDirect 설명서

Network Security - Wired Sniffing 실습 ICNS Lab. Kyung Hee University

ESET NOD32 Antivirus

StruxureWare Data Center Expert 7.2.x 의 새 기능 StruxureWare Data Center Expert 7.2.x 릴리스에서 사용할 수 있는 새 기능에 대해 자세히 알아보십시오. 웹 클라이언트 시작 화면: StruxureWare Cen

Windows Live Hotmail Custom Domains Korea


[SHA-2] HASH 함수 중의 하나로, HASH는 임의의 길이의 데이터를 입력 받아 고정된 길이의 데이터(해시 값)로 출력합니다. 동일한 데이터인 경우 동일한 해시 값을 갖는다. 에 기초하여 메시지 무결성(오류/변조 탐지)을 확인하기 위하여 사용됩 니다. 하지만 서

untitled

산업백서2010표지

PowerPoint Presentation

untitled

Interstage5 SOAP서비스 설정 가이드


<4D F736F F F696E74202D E20C0CEC5CDB3DD20C0C0BFEB20B9D720BCADBAF1BDBA20B1E2BCFA E >

CD-RW_Advanced.PDF

1) 인증서만들기 ssl]# cat > // 설명 : 발급받은인증서 / 개인키파일을한파일로저장합니다. ( 저장방법 : cat [ 개인키

Ç×°ø¾ÈÀüÁ¤º¸³×Æ®¿öÅ©±¸Ãà¹æ¾È¿¡°üÇÑ¿¬±¸.hwp

< FC8A8C6E4C0CCC1F620B0B3B9DF20BAB8BEC8B0A1C0CCB5E5C3D6C1BE28C0FAC0DBB1C7BBE8C1A6292E687770>

ìœ€íŁ´IP( _0219).xlsx


Backup Exec

0. 들어가기 전

슬라이드 1

EDB 분석보고서 (04.06) ~ Exploit-DB( 에공개된별로분류한정보입니다. Directory Traversal users-x.php 4.0 -support-x.php 4.0 time-

810 & 는 소기업 및 지사 애 플리케이션용으로 설계되었으며, 독립 실행형 장치로 구성하거 나 HA(고가용성)로 구성할 수 있습니다. 810은 표준 운영 체제를 실행하는 범용 서버에 비해 가격 프리미엄이 거의 또는 전혀 없기 때문에 화이트박스 장벽 을

vm-웨어-앞부속

1) 인증서만들기 ssl]# cat > // 설명 : 발급받은인증서 / 개인키파일을한파일로저장합니다. ( 저장방법 : cat [ 개인키

MOD360: Microsoft Virtualization 360A Panel Discussion on Microsoft’s Virtualization Strategy

Transcription:

SSL 사용환경에서의어플리케이션보호를위한보안장비가시성확보방안 이진원차장 / FSE F5 Networks Korea

SSL 암호화의성장 SSL 은매년 30% 이상의증가세를보이고있으며 2014 년이후가파른증가추이를보이고있습니다. 마켓의변화 3.5 새로운표준 (TLS 1.3, RFC7258) 3 RSA ECC 2.5 2 1.5 1 0.5 E-Commerce 개인정보 모빌리티 스노든사태 서로다른브라우저별설정및각설정에따른복잡도증가 ( 속도 or 보안 ) HTTP/2.0 (TLS 1.2) Perfect Forward Secrecy 의중요성대두 새로운 Cipher Suite 에대한요구와이에대한컴플라이언스증가 2 0 1998 2002 2006 2010 2014

SSL Everywhere The challenge 사용자환경에서의속도및성능문제 (BYOD, Key 사이즈증가 ) 새로운기능에대한지원문제, 브라우저및서버 (HSTS, HTTP/2) 구형어플리케이션 (SSLv3, Windows XP) 암호화작업을위한복잡도증가 ( 개발, 설정, etc.) SSL 에관련한숙련된보안인력 키및인증서관리부분에서의확장성 (X.509, IoT/E) 암호화트래픽에대한보안홀존재 ( 네트워크보안장비, C&C 통신, 악성프로그램 ) 3

SSL 의사용환경은빠르게변화하고있습니다. 98% ~35% >33% 2014 년 10 월기준 SSL V3 지원사이트 현재 SSL V3 지원사이트 PFS 지원사이트 4

SSL 이란? Encapsulation HTTP HEADERS SSL TCP IP Browsers HTTP PAYLOAD HTTP HEADERS SSL TCP Wire HTTP PAYLOAD HTTP HEADERS SSL HTTP PAYLOAD HTTP HEADERS HTTP PAYLOAD 5

SSL 트래픽살펴보기 Full handshake ClientHello ServerHello Certificate ServerKeyExchange ServerHelloDone Client ClientKeyExchange ChangeCipherSpec Finished Server http://en.wikipedia.org/wiki/transport_layer_security ChangeCipherSpec Finished Ivan Ristic: Bulletproof SSL and TLS 6

SSL Full handshake vs Session reuse Full handshake Session reuse 7

HTTPS / SSL 의사용 = 안전하다 8

Log Jam 9

SSL Security Summary SSL Labs Grade Distribution Protocol Support BEAST Attack RC4 Forward Secrecy 10 ** SSL Labs

여러분의 SSL 현황은? https://www.ssllabs.com/ www.f5.com 11

여러분의 SSL 현황은? 12

Perfect Forward Secrecy >33% PFS 지원웹사이트 13

Key Exchange - ECC vs RSA https://www.youtube.com/watch?v=m7spv- EPGZU&feature=youtu.be&linkId=14085657 14

Perfect Forward Secrecy 국내사이트 15

Perfect Forward Secrecy Qualy SSL Labs Rating Guide: https://www.ssllabs.com/projects/rating-guide/index.html 16

Perfect Forward Secrecy & HSTS 17

HTTP Strict Transport Security - HSTS Strict-Transport-Security: max-age=10886400; include SubDomains IN SECONDS OPTIONAL (RECOMMENDED) Status: HTTP/1.1 200 OK Date: Wed, 27 May 2015 Server: IIS8.0 X-Powered-By: ASP.NET Content-Type: text/html Transfer-Encoding: none Connection: close Content-Encoding: none Status: HTTP/1.1 200 OK Date: Wed, 27 May 2015 Content-Type: text/html Transfer-Encoding: chunked Connection: close Vary: Accept-Encoding Strict-Transport-Security: max-age=10886400 Content-Security-Policy: allow 'self' X-Frame-Options: SAMEORIGIN X-Content-Type-Options: nosniff X-XSS-Protection: 1; mode=block Content-Encoding: gzip 18

보안장비에서의 SSL 19

SSL 적용시주요이슈 성능저하 % 79 차세대방화벽 악성코드 / 소프트웨어 C&C 서버와의통신에암호화채널을사용 가시성 SSL 트래픽의증가에따른트래픽에대한가시성저하 성능 암 / 복호화에따른성능저하유발 75 % % 100 Blind Spots SSL 지원 IPS APT 솔루션 *SSL 지원안함 방화벽, IPS 와같은네트워크보안장비에 SSL 을활성화하는경우최대 80% 의성능저하가예상. 20

F5 SSL Visibility & Data Protection 21

F5 Full Proxy 아키텍쳐 WAF WAF Slowloris attack XSS HTTP irule irule HTTP 데이터유출 SSL 재협상공격 SSL irule irule SSL 네트워크플러딩 ICMP 플러딩 TCP irule irule TCP 22 Network Firewall

SSL 가시성보장을위한 Proxy 방식 Reverse Proxy 외부일반사용자와내부애플리케이션간동작 애플리케이션에대한 SSL Offloading, 캐싱, 트래픽로드밸런싱기능 해당장비에서비스도메인인증서설치 SSL SSL or HTTP 외부사용자 내부애플리케이션 SSL SSL 외부애플리케이션 Forward Proxy 내부사용자와외부애플리케이션간동작 내부사용자가 SSL 트래픽으로외부로접속할때가시성보장 사용자가 F5 장비의인증서설치 ( 배포 ) 작업필요 내부사용자 23

인바운드 아웃바운드 Air- Gap Air- Gap SSL 가시성보장을위한 Proxy 방식 암호화트래픽에대한가시성확보 인바운드 (Reverse Proxy Mode) 대외서비스 SSL 복호화 / 오프로드 ( 절감 ) / 가속기능 SSL 인증서통합 ( 웹서버에서프록시로이관 ), 호스팅 새로운보안솔루션과의연동 (NGFW, IPS, DLP, WAF etc.) 보안인프라통합 (Consolidation with AFM, ASM, LTM) 아웃바운드 (Forward Proxy Mode) 내부사용자 사용자망에서외부인터넷으로의정보유출방지 새로운보안솔루션과의연동 (NGFW, IPS, DLP, etc.) SWG ( 유해사이트통제 ) 로의보안아키텍쳐확대적용 보안성확대적용 (Consolidation with LTM, APM, AFM, SWG) SSL Offload SSL Intercept (Air-Gap) Use BIG-IP to enforce encryption policy to applications and for in-line SSL Visibility Strong SSL OFFLOAD AND TRANSFORMATION Stronger Weaker Regulate d Apps Standard Apps Use SSL Intercept for visibility into SSL traffic with 3 rd party security devices like NGFW, NG-IPS, DLP, and APT threats Corporate Network SSL Intercept User SSL Visibility: FW, IPS, WAF Clear Fast Apps Interne t 24

F5 SSL Visibility with security service chaining Passive (Tap) 1-Armed / 2-Armed ICAP Inline Insertion (L2 Mode) Inline Insertion (L3 Mode) Forensics/Performanc e (Clone Pool) Web Gateway (Pool) DLP (Pool) Anti-Malware (Pool) IPS (Pool) NGFW (Pool) Users / Devices Firewall F5 BIG-IP (Air Gap Solution) Firewall Internet User 사용자인증 복호화및가속화 ( 정책기반, 바이패스옵션 ) 재암호화 25

F5 & FIREYE Solution 26

F5 & FireEye 연동구성방안 연동구성설명 HSM Mobile Devices SSL Traffic Internet 동작방식 악성 SSL URI 차단!! Unencrypted Traffic F5 와 Fireeye 간실시간악성 URL List 전달!! 27

F5 & FireEye 연동구성방안 F5 악성 URL 차단 FireEye NX FireEye MVX 엔진을통한동적행위분석결과도출된유입 /CnC 네트워크정보전달을위해실시간 urllist 관리 차단대상이되는 URI 정보를업데이트하여실시간차단에반영 28

{ FireEye VM 별부하분산 특징 Mobile Devices SSL Offloading { 장점 Unencrypted SSL Server Side Internet FireEye MVX Engine Multi-vectors Virtual Execution FireEye MVX Engine Multi-vectors Virtual Execution 29

F5 + FireEye 연동아키텍쳐 암호환경으로의전환시문제점 SSL 기반 malware 위험성노출 기존네트워크아키텍쳐의암호화가시성솔루션에준비되어있지않음 SSL 암호화환경은인프라효율성및보안 / 애플리케이션성능에큰영향을미침 F5 Key Differentiators 하드웨어기반높은 SSL 가시성성능보장 SSL 을사용하는모든서비스 port 에대해 SSL 가시성보장 (Port 443 포함 ) 유연한정책설정에따라자동 / 수동 URL 카테고리 Bypass 기능지원 Key benefits SSL 기반공격에대한 SSL 가시성보장 필요시유연한 FireEye 솔루션확장지원 FireEye 탐지후 F5에서악성 URL 차단으로효율성극대화 FireEye 탐지 VM 개수기준에부하분산기능제공 30

F5 SSL Everywhere 아키텍쳐기대효과 SSL 에대한보안장비활용성보장 하이브리드환경에서의 SSL 성능보장 인바운드 / 아웃바운드 SSL 트래픽에대한보안적용 컴플라이언스준수를 위한키보호 낮은 TCO, 빠른 ROI 31

THANK YOU!! 32

2024 © docsplayer.org 개인정보보호 | 약관 | 지원