원격지원

영업기회등록

VisionTek

Solution

SSL (Secure Socket Layer)

SVA 솔루션은 보안 위협 문제점 제거 목적으로, SSL/TLS 트래픽에 대한 암복호화 역할을 대행 하여, 네트워크 보안 시스템을 비롯 IDS,
로그 수집 서버와 같은 보안 솔루션에 가시성을 제공하는 SSL/TLS 트래픽 암복호화 전용 솔루션입니다.

SSL 보안의 필요성

SSL/TLS

SSL (Secure Socket Layer)
  • 웹 서버와 브라우저 간의 안전한 통신을 위해 개발 (Netscape , 1993)
  • 세션계층에서 적용되며, 어플리케이션 데이터의 안전성 보장
  • SSL 2.0 deprecated(`11, RFC 6176) , SSL 3.0 deprecated(`15, RFC 7568)
TLS (Transport Layer Security)
  • SSL 3.0 이 표준화된 이후 IETF에서 TLS 프로토콜 표준화 (1996, SSLv3.1)
  • SSL 3.0 기반(계승) 업그레이드 프로토콜
  • TLS 1.3까지 발표 (RFC 8446, 2018.08)

SSL/TLS

전송 계층(Transport Layer)의 암호화
  • TCP/IP 네트워크를 사용하는 통신에 적용
  • 전송계층 종단간 보안과 데이터 무결성 확보
  • 전송계층의 암호화 방식이므로, HTTP 외 FTP, SMTP 등 다양한 응용계층 프로토콜에서 사용

암호화 트래픽의 지속적인 증가

암호화 트래픽 사용률 현황
  • 전체 네트워크 트래픽의 25~35% 차지
  • 전송계층 종단간 보안과 데이터 무결성 확보
  • `20 HTTPS 트래픽은 80% 예상
APT 공격에 암호화 트래픽 사용량 증가
  • APT 공격의 약 80%가 암호화 트래픽 사용
보안 장비의 약 20% 만이 완전한 복호화 수행
  • 암호화 강도 High 레벨의 Cipher-Suite 대중화로 보안시스템 성능 저하
  • ECC 타입 인증서 도입 증가
  • TLS 1.3 사용률 증가
  • `Out-bound 보안 솔루션의 경우 복호화 불가

Changes in https (TLS 1.3 – RFC8446)

데이터센터 내 암호화 트래픽 가시성 확보의 한계
  • Static RSA and Diffie-Hellman cipher suites have been removed; all public-key based key exchange mechanisms now provide forward secrecy.
  • TLS1.3 부터 RSA 키 교환 타입 Cipher-Suite 미 지원 (DH 키 교환 타입 Cipher-Suite만 사용)
  • IDS, 로그수집서버와 같이 Sniffing 타입의 보안시스템은 암호화 트래픽 복호화 불가

Changes in https (Encrypted SNI for TLS 1.3 - draft-ietf-tls-esni-06)

데이터센터 내 암호화 트래픽 가시성 확보의 한계
  • ECHO works by encrypting the entire ClientHello, including the SNI and any additional extensions such as ALPN. This requires that each provider publish a public key and metadata which is used for Client Hello encryption for all the domains for which it serves directly or indirectly (via Split Mode).
  • SSL Handshake 과정 내 SNI(도메인 정보) 필드 암호화
  • 도메인 정보 확인 불가에 따라 기존 보안 장비들의 SNI 필드에 의거한 보안 정책 무효화

기존 보안시스템의 한계

도입 이전

① 암호화 트래픽 복호화 미 수행

- 복호화 기능 부재, 시스템 과부하 등

② 암호화 트래픽은 기존 보안시스템 구간통과

③ 침해 사고 발생

도입 이후

① AISVA가 암호화 트래픽 복호화 수행

② 복호화 평문 트래픽을 보안시스템 구간으로 전송

③ 보안 정책 통과된 평문 트래픽은 AISVA가 수신

④ AISVA가 재 암호화 하여 서버 전송

SSL 특장점


Proxy base Full Transparent 모드

별도의 IP 부여 없이 Stealth-mode로 운영
  • 기존 네트워크 구성 환경 변화 및 영향도 없음
Inbound / Outbound 양방향 트래픽 처리
  • In-bound : 외부에서 내부 SSL Server로 유입 되는 트래픽 (서비스 구간 DMZ/IDC 보안 강화)
  • Out-bound : 내부에서 외부 SSL Server로 유출 되는 트래픽 (내부 사용자 구간 보안 강화)

다양한 네트워크 구성 지원

NAT(Network Address Translation) 환경 지원
  • Active Inline 구간에 NAT 와 같이 세션정보가 변경되는 보안장비 구성 및 연동
비동기 트래픽 환경 지원
  • 단일 장비 멀티 세그먼트 구성에서 발생하는 비동기 트래픽 처리
  • 이중화 구성에서 발생하는 비동기 트래픽 처리 (세션 포워딩)

보안시스템 연동 구간 Health Check

보안 시스템 연동 구간에 문제 발생시 자동 바이패스 수행 및 서비스 가용성 확보
  • ICMP 또는 IPX 트래픽을 이용한 Active 구간 Health Check
  • Health Check Fail 시 Active 구간 트래픽 바이패스 수행

목적지 포트 변경 및 지정 도메인만 복호화

목적지 포트 변경 기능
  • 투명한 세션처리를 위한 5-Tuple(Src IP, Dst IP, Src Port, Dst Port, Transport Type) 유지
  • 서비스 포트 기반으로 프로토콜을 인식하는 보안 시스템을 위해 목적지 Port 변경(Port Conversion) 설정
지정 도메인에 대한 선별적 암복호화
  • 동일 서버(IP:PORT)에서 여러 개의 웹 서비스(Virtual Host)를 제공하는 경우 특정 도메인만 지정하여 복호화 수행

PKP(Public Key Pinning) 대응

인증서 Pinning 서비스 대응
  • 클라이언트가 협상을 통해 다운로드 받은 인증서가 실제 서버의 인증서와의 동일 여부 검증 (EX: 카카오톡, 윈도우 업데이트 등)
  • Certification Pining 에 따른 SSL 통신 불가 세션에 대한 자동 학습 및 관리
  • 시스템 자체 학습 외 PKP 리스트 온라인 DB 업데이트 제공

손쉬운 인증서 배포 및 현황 관리

SSL 인증서 설치를 위한 인증서 배포페이지 리 다이렉트
  • 인증서 미 설치 클라이언트는 인터넷 접속 시, 설치 가이드라인이 기재된 페이지로 강제 리 다이렉트
  • PMS 나 NAC을 통한 인증서 설치 시, 인증서 미 설치 클라이언트는 설치 시점까지 지속 바이패스 시키는 옵션 제공

Invalid SSL 인증서 검출

SSL 협상에 사용되는 인증서가 Invalid 인증서인 경우 해당 세션 차단
  • Invalid 인증서는 주로 악용된 웹 사이트에서 빈번하게 발생
  • 사설 인증서, 유효 기간 만료, 웹 사이트 주소와 발급된 인증서 주소 미 일치, 인가되지 않은 CA 등 다양한 유형의 Invalid 인증서 검출

유연하고 손 쉬운 HTTPS 트래픽 관리

HTTPS 설정 및 관리로 인한 장애 포인트 최소화
  • TLS 1.3 지원
  • 멀티도메인 인증서 지원
  • 다양한 확장자 지원(인증서 변환 과정 불 필요)에 따른 간편한 인증서 등록
  • 실제 웹 서버 활성화 Cipher-Suite 목록과 동기화(자동 설정)
  • 인증서 만료 사전 알림 및 인증서 만료 시 자동 바이패스 기능

주요 특징

실시간 모니터링

네트워크 및 SSL 트래픽 모니터링(Mbps, CPS, 개방형 연결)

시스템 리소스 및 인터페이스 상태 모니터링

In & out bound 트래픽 처리

보호된 서버 인증서 및 개인 키 등록(인바운드)

추가 서버 등록 없이 자동 SSL 세션 인식(아웃바운드)

상세 로그 보기

인바운드 / 아웃바운드 SSL 암복호화 수행 이력에 대한 로그 조회 및 저장

바이패스 설정에 따른 인바운드 / 아웃바운드 트래픽 바이패스 이력 로그 조회 및 저장

시스템 관리자의 시스템 설정 및 변경에 대한 운영 이력 로그 조회 및 저장

다양한 환경 구성

시스템 관리자 설정(암호, 메뉴별 권한, 접속 IP 등

IP, 시간 동기화, 타임 존 등에 대한 설정

보안기기 연동 인터페이스 설정

라이센스, 업데이트 및 프로그램 백업, 운영 모드, HA 등에 대한 제품 설정

중요 서비스 및 탐지 엔진의 셧다운 및 재시작

SSL(Secure Socket Layer) 제품

Specification AISVA-200_Y20 AISVA-500_Y20 AISVA-1000_Y20
Appearance img img img
RAM 8GB (최대 128GB) 16GB (최대 128GB) 32GB (최대 2TB)
HDD 500G 500G 2TB
MGMT/HA Mgmt 1 UTP Port
HA 1 UTP Por
Mgmt 1 UTP Port
HA 1 UTP Port
Mgmt 1 UTP Port
HA 1 UTP Port
Network
(Default)
1G UTP * 4 1G UTP * 4 -
Network
(Option)
Slot 1
1G UTP 4Port
1G Fiber 4Port
10G Fiber 2Port
Slot 1
1G UTP 4Port
1G Fiber 4Port
10G Fiber 2Port
8 Slot
1G UTP 4Port
1G Fiber 4Port
10G Fiber 2Port
CPS 10,000 20,000 35,000
TPS 40,000 70,000 150,000
Throughput 1G 2G 5G
Recommended
HTTPS
Traffic
300M 500M 1.5G
Specification AISVA-2000_Y20 AISVA-4000_Y20 AISVA-8000_Y20
Appearance img img img
RAM 32GB (최대 2TB) 64GB (최대 2TB) 64GB (최대 2TB)
HDD 2TB 2TB 2TB
MGMT/HA Mgmt 1 UTP Port
HA 1 UTP Por
Mgmt 1 UTP Port
HA 1 UTP Port
Mgmt 1 UTP Port
HA 1 UTP Port
Network
(Default)
- - -
Network
(Option)
8 Slot
1G UTP 4Port
1G Fiber 4Port
10G Fiber 2Port
8 Slot
1G UTP 4Port
1G Fiber 4Port
10G Fiber 2Port
8 Slot
1G UTP 4Port
1G Fiber 4Port
10G Fiber 2Port
CPS 50,000 65,000 80,000
TPS 200,000 250,000 350,000
Throughput 6.5G 8G 10G
Recommended
HTTPS
Traffic
2.5G 3.5G 5G

위로 가기

TOP