다중영역분할 망분리통신중계시스템 Secure Tunnel
제품개요 2 소프트위드솔루션
1. 개요 다중영역간통신보안 정책검사 통신차단 불법적인통신접근원천차단 물리적인네트워크분리 통신을하여야하는주요인프라에설치되어물리적으로네트워크를분리네트워크분리후, 보안관리자가설정한통신중계정책에한하여통신중계통신중계는통신프로토콜을사용하지않아서물리적인계층에서의네트워크보안유지외부로부터의불법적인통신연결시도및해킹시도의원천적인차단가능 정책및통신중계 정책설정기반의통신중계제어정책에인가되지않은경우는통신패킷통과못함노출된영역부분에서는실제정책구성정보인지못함스파이웨어등에의한통신시도및불법적인패킷을중간에서차단하여내부네트워크등을보호 통신중계관리 인가된통신중계시스템및프로토콜만중계통신중계시, 과도한패킷발생시, 자동으로세션을종료하여웜바이러스등의침해로부터보호정해지지않은방식혹은비인가된통신연결시도등은불법적통신접근으로보고차단 3 소프트위드솔루션
2. CC 인증 다중영역구분보안솔루션은 CC 인증대상 CC 인증대상정보보호제품 (2011.1 현재 ) 에신규항목추가 신규추가항목에 다중영역구분 포함 제안제품 : CC 인증추진중 4 소프트위드솔루션
3. 제품개요 통신중계시스템 ( Secure Tunnel) 구분설명 제품이름 Secure Tunnel [ 통신시스템 ] 통신을하는시스템들사이에설치되어물리적으로네트워크를분리하고, 네트워크를물리적으로분리하기이전에사용하였던통신을그대로사용할수있도록하는 ' 통신중계시스템 ' 제품목적 네트워크를물리적으로분리한상태에서 통신중계기능 제공 기존 Application 을그대로사용가능 [ 사용을위하여프로그램수정필요없음 ] 제한적인통신연결환경설정가능 [ 몇가지용도로만제한설정하여사용가능 ] 물리적으로네트워크분리구성지원 여러통신환경지원 / 동시에여러유형의통신연결형태지원 이중화지원 [Active-Standby] 제품특징개요 설정기반으로 통신중계기능 제공 [ 설정되지않은통신은중계차단 ] 통신형태기반 - 통신 packet 을파일로저장하는형태가아니라직접전달하는형태 - 안정적 / 통신 Packet 누락없음 5 소프트위드솔루션
3. 제품 개요 다중영역 구분 보안/비보안 영역간 데이터 및 정보흐름 통제 CC인증 제품명 : Suite V1.0 Data Transfer (보안/비보안 영역간 데이터 흐름통제 솔루션) Secure Tunnel (보안/비보안 영역간 통신 흐름통제 솔루션 CC 인증 제품 유형 : 대중영격구분보안 보증 등급 : EAL2 인증번호 : NISS-0330-2011 공통평가기준 버전 : CC V3.1 6 소프트위드솔루션
4. GS 인증 2010 년 GS 인증획득 GS 인증제품명 Data Transfer ( 보안 / 비보안영역간데이터흐름통제솔루션 ) Secure Tunnel ( 보안 / 비보안영역간통신흐름통제솔루션 7 소프트위드솔루션
5. 주요 Reference Suite 제품주요고객사 국군 0000 부대 8 소프트위드솔루션
제품설명 9 소프트위드솔루션
1. 제품기능개요 Secure Tunnel 제품기능개요 구분 통신방법 통신연결설정기능 양방향통신연결설정 통신제한 설명통신프로토콜이없는 IEEE 1394 상에서유효한 전용데이터전달 방법에따라서통신데이터를처리 - 안정적 / 통신 Packet의누락없음 Secure Tunnel Main 와 Remote 에 통신연결정보 설정기능제공 연결설정을통한양방향통신중계기능제공 설정된 통신연결정보 에대해서만통신연결허가 확장가능성 L4 스위치를이용한무한대의로드밸런싱환경구축가능 ( 이중화이상의구성가능 ) 내부정보노출외부에서는내부의정보노출전혀없음 ( 가상접속방법의관리자설정정보로접속 ) 다중접속지원설정된 1 개의 통신연결정보 에대하여동시다중접속을허가 [ 다중출발지시스템사용환경지원 ] 복수 통신연결정보 사용환경지원 원본 Application 사용환경지원 이중화지원 보안침해인지 자동복구기능 통신연결정보 를복수개로설정하여, 동시에 S/W 에서여러 통신연결정보 를지원 - 다중출발지시스템사용환경지원 - 다중목적지시스템사용환경지원 기존사용중인 Application 의수정불필요 TCP 프로토콜 / 통신포트를사용하는 IP 기반의모든 Application 사용환경지원 - HTTP 경우도 Domain 주소를사용하지않는 IP 기반의경우지원 - 지정가능한 IP 기반시스템만적용가능 - 불특정다수의웹페이지에대한접근사용불가 ) IEEE 1394 카드및케이블에대한이중화구성지원 [Active-Standby] S/W 의 Fail-Over 기능지원 보안침해인지시점에 S/W 가자동으로재시작하여침해를위한연결시도사전차단 S/W 에대한감시프로그램에의하여장애시, 자동복구 10 소프트위드솔루션
2. 구축방법 네트워크 In-Line 모드구축방법지원 네트워크와네트워크간의물리적네트워크분리후통신중계 중계구간 : 어떠한네트워크프로토콜도없고, 네트워크연결도없는 IEEE 1394 케이블연결구간 사용자 사용자 L2 스위치 L2 스위치 인터넷 백본스위치 LAN Cable 비보안영역 IEEE 1394 Cable 보안영역 LAN Cable 백본스위치 11 소프트위드솔루션
2. 구축방법 시스템 In-Line 모드구축방법지원 시스템과시스템간의물리적네트워크분리후통신중계중계구간 : 어떠한네트워크프로토콜도없고, 네트워크연결도없는 IEEE 1394 케이블연결구간 방화벽 백본스위치 L3 스위치 LAN Cross Cable 비보안영역 IEEE 1394 Cable 보안영역 LAN Cross Cable WEB APP 12 소프트위드솔루션
3. 확장성 L4 스위치를이용한로드밸런싱모드구축방법지원 Road Balancing 을통한안정성 / 무한성능처리환경제공 무한대의성능확장가능 ( 고도화사업으로확장가능 ) 사용자 사용자 비보안영역 IEEE 1394 Cable 보안영역 L2 스위치 L4 스위치 비보안영역 IEEE 1394 Cable 보안영역 L4 스위치 L2 스위치 인터넷 백본스위치 L4 스위치 비보안영역 비보안영역 IEEE 1394 Cable IEEE 1394 Cable 보안영역 보안영역 L4 스위치 백본스위치 13 소프트위드솔루션
4. 주요기능 다중접속환경지원 다중접속은 Multiple-Link 를의미 즉, 한가지통신방법에대하여여러통신연결세션을유지할수있도록하는것 와에대한구성및사용자 PC 와사이의구성등통신 Application 의목적에맞게구성이가능 통신연결세션 #1 통신연결세션 #2 통신연결세션 #3 IEEE 1394 연결 통신중계 통신연결세션 #1 통신연결세션 #2 통신연결세션 #3 통신연결세션 #N 통신연결세션 #N 통신연결세션 #N+1 통신연결세션 #N+1 PC 통신연결세션 #N+N Secure Tunnel Server S/W Secure Tunnel Server S/W 통신연결세션 #N+N PC 14 소프트위드솔루션
4. 주요기능 양방향통신환경지원 양방향의통신중계는각각의통신 Application 의목적에따라서각기다른방향으로의통신설정이가능하다는것을의미 즉, 여러방향의통신 Application 을동시에사용하는환경지원 통신연결설정 Type A 세션 IEEE 1394 연결 통신중계 통신연결설정 Type A 세션 통신연결설정 Type B 세션 통신연결설정 Type B 세션 통신연결설정 Type C 세션 Secure Tunnel Server S/W Secure Tunnel Server S/W 통신연결설정 Type C 세션 15 소프트위드솔루션
4. 주요기능 복수통신연결설정지원 복수통신연결설정은 통신중계 를하는통신방법이여러개가될수있다는것을의미 즉, 여러통신 Application 을동시에사용하는환경지원 통신연결설정 Type A 세션 IEEE 1394 연결 통신중계 통신연결설정 Type A 세션 통신연결설정 Type B 세션 통신연결설정 Type B 세션 PC PC 통신연결설정 Type C 세션 Secure Tunnel Server S/W Secure Tunnel Server S/W 통신연결설정 Type C 세션 16 소프트위드솔루션
4. 주요기능 SNMP 혹은 syslog 등의정보수집시, 원본 IP 주소유지 SNMP trap 혹은 syslog 등을중앙에서수집하는경우, 방화벽등을거치면원본 IP 주소가변경되어수집되어메시지발생시스템구분어려움정책설정시, 원본 IP 유지 를선택하면원본 IP 주소로처리 IEEE 1394 연결 SNMP 발생지 IP 주소 통신중계 syslog 발생지 IP 주소 Syslog 수집 syslog SNMP 발생지 IP 주소 발생지 IP 주소 NMS syslog 발생지 IP 주소 Secure Tunnel Server S/W Secure Tunnel Server S/W 17 소프트위드솔루션
5. 구축방안 예제 : WAS(Web) 와 DB 사이의폐쇄망구성 외부망팜을 2개로구분하여 외부망팜 과 고립된네트워크영역 으로구성 고립된네트워크영역 에 Database 를위치 Web와 WAS가 DB (Oracle 혹은 MS-SQL 등 ) 에트랜잭션하는것을 통신중계 고립된네트워크영역 에대하여보안강화를할수있음. 인터넷 방화벽 외부망팜 고립된네트워크 백본스위치 Web Secure Tunnel Server S/W IEEE 1394 연결 통신중계 Secure Tunnel Server S/W Oracle WAS MSSQL 18 소프트위드솔루션
5. 구축방안 예제 : 다중연결예제 Oracle 의경우여러연결설정을통하여사용기능제공가능 네트워크영역분리에의한 Oracle 의외부노출방지효과 네트워크영역분할이후에원격에서 Oracle 에대한 Admin 가능 Oracle Listener 를이용한세션연결 IEEE 1394 연결 통신중계 Oracle Listener 를이용한세션연결 PC 웹브라우저를통한 Isqlplus 접속 웹브라우저를통한 Isqlplus 접속 PC PC sql/plus 접속을통한 Admin Secure Tunnel Server S/W Secure Tunnel Server S/W sql/plus 접속을통한 Admin 19 소프트위드솔루션
6. 관리기능 전용모니터링콘솔제공 웹모니터링콘솔제공 - 상태 ( 프로세스상태, CPU/ 메모리 / 디스크사용량 ) - 정책별패킷사용량 / 사용세션정보 / Top 10 패킷사용정책 / Top 10 세션연결정보등 - 오류정보등 [ 관리콘솔요약정보 ] [ 관리콘솔통제정보 ] [ 관리콘솔 Traffic 정보 ] 20 소프트위드솔루션
7. 구축사례 OO 시청 Web 와 DB 를분리 분리된 DB 들을위한폐쇄망구축 구축후 OOO Web 발권시스템 ㅁㅁㅁ WEB 방화벽 폐쇄망 OOO DB(Oracle) 통제 ( 서비스망 ) IEEE 1394 통제 ( 폐쇄망 ) ㅁㅁㅁ DB(MySQL) 스토리지 예약 DB(MySQL) 21 소프트위드솔루션
7. 구축사례 모기관 관리가외부에노출되는것을 UTM 을통하여 1 차보안구축 UTM 후단을폐쇄망으로구축하여 네트워크연결 이불가능한상태로 관리 를외부은폐 구축전 TCP 위성 위성모뎀 관리 구축후 네트워크프로토콜없음 TCP TCP TCP 위성 IEEE 1394 위성모뎀 UTM 외부망전송통제 내부망전송통제 관리 22 소프트위드솔루션
7. 제안제품비교 보안, 기능, 구축비용에유리한 Secure Tunnel 제품 구분스토리지기반제품리버스월 구분 망분리솔루션 폐쇄망구축솔루션 망분리솔루션 필요 ( 혹은 Appliance ) 2대 2대 2대 스토리지필요 O X X 방화벽필요 X O X 망분리구간연결 HBC 카드를이용한 FC 케이블 LAN IEEE1394 케이블 망분리구간통신프로토콜 없음 TCP/IP 등 없음 망분리구간통신암호화 없음 - 암호화통신 망분리구간연결케이블이중화 필요시구성지원 - 기본지원 GS 인증 일부제품인증 - 인증필 CC 인증 일부제품인증 인증필 인증필 운영 / 관리 보통 상당히어려움 쉬움 통신프로토콜제어 Adpater 프로그램에서지원가능한프로토콜만사용가능 전체사용 전체사용 통신연결프로그램변경시 일부 Adapter 수정개발혹은추가개발필요 즉시지원 즉시지원 통신이력관리 없음 지원 지원 통신모니터링콘솔제공 없음 지원 지원 정책설정기반차단 지원 지원 지원 S/W 무상업그레이드 - - 지원 23 소프트위드솔루션
7. 제안제품비교 네트워크보안침해가능성 스토리지방식네트워크 방식네트워크 사용자 PC TCP/IP 노출구간 사용자 PC FC TCP/IP 노출구간 TCP/IP 노출구간 스토리지 FC 디스크볼륨노출구간 IEEE 1394 케이블 TCP/IP 노출구간 네트워크분리구간 ( 통신프로토콜없고, 네트워크연결없음 ) 사용자 PC TCP/IP 노출구간 사용자 PC TCP/IP 노출구간 스토리지방식 특징 - 전체구간에대한네트워크접근이가능한구성 - 보안을위하여 볼륨접근제한 으로구성사용 - SAN 스토리지, FC 전송, 볼륨설정및해제에대한 기술이일반적으로오픈되어있음 해커에의한공격침투가능성높음 - 내부망로해킹프로그램전송후, 프로그램이 볼륨공유제한등을해제하는경우, 내부망의 보안침투가능 제품 - IEEE1394 구간을해킹하여내부망에해킹프로그램 전송할수없음 - 외부망혹은내부망에서해킹프로그램을가동해도 네트워크분리구간 을넘을수없음 24 소프트위드솔루션
25 소프트위드솔루션