2. NSFOCUS 소개
NSFOCUS 연혁
• 대주주: Investor AB (스웨덴)
• 설립: 2000년
• 직원: 1600 명 이상
• 상장: IPO(뉴욕), 2014년 1월
NSFOCUS 영업 본부(HQ): 산타 클라라(미국)
• R&D 센터: 산타 클라라, 베이징
• 지역 본부: EMEA: 런던(EMEA), 도쿄(일본), 싱가폴(APAC)
• 지사: 호주, 말레이시아, 홍콩, 프랑크푸르트, 두바이
• 한국: 인포트릭㈜
3. NSFOCUS 보안 솔루션
Anti-DDoS 솔루션
NSFOCUS ADS 시스템 (ADS)
NSFOCUS ADS 관리시스템 (ADS-M)
NSFOCUS 네트워크 트래픽 분석기 (NTA)
Anti-APT 솔루션
NSFOCUS 차세대 방화벽 솔루션 (NF/NGFW)
NSFOCUS 위협 분석 솔루션 (TAC)
NSFOCUS 네트워크 침입 방지/탐지 시스템 (NIPS/NIDS)
WEB 보안 솔루션
NSFOCUS 웹 애플리케이션 방화벽 (WAF)
NSFOCUS 웹 취약점 검색 시스템 (WVSS)
보안 평가 솔루션
NSFOCUS 원격 보안 평가 시스템 (RSAS)
5. NSFOCUS Anti-DDoS 솔루션 개요(3-IN-1)
• 트래픽 모니터링
• 비정상 트래픽 탐지
• 트래픽 전환
• 공격 여과(Filtering)
• 트래픽 주입(Injection)
NSFOCUS
Anti-DDoS
솔루션
• 중앙집중관리
• 분석 보고서
• 부가 서비스
ADS 시스템
관리
공격
모니터링
NSFOCUS NTA
NSFOCUS ADS
NSFOCUS ADS-M
공격 완화
6. Anti-DDoS 솔루션 흐름도
NSFOCUS NTA
NSFOCUS ADS-MNSFOCUS ADS
공격 탐지
라우터와 협상
ADS에 고지트래픽 정화
• 트래픽 탐지 - NTA
• 트래픽 전환 - ADS
• 트래픽 완화 - ADS
• 트래픽 주입 - ADS
7. NSFOCUS ADS 주요 특징
비용 절감
융통성
향상된 기능
고성능
전환(Diversion): BGP,OSPF,ISIS,RIP
재 주입(Re-Injection): MPLS, GRE, PBR, VLAN
단일 장비로 최대 29.76Mpps 트래픽 방지 성능
L7 계층 공격 방지를 위한 5 가지 알고리즘
타 경쟁사 대비 비용 절감 효과
8. NSFOCUS ADS 제품군(NX 시리즈)
상세 사양
ADS NX5-8000
시리즈
ADS NX5-6000
시리즈
ADS NX5-4000
시리즈
ADS NX3-2000
시리즈
ADS NX5-8000 ADS NX5-6025 ADS NX5-4020 ADS NX3-2020 ADS NX3-2010
최대 완화 용량
(bps)
최대 40G 최대 20G 최대 10G 최대 4G 최대 2G
트래픽 방지 성능
(pps)
29,760,000 14,880,000 8,928,000 2,976,000 1,488,000
지연 40 μs
Fail-Open/
Fail-close
솔루션 활성화 솔루션 활성화
GE 포트를 위한 내
부 Fail-Open/Fail-
Close
GE 포트를 위한 내부
Fail-Open/Fail-Close
적용
트래픽 전환
(아웃오브패스)
인라인
트래픽 전환
(아웃오브패스)
인라인
트래픽 전환
(아웃오브패스)
인라인
NSFOCUS ADS 160G, 240Mpps (2U) – 2016Q2
9. NSFOCUS NTA (Network Traffic Analyzer)
NSFOUCS NTA
(NTA NX3-2000E)
• 트래픽 모니터링
– 전체 트래픽
– 상위 10 IP 주소
– 상위 10 애플리케이션/포트
– 상위 10 자율 시스템(AS: Autonomous System)
– 상위 10 IP 목록 및 기타
실시간 모니터링
– 트래픽 보고서
– 경보 보고서
– 맞춤형 보고서
통계 보고서
– 네트워크 프리픽스 길이 분포
– BGP 라우팅 안정성
– 라우팅 수
– BGP 패킷 분석
– 라우팅 플래핑 분석
라우팅 분석
– DDoS 공격
– 비정상적인 트래픽 분산
– 비정상적인 프로토콜 비율
– 네트워크 악용
– 웜 바이러스
– 비정상적인 트래픽 양
– P2P 트래픽
방지 대상
10. NSFOCUS NTA 성능
데이터 처리: 80,000 flows/s
예:
1:1000 샘플링 비율
200G의 트래픽 탐지;
신속한 응답 시간
낮은 탐지오류(False positive) 비율
로 데이터 전달
모니터링 라우터 수: 20+
모니터링 인터페이스 수: 1,000
효과적인 트래픽 모니터
NSFOUCS NTA
(NTA NX3-2000E)
14. NSFOCUS 차세대 방화벽 (NF/NGFW)
개요
지능형 식별
IP주소, 포트 번호 및 트래픽 정보 등을 사용자 정보와 프로그램 정보로 변환
세련된 관제
위험 수준, 애플리케이션 유형, 대역폭 소비 등에 따라 정밀한 관제와 여과 기능 적용
통합 검색
취약점, 바이러스, URL 및 콘텐츠 등의 측면에서 잠재적인 위협에 대한 심층 검색 및 보고서 생성
주요 특징
포괄적인 애플리케이션과 사용자 식별 기능
수천 개의 애플리케이션과 필터 식별 및 분류
세련된 애플리케이션 계층 관제 방법
세련된 보안정책 관리 구현
전문적인 애플리케이션 계층 보안 보호 기능
애플리케이션에 딸려 오는 바이러스, 트로이 목마, 악성 코드 등을 효과적으로 탐지
뛰어난 애플리케이션 계층 보안 처리 기능
일회의 검색으로 모든 파싱과 탐지 완료하여 검색 효율을 향상
전통적인 방화벽 기능
기본 적인 방화벽 기능 제공 – NAT, HA, 동적 바인딩, IPsec VPN 등
16. NSFOCUS 차세대 방화벽 (NF/NGFW) 제품군
G2000 시리즈
G4000 시리즈
T6000 시리즈
300M
10G
1G
16G
L3 처리량 L7 처리량
NSFOCUS 40G NGFW 출시 임박!
2U 10G 성능
10G 애플리케이션 처리량, 1000M VPN 암호화/복호화
강력한 고성능 보안이 필요한 대규모 시나리오에 적용
2U 1000M 성능
모듈형 하드웨어 – 확장 유연성
중대형 규모에 적합
1U 100M과 1000M 성능
중소형 규모에 적합
17. NSFOCUS 위협 분석 솔루션 (TAC)
주요 특징
알려지지 않은 위협 탐지
기존의 서명 기술과 무관한 동적 탐지 기술
극소수의 탐지 오류
알려진 위협 탐지 기술과의 통합
주요 기능
보안 기능
동적 탐지(가상 실행)
정적 탐지와 AV 탐지
적용과 관리 기능
적용 모드
로그 분석
연관 분석
NSFOCUS NIPS/NIDS와 협동 보안
18. NSFOCUS 네트워크 침입 탐지/방지 시스템(NIPS/NIDS)
인트라넷 보안 보호
웹 보안 보호
1. 클라이언트 측 보안 보호
2. 민감한 데이터/파일 보호
3. 불법적인 서버 도용 경보
4. 보닛 차단
1. 포트 검색 과 마구잡이 크래킹 방지
2. SQL 주입과 XSS 방지
3. 콜백 접속과 트래픽 채널 통제 방지
전통적인 공격 보호
애플리케이션 관리
1. 오버플로우 공격 차단
2. 트로이 목마, 백도어 및 웜 바이러스
방어
3. VoIP 공격과 P2P 공격 방지
4. DDoS 방지
1. 2,200 종 앱 규칙 내장
2. 간결한 탐지와 효과적인 트래픽 관제
3. 사람, 시간 및 앱 지정 관제
20. NSFOCUS 근접 루프 웹사이트 보안(WAF&WVSS)
WAF 스마트 패치
1. SQL 주입 패치
2. XSS 패치
3. 데이터 유출 패치
4. CSRF 패치
5. Struct2 패치
6. 워드프레스 패치
애플리케이션 스캐너
WAS 고객 이점
• 데이터 유출 위험 완화
• 웹 사이트의 유용성과 QoS 검증
• PCI DSS 준수를 위한 격차 해소
WVSS
검색 보고서 전달
WAF
스마트 패치 생성 및 적용
WVSS 고객 이점
• 웹 사이트 취약점에 대한 정확한 분석
• 대형 웹사이트에 대한 빠른 검색
• 유연성 – WVSS를 가상화 환경에 적용
21. NSFOCUS 웹 방화벽(WAF) – 드롭 인 적용
사용이 쉽고 투명한, 드롭인 적용
• 초기 구성 마법사 제공
• 기본 정책 템플릿 활용
• 예외 정책
리버스 프록시와 아웃오브패스(트래픽 전환과 주입) 선택 적용
22. NSFOCUS 웹 방화벽(WAF) 개요
• SQL 주입
• 크로스 사이트 스크립팅
• 경로 횡단
• 명령어 주입
• SSI 주입
• LDAP 주입
• Xpath 주입
• 원격 파일 포함
• 기타
규칙 기반 행위 기반
자동 학습 및
화이트리스트
정보 누출 방지
• HTTP 플러드 완화
• 악의적인 검색 방지
• 크로스 사이트
요청 위조 방지
• 기타
• HTTP 메소드
• 파라미터 유형
• 파라미터 이름
• 파라미터 값
• 기타
• HTTP 응답 코드
• 서버 정보
• 기타
NSFOCUS WAF
모델
WAF
NX3-P300A
WAF
NX3-P600A
WAF
NX3-P1000B
WAF
NX3-P1600B
WAF
NX3‐P2000A
애 플 리 케 이 션
계층 처리량
HTTP 100 Mbps 400 Mbps 1 Gbps 3 Gbps 6 Gbps
초당 트랜잭션 HTTP 6,000 tps 10,000 tps 25,000 tps 55,000 tps 110,000 tps
23. NSFOCUS 웹 취약점 검색 시스템(WVSS)
대시보드
근본적인 취약점 추적
다각적인 보고서
주요 특징
• 깊이 있는 검사와 포괄적인 검색
• 취약점의 가상 검증
• 분산 클러스터 검색
• 글로벌 위험 분석
• 사용자 친화적인 디스플레이
25. 취약점 탐지 솔루션(RSAS & WVSS)
• 라우터
CISCO, Juniper, HUAWEI…
• 데이터베이스
Oracle, SQL server…
• OS
Windows, Linux, Solaris…
• 보안 시스템
Firewall, Anti-Virus…
• 서버 시스템
Email, Apache, IIS …
• 기타
• 언어
• HTML, JS, CSS, PHP, ASP, Flash, .Net…
• 애플리케이션 시스템
• Official site, Blog, ERP, eBusiness, e-Banking…
• 서버 유형
• IIS, Apache, Tomcat, Nginx…
• 타사 플러그인
• Discuz, Wordpress, Phpmyadmin…
26. 보안 이벤트 대응
보안 대응 전문 팀
취약점 데이터베이스
업데이트
NSFOCUS RSAS& WVSS
인터넷
RSAS 또는
WVSS
보안 대응 전문 팀
• 애플리케이션 위협에 대한 분석, 탐지 및 검증
• 새로운 취약점 정보 확보를 위해 마이크로소프트,
CVE 및 여러 기관과 공조
Openssl
2014년 4월 8일
발견
2014년 4월 9일 오전 9시
NSFOCUS는 Openssl에
대한 패치 패킷 제공
2014년 4월 26일 아침
발견
2014년 4월 26일 오후6시
NSFOCUS는 Apache
Struts2에 보안 우회 취약
점에 대한 패치 패킷 제공
27. NSFOCUS 원격 보안 평가 시스템(RSAS) 개요
주요 특징과 장점
원 클릭 지능형 작업 모드
고효율 쉬운 사용
Open VM 플랫폼
타사 제품인터페이스 및 상호 작용 지원
효율적인 검색 엔진
NSFOCUS 검색 엔진 내장
심오한 취약점 데이터베이스
11,000 여 종의 대형 취약점 데이터베이스
웹 애플리케이션 보안
웹 사이트의 SQL 취약점, XSS 취약점, CGI 취약점, 자격 유출 취약점, 악성코드 등을 탐지
권위 있는 위험평가 모델
자산 위험 평가 및 취약점 관리
Open VM 플랫폼
취약점 예보
자산 관리
취약점 분석
취약점 개선
취약점 감사
28. NSFOCUS RSAS
상세 사양 RSAS X 시리즈 RSAS S 시리즈 RSAS E 시리즈
취약점 평가 √ √ √
취약 암호 검색 √ √ √
취약점 검사 수 > 2800 > 2800 > 2800
자산 관리 √ √ √
최대 IP 주소 수 512 무제한 무제한
검색 속도(IP/min) 5 10 20
최대 동시 검색 IP 수 30 60 90
단일 작업 IP주소 수
Class B에 있는 여러
IP 주소
Class B에 있는 여러
IP 주소
Class B에 있는 여러 IP
주소
최대 동시 검색 작업 5 10 10
최대 작업 스토리지 100 150 500
HTTP 처리량 100 Mbps 100 Mbps 300 Mbps
기본 보고서 √ √ √
시스템 관리 √ √ √
고급 데이터 분석 선택 √ √
분산 적용 하위 노드 장비 선택 하위 노드 장비 선택
관리/하위 노드 장비 선택
하위 노드: ≤ 8
NSFOCUS RSAS
29. 관리 서비스(MSS) – ADS & WAF
ADS 관리 서비스(MSS For ADS)
WAF 관리 서비스(MSS For WAF)
30. 관리 서비스(MSS) – ADS & WAF 개요
인터넷
클라우드
보안 센터
사전 분석
• 기본 트래픽
• 기본 취약점
클라우드 관리 Anti-DDoS 시스템
• 기본 트래픽 설정
• DDoS 응급 대응
• ADS 관리 서비스
ADS 관리 서비스
(MSS for ADS)
WAF 관리 서비스
(MSS for WAF)
WebSafe
웹 보안 모니터링
• 취약점 검색
• 가용성 모니터링
클라우드 관리 WEB 애플리케이션 보안 시스템
• 웹 공격 응급 대응
• WAF 관리 서비스
• 스마트 패치
실시간 보호 7x24 모니터링 검토 개선
• 공격 방지
• 보호 정책 최적화
• 7X24 보안 이벤트 모니터링 • 취약점 조치 제안
31. NSFOCUS 클라우드 관리 보안 모니터링 센터
고객의 이점
자동 사전 대응
24/7 원 스톱 솔루션
신속한 탐지, 대응, 방어
정확성
호스팅/서비스 제공자의 이점
운영 비용 절감
NSFOCUS의 강력한 보안 서비스
새로운 이익 모델
새로운 부가 서비스 업무 모델
고객 자원의 비밀 보장
고객의 신뢰도 확보
42. NSFOCUS News
SC Magazine - DDoS attacks: Now shorter but more powerful
http://www.scmagazineuk.com/ddos-attacks-now-shorter-but-
morepowerful/article/373326/
DarkReading – Creating A DDoS Response Playbook
http://www.darkreading.com/creating-a-ddos-response-
playbook/d/did/1316008?_mc=RSS_DR_EDT
SecurityWeek – Don't Forget DNS Server Security
http://www.securityweek.com/dont-forget-dns-server-security
NetworkWorld – DDoS Attackers Turn Fire On ISPs and Gaming Servers
http://www.networkworld.com/article/2687127/security/ddos-attackers-turn-fire-onisps-
and-gaming-servers.html
43. Security Research & Collaboration
• Member of Cloud Security Alliance
• Microsoft Active Protections
Program (MAPP) Partner
Attack Prevention Research
Intrusion detection and prevention, Anti-DDoS,
Web attack prevention, Malware behavior
analysis and detection, APT detection
Vulnerability Research
NSFOCUS cooperated with Microsoft, HP, Cisco
Juniper etc. and solved over 40 serious
vulnerabilities problems. NSFOCUS discovered
and released more than 43 vulnerabilities
confirmed by CVE.
Cutting-edge Tech. Research
Cloud security and virtualization, APT analysis
and prevention, SDN,
SCADA…
http://www.prnewswire.com/news-releases/nsfocus-researchers-win-microsoft-mitigation-
bypass-bounty-award-forsecond-consecutive-year-300054920.html
Notes de l'éditeur
Nsfocus DDOS mitigation applicance is all in three trinity systems, being able to be managable and operable for the large carries.
Network traffic analysis is a traffic monitoring device, it is to detect malicious traffic occurring in the network, and timely notify the cleaning system ADS to start filter process.
Anti-DDoS system is key component in our solution, diverting, filering and re-injecting those three steps;
NSFOCUS ADS-M is an centralized management system, utilized in managing ADSs and NTAs, efficiently carry out various protection policies and access permission control based on different protection objects, and gathering the basic data for the overall supervision.
为攻击溯源提供抓包取证的功能。除此之外,NSFOCUS ADS-M更提供用户自服务系统,满足运营商利用DDoS做增值服务的需要。
Our ADS dedicated in DDoS prevention and provide mutiple prevention methods together to defend complex and sophisticate attack from the open internet, especailly in the application layer , we provide no less than 5 different algorithms.
Due to confidentiality, details of techniques could not be able to be disclosed, but if we have succeeded in many important POC test for Isp in the past.
ADS专注于DDoS攻击研究及防护。提供多种防护手段,特别是在应用层的防护,针对防护最为困难的http get flood 攻击,提供多达5种防护算法。
ADS提供细粒度防护,针对不同类型ddos攻击防护算法,并且是基于长达10年DDoS防护经验积累,具有丰富的实战经验。
ADS在防护的同时保证了正常业务不受影响,特别是针对UDP flood攻击,针对游戏网站等对网络连接要求较高的应用,我们在保证正常用户原有连接不中断的情况下,对攻击进行有效处理。