WAPPLE 웹방화벽

** WAPPLE(펜타시큐리티) 웹방화벽

웹 서비스를 제공하는 사업자라면 누구나 한번쯤은 웹 공격을 받지 않을까 걱정해 본 적이 있을 것입니다. 특히 고객의 개인정보, 사업과 관련한 핵심 정보를 다량 보유하고 있을 경우 그 우려는 더 커집니다. 사이트 자체에 대한 위조나 변조 시도 이외에도 정보를 유출하기 위한 웹 공격이 꾸준히 이루어지고 있으며, 공격의 방법 또한 날이 갈수록 진화하고 있기 때문입니다.

이에 많은 보안 제품들이 시장에 나와 있음에도 불구하고, 공격만을 정확하게 탐지하며 확실한 보안성이 보장되고 웹 서비스 제공의 질과 속도에 부담을 주지 않는 보안 제품을 찾기는 어려운 것이 현실입니다.

이런 상황에서 WAPPLES는 최상의 선택이 되어 드립니다.

사이트 공격 탐지 및 차단

1. 웹 사이트 위조, 변조 방지

2. 웹 공격을 통한 정보유출 방지(소유하고 있는 정보의 보호)

실시간 모니터링 기능 제공, 다양한 정보 제공

서비스 중단을 일으키지 않는 높은 가용성 제공

쉽고 편리한 설정과 운영

 

• 공격이 아닌 것을 공격으로 탐지하여 서비스 장애를 초래하는 경우가 타사 제품에 비해 현저히 적음
• 기존에 알려지지 않은 공격, 정형화되지 않은 형태의 공격도 탐지가 가능

 

• Inline 방식 등 시스템에 부하를 주지 않는 다양한 방식으로 설치가 가능하며, 장비에 문제가 생겼을 경우 서비스 제공에 지장을
  주지 않기 위한 BYPASS 기능을 제공

• WAPPLES MS는 여러대의 WAPPLES을 통합관리하는 Management System 입니다.(선택사양)
• WAPPLES 동기화 및 로그 관리

- 통합 정책 설정, 온라인 업데이트 제어, 그룹 단위 WAPPLES 간 동기화를 수행합니다.

 

• 웹 서버와 방화벽 사이에 In-line 방식으로 설치, 운용
• 네트워크 설정의 변경 없이 구축 가능
  1. 웹 서버 IP 및 DNS 변경 불필요
• 웹 클라이언트의 IP가 웹 서버에게 그대로 보존 전달
• Bypass 기능 지원
• HTTP 이외의 모든 트래픽이 통과하므로 전체 통신량을 고려

 

• DNS에서 웹 서버 IP를 WAPPLES의 IP로 설정, 운용
• 내부 웹 서버 및 웹 애플리케이션 서버의 구성 노출을 방지
  1. Cloaking 효과
• 웹 클라이언트의 IP가 WAPPLES의 IP로 변경되어 웹 서버에 전달
  1. X-Forwarded-For 헤더 설정을 통해 클라이언트 IP 보존 지원
• HTTP 트래픽만 통과하게 되어 보다 많은 웹 사이트 보호 가능

 

• L4 스위치의 CSLB(Cache Server Load Balancing) 기능을 이용
• CSLB 설정으로 웹 트래픽만 구분
• L4 스위치의 Health Check 활용 가능
• 네트워크 이중화 등 복잡한 환경에 적합

• 전처리기
  1. SSL 복호화 및 Normalization, HTTP 규약의 준수 여부 검사를 통해 이상 트래픽 제거
• Positive Security Model 모듈
  1. URI별 접근제어를 수행, 허가된 URI 이외의 접속을 거부
• Negative Security Model 모듈
  1. 접속이 허가된 요청 가운데 공격이 포함되어 있는지 여부를 검사

• 공격 메커니즘 분석 탐지
  1. 일반적인 웹 공격 탐지 기법의 한계
     • 이미 알려진 다양한 공격 패턴을 감지하므로 패턴 업데이트 이전에 발생하는 zero-day attack에 취약
     • 고정적인 형식을 갖지 않는 SQL/Command Injection 공격에 취약
     • 학습 기간 내에 발생한 공격에 대한 학습 가능성 존재
     • 반드시 예외 상황이 존재하므로 관리자의 조정이 필요
     • 웹 사이트의 개편 혹은 수정 시 추가적인 학습 필요
  1. 단순 패턴 매칭이 아닌 애플리케이션 공격 로직 분석 기능 제공
     • 알려지지 않은 새로운 취약점이라도 해당 공격기법 탐지 규칙을 통해 방지
     • 입력값 내용이 공격 가능한 논리 구조를 가짐이 판명되면 이를 탐지 차단
     • HTTP 처리 능력을 시험 -> 브라우저로 위장한 Worm 및 취약점 스캐너를 탐지
  1. 웹 공격 탐지에 최적화된 구조
     • 단순 패턴 매칭으로 탐지할 수 없는 다양한 변형 공격 탐지 가능
     • 관리자의 개입 최소화
• 알려지지 않은 공격 탐지
• Input Content Filtering (사용자 정의 룰)
  1. 사용자 입력 문자열을 탐지
  2. 지정한 문자열로 변경 지원
• Invalid HTTP
  1. HTTP의 규격에서 벗어난 요청이나 응답, 존재하지 않는 웹 사이트에 대한 요청 차단
  2. 알려지지 않은 취약점을 이용한 웜을 비롯한 공격 도구들로부터 생성되는 비정상적인 트래픽을 차단
• Invalid URI
  1. RFC에 정의된 형식을 벗어난 URI 요청을 차단
  2. RFC 표준을 침해하는 신규 취약점에 대한 공격 방지
• Suspicious Access 탐지 규칙
  1. 정상적인 웹 브라우저가 아닌 클라이언트의 접속을 대상으로 이상 징후를 판단하거나 접근을 제한
  2. 신규 취약점에 대한 스캐닝, 자동화된 공격도구의 접근 방지도이

**도입 사례

 

• 신규 장비 교체 프로젝트 때, 신규 보안 장비 도입 : 웹방화벽, DDOS 장비
• 지속적인 웹 보안점검을 받았으며, 보안 강화를 위해 웹방화벽 도입

 

• 웹방화벽을 DDOS 장비와 DMZ Zone사이에 인라인 방식으로 설치
• 3개 네트워크에 동일하게 구성
• 로그 분석을 통해 주민번호 노출 확인
• 설치 후 Mass SQL Injection 공격이 탐지
• Mass SQL Injection 공격 등을 웹방화벽을 통해 차단

 

 

• 지속적으로 취약성 점검을 받아 왔으나, 웹방화벽 도입을 통해서 새로운 취약점 및 공격을 사전에 차단
• 네트워크 방화벽 없이 웹방화벽만으로 웹 서버 보호
• 상시 모니터링을 통한 공격 시도 탐지
• 공격 차단을 통해 웹 서버의 가용성 확보

 

 

• 외부에 노출된 그룹웨어 및 내부 중요 서버에 대한 보안 필요
• 개인정보 유출 및 지속적인 자동화된 공격 보호 필요

 

• 이중화된 네트워크 지원을 위해 복수의 웹방화벽 도입
• Active/Standby 구성 및 인라인 방식 구축
• 업무 처리시 발생되는 웹 애플리케이션 오류 확인
• 개인정보 유출 경로 파악 조치
• 자동화된 공격 발생시, 자동으로 블랙리스트 IP관리 기능 활용
• URL 접근제어 기능 반영

 

 

• 개인정보 유출 / 웹 애플리케이션 오류 URL보호를 통한 신뢰성 제공
• 자동화된 공격 차단으로 가용성 증가
• 내부 보안 감사 시 소스코드 수정 등에 비해 TCO 절감
• 내부 중요서버 애플리케이션에 대해, 인가된 운영자만 접근 가능하여 내부정보 유출 방지

 

 

 

• 온라인 교육 사이트를 운영하는 웹 서버가 홈페이지 해킹 후 악성코드가 대량으로 배포되어 과도한 부하 발생
• 컨텐츠를 노린 웹 공격이 중국으로부터 수시로 발생하여 정상적인 서비스 제공에 어려움을 겪음

 

 

• 웹방화벽을 웹 서버 앞에 인라인 방식으로 설치
• 로그 분석을 통해 다양한 백도어 발견
• 로그 분석 후 해당 백도어 제거
• 공격자가 설치한 다양한 악성 코드 설치를 확인하고 이를 제거
• 중국으로부터의 SQL Injection 공격 등을 웹방화벽을 통해 차단
• 웹방화벽 운영을 통해 컨텐츠 복사 시도 차단

 

• 악성코드의 대량 유포로 인한 웹 서버 부하 증가로 서비스 장애가 발생되었으나 웹방화벽 운영 후 부하 증가 현상이 소멸됨
• 악성코드 차단 및 삭제를 통해 서비스를 위한 네트워크 대역폭 확보
• 온라인 교육 사이트의 주요 자산인 컨텐츠 복사 근절

제품상담문의   (주)누림정보   네트워크 컨설팅담당    T.02-2266-0800   이상재부장