410 likes | 718 Views
Mirage NAC The Most Powerful Agent-less NAC. 2008. 콤우시스템 신상윤 이사 010-4842-9153 / comwoo@gmail.com 이노코아 오상훈 팀장 : 010-5586-5534. CONTENTS. NAC (Network Access Control) The Market NAC 의 정의 Mirage NAC Mirage NAC Mirage NAC 의 특장점 Mirage NAC 의 주요 기능 Mirage NAC 의 구성 및 관리
E N D
Mirage NAC The Most Powerful Agent-less NAC 2008 콤우시스템 신상윤 이사 010-4842-9153 / comwoo@gmail.com 이노코아 오상훈 팀장 : 010-5586-5534
CONTENTS • NAC(Network Access Control) • The Market • NAC의 정의 • Mirage NAC • Mirage NAC • Mirage NAC의 특장점 • Mirage NAC의 주요 기능 • Mirage NAC의구성 및 관리 • Mirage NAC Products • 타제품과의 비교 • Mirage Networks 소개
The Market • “Protection” is in place: • 90% 의 기업이 antivirus software를 이용함 • 88% 의 메일을 필터링하는 솔루션을 사용함 • 70% 의 기업이 Firewall과 VPN등의 솔루션을 사용함 • But it’s not enough – in 2004: • Malware에의한 피해 증가: $169B - $204B • Affected: 200개 이상의 국가의 1억1천5백만대 이상의 단말이 피해를 입음 • 80% 의 미국기업이 피해를 입었으며 그중 30%는 100회 이상의 웜에 의한 피해를 경험 함 • Per incident impact: • 평균 시스템 다운 타임: 17 hours • 평균 개인 업무 손실 시간: 24 days
The Market Aberdeen Research, 2006 • NAC 솔루션을 도입하면서 IT 관리자들이 중점적으로 고려하는 것은 • Day-zero 공격 차단 • 기존의 Network Infra와의 통합 • End-point 단말을 Remote에서 관리 • 손쉬운 Management • 기존의 Network Infra와 독립적으로 운영 가능 • 손쉬운 구현 및 설치
The Market • 2007년 03월 네트워크타임즈 보안관련세미나 조사 자료 최근 보안에 위협이 되는 부분은?
The Market • 2007년 03월 네트워크타임즈 보안관련세미나 조사 자료 도입을 고려하고 있는 보안 솔루션은?
The Market • 2007년 03월 네트워크타임즈 보안관련세미나 조사 자료 보안시스템 중 취약한 부분은?
NAC (Network Access Control)의정의 • Network Access Control • Network Access Control 또는 Network Admission Control를 의미함 • 주요 요구 기능 • 보안정책을 강제하고 위협이 되는 Traffic을 차단 • 사용자를 인증하고 정책을 위반하는 사용자를 차단 • zero-day 및 기타 위협 요소를 차단 • 구분 • Agent-based and Agent-less (Agent 유무로 구분) • Switch-based and Appliance (장비의 형태로 구분) • Switch vendor / Software vendor / NAC vendor (업체별로 구분) Network에 접근하는 사용자 및 단말을 제어하고, Traffic을 모니터링하여 문제가 되는 단말을 제어(차단 등)하여 네트워크의 안정성을 확보하고, 정책에 기반한 네트워크 관리 구현
NAC (Network Access Control)의정의 • NAC의 핵심기능 • Pre-Admission (인증) • 네트워크에 진입하는 사용자를 인증 • 네트워크에 진입하는 단말을 인증 • 관리자가 요구하는 수준을 통과하지 못하는 단말 차단 • (Patch 상태, 방화벽 설정 여부, 보안프로그램 사용 등) • 신규 접근 단말에 대한 인증 Quarantine & Remediation • Post-Admission (Threat Prevention) • 네트워크의 위협 요소들을 검출 • 웜 및 바이러스에 감염된 단말을 검출 • 정책을 위반한 사용자들에 대한 검출 가능 • (P2P 사용자, 허용되지 않는 서비스 사용자 등)
Mirage NAC Pre-Admission (진입 인증) Full Cycle NAC • Pre-Admission • 사용자 인증 (AD, Radius, LDAP과 연동) • 단말 인증 (Patch 유무, 백신 유무, IP/MAC 인증) Post-Admission (진입 후 인증) • Post-Admission • 정책을 위반한 단말 검출 • 웜 및 바이러스에 감염된 단말 검출 • 각 네트워크 세그먼트 별로 별도의 네트워크 사용 정책 적용 Quarantine & Remediation (격리 및 치료) • Quarantine & Remediation • 정책을 위반한 단말 및 감염된 단말을 네트워크로부터 격리 • 격리된 단말에 격리와 관련된 안내 메시지 전달
Mirage NAC • Mirage NAC의 Full Cycle NAC MAP
Mirage NAC의 특장점 Agent_less • 모든 환경에서 설치 가능 • Agent를 설치함으로 발생할 수 있는 문제로부터 자유 로움 • 설치 및 유지보수의 편의성 강력한 탐지 기능 • 세계적으로 입증된 위협요소 탐지 솔루션(2007년 SC Magazine 단말 보안 부문 최고 솔루션 선정) • 네트워크의 안정성을 극대화 • 대규모 네트워크 환경에서도 최단 시간 내에 유해 트래픽 검출 격리 및 치료 • Dynamic한 격리 (격리 후 안내 메시지 전송, 격리 후 특정 서버로의 접속은 허용) • 차단 된 이유에 따라 격리 시간을 조절이 가능
Mirage NAC의 주요 기능 – IP/MAC 관리 • IP / MAC 관리 • Network에 연결된 모든 단말의 IP 및 MAC Address를 관리 • 사용 IP 및 미사용 IP Address를 구분하여 관리 • 등록되지 않은 IP / MAC Address에 대하여 접근 제어를 실행 • IP 및 MAC Address 변조 방지 단말 NOTE 작성 Known 단말로 등록 정책 강제화 IP / MAC Locking 특정 Profile에 등록
Mirage NAC의 주요 기능 - 인증 • 사용자 및 단말 인증 (ACS Server 사용) • IP 및 MAC Address에 대한 인증 수행 • 별도의 Agent를 설치할 필요 없이 모든 인증을 수행 (RADIUS, LDAP 등) • 기존의 인증 솔루션들과의 완벽한 연동 • 최신 Patch, 백신 설치 유무등에 대한 확인 가능 • 인증을 통하여 인증 되지 않은 단말에 안내 Message를 전송 • 차단된 이유 및 등록화면, 연락처 등 고객이 화면 Customizing
Mirage NAC의 주요 기능 – Network Scanner • Network Scanner • 자체 Network Scanner를 내장 (Foundstone) • 네트워크 스캐너를 통하여 단말의 현재 상태를 확인 • 새롭게 접속한 단말 및 문제가 있는 단말에 대하여 Scan 시행 • 새롭게 Network에 접근하는 단말에 대하여 Risk 평가를 위한 Scan 시행 • 문제가 있어 차단된 단말의 Network 복귀 가능 여부 확인을 위해 Scan 시행 • Risk 평가를 위한 별도의 Network Scanner 불필요 • Risk 평가를 통과한 단말만 Network에 접속이 가능하여 Network의 안정성 유지
Mirage NAC의 주요 기능 – 행동 기반 탐지 • Behavioral Technology • 모든 Packet를 Signature를 기반으로 확인하여야 하는 Signature Base 제품의 한계 • Network의 중간에 위치하여 모든 Traffic을 분석하여야 한다 (성능 한계) • 지속적인 Signature Update 및 Day-Zero 차단 한계 • Behavioral Technology • Worm 및 Virus들이 유발하는 Traffic 유형을 판단 • 정상적인 Traffic과 유해 Traffic을 기존 Rule Set을 바탕으로 판단 • 정확한 탐지를 위하여 “Dark IP Address 사용”등 특허 기술 사용 • 30Giga Traffic이 흐르는 Network에서 23초 내에 유해 단말 검출 및 차단 시행 (Network Magazine BMT 측정)
Mirage NAC의 주요 기능 – 행동 기반 탐지 • 유해 트래픽 탐지를 위하여 행동기반탐지기술을 이용 • 단말들이 통신하는 형태(행동)을 분석하여 유해 여부를 판단
Mirage NAC의 주요 기능 – Dark IP Space 사용하지 않는 모든 IP들을 활성화 Dark IP Block으로 접속을 시도하는 비정상적인 단말 확인 위협 단말을 네트워크로부터 격리 • Using Dark IP Space • 사용하지 않는 모든 IP Address (Dark IP) 대역을 활성화 • 보안에 취약한 가상시스템 생성 (Linux, Windows 98, Windows XP 등을 자동으로 생성) • 위협요소를 가지고 있는 단말은 위협요소 전파를 목적으로 모든 단말에 접속을 시도 (공격 초기 Scan 실시 등) • Dark IP Space로 과도한 접속을 시도하는 단말을 검출하여 차단
Mirage NAC의 주요 기능 – Decoy Dark IP Space에 가성의 Decoy 생성 Worm등의 Scanning을 수행하면서 Decoy에 접속 응답을 거부하여 공격지연 • Dark IP Space에 가성의 Decoy 생성 • Decoy는 보안에 취약한 Linux, XP, Windows의 가상 머신 • 실제 머신처럼 Port를 Open 하여 해킹이나 바이러스를 탐지한다
Mirage NAC의 주요 기능 – 공격지연 일반적인 공격의 경우 공격 지연 방법 Mirage NAC가 생성한 가상의 미끼(Decoy)가 공격자에게 MSS(Maximum Segment Size) 값을 최소화하여 응답 공격자는 패킷을 세분화하여 전송(속도 지연) 후 정상적으로 패킷이 전송되었는지에 대한 확인을 요청함 가상의 미끼는 요청에 대해 전송이 잘못되었다는 응답과 재 전송을 요청함으로써 공격지연
Mirage NAC의 주요 기능 – 다이나믹 격리 • 감염된 단말의 ARP Table을 조정 • 감염된 단말은 모든 IP Address에 대한 MAC 주소가 NAC 장비로 Setting 됨 • 감염된 단말의 모든 Traffic은 NAC 장비로 유도 됨 • 유도된 Traffic은 Mirage NAC가 Drop
Mirage NAC의 주요 기능 – 격리 후 조치 • Network로부터 격리된 단말에 치료를 위한 화면 표시 • 표시되는 화면은 Customizing 가능 • 차단원인, 치료방법, 연락처 등을 수록하여 표시 • 차단된 단말을 백신서버 및 Patch 서버로 포워딩 • 치료 후 Re-Scan을 시행하여 문제 존재 여부 확인 • 가능한 치료를 수행 후 Re-Scan을 시행 • Scanning하여 문제가 없다고 판단되는 네트워크로 복귀 • 관리자의 작업을 최소화
Mirage NAC의 주요 기능 – 격리 후 조치 • 차단된 원인에 따라 안내 화면 송출 치료를 위하여 특정서버로의 접속은 허용
Mirage NAC의 구성 및 관리 - 설치 Mirroring Port Switch Switch NAC Management Port Writing Port • Switch에서 Mirroring Port Setting (다수의 VLAN 구성 시 Mirroring port를 Trunk Port로 설정) • Setting된 Mirroring Port를 NAC의 Reading Port와 연결 • Mirroring Port 이용 (장애 요인 최소화) • 손쉬운 적용 (설치에 필요한 시간 약 30분) / 설치와 동시에 적용 가능 • 특정 Vendor의 제품을 사용하여야 한다거나, 특정 OS을 사용하여야 하는 제약조건 없음 (Infra-Independent) • 별도의 Agents 설치 필요 없음 • 정책서버 등 각종 추가장비 설치 필요 없음 • 성능의 구현을 위하여 여러 제품들과 반드시 연동을 하여야 하는 불편 없음
Mirage NAC의 구성 및 관리 - 설치 인증서버 (AD 등) PMS, Virus Server 등 Web Server Mirage ACS Mirage NAC Main Switch VALN 01 VALN 02 • 네트워크로부터 격리 • 격리 안내 화면 송출 • 특정 서버로 접속을 허용 • 최신 Patch 유무 • 백신 설치 유무 • 사용자에 대한 인증 MOC (Monitoring Console) 유해 트래픽 검출 시 최초 네트워크 진입 시
Mirage NAC의 구성 및 관리 - Profile • 정책 관리 • 모든 정책들은 정책들을 포함하는 Profile을 통하여 관리 • 기본적인 Profile외에 정책에 따라 Profile의 생성 및 변경이 가능 • 생성된 Profile을 이용하여 Zone을 생성 • 생성된 Zone별로 진입 제어 및 차단 등에 대한 정책을 수립하여 적용 Profile A Profile E Zone A 정책 A Profile B Profile F Zone B 정책 B Profile C Profile G Zone C 정책 C Profile D Profile H Zone D 정책 D 예 ) “외부사용자 Profile” 및 “FTP 서비스 사용 Profile”을 포함하는 Zone에 단말이 검출되면, 30초 동안 차단하고 안내메세지를 송출하는 정책을 적용
Mirage NAC의 구성 및 관리 - Profile • Default Profile
Mirage NAC의 구성 및 관리 - Profile • Default Profile • 새로운 Profile 생성 • 사용자의 네트워크 운영 정책에 따라 검출하고, 차단하고자 하는 단말 및 서비스에 대한 Profile 생성 • “Profile 생성 위저드” 기능을 이용하여 손쉽게 생성이 가능 • 모든 Profile은 AND 및 OR 등을 통하여 생성 및 변경이 가능
Mirage NAC의 구성 및 관리 - Profile • Profile 생성 예 특정시간에 접속빈도를 표시 통신 Source와 Destination 표시 포함되는 통신 유형 포함되는 않는 통신 유형 특정 Packet의 offset값을 판단 특정 Packet 및 Application에 대한 차단 가능
Mirage NAC의 구성 및 관리 - MOC • MOC Monitoring • 5개의 Priority로 구분하여 모든 단말의 상태를 확인 • VLAN별로 단말의 상태 확인 • 특정 단말의 Stream을 표시 • 단말이 통신한 IP및 Port 등 표시 • 각 단말의 Event 정보 표시 • 단말의 정보 표시 • 단말의 IP 및 MAC, 사용자 정보 표시 • 단말이 현재 상태를 Profile별로 표시 • Address Space 표시 • 실제 사용 IP 및 가상으로 생성된 IP 정보 표시 • Scanning 한 단말의 정보 표시 • 단말의 OS, 서비스 Port 정보 표시
Mirage NAC의 구성 및 설치 – 중앙 관리 • Central Management • 별도의 MOC를 통하여 여러 대의 NAC를 중앙에서 집중 관리 • 정책관리 및 각종 보고서 등을 통합적으로 관리 • 전체 네트워크 및 개별 세그먼트 네트워크의 현 상태 점검 및 모든 Activity 확인
Mirage NAC의 구성 및 설치 – 구성 예 네트워크를 세그먼트 별로 별도의 정책으로 관리 각 세그먼트 별로 그 중요성 및 필요성에 따라 정책을 설정하고, 설정된 정책에 따라 관리 관리자의 작업을 최소화하여, 업무 효율성을 증대 자체적으로 위협을 감지하고, 차단하고, 치료하여 내부 네트워크를 안전하고 효율적으로 관리
Mirage NAC Products • NAC • NAC • 지원 단말의 숫자는 성능을 기준으로 함 • N-120 / N-125의 경우 별도의 관리 서버가 있어야 함
Mirage NAC Products • Management Server & ACS
Mirage Networks 소개 – Awards • Awards • Info Security Hot Companies 2007 • Best Anti-Worm, Anti-Malware, SC Magazine/RSA 2006 • InfoSecurity Customer Trust Product Excellence Award, 2006 • Software Development magazine: four star product review, May 2005
Mirage Networks 소개 – Customers • 웜 및 바이러스 차단 목적으로설치 • 지역 세관에서 웜 등이 발생하여 세관 업무에 장애 발생 (부산 세관에 문제가 되던 단말 등 탐지, 차단) • 본청 및 주요 세관에 우선 설치 (2006년) • 2007년 전국 세관으로 확대 설치 (전국 약 30개소에 설치) • 기존에 PMS 및 IP 관리 솔루션 등 사용 / 지속적인 지협적인 장애 발생 • 스파이웨어 및 웜에 감염된 단말 탐지 및 차단 • 본청 및 지역 센터에 우선 설치 (2007년) • 2008년 전국의 세무서로 확대 적용 예정 • 웜 및 바이러스 차단 목적 / 인가되지 않은 사용자에 대한 차단을 목적으로 도입 • 인가되지 않은 사용자에게서 발생하는 문제 원천 차단 • 본청 및 주요 지역 센터, 연수원에 설치 (전국 약 15개소에 설치) • 내부 네트워크의 효과적인 관리 및 단말 관리를 목적으로 도입 • 내부 사용자들을 등록하여 단말을 관리하고 허용되지 않은 서비스 사용자 차단 • 본부에 설치 • 내부 단말 관리 및 유해 트래픽 차단 목적으로 도입 • 전체 VLAN을 모니터링 하여 문제가 되는 단말을 탐지 / 차단
Mirage Networks 소개 – Customers Finance Government Healthcare Professional Services Higher Education K-12 Manufacturing Other
Mirage Networks 소개 – Partner IBM Internet Security Systems (formerly ISS) has formed an alliance with Mirage Networks to provide Network Access Control to global enterprise customers. (Signed November, 2006) Extreme Networks provides organizations with the resiliency, adaptability and simplicity required for a truly converged network that supports voice, video and data over a wired or wireless infrastructure, while delivering high-performance and advanced security features. (Signed March, 2005) Mitsui Bussan Secure Directions, a subsidiary of Mitsui & Co., Ltd. - one of the world’s most diversified and comprehensive trading and services companies - powers Mirage NAC sales in the Japanese marketplace. (Signed October, 2004) AT&T resells Mirage NAC in its managed services portfolio. Marketed as AT&T Managed IPS™, it represents the AT&T commitment to enabling business to be conducted effectively, efficiently and securely across both wired and wireless IP networks. (Signed March, 2005) Part of the Avaya DevConnect Program, Mirage works with Avaya to develop world-class interior network defense solutions, particularly for emerging IP telephony technology.
미라지 NAC 요약 The Easy NAC Solution. Agentless: requires no agent software Full Cycle: pre- and post-admission policy enforcement Zero-Day threat prevention: Behavior-based Infrastructure Independent: all networks, all devices, all OSs Out-of-band deployment, in-line effectiveness Quarantines at Layer 2 without switch integration Patented technology
Thanks you 콤우시스템 : 신상윤 이사 010-4842-9153 / comwoo@gmail.com 이노코아 오상훈 팀장 : 010-5586-5534