다중영역분할 통신중계시스템 소개(CrossNet Secure Tunnel … · 3...

망분리 통신중계시스템CrossNet Secure Tunnel

다중영역분할

2 ㈜소프트위드솔루션

제품 개요제품 개요


다중 영역간 통신 보안

물리적인네트워크 분리

물리적인네트워크 분리

정책및

통신 중계

정책및

통신 중계

통신을 하여야 하는 주요 인프라에 설치되어 물리적으로 네트워크를 분리네트워크 분리 후, 보안관리자가 설정한 통신중계 정책에 한하여 통신 중계통신중계는 통신 프로토콜을 사용하지 않아서 물리적인 계층에서의 네트워크 보안 유지외부로부터의 불법적인 통신 연결 시도 및 해킹 시도의 원천적인 차단 가능

정책 설정 기반의 통신 중계 제어정책에 인가되지 않은 경우는 통신 패킷 통과 못함노출된 영역부분에서는 실제 정책 구성 정보 인지 못함스파이웨어 등에 의한 통신 시도 및 불법적인 패킷을 중간에서 차단하여 내부 네트워크 등을 보호

통신중계 관리통신중계 관리인가된 통신 중계 시스템 및 프로토콜 만 중계통신중계 시, 과도한 패킷 발생 시, 자동으로 세션을 종료하여 웜 바이러스 등의 침해로부터 보호정해지지 않은 방식 혹은 비인가 된 통신 연결 시도 등은 불법적 통신접근으로 보고 차단

정책검사

통신차단

불법적인통신 접근원천 차단

1. 개요


CC인증 대상 정보보호제품(2011.1 현재)에 신규 항목 추가

신규 추가 항목에 ‘다중영역구분’ 포함

제안 제품 : CC 인증 추진 중

2. CC인증

다중 영역 구분 보안 솔루션은 CC 인증 대상


구 분 설 명

제품 이름 CrossNet Secure Tunnel [통신 서버 시스템]

제품 목적

통신을 하는 시스템들 사이에 설치되어 물리적으로 네트워크를 분리하고, 네트워크를 물리적으로 분리하기 이전에사용하였던 통신을 그대로 사용할 수 있도록 하는 '통신 중계 시스템'

네트워크를 물리적으로 분리한 상태에서 ‘통신 중계 서버 기능’ 제공

기존 Application을 그대로 사용 가능 [사용을 위하여 프로그램 수정 필요 없음]

제한적인 통신 연결 환경 설정 가능 [몇 가지 용도로만 제한 설정하여 사용 가능]

제품 특징 개요

물리적으로 네트워크 분리 구성 지원

여러 통신 환경 지원 / 동시에 여러 유형의 통신 연결 형태 지원

이중화 지원 [Active-Standby]

설정 기반으로 ‘통신 중계 기능’ 제공 [설정되지 않은 통신은 중계 차단]

통신 형태 기반

- ‘통신 packet’을 파일로 저장하는 형태가 아니라 직접 전달하는 형태

- 안정적 / 통신 Packet 누락 없음

3. 제품 개요

통신 중계 시스템 (CrossNet Secure Tunnel)


다중영역 구분 – 보안/비보안 영역간 데이터 및 정보흐름 통제

CC인증 제품명 : CrossNet Suite V1.0

CrossNet Data Transfer (보안/비보안 영역간 데이터 흐름통제 솔루션) CrossNet Secure Tunnel (보안/비보안 영역간 통신 흐름통제 솔루션

• CC 인증 제품 유형 : 대중영격구분보안• 보증 등급 : EAL2• 인증번호 : NISS-0330-2011• 공통평가기준 버전 : CC V3.1

3. 제품 개요


GS인증 제품명

CrossNet Data Transfer (보안/비보안 영역간 데이터 흐름통제 솔루션) CrossNet Secure Tunnel (보안/비보안 영역간 통신 흐름통제 솔루션

2010년 GS 인증 획득

4. GS 인증


5. 주요 Reference

CrossNet Suite 제품 주요 고객사

국군0000부대


제품 설명제품 설명


구분 설명

통신 방법통신프로토콜이 없는 IEEE 1394 상에서 유효한 ‘전용 데이터 전달’ 방법에 따라서 통신 데이터를 처리- 안정적 / 통신 Packet의 누락 없음

통신 연결 설정 기능 CrossNet Secure Tunnel Main 서버와 Remote 서버에 ‘통신 연결 정보’ 설정 기능 제공

양방향 통신 연결 설정 연결 설정을 통한 양방향 통신 중계 기능 제공

통신 제한 설정된 ‘통신 연결 정보’에 대해서만 통신 연결 허가

확장 가능성 L4 스위치를 이용한 무한대의 로드밸런싱 환경 구축 가능 (이중화 이상의 구성 가능)

내부 서버 정보 노출 외부에서는 내부 서버의 정보 노출 전혀 없음 (가상 접속 방법의 관리자 설정 정보로 접속)

다중 접속 지원 설정된 1 개의 ‘통신 연결 정보’에 대하여 동시 다중 접속을 허가 [다중 출발지 시스템 사용 환경 지원]

복수 ‘통신 연결 정보’사용 환경 지원

‘통신 연결 정보’를 복수 개로 설정하여, 동시에 서버 S/W에서 여러 ‘통신 연결 정보’를 지원- 다중 출발지 시스템 사용 환경 지원- 다중 목적지 시스템 사용 환경 지원

원본 Application사용 환경 지원

기존 사용 중인 Application의 수정 불필요TCP 프로토콜/통신 포트를 사용하는 IP 기반의 모든 Application 사용 환경 지원- HTTP 경우도 Domain 주소를 사용하지 않는 IP 기반의 경우 지원- 지정 가능한 IP 기반 시스템만 적용가능- 불특정 다수의 웹 페이지에 대한 접근 사용 불가)

이중화 지원IEEE 1394 카드 및 케이블에 대한 이중화 구성 지원 [Active-Standby]서버 S/W의 Fail-Over 기능 지원

보안 침해 인지 보안 침해 인지 시점에 서버 S/W가 자동으로 재 시작하여 침해를 위한 연결 시도 사전 차단

자동 복구 기능 서버 S/W에 대한 감시 프로그램에 의하여 장애 시, 자동 복구

1. 제품 기능 개요

CrossNet Secure Tunnel 제품 기능 개요


사용자

인터넷

서버

사용자

서버

비 보안 영역서버

보안 영역서버

IEEE1394Cable

LANCable

LANCable

L2 스위치 L2 스위치

백본 스위치백본 스위치

네트워크와 네트워크 간의 물리적 네트워크 분리 후 통신 중계

중계구간 : 어떠한 네트워크 프로토콜도 없고, 네트워크 연결도 없는 IEEE 1394 케이블 연결 구간

2. 구축 방법

네트워크 In-Line 모드 구축 방법 지원


LANCrossCable


보안 영역서버

WEB서버

APP서버

LANCrossCable

L3 스위치

백본 스위치방화벽

IEEE1394Cable

시스템과 시스템 간의 물리적 네트워크 분리 후 통신 중계

중계구간 : 어떠한 네트워크 프로토콜도 없고, 네트워크 연결도 없는 IEEE 1394 케이블 연결 구간

2. 구축 방법

시스템 In-Line 모드 구축 방법 지원


Road Balancing을 통한 안정성/무한 성능 처리 환경 제공

무한대의 성능 확장 가능 (고도화 사업으로 확장 가능)

사용자

인터넷

서버

사용자

서버


보안 영역서버

IEEE1394Cable

L2 스위치 L2 스위치

백본 스위치백본 스위치


보안 영역서버

IEEE1394Cable


보안 영역서버

IEEE1394Cable


보안 영역서버

IEEE1394Cable

L4스위치

L4스위치

L4스위치

L4스위치

3. 확장성

L4 스위치를 이용한 로드밸런싱 모드 구축 방법 지원


다중 접속은 Multiple-Link를 의미

즉, 한 가지 통신방법에 대하여 여러 통신 연결 세션을 유지할 수 있도록 하는 것

서버와 서버에 대한 구성 및 사용자PC와 서버 사이의 구성 등 통신 Application의 목적에 맞게 구성이 가능

CrossNetSecure TunnelServer S/W


서버

통신 연결 세션 #1



통신 연결 세션 #N

통신 연결 세션 #N+1

통신 연결 세션 #N+N




통신 연결 세션 #N

통신 연결 세션 #N+1

통신 연결 세션 #N+N

서버

PC

PC

통신 중계

IEEE 1394 연결

4. 주요 기능

다중 접속 환경 지원


양방향의 통신 중계는 각각의 통신 Application의 목적에 따라서 각기 다른 방향으로의 통신 설정이 가능하다는 것을 의미

즉, 여러 방향의 통신 Application을 동시에 사용하는 환경 지원

서버


통신 중계

IEEE 1394 연결


통신 연결 설정Type A 세션

통신 연결 설정Type B 세션

통신 연결 설정Type C 세션

서버




서버

서버

서버

서버

4. 주요 기능

양방향 통신 환경 지원


복수 통신 연결 설정은 ‘통신 중계’를 하는 통신 방법이 여러 개가 될 수 있다는 것을 의미

즉, 여러 통신 Application을 동시에 사용하는 환경 지원

서버


통신 중계

IEEE 1394 연결



PC

PC



서버




서버

서버

4. 주요 기능

복수 통신 연결 설정 지원


SNMP trap 혹은 syslog 등을 중앙에서 수집하는 경우, 방화벽 등을 거치면 원본 IP 주소가 변경되어 수집되어 메시지 발생 시스템구분 어려움

정책 설정 시, ‘원본 IP 유지’를 선택하면 원본 IP 주소로 처리

서버


통신 중계

IEEE 1394 연결


SNMP

syslog

syslog

Syslog 수집서버

syslog

SNMP

NMS 서버서버

서버

발생지 IP주소

발생지 IP주소

발생지 IP주소

발생지 IP주소

발생지 IP주소

4. 주요 기능

SNMP 혹은 syslog 등의 정보 수집 시, 원본 IP 주소 유지


외부망 서버 팜을 2개로 구분하여 ‘외부망 서버팜’과 ‘고립된 네트워크 영역’으로 구성

‘고립된 네트워크 영역’에 Database 서버를 위치

Web서버와 WAS서버가 DB서버(Oracle 혹은 MS-SQL 등)에 트랜잭션 하는 것을 ‘통신 중계’

‘고립된 네트워크 영역’에 대하여 보안 강화를 할 수 있음.

방화벽

백본 스위치

WAS 서버

인터넷

외부망 서버팜

Web 서버


통신 중계

IEEE 1394 연결


Oracle 서버

MSSQL 서버

고립된 네트워크

5. 구축 방안

예제 : WAS(Web) 서버와 DB 서버 사이의 폐쇄망 구성


Oracle의 경우 여러 연결 설정을 통하여 사용 기능 제공 가능

네트워크 영역 분리에 의한 Oracle 서버의 외부 노출 방지 효과

네트워크 영역 분할 이후에 원격에서 Oracle 서버에 대한 Admin 가능


통신 중계

IEEE 1394 연결


OracleListener를

이용한 세션 연결

PC

PC

서버

서버

서버

PC

OracleListener를

이용한 세션 연결

웹 브라우저를통한

Isqlplus 접속

웹 브라우저를통한

Isqlplus 접속

sql/plus 접속을통한

Admin

sql/plus 접속을통한

Admin

5. 구축 방안

예제 : 다중 연결 예제


웹 모니터링 콘솔 제공

- 서버 상태(프로세스 상태, CPU/메모리/디스크 사용량)- 정책별 패킷 사용량 / 사용 세션 정보 / Top 10 패킷 사용 정책 / Top 10 세션 연결 정보 등 …- 오류 정보 등…

[관리콘솔 요약정보] [관리콘솔 통제서버정보] [관리콘솔 Traffic 정보]

6. 관리 기능

전용 모니터링 콘솔 제공


Web 서버와 DB 서버를 분리

분리된 DB 서버들을 위한 폐쇄망 구축

7. 구축 사례

OO시청

OOO DB(Oracle)

ㅁㅁㅁ DB(MySQL)

예약 DB(MySQL)

스토리지

OOO Web

ㅁㅁㅁ WEB

CrossNet통제서버(서비스망)

CrossNet통제서버(폐쇄망)

방화벽

발권시스템

IEEE 1394

폐쇄망

구축 후


관리서버가 외부에 노출되는 것을 UTM을 통하여 1차 보안 구축

UTM 후단을 폐쇄망으로 구축하여 ‘네트워크 연결’이 불가능한 상태로 ‘관리서버’를 외부 은폐

7. 구축 사례

모 기관

위성위성모뎀 UTM

IEEE 1394

외부망전송통제서버

내부망전송통제서버

관리서버

위성위성모뎀 관리서버

구축 전

구축 후

TCP

TCP TCP TCP

네트워크 프로토콜 없음


7. 제안 제품 비교

구분 스토리지 기반 제품 리버스월 CrossNet

구분 망 분리 솔루션 폐쇄망 구축 솔루션 망 분리 솔루션

필요 서버 (혹은 Appliance ) 2대 2대 2대

스토리지 필요 O X X

방화벽 필요 X O X

망 분리 구간 연결 HBC 카드를 이용한 FC 케이블 LAN IEEE1394 케이블

망 분리 구간 통신 프로토콜 없음 TCP/IP 등 없음

망 분리 구간 통신 암호화 없음 - 암호화 통신

망 분리 구간 연결 케이블 이중화 필요시 구성 지원 - 기본 지원

GS 인증 일부 제품 인증 - 인증 필

CC 인증 일부 제품 인증 인증 필 인증 필

운영/관리 보통 상당히 어려움 쉬움

통신 프로토콜 제어 Adpater 프로그램에서 지원 가능한프로토콜 만 사용 가능

전체 사용 전체 사용

통신 연결 프로그램 변경 시 일부 Adapter 수정개발혹은 추가 개발 필요

즉시 지원 즉시 지원

통신 이력 관리 없음 지원 지원

통신 모니터링 콘솔 제공 없음 지원 지원

정책 설정 기반 차단 지원 지원 지원

S/W 무상 업그레이드 - - 지원

보안, 기능, 구축 비용에 유리한 CrossNet Secure Tunnel 제품


특징특징

스토리지 방식

- 전체 구간에 대한 네트워크 접근이 가능한 구성

- 보안을 위하여 ‘볼륨 접근 제한’으로 구성 사용

- SAN스토리지, FC 전송, 볼륨 설정 및 해제에 대한

기술이 일반적으로 오픈 되어 있음

해커에 의한 공격 침투 가능성 높음

- 내부망 서버로 해킹프로그램 전송 후, 프로그램이

볼륨공유 제한 등을 해제 하는 경우, 내부망의

보안 침투 가능

CrossNet 제품

- IEEE1394 구간을 해킹하여 내부망에 해킹프로그램

전송할 수 없음

- 외부망 혹은 내부망에서 해킹 프로그램을 가동해도

‘네트워크 분리 구간’을 넘을 수 없음

스토리지

방식

네트워크

CrossNet

방식

네트워크

사용자PC서버

스토리지

서버사용자PC

TCP/IP 노출 구간 TCP/IP 노출 구간

FC FC


디스크 볼륨 노출 구간

사용자PC서버 서버

사용자PC

IEEE 1394 케이블

네트워크 분리 구간(통신 프로토콜 없고, 네트워크 연결 없음)


7. 제안 제품 비교

네트워크 보안 침해 가능성

다중영역분할 통신중계시스템 소개(CrossNet Secure Tunnel … · 3...

Documents

Transcript of 다중영역분할 통신중계시스템 소개(CrossNet Secure Tunnel … · 3...