CrossNet V2.0 개요
CrossNet V2.0 이란?
CrossNet 망연계 제품은 가장 많은 고객 구축 사례를 가지고 있는 검증된 제품으로 높은 보안성을 기반으로 고가용성과 편의성을 제공합니다.
특히 CrossNet 제품의 망연계 구간의 보안성은 커널 드라이버 기반에서 데이터를 교환하는 방식을 채택하여 타 제품에 비하여 높은 보안성을 제공하고 있습니다. 여러 망연계 제품들 중에는 동일한 방식으로 구현한 제품들이 많지만, 커널 기반 시리얼 단방향 통신방식을 지원하는 제품은 CrossNet 제품이 유일합니다.
높은 보안성을 기반으로 고가용성과 편의성 / 호환성 제공
제품 보안성(CC인증 기준)
망연계구간의 통신 아키텍쳐 고속시리얼 인터페이스
송수신 , 조회 등 다양한 기능 제공
CrossNet V2.0 장점
01
검증된 보안성
CC인증
CC인증 제품
국가정보원 2013.02.25 보안요구규격 준수
100개가 넘는 공공기관 및 금융기관에서 검증된 보안성
보안
암호 : 256 Bits 암호체계 사용
무결성 : SHA-512 함수 사용
모의 해킹 통과 제품
공공기관 사이버안전센터, 금융감독원 및 외국계 금융기관 보안 Compliance 준수
망연계 인터페이스
망연계 구간은 고속시리얼 인터페이스 사용
망연계 구간은 단방향 통신
망연계 구간에서는 인터넷에 알려지지 않은 전용 데이터 교환 방식 사용(특허 기술)
02
고가용성
2012년 공인시험평가 기관의 성능 시험 결과
1Gbps 네트워크 환경에서 테스트 시
단방향/양방향 평균 800mbps 이상 지원
단방향/양방향 최대 870mbps 이상 지원
실제 사이트 사용 정보
망간 자료전송
1) ○○화재 : 1세트 단일화 장비로 7,000명 이상 사용
2) ○○부 : 1세트 단일화 장비로 10,000명 이상 사용
망간 스트림연계
1) ○○기업 : 1세트 장비로 200대 이상 서버연계
2) ○○기관 : 1세트 장비로 내부/외부 DMZ간 서버 전체 연계
이중화
자료전송의 경우 L4가 필요 없는 이중화 기능 제공
자체 로드밸런싱 기능을 통한 Acive-Active 기능 제공
03
사용자/운영자 - 편의성
사용자 편의성 제공
윈도우탐색기를 이용한 파일 송/수신 기능 제공
윈도우탐색기를 이용한 폴더 송/수신 기능 제공
클립보드 전송 기능 및 클립보드 핫 키 전송 기능 제공
URL-Redirection 기능 제공
whitelist 기반으로 개인별/부서별 정책 하에 업무망 PC에서 인터넷 접속 기능 제공(프록시 방식)
기타 각종 조회 등의 편의성
관리자 편의성 제공
각종 로그 조회 기능 및 모니터링 기능 제공
모니터링 대시 보드 제공
정책 실시간 설정 등
높은 호환성 제공
각종 하드웨어에서의 검증된 호환성 제공
각종 OS 및 보안소프트웨어에서의 검증된 호환성 제공
CrossNet V2.0 차별성
망연계구간의 통신 아키텍쳐
망연계 매체 : 고속시리얼 인터페이스
망연계 구간의 통신
커널 드라이버 기반 데이터 교환 방식(통신 프로토콜 개념 없음 : 특허기술)
망연계 구간의 데이터 교환
OSI 3~4 Layer에서 인터넷에 알려진 프로토콜 사용 안함
제품 보안성
모든 구간에서 AES-256 암호 통신(CC인증 기준)
모든 구간의 키는 난수키 사용(CC인증 기준)
키교환 알고리즘 사용
무결성 검사를 위하여 SHA-512 해시함수 사용(CC인증 기준)
CrossNet V2.0 제품군
망간자료전송
사용자자료전송
CrossNet Data Transfer for PC
- 망분리(물리/논리) 환경의 PC 혹은 VM간의 자료전송솔루션
- 승인결재시스템 제공
서버자료전송
CrossNet Data Transfer for Server
- 망분리 환경에서의 서버간의 자료전송 솔루션
- CC인증 기반 Unix, Linux, Windows 서버 Agent 제공
메일보안필터
CrossNet MailEX
- 인터넷 메일을 안전하게 보안검사 수행 후 안전한 메일만 수신하기 위한 솔루션
(악성코드 검사/위변조 검사) - 내부/외부 메일서버가 다른 경우도 지원
망간스트림연계
사용자스트림연계
CrossNet Secure Tunnel with Proxy
- 망간 스트림연계 기반으로 작동되는 솔루션
- 망분리 후 업무망 PC에서 필요로하는 웹 사이트를 제한적으로 접속/사용 및 통제하는 솔루션
- 인터넷의 웹 다운로드 시 외부망에서 악성코드 검사 및 Driver by Download 공격 등의 검사를 수행하여 안전한 웹 페이지만 내부에 전달 가능
서버스트림연계
CrossNet Secure Tunnel
- 내부망의 서버와 인터넷망의 서버처럼 분리된 망의 서버간에 통신을 연계하는 솔루션
- 운영망과 제어망 사이에서도 적용 가능
- 단방향장치 기능 제공
단방향장치
CrossNet Secure Tunnel Simplex
- 나라장터를 통한 구매 가능 제품
사용자 자료전송
주요기능
파일전송
- 윈도우 탐색기 메뉴 송/수신
- Drag & Drop
- 파일전송
- 폴더전송
- 인증서 송/수신
클립보드 전송
- 문자/이미지 클립보드 전송
- 클립보드 핫 키 전송(Ctrl+Shift+C/Ctrl+V)
- 클립보드 전송 방향통제
- 클립보드 문자 수 제한
- 클립보드 이미지 크기 제한
URL Redirection
- 내부망에서 허용되지 않은 URL을 외부망에 전달하여 외부망에서 인터넷 자동 접속 실행
- 대용량 메일 첨부 파일 등의 다운로드를 용이하게 함
승인
- 웹승인 프로그램 제공
- 다단계 승인, 위임, 위임자의 위임 기능 제공
- 개인정보 연동 시, 반출파일에 특정 수 이상의 개인정보 검출 시 자동으로 개인정보담당이 2차 승인자로 설정
- 승인 Pool 지원
- 미결 시 상신요청 취소
- 승인요청을 승인자에게 Agent, 메일 알람
모니터링
- 관리콘솔 제공
- 여러 관리자 등급에 따른 권한 부여
- 실시간 모니터링 대시보드 제공
- 반출 또는 반입한 원본 데이터를 별도 공간에 암호화 보관 및 보관뷰어 프로그램을 통한 Audit 기능 제공
통제관리
- 사용자/부서별 파일전송 방향 정책통제
- 사용자/부서별 전송가능한 파일 유형통제
- 사용자/부서별 전송파일 크기 및 개수통제
- 특정영역에서 송신은 차단하고 수신만 가능하도록 사용자별 설정 가능
- 특정 보안 S/W 미 실행 시 해당 사용자 망간자료전송 차단 가능
조회
- AND 혹은 OR 조건의 로그 조회 기능 제공
- 송수신, 보안위반 등 이력의 다양한 로그 제공
- 조회 된 로그를 Excel로 저장하는 기능 제공
- 전송이력의 경우, 누가 언제 어디서 어디로 어떤 파일을 반출하였는지 등의 정보 및 망연계구간별 전송시간 확인 가능
연동지원
- 인사DB (통합계정) 연동
- 고객사 결재시스템
- DRM / DLP (개인정보검출)
- PC보안, NAC를 통한 SSO
- SSO 솔루션
- APT 솔루션
- Splunk
보안기능
- 악성코드 검사 기능
- 파일 위변조 기능
- 무결성 검증 기능
- 파일 암호화 전송
- 통신 암호화 전송
지원 Agent 플랫폼
| Agent 구분 | OS Bits | 비고 | |
|---|---|---|---|
| 32 | 64 | ||
| Windows XP | |||
| Windows Vista | |||
| Windows 7 | |||
| Windows 8 | |||
| Windows 10 |
URL-Redirection 기능은 Edge 브라우저 환경에서 미 지원 |
||
| Linux | |||
| Mac OS | |||
| Agent 구분 | OS Bits | 비고 | |
|---|---|---|---|
| 32 | 64 | ||
| Windows XP | |||
| Windows Vista | |||
| Windows 7 | |||
| Windows 8 | |||
| Windows 10 | URL-Redirection 기능은 Edge 브라우저 환경에서 미 지원 | ||
| Linux | |||
| Mac OS | |||
연동지원
| 연동 구분 | 지원 여부 | 비고 |
|---|---|---|
| 인사 연동 (인사DB, EAIM, AD 등 연동) |
다양한 방법으로 조직 및 계정 정보 연동 |
|
| AD 연동 로그인 |
Agent의 AD 로그인 연동 지원 |
|
| SSO 연동 로그인 |
NAC 등 보안 소프트웨어를 통한 로그인 연동 경험 보유 SSO 솔루션을 통한 로그인 연동 경험 보유 |
|
| DRM 연동 |
파수닷컴, 소프트캠프, 마크애니 등 연동 경험 보유 |
|
| DLP 연동 |
개인정보 검출을 연동하여 승인 시 결재자에게 정보 제공 개인정보 검출 시 2차 승인으로 개인정보담당자 자동 결재 추가 시만텍, 이글아이, 파수닷컴 등 다양한 DLP 연동 경험 보유 |
|
| APT 연동 |
FireEye FX , FireEye EX , TrendMicro APT , McAfee APT , NPcore APT 등 연동 경험 보유 |
| 연동구분 | 지원여부 | 비고 |
|---|---|---|
| 인사 연동 (인사DB, EAIM, AD 등 연동) |
다양한 방법으로 조직 및 계정 정보 연동 |
|
| AD 연동 로그인 |
Agent의 AD 로그인 연동 지원 |
|
| SO 연동 로그인 |
NAC 등 보안 소프트웨어를 통한 로그인 연동 경험 보유 SSO 솔루션을 통한 로그인 연동 경험 보유 |
|
| DRM 연동 |
파수닷컴, 소프트캠프, 마크애니 등 연동 경험 보유 |
|
| DLP 연동 |
개인정보 검출을 연동하여 승인 시 결재자에게 정보 제공 개인정보 검출 시 2차 승인으로 개인정보담당자 자동 결재 추가 시만텍, 이글아이, 파수닷컴 등 다양한 DLP 연동 경험 보유 |
|
| APT 연동 |
FireEye FX , FireEye EX , TrendMicro APT , McAfee APT , NPcore APT 등 연동 경험 보유 |
※ 각종 연동은 해당 제품의 API 혹은 모듈 제공 시 연동 지원
구성도
외부에서 내부로 파일 반입 시, APT 솔루션을 연계하여 API에서 검사 후 안전한 파일만 내부 반입하도록 연동 지원 가능
서버 자료전송
주요기능
자료전송
정책에 의한 내부 → 외부 송신 / 외부 → 내부 송신
악성코드 검사
파일 위변조 검사
지원 Agent 플랫폼
| Agent 구분 | 지원여부 | 비고 |
|---|---|---|
| AIX | ||
| HP UX | ||
| SOLARIS | ||
| LINUX | ||
| Windows Server |
Windows 2003 이상 지원 |
| Agent 구분 | 지원여부 | 비고 |
|---|---|---|
| AIX | ||
| HP UX | ||
| SOLARIS | ||
| LINUX | ||
| Windows Server | Windows 2003 이상 지원 |
구성도
CrossNet 서버 자료전송은 CC인증 기반의 서버용 Agent를 제공합니다. 내부망과 외부망의 서버 간에 데이터를 정책에 따라서 전송하는 기능을 제공하며 1:N 전송이 가능한 서버에서 다수의 정책을 설정하여 사용할 수 있습니다. 하기의 아키텍처의 AD서버와 PMS 서버에 대한 전송은 사례를 기재한 것으로 서버간 자료전송의 경우도 사용자 자료전송과 동일하게 악성코드 검사와 파일 위변조 검사를 수행하여 안전한 파일만 내부로 송신하며, 양쪽 망에 있는 서버들의 운영체제가 상이하여도 송수신할 수 있습니다.
사용자 스트림연계
주요기능
연계기능
- 단방향 고속 시리얼 통신
- 정책별 전송 방향 설정 및 접속가능 시스템 통제
- 서비스, 연결 및 서버 상태 등에 대한 실시간 모니터링 기능 제공
- 이중화 구성 시 L4 스위치를 이용하여 Active-Active 사용 환경 제공
보안기능
- 망연계 구간에서는 인터넷에 알려지지 않은 통신 프로토콜 사용
- 망연계 구간에서는 암호화 통신
(AES-256bits 혹은 ARIA-256bits 및 난수방식의 키교환 알고리즘 사용) - 망연계 구간에서는 무결성 검사(SHA-512 해쉬함수 사용)
- 3-way hand-shaking 공격 및 과도한 패킷을 전송하는 Dos공격 시 해당 세션 차단
White-list기반의 정책 설정기반의 예제
사용자 스트림연계 특장점
DNS 혹은 Hosts 파일 변경 방식이 아닌 정책 설정 기반의 사용자 스트림연계 지원
타사 솔루션은 Hosts 파일 변조, DNS 변경 등을 통하여 접속 사이트의 IP 정보를 내부 망연계서버 IP로 변경하여 사이트 접속함
(Hosts에 변조된 IP로 등록된 서비스 IP주소는 내부 망연계서버 Network Interface에 Sub IP로 등록되고 외부 망연계서버의 Proxy를 이용하여 사이트 별 접속)
사용자별/부서별로 인가된 URL 사이트 접속 허용 기능
업무의 보안과 효율성을 위하여 제한적으로 인터넷링크를 내부망 PC에서 실행 시 사용자/부서별 접근가능한 사이트를 관리자가 실시간으로 정책에서 통제, 관리함
사용자 스트림연계 감사 기록(사용자별 접속 및 사용 기록)제공
사용자별 접속 및 사용에 대한 기록을 포함한 모든 보안검사 데이터는 데이터베이스에 자동으로 저장관리
악성코드 검사 및 위변조 검사
인터넷망에서 내부망으로 사용자 스트림연계 시 악성코드 검사 후 안전한 페이지만 내부로 전송
구성도
CrossNet Secure Tunnel for Proxy는 white-lists 기반의 정책 통제를 통하여 인가된 사용자에게 인가된 사이트만 제한적으로 내부방PC에서 접속할 수 있도록 하는 기능입니다. 정책 설정 및 정책의 인가 사이트 정보 반영 등이 망간자료전송시스템이 통하여 이루어지기 때문에 서버스트림연계만으로는 정책 설정 관리가 불가능합니다. 만약 서버스트림연계로만 적용하려는 경우는 기술문의하기 바랍니다.
서버 스트림연계
주요기능
연계기능
- 단방향 고속 시리얼 통신
- 정책별 전송 방향 설정 및 접속가능 시스템 통제
- 서비스, 연결 및 서버 상태 등에 대한 실시간 모니터링 기능 제공
- 이중화 구성 시 L4 스위치를 이용하여 Active-Active 사용 환경 제공
보안기능
- 망연계 구간에서는 인터넷에 알려지지 않은 통신 프로토콜 사용
- 망연계 구간에서는 암호화 통신
(AES-256bits 혹은 ARIA-256bits 및 난수방식의 키교환 알고리즘 사용) - 망연계 구간에서는 무결성 검사(SHA-512 해쉬함수 사용)
- 3-way hand-shaking 공격 및 과도한 패킷을 전송하는 Dos공격 시 해당 세션 차단
서버 스트림연계 특장점
망연계 구간에서는 인터넷에 알려지지 않은 통신 프로토콜 사용
(OSI Layer 3~4에서 자체 개발한 통신 프로토콜 사용)
1Gbps 네트워크 환경에서 단방향/양방향 800mbps 이상의 처리 속도
(요청하여 응답받을 때까지의 처리 속도)
Max 세션 : 50만개 이상 지원
Concurrent 세션 : 5만개 이상 지원
네트워크 분리구성
※ 예: 웹서버와 DB서버 통신연계
구성도
CrossNet Secure Tunnel 제품은 망분리 환경에서 분리된 망을 유지하면서 분리된 내부와 외부망에 있는 서버들간의 통신을 연계하는 솔루션 입니다. 이 방식은 인터넷 등 외부에 노출된 망에 있는 서버와 DB서버 등이 있는 내부망 간에 보안을 유지하는 안전한 통신 연계 체계를 구축할 때 사용합니다.
단방향장치
단방향장치란?
CrossNet V2.0 단방향장치는 2개의 분리된 망 사이에 위치하여 한 방향으로만 데이터가 전송되도록 하는 망연계 통신을 지원합니다.
이 장치는 내부망에서 외부망 방향으로만 데이터를 SEND하고 내부망으로의 ACK 패킷이 없고 내부망에서 외부망의 응답을 가져가는 방식의 단방향 통신을 지원합니다.
주요특징
전송 방향 설정이 불가능한 1개의 라인으로 단방향 기능 제공
내부망에서 외부망으로 SEND 패킷 전송
외부망에서 내부망으로의 ACK 패킷 차단
보안성이 높은 고속 시리얼 인터페이스인 IEEE1394 카드/케이블 사용
차별성
타 제품처럼 Send 라인과 Recv 라인이 분리된 형태가 아닌 Recv가 없는 방식
LAN케이블은 TX/RX가 있어서 단방향 구성 시, RX케이블의 단절이 필요
IEEE1394케이블은 LAN 케이블과 같은 TX/RX 전송 핀이 없어서,
RX케이블의 단절 불필요
100개가 넘는 공공기관 및 금융기관에서 검증된 보안성
특장점
2U 케이스에 2대의 망연계장비를 내장한 Appliance
Xeon 3.2GHZ CPU / 16GB 메모리 / 1TB 디스크 (RAID 1) 구성
전원 이중화
단방향 전송 시 통신 ACK 없이 전송 (Flow Control 없이 전송)
제품사양
| 구분 | 규격 | |
|---|---|---|
| 인증 | CC인증 |
다중영역구분보안 EAL2 (2011.8) 망간 자료전송 EAL2 (2013.2) - 국정원 2012.2 보안규격 기준 인증 |
| GS인증 |
2010년 GS 인증 획득 |
|
| 특허 |
특허 제 10-1227086 물리적으로 분리된 네트워크 사이의 데이터 통신 방법 및 장치 |
|
| 구성 |
내부망과 외부망의 네트워크를 물리적으로 분리하고 연결 구간은 이중화로 구성 |
|
| 통신보안 |
망분리 연결구간은 안전한 전용 프로토콜을 이용하여 보안성 강화(TCP/IP, IPX 등 알려진 프로토콜 미사용) 망연계 구간에서는 자체 개발한 ‘고속 시리얼 통신 프로토콜’인 CrossNet 프로토콜 사용 망연계 구간의 통신은 Application 방식이 아니라 Kernel 드라이버 제어 방식 망연계 구간에서의 통신은 내부망통제서버 방향에서 외부망통제서버 방향으로만 전송 가능 (일방향성 유지) 망연계 구간의 통신은 암호화 : AES-256 / 해쉬함수 : SHA-512 / Diffie-Hellman Key 교환 알고리즘 데이터베이스 접속 및 망연계 서버 간의 모든 트랜잭션 암호화 |
|
| 정책 기반 통신중계 |
실시간 정책 설정 및 반영 단방향 전송 정책 설정 |
|
| 정책 기반 전송 |
송신 전용 서버 : 송신만 가능 수신 전용 서버 : 수신만 가능 |
|
| 보안 특징 |
망연계시스템을 경유하는 3-way Hand-Shaking 공격 차단 연결된 세션에서 과도한 패킷 유입 시, 해당 세션 차단 망연계 구간에서 랜덤키 생성 방식의 패킷 암호화 |
|
| 관리 기능 |
실시간 통신연계 상태 모니터링 정책 등의 설정 정보들을 데이터베이스에 관리 및 설정, 처리이력, 오류이력 등의 조회 기능 제공 서버 그룹화 기능 제공 – 정책 설정/수정/삭제 시 여러 서버 세트에 일괄 적용 전송 기록, 오류 정보 등에 대한 정보를 Excel 파일로 내보내기 기능 통제 서버의 CPU, Memory 등 실시간 모니터링 기능 |
|
| 구분 | 규격 | |
|---|---|---|
| 인증 | CC인증 |
다중영역구분보안 EAL2 (2011.8) 망간 자료전송 EAL2 (2013.2) - 국정원 2012.2 보안규격 기준 인증 |
| GS인증 |
2010년 GS 인증 획득 |
|
| 특허 |
특허 제 10-1227086 물리적으로 분리된 네트워크 사이의 데이터 통신 방법 및 장치 |
|
| 구성 |
내부망과 외부망의 네트워크를 물리적으로 분리하고 연결 구간은 이중화로 구성 |
|
| 통신보안 |
망분리 연결구간은 안전한 전용 프로토콜을 이용하여 보안성 강화(TCP/IP, IPX 등 알려진 프로토콜 미사용) 망연계 구간에서는 자체 개발한 ‘고속 시리얼 통신 프로토콜’인 CrossNet 프로토콜 사용 망연계 구간의 통신은 Application 방식이 아니라 Kernel 드라이버 제어 방식 망연계 구간에서의 통신은 내부망통제서버 방향에서 외부망통제서버 방향으로만 전송 가능 (일방향성 유지) 망연계 구간의 통신은 암호화 : AES-256 / 해쉬함수 : SHA-512 / Diffie-Hellman Key 교환 알고리즘 데이터베이스 접속 및 망연계 서버 간의 모든 트랜잭션 암호화 |
|
| 정책 기반 통신중계 |
실시간 정책 설정 및 반영 단방향 전송 정책 설정 |
|
| 정책 기반 전송 |
송신 전용 서버 : 송신만 가능 수신 전용 서버 : 수신만 가능 |
|
| 보안 특징 |
망연계시스템을 경유하는 3-way Hand-Shaking 공격 차단 연결된 세션에서 과도한 패킷 유입 시, 해당 세션 차단 망연계 구간에서 랜덤키 생성 방식의 패킷 암호화 |
|
| 관리 기능 |
실시간 통신연계 상태 모니터링 정책 등의 설정 정보들을 데이터베이스에 관리 및 설정, 처리이력, 오류이력 등의 조회 기능 제공 서버 그룹화 기능 제공 – 정책 설정/수정/삭제 시 여러 서버 세트에 일괄 적용 전송 기록, 오류 정보 등에 대한 정보를 Excel 파일로 내보내기 기능 통제 서버의 CPU, Memory 등 실시간 모니터링 기능 |
|
구성도
