470 likes | 691 Views
Vernier Networks System 을 활용한 무선랜 보안과 관리. Enabling Mission-Critical 802.11 Networks for eBusiness. 목차. Vernier Networks System 의 위상 802.11 보안 취약성에 대한 대안 WLAN 환경에서의 새로운 도전 요소 제품 소개 주요장점 Appendix 1. 6500 Platform 소개 Appendix 2. FAQ Appendix 3. 802.1x 장비와 Vernier Networks System
E N D
Vernier Networks System을 활용한무선랜 보안과 관리 Enabling Mission-Critical 802.11 Networks for eBusiness
목차 • Vernier Networks System의 위상 • 802.11 보안 취약성에 대한 대안 • WLAN 환경에서의 새로운 도전 요소 • 제품 소개 • 주요장점 • Appendix 1. 6500 Platform 소개 • Appendix 2. FAQ • Appendix 3. 802.1x 장비와 Vernier Networks System • Appendix 4. 주요 이점 및 기능 • Appendix 5. Demonstration
802.11 보안 취약성에 대한 대안 • IEEE 802.11i WG • 표준안에 대한 보안 개선 • 표준화 작업에는 시간이 필요함. • 독자 기술로 WEP 취약성 개선 • 802.11 기반 장비 제조업체(CISCO, FUNK,…) • 공급자 시스템간 표준 없음. • 3rd party add-on 제품 (Vernier Networks) • 세밀한 권한 관리, 보완적인 인증 및 암호화 방식 • 현재로서는 최선책 Sensors online “Is wireless internet safe to use?” July 2002
WLAN 환경에서의 새로운 도전 • 보안 • 인가된 사용자 vs 인가되지 않은 사용자 • 모든 네트워크 자원의 보호 • 자원 할당 • 대역폭 • 우선 순위 트래픽 • 클라이언트 지원 • 다양한 디바이스, OS 종류와 버전, 복수 드라이버 • 이동성(휴대성) 이슈 • 지속적인 서비스 • 끊기지 않는 접속
Vernier Networks System제품 일람 • Control Server(CS) • 모든 규모의 WLAN에 대한 보안 설정과 관리를 중앙 집중 식으로 제공 • Access Manager(AM) • Giga bit 업링크 옵션이 있는 지능형 스위치로서, 12개 까지의 Ethernet 포트를 지원할 수 있고 사용자 인증, 접근 권한, 데이터 암호화를 사용자 접속, 로밍 시에 적용 • Integrated System(IS) • CS와 AM의 기능을 하나로 통합한 비용 효과적인 장치로서, 제한된 WLAN 확장이 계획되어 있는 부서 또는 소규모 네트워크에 적합.
IS 6500: • 무선랜과 유선랜사이에 존재 • 인증 및 트래픽 관리를 수행 기본 구성 : 무선 게이트웨이 Directory DB Web Server Business Appliance 인증 서버 인터넷 Guest 비인가사용자 직원
Control Server • 중앙에 위치 • 관리 • 인증 • 로밍 • 권한 설정 • Access Manager • 특수 목적의 에지 스위치 • 정책이 적용되는 곳에 위치 • 4- 12 이더넷 포트 확장성 기본 구성 : 분산 솔루션 기업 네트워크 인증 서버 인터넷 Control Server Access Manager Access Manager
권한 관리 • 접근 제어 • 사용자, 그룹, 위치, 시간 • Guest 접근 • IGMP v3 멀티캐스트 • 정교한 권한 제어 • User + Group 인증 • RADIUS • NT Domain (single sign-on) • LDAP • 802.1x • Kerberos • Active Directory • 자체 database • 네트워크 보호와 관리 • 향상된 RF 보안 • PPTP • L2TP/IPsec • IPSec DES, 3DES, AES • WEP/802.1x • 데이터 보호 • 이동성(휴대성) • Layer 3 로밍 • 디바이스 독립적 • 설정 불일치 사용자 관리 • 위치 인지 서비스 • 미래 보장 통합적 기업 솔루션 기업 네트워크 인증 서버 인터넷
주요장점 – 분산 아키텍처 • Vernier의 분산 아키텍처는 경쟁 우위적 장점 • 중앙 집중식 제어 • 확장성 • AM이 설치되어 암호화 성능은 증가 • 전개 용이성 • 고객은 서브넷으로 구성된 기존 아키텍처를 변경할 필요 없음 • 새로운 VLAN설정 및 관리가 필요없음
주요장점 - 권한설정 • 완벽하게 권한 설정 관리 가능 • 인가된 사용자와 Guest사용자에 대한 개인 및 그룹권한 설정 • Control Server 와 Integrated System에 탑재 • Web 사용자 인터페이스 및 CLI제공
주요 장점 –신속한 네트워크 구성 • 엔터프라이즈 급 802.11 기간 망 운영 가능 • 이동성과 역할 기반 보안을 포함하는 AP간 서비스 제공 • 역할 기반의 보안 • 즉시 전개 아키텍처 • 확장성 있는 802.11 네트워크의 전개 가속화 • 기존의 어플리케이션 / 관리 인프라와 투명하게 통합 • 안전한 무선 네트워크의 전개와 관리를 위한 TCO를 현격히 절감 • 접근 제어, 이동성을 포함하여 AP 서비스의 중앙 집중식 관리
주요 장점 –보안 및 로밍 • 특허 기술 • 802.11의 Layer 2 시스템 대비 Layer 3로 접근 • 정교한 “사용자별” 보안과 관리 • 802.11 장비 벤더 선택의 자유 • 클라이언트 디바이스가 아닌 네트워크에서의 지능화 • WEP 문제에 대한 포괄적 보안 솔루션 • 복수의 인증 메커니즘, 사용자 기반 인증, 사용자/그룹 권한 적용, 위치 권한 인지 • IPSec(3DES, AES), PPTP, L2TP/IPSec • 이동성을 위한 설계 • 보안도 사용자와 함께 끊김 없이 로밍됨 • 단순한 보안 솔루션을 넘어 회사의 규모 확장까지 고려한 확장된 이동 서비스를 위한 인프라 플랫폼
로밍 작동 • Client가 세션을 연다. • Client가 새로운 AM으로 이동. 인증 서버 어플리케이션 서버 파일 서버 인터넷 • AM은 CS에 사용자 존재와 권한을 검증함. Control Server • CS는 AM-to-AM 통신을 조정함. Access Manager • 기존 세션들은 터널을 통해 유지됨. • 새로운 세션들은 새로운 AM을 통해 접속됨.
Award Winning Products 2 0 0 2 “… beat out its competitors by delivering a highly appealing feature set together with excellent configuration and management capabilities” – Network Computing June 2002 The Vernier Networks System™
V3.0 New Software Highlights • 강화된 고객 지원 • 잘못 설정된 단말기도 무선랜 접근이 가능하도록 Login Page 제공 • 802.1q VLAN 지원 • Multicast 지원 • Roaming중에도 무선랜 사용자가 Multicast 응용 프로그램 접근가능 • Education Edition(Option) • 무선랜 인증 및 권한제어를 위해 기존의 학생 DB를 활용가능 • 교수가 현장에서 현장에서 권한 변환 가능 • WISP Edition(Option) • 무선랜 서비스를 제공하는 Wireless ISP에게 고객 관리를 위해 인증 및 RADIUS Account에 I/F 제공
Non-Multicast User Multicast (IGMP v3.0) 지원 Multicast Application Server
Internet Internet Proxy Server Guest User with incorrect PROXY.PAC file specified Employee Visiting Employee with incorrect fixed IP and misconfigured Proxy settings Contractor with no Internet Proxy Settings Proxy Redirection X
Backend Group Database Server Dynamically Override Default Rights XML-RPC For Example: Deny Internet Access for 15 minutes at this location for unscheduled upgrade of firewall Programmable Access Control --- --- --- --- ---
CS 6500 Control Server • 도메인내 수천의 무선랜 사용자를 중앙에서 관리 가능 • 모바일 IP대비 45%의 대역폭 절감 가능한 로밍 기능 지원 • 2U 장비 • 10/100/1000 Base-T Uplink 내장 • Fiber Gigabit Ethernet Uplink(SX or LX) 옵션제공 무선랜의 중앙 집중식 접근 및 권한제어로 TCO 절감
AM 6500 Access Manager • 특허인 초고속 Layer 3 패킷 검사 엔진 • 인가된 사용자, Guest, 그룹에 대한 권한 강제 적용 • IPSec, PPTP, L2TP/IPSec을 사용한 무선구간 보안 • Layer 3 로밍 지원 • 확장성 • 12개의 10/100 Ethernet Port 지원 • Gigabit Ethernet (LX, SX) Uplink/Downlink 지원(옵션) • 암호전용 가속기 지원(옵션) • 300Mbps이상의 Throughput 제공 • 2U의 10/100/1000 Base-T Uplink 내장 무선네트워크 끝단인 Access Point 관리 및 보안정책 강제적용 가능
IS 6500 Integrated System • 단일 장비에 Control Server와 Access Manager기능을 제공 • 사용자 인증 및 여러 장소간의 Layer 3 로밍 지원 • 확장성 • 12개의 10/100 Ethernet Port 지원 • Gigabit Ethernet (LX, SX) Uplink/Downlink 지원(옵션) • 암호전용 가속기 지원(옵션) • 300Mbps이상의 Throughput 제공 • 2U의 10/100/1000 Base-T Uplink 내장 소규모 네트워크나 부서단위의 무선 보안 및 권한 관리기능 제공
하드웨어 옵션 • Gigabit Ethernet Uplinks • 고속의 기가비트 백본을 가진 네트워크에 통합될 수 있도록 제공 • Short-haul fiber (SX) 1 port (LC) • (LC – SC Media Converter Included) • Long-haul fiber (LX) 1 port (SC) • Copper (Cu) 1-port (RJ-45) 10/100/1000Mbps • 각 카드는 슬롯 한 개를 차지함 • 6000 Series Platform과 호환됨 • Hardware encryption card • DES, 3DES 암호화 성능을 가속시킴 • 슬롯 한 개를 차지함 • 6500 Series Platform만 지원
제품 일반 FAQ • CS가 지원할 수 있는 AM 수 • CS는 클라이언트 트래픽 패킷은 처리하지 않고 AM과의 통신만을 처리함. • 100개 이상 지원하나 logon/logoff와 로밍 양에 따라 다름. • AM이 지원하는 사용자 수 • 90Mbps 이상의 트래픽 처리 • 사용자 수는 각 사용자가 소모하는 트래픽 양에 따라 다름. • 5,000 사용자까지 지원 (AM6000: 동시 사용자 100 ~ 120이 적절)
무선 보안과 관리 FAQ(1) • 무선 통신 구간 보안(Airwave security)을 지원하는 클라이언트 디바이스는? • 표준 기반의 IPsec 클라이언트를 지원하는 모든 클라이언트(Windows 2000/NT, Linux, MacOS 용) • Windows 95/98/NT/2000/XP의 PPTP • Windows 98SE/ME/2000/XP의 L2TP/IPsec • Airwave security를 사용하기 위해 클라이언트에 S/W가 요구되는가? • IPsec를 위한 표준 기반의 IPsec 클라이언트가 필요. PPTP와 L2TP/IPsec 사용시에는 이미 Windows OS에서 제공됨. • Airwave security를 사용하면 두 번 로그인? • IPsec 접속인 경우에는 한 번 • PPTP, L2TP인 경우에는 인증 서버에 따라 다름. • Airwave security를 사용하면서 L3 로밍이 되는가? 예. • Airwave security를 강제적으로 사용하게 할 수 있는 가? 예. • AM 단위로 Airwave security mechanism (IPsec, PPTP, L2TP/IPsec) 설정 가능 • 802.11 표준의 진화가 Vernier 솔루션에 미치는 영향은? • Vernier 솔루션은 Link layer 기술 (802.11b, 802.11a, 802.3 등)에 상관없으므로, 모든 802.11 표준 지원
무선 보안과 관리 FAQ(2) • CS와 AM간의 통신은 안전한가? • 예. 접속은 Challenge/Response MD5 인증을 사용하는 128 비트 암호화. 프로토콜은 Blowfish 암호화 알고리즘에 기반함. • 현재 무선에 필요한 보안을 위해 VPN과 라우터의 ACL을 사용하는 데, Vernier 솔루션이 왜 필요한가? • 사용자, 그룹, 위치의 조합에 의한 정교한 제어 기능과 로밍 기능은 VPN과 ACL 구현으로 가능하지 않음. • IS의 Rights Manager를 사용하여 추가되는 AM을 제어할 수 있는가? -예 • 현재 CISCO AP를 가지고 있고, 무선 네트워크를 보호하기 위해 LEAP과 ACS를 구현했는 데, Vernier 솔루션을 사용할 수 있는가? • 예. Vernier 솔루션은 이들 제품에 보완적임. • LEAP과 ACS는 인증과 per-session WEP 키만을 제공 • Vernier 솔루션은 정교한 접근 제어, 로밍, IPsec과 같은 강력한 암호화로 airwave를 안전하게 해 줌. • 802.1x와는 어떻게 연동하는가? • Vernier 솔루션은 추가 인증 절차가 없이, 일반적인 네트워크 인증을 위해 고객이 802.1x를 사용할 수 있게 함.
이동 사용자 성능 FAQ • 지역내 또는 지역간 사용자 이동을 어떻게 지원하는가? • 로밍은 AM간의 IP 터널을 통해 달성됨. • CS는 사용자가 다른 위치(즉, 디른 AM)로 로밍했음을 인식하여 AM들에게 세션 터널을 형성하게 함. • 시스템이 NAT를 사용하도록 설정되었으면, 기존 세션들은 터널되어 있고, 새로운 세션이 두 번째 AM에서 시작된다. • 시스템 “real IP” 모드로 설정되었으면, 클라이언트 IP를 유지하고 모든 세션을 원래 AM으로 터널을 생성함. • 802.1x가 보안 이슈를 해결하는 것으로 들었는데, Vernier 솔루션이 왜 필요한가? • 802.1x는 우선적으로 WEP에 내재된 암호화 결함을 해결하는 것이 목적 • 암호화 개선은 무선 LAN의 보안을 향상시키지만, 사용자 기반 서비스는 허용하지 않음. (all or nothing access) • 모든 보안 문제를 해결하기 위해 802.1x와 VPN을 사용할 수 있다. Vernier 솔루션이 제공하는 추가적 가치는 무엇인가? • VPN: IPsec에 의한 트래픽 암호화 • 802.1x: • 사용자 인증에 의한 접근 차단으로 all or nothing 제어 • 방문객, 고객, 계약자들에게 제한적으로 접근할 수 있는 방법 없음. • 사용자 레벨(Layer 3)에서 네트워크 상의 모든 서비스와 디바이스에 대한 접근을 제어하는 것이 부가가치임. • 네트워크상의 새로운 사용자나 디바이스는 스스로 인증되어야 하고 특정한 사용자 권한이 부여됨. • Rogue AP로 인한 보안 구멍이 발생하지 않음. • 이에 접근하는 모든 사용자가 인증을 받아야 네트워크에 접근할 수 있으므로.
802.1x와 Vernier Networks System • 802.1x • 802.11 WLAN의 보안을 개선하기 위해 인증 프레임웍을 제공하는 포트 기준 네트워크 접근 제어에 대한 표준 • 구성 3 요소 • Supplicant: user’s client software (NIC NDIS5.1) • Authenticator: Access Point • Authentication server: RADIUS server • 인증 과정의 메시지 교환: EAP over LAN (EAPOL) • EAP 메시지는 unprotected이므로, 암호화 방식에 따라, 여러 버전의 EAP가 존재 • EAP-MD5, LEAP, EAP-TLS, EAP-TTLS, PEAP
Vernier Networks System의 802.1x 지원 • Rights Manager에서 802.1x Logon 지원 여부 설정 • AP와 인증 서버간에 교환되는 메시지는 AM을 거치므로, 802.1x 지원이 설정되지 않은 경우(디폴트), 인가되지 않은 사용자의 트래픽은 통과되지 않음. • AP가 인증 서버에 접근할 수 있도록 허용된 경우(802.1x 지원 설정), 802.1x 서버의 승인 여부에 따라 네트워크 자원 접근 허용 • 802.1x 인증에 대한 보완으로, 클라이언트에 네트워크 접근 제어 정책을 적용할 수 있음.
802.1x 적용 시 장단점 • 장점 • 인증에 대해서는 원스톱 쇼핑 • 사용자 레벨 인증, 사용자 기준 세션 키 발행 • 단점 • 시판되고 있는 대부분의 802.11b AP와 NIC이 802.1x를 지원하지 않음. • 관리자는 802.1x를 하나씩 구현할 수 없고, 전체적인 시스템 업그레이드 요구 • AP와 NIC이 모두 802.1x를 지원해야 하고, 802.1x를 지원하는 인증 서버가 필요 • 클라이언트 OS의 지원 제한: 적용 비용 증가, 클라이언트 라이센스 비용 추가 • 보안 문제는 아직 존재 • Static WEP -> dynamic WEP: 아직 WEP 기반(RC4) • LEAP: Dictionary attack 가능
Vernier Networks System의 장점 • 입증된 VPN 암호화 기술 사용 • IPsec, PPTP, L2TP • PPTP와 L2TP/IPsec은 Windows OS에서 지원하므로 추가 S/W 설치없이 AM과 VPN 접속 • 세션이 살아 있는 동안, 모든 네트워크 트래픽에 대한 정교한 제어가 가능 • 802.1x는 all or nothing • 모든 AP와 client 지원 • 802.1x 지원 여부와 상관 없음. • MS Windows, Palm OS, Apple Mac, UNIX, Linux, Free BSD • AP가 아닌 인프라에 보안 장착 • 업그레이드 보장: 802.11a, 802.11g,…
주요 기능과 이점(1) Protect
주요 기능과 이점(2) Manage
주요 기능과 이점(3) Enhance
Demo시스템 구성 203.xxx.yyy.0 외부 인터넷 ②Routing G/W DNS DHCP FTP/File Server RADIUS 802.1x Syslog Server 192.168.1.254 203.xxx.yyy.zzz 192.168.0.0 100Mbps Ethernet 24 port switch AM6000 192.168.2.193 IS6000 Rights Manager 192.168.1.193 10/100 Downlink 10/100 Downlink ⑤Samsung SWL3300AP 64bit WEP key 192.168.1.2 CHANNEL 6 ⑥Samsung SWL3300AP 64-bit WEP key 192.168.2.2 CHANNEL 11 HQF11 CR101 HQF12 CR102 ①Windows 2K AiroNet 350 ③AiroPeek Windows XP Aironet 350 ④iPAQ 8350 Pocket PC 2002 Cisco 350 PCM
Network Configuration IS6000 Locations Enterprise HQFloor11(⑤ AP) Where: IS slot3/port1 Time: Always University CR101(⑤ AP) Where: IS slot3/port1 Time: Always AM6000 Locations Enterprise HQFloor12(⑥ AP) Where: AM slot3/port1 Time: Always University CR102(⑥ AP) Where: AM slot3/port1 Time: Always IS6000/AM6000 설정
⑤번 AP Location: HQF11/CS101 IS6000 Slot 3/port 1 Channel: 6 ESSID: 102 IP: 192.168.1.2 WEP Enabled 64 bit Key1: 0123456789 ⑥ 번 AP Location: HQF12/CS102 AM6000 Slot3/port 1 Channel: 11 ESSID: 102 IP: 192.168.2.2 WEP Enabled 64 bit Key1: 0123456789 AP Settings
데모 내용 • 무선 네트워크 보안 • 사용자 인증과 권한 • 무선 통신 구간 보안의 중요성 • Windows OS에서의 암호화 인증(Native L2TP/IPSec) • Rogue AP 방지 • Anti MAC Spoofing 설정 • Subnet Roaming • Location별 로그 온 페이지 설정 • Instructor Console • Radius Accounting
무선 네트워크 보안 권한(Authorization) 인증(Authentication) 암호화(Encryption)