인터넷을 사용하는데 필수적인 FireWall, VPN 기능에 IPS, Spam/Virus Filter, Web Contents Filter 기능을 모듈형식으로 통합한 하드웨어 일체형 솔루션
- 암호화를 통해 비밀성 보장이 가능한 네트워크 구성
- Spam Mail과 Virus Mail을 유형별로 정의 하여 차단
- 네트워크 구간에 개별 침입방지 모듈을 독립적으로 로드하여공격에 대한 탐지 및 차단
클라우독의 망분리 솔루션인 NetworkLock 은 인천교육청에 적용하여 사용중이며, 그밖의 많은 기업에서 도입하고 있습니다. 금감원과 정부 등이 앞으로 CC 인증이 없는 망분리 솔루션을 적극 검토하고 있는 상황에서 향후 이 솔루션의 가능성은 상당합니다.
기존의 물리적망분리가 HW 비용과다 투자로, SBC 방식은 HW와 가상화 솔루션에 더해 MS 라이선스의 과다투자로 몸살을 앓았습니다. 또한, CBC 방식의 경우 안정성 부재로 기존 공급업체들이 사업을 포기하거나 심각한 재정난을 겪기에 이르렀습니다.
클라우독이 제공하는 망분리 기능인 NetworkLock 은 최소비용으로 최고의 효괄르 낼 수 있는 망분리 방식입니다.
인터넷을 사용하는데 필수적인 FireWall, VPN 기능에 IPS, Spam/Virus Filter, Web Contents Filter 기능을 모듈형식으로 통합한 하드웨어 일체형 솔루션
- 암호화를 통해 비밀성 보장이 가능한 네트워크 구성
- Spam Mail과 Virus Mail을 유형별로 정의 하여 차단
- 네트워크 구간에 개별 침입방지 모듈을 독립적으로 로드하여공격에 대한 탐지 및 차단
클라우독의 망분리 솔루션인 NetworkLock 은 인천교육청에 적용하여 사용중이며, 그밖의 많은 기업에서 도입하고 있습니다. 금감원과 정부 등이 앞으로 CC 인증이 없는 망분리 솔루션을 적극 검토하고 있는 상황에서 향후 이 솔루션의 가능성은 상당합니다.
기존의 물리적망분리가 HW 비용과다 투자로, SBC 방식은 HW와 가상화 솔루션에 더해 MS 라이선스의 과다투자로 몸살을 앓았습니다. 또한, CBC 방식의 경우 안정성 부재로 기존 공급업체들이 사업을 포기하거나 심각한 재정난을 겪기에 이르렀습니다.
클라우독이 제공하는 망분리 기능인 NetworkLock 은 최소비용으로 최고의 효괄르 낼 수 있는 망분리 방식입니다.
802.1X 적용 사례(차세대 정보보안을 위한 동적 네트워크 환경 구성과 접근통제)MinChoul Lee
2015년 9월 7일 ISEC에서 발표한 802.1X 사례 발표자료입니다.
802.1X 적용을 고려하고 있는 분들은 참고하세요~
발표자료에 대한 구체적인 구현 방법은 "네트워크 접근통제 시스템 구축"과 "무선 네트워크 리모델링"을 참고해주세요.
- 네트워크 접근통제 시스템 구축: http://www.yes24.com/24/goods/15899949?scode=032&OzSrank=1
- 무선 네트워크 리모델링: http://www.yes24.com/24/Goods/38467332?Acode=101
1. 서울시 구로구 구로동 222-12 마리오타워 1209 호 Tel:02)890-6650 Fax:02)890-6654 www.handream.net
2. Ⅲ . 보안스위치 제품군 및 VIPM 소개 Ⅲ 보안스위치 제품군 및 VIPM 소개 - 09 -
3.
4.
5.
6. 네트워크와 보안이 통합된 Layer2 보안 스위치 Wire Speed with Clean-zone 통합 관제 시스템 성능 및 가격의 우수성 ASIC 기반의 Security Engine Attack 의 실시간 History log 제공 혁신적 기능 현실적 가격 Ⅲ Ethernet Security Switch 의 Benefit - 13 -
7.
8. 2 차 백본 외부 및 Core 망 보안 솔루션 (IPS, Firewall, L4 switch) 1 차 백본 Access 레벨 모바일 사용자 또는 이동성 매체 (USB 메모리 등 ) 에 의한 감염 가능성 증가 Core 망의 보안은 강력하지만 Access 레벨의 보안은취약 내부 네트워크 침해 사고 발생시 급속하게 확산 된다 . IPS L4 Switch L4 Switch Access 레벨의 단독형 보안 솔루션이 없다 Ⅲ 네트워크 보안의 문제점 - 15 - Internet
9. 내부보안에 대한 위협 ※ ARP Spoofing 과 같은 L2 레벨에서 일어나는 네트워크 패킷 변조를 통한 해킹 행위 탐지 어려움 - 16 - 모바일 기기 사용의 증가로 인한 내부 보안 사고 증가 Ⅲ L2 레벨의 보안이슈 시스템권한 (ERP/ 그룹웨어 ) ID/PWD 등 인증정보 메일내용 개인신상정보 데이터 파일 통화내역 Data Sniffing 개인정보 및 기업비밀정보 유출 IP Telephony 음성통화 도청 / 감청 내부 사용자에 의한 해킹 외부 사용자에 의한 해킹 의도적 해킹툴을 이용한 기밀 정보 해킹 바이러스에 의한 인지하지 못한 해킹 발생 Internet
10. 2 차 백본 외부 및 Core 망 보안 솔루션 (IPS, Firewall, L4 switch) 1 차 백본 Access 레벨 업무의 연속성 보장 문제원인 실시간 파악 네트워크 인프라 보호 강력한 Reporting 기능 제공 Zero-day 공격 실시간 차단 단독형 (Stand-alone) 구성 실시간 차단 정보 전송 IPS L4 Switch L4 Switch Ⅲ 솔루션 – Ethernet Security Switch - 17 - Internet
11. Security Real-time detection and protection by traffic sniffing. Self-running No signature update based Simple No management for clean-service Ⅲ ASIC 기반의 MDS(Multi Dimension Security) Engine Full port wire speed with Security - 18 - ESS2224 Architecture ASIC based Security Engine
12.
13. ARP Spoofing 의 공격 방법 - 서브넷의 모든 호스트 MAC 주소 SCAN - ARP Spoofing 대상 선택 - ARP Spoofing 공격 관련 어플리케이션의 데이터 스니핑 (ID/PASS, FTP, HTTP, POP, VOICE....) 피해 시스템 에서의 증상 - 네트워크 속도 저하 ARP 패킷 다량 수신 공격 시스템 에서의 증상 - 네트워크 사용량 증가 - 정기적인 ARP 패킷 발송 IP Telephony - Voice 도청 , 녹취 Data sniffing - 개인정보 및 기업 내부의 기밀정보 유출 패킷을 변조한 후 전송 ( 금융 기관 등을 사칭하는 피싱 또는 파밍 공격 ) ARP Spoofing 공격 Ⅲ MDS Engine 의 특징 1 - ARP Spoofing (Layer 2 level hacking) - 20 - 호스트 -A ARP Cache IP Addr Mac Address 192.168.1.1 xxxx15a xxxx17c 호스트 -B ARP Cache IP Addr Mac Address 192.168.1.3 xxxx13b xxxx17c MDS arp-table Port Mac/IP Address 3 1 5 Xxxx17c 192.168.1.13 Xxxx13b 192.168.1.3 Xxxx15a 192.168.1.1 IP Addr : 192.168.1.13 MAC Addr : xxxx17c IP Addr : 192.168.1.1 MAC Addr : xxxx15a IP Addr : 192.168.1.3 MAC Addr : xxxx13b
14. Layer 4 based analysis & protection No signature update base MAC source/dest address IP source/dest address/port IP range TCP flags Protocol (TCP/UDP/ICMP) TCP/UDP dest port Port pattern/IP pattern Detection count IP Spoofing, DHCP Attack, ICMP Attack Cable disconnected MAC Flooding, MAC 변조 , ARP Attack TCP Syn flooding (DoS/DDoS/Random Attack) UDP flooding, Scanning Physical Data Network Transport Ⅲ MDS Engine 의 특징 2 - Network Attack Protection (Layer 4 level) - 21 - Cable Loopback Test
15.
16.
17. 해킹 / 공격 / 장비 실시간 모니터링 네트워크 자원 관리 [IP/MAC/SWITCH PORT] 유해트래픽 차단 정보 실시간 레포팅 / 검색 - 24 - Ⅲ 통합 보안 관제 시스템 공격자 Port Connect Port Up-Link Port Attack Alert
18.
19.
20. 비 인가 시스템의 네트워크 접속 제어 네트워크 사용 현황 모니터링 및 로그 관리 유해트래픽 및 해킹 차단 주요 전산장비 보호 설정 문제 발생 시스템에 대한 신속 한 대응 IP 자원의 효율적인 관리 네트워크 신뢰성 향상 Ⅲ 보안 스위치 제품군 및 VIPM 소개 ◈ VIPM 의 도입효과 - 27 - 내부 네트워크 보안 강화 내부 네트워크 통합 보안 관제 시스템 구축
21. ◈ VIPM 의 제품 구성 Ⅲ Visual IP Manager 소개 Ethernet Security Switch Ethernet Security Switch 24Port 10/100 Base-TX 2Port 10/100/1000Base-TX SFP Slot Visual IP Manager Server O/S Linux / Apache Webserver 권장 H/W Spec Intel X86 / Memory 2GB 이상 (2000User 기준 ) - 28 -
22.
23. [Visual IP Manager] [L2 Switch] VIPM : L2 Switch 를 이용하여 관리 타 제품 : 외부장치 (Probe) 를 이용하여 관리 수행 외부 디바이스 Probe Multi-Dimension Security Engine 내장 -IP, 인증 , 유해트래픽 등에 대하여 L2 Switch 가 직접 관리 ① Data Gathering ② 정보 전송 ③ ARP Reply 패킷 전송 정보 전송 Ⅲ Visual IP Manager 소개 부정 IP 차단 시 트래픽 발생이 없음 스위치 포트에서 차단 정책을 수행하여 불필요한 패킷 발생 없음 부정 IP 차단 시 불필요한 트래픽 발생 직접적인 제어가 불가능한 Probe 를 통한 구성으로 , 부정 IP 와 동일한 가상의 IP 시스템을 이용한 IP 충돌 방식으로 불필요한 다량의 패킷을 발생시켜 네트워크의 운영의 장애 요인이 됨 완벽한 인증 시스템 구축 IP+MAC+ 스위치의 포트를 이용한 인증방식으로 완벽한 접속제어 가능 인증 시스템의 신뢰성 저하 IP 와 MAC 정보만으로 접속제어를 함으로 위조된 패킷 의 경우 대응이 불가 관리 포인트가 증가 하지 않음 스위치를 이용한 구성으로 별도의 관리가 필요 없으며 , 추가 적인 비용 발생이 없음 관리 포인트의 증가 Probe 를 이용한 구성으로 관리 포인트가 증가하며 , Probe 구매에 의한 추가적인 비용 발생 L2~L4 레벨의 유해트래픽 차단 유해트래픽 발생시 대응 불가 ◈ 제품 비교 분석 - 30 - Good Bad Good Bad Good Good Bad Bad
24.
25. A 지사 ※ 각 스위치부터의 제어 / 통제정보가 서울 본사에서 일원 관리됨 ※ B 지사의 관리자는 서울본사에 있는 IPM 서버에 접속하여 B 지사의 관리를 실행함 접속차단 연구소 본사 B 지사 관리자 부정접속 PC 불법반입 PC 부정접속 PC 미등록 노트 PC 접속차단 B 지사 IPM 서버 본사 관리자 ▼ 실시간 전체 네트워크 상황 ▼ 네트워크 리소스 상황 ◈ VIPM 네트워크 구성 예 – 2. 본사 및 지사 관리 내부 네트워크 IP 자원에 대한 통합 보안 관제 시스템 구축 Ⅲ Visual IP Manager 소개 - 32 -
26. ◈ VIPM 관제 시스템 (1) - 실시간 네트워크 현황 모니터링 Ⅲ Visual IP Manager 소개 - 33 -
27. ◈ VIPM 관제 시스템 (2) – IP Address 사용 현황 Ⅲ Visual IP Manager 소개 - 34 -
28. ◈ VIPM 관제 시스템 (3) - 유해 트래픽 차단 정보 Ⅲ Visual IP Manager 소개 - 35 -
29. ◈ VIPM 관제 시스템 (4) - 네트워크 인증 설정 (IP+MAC+Switch port ) Ⅲ Visual IP Manager 소개 - 36 -
30. ◈ VIPM 관제 시스템 (5) - 스위치 별 네트워크 사용 현황 ( 접속 유저 , IP 사용현황 , 트래픽 발생 현황 ) Ⅲ Visual IP Manager 소개 - 37 -
31. ◈ VIPM 관제 시스템 (6) - 유해트래픽 공격 형태별 분류 Ⅲ Visual IP Manager 소개 - 38 -
32. Ⅲ Visual IP Manager 소개 - 39 - 서비스의 안정화 투자비용 절감 네트워크 자원관리 내부공격 차단 해킹차단