WAF (웹방화벽) 자료 조사

웹방화벽 WAF?

웹소스의 취약점으로 해킹 사고가 발생함 --> 웹소스의 취약점을 수정  해결 --> 수정 어려움 -->WAF 이용

WAF 의 역활?

1. 불법 해킹 (접근) 차단 2. 방화벽 정책을 수정 3. 로깅 (허용한 접속과 차단한 접속) 4. 리포트 (월별 침입, 허용, 패치, 정책 변화등) 5. 공격을 탐지 알람 (IPS) 6. 공격을 차단 (IDS)  7. 개인정보 유출 탐지 및 차단

WAF 동작

웹서비스 프로그램이나 서버가 패킷을 받거나 보내기 전에 선처리 해야 함 (TCP 80 번 / TCP 443번)

WAF 라이센스 비용?

어플라이언스 HW 장비는 임대 구매 가능 그외는 모두 월 임대형 (라이센스 지불)

WAF 유형?

오픈 무료 방화벽 (모듈 설치형)  - Apache 나 IIS 에 모듈 형태로 탑재 (Load) 하는 형태  - NginX (NAXSI)  - ModSecurity, Webknight (KISA 에서 중소기업을 위한 설치방법 등을 안내하고 설치하는것을 장려함) 그외 무료로 제공하는 OPENSOURCE 제품이 있음 상용 방화벽 (돈을 주고 구입하거나 임대)  - 소프트웨어 설치형  - 장비 임대형  - CLOUD BASE WAF (가상서버 이미지) API 형태로 제공되거나 사용자는 도메인만 변경하는 되는 WAF 형 상품 (사용자는 홈페이지 가입만 하면 사용)  - cloudflare  - cloudbric

웹방화벽 세부 기능

URI 접근제어, 화이트, 블랙 IP,  watchdog (웹방화벽에 문제가 있는 경우 서비스 우선) 대시보드 (사용자가 쉽게 관리) 설정마법사 (초기 셋팅시 쉽게)

WAPPLE 장비 기준

HTTP 기반의 웹 공격 방지 OWASP Top 10 Attacks 탐지 및 차단 PCI-DSS Copliance의 요구사항 지원 Known/Unknown Worm 탐지 및 차단 웹 보안 요소 방어 Cookie 변조 및 도용 방지 Hidden Field 변조 방지 표준 암호 알고리즘 사용(AES, SEED) 웹 콘텐츠 필터링 개인정보 포함 파일 업로드/다운로드 탐지 차단 주민등록번호, 신용카드번호, 이메일주소, 주소, 전화번호 탐지 MS-Office, Open Office, PDF, MS Outlook Message, hwp 등 30여종의 파일 검색 지정한 금지 단어 입력 시 자동 변환 해커에 의해 변조된 페이지 노출 차단 및 자동 복구    Privacy file filtering User defined pattern Cookie poisoning Parameter tampering Suspicious access

SSL 처리 (SSL 로 암호화된 공격트래픽을 감시 및 차단)

암호화된 데이터 --> 복호화 --> 공격여부 판단 --> 공격인 경우 차단, 정상인 경우 다시 암호화 하여 웹서버에 전달 웹방화벽이 인증서와 KEY 를 웹서버 대신 관리

SSL 처리 능력

초당 SSL 핸드쉐이크 처리량 (인증서와 KEY 교환) 이후 초당 암호화된 데이터 처리량

SSL 처리 지표

TPS/CPS 와 암호 키 SIZE (RSA 1024, 2048...)

WAF 성능 측정 관련 글 링크

http://realforce111.tistory.com/48 http://choungjae.egloos.com/m/470265 http://aonenetworks.tistory.com/520

WAF 성능에 대해서 BMT 표준화가 되어 있지 않으므로 사실상 방화벽 판매 업체가 BMT를 진행하고 그 결과를 제공한다.

업체별 BMT 장비, 환경이 모두 다르므로  WAF 끼리 비교할수 있을만한 자료는 아니라고 판단된다.