350 likes | 794 Views
2006. 09. 1. 기업 네트워크 보안 현황. 2. 환경의 변화. 3. IEEE 802.1X. 4. 유넷시스템의 NAC 제언. - 2 -. 1. 기업 네트워크 보안 현황. 일반적 네트워크 보안 시스템 구성. 기업 네트워크 관리 및 보안 현황. 정보보호 Hype Cycle. 일반적 네트워크 보안 시스템 구성. 1 . 기업 네트워크 보안 현황. 방화벽 , IPS, VPN, Virus Wall, 발신통제 , ESM, 유해사이트 차단 등을 선택적으로 적용. DMZ. NIDS.
E N D
1 기업 네트워크 보안 현황 2 환경의 변화 3 IEEE 802.1X 4 유넷시스템의 NAC 제언 - 2 -
1 기업 네트워크 보안 현황 일반적 네트워크 보안 시스템 구성 기업 네트워크 관리 및 보안 현황 정보보호 Hype Cycle
일반적 네트워크 보안 시스템 구성 1. 기업 네트워크 보안 현황 • 방화벽, IPS, VPN, Virus Wall, 발신통제, ESM, 유해사이트 차단 등을 선택적으로 적용 DMZ NIDS 발신통제 VirusWall HIPS INTERNET Backbone Switch Router Firewall VPN NIPS HIPS ESM
기업 네트워크 관리 및 보안 현황 1. 기업 네트워크 보안 현황 • 관문 보안 중심으로 외부로부터의 보안 위협 차단에 치중 • 이동 업무 환경 확산 및 다양한 우회 경로에 의한 기업 내부 보안 위협 노출 • 경계 보안 정책 적용으로 인한 보안 정책 복잡성 증가, 유연성 저하, 변경에 따른 신속성 저하 • 내부 보안 피해 발생 시 급속히 피해 확산 • 다양한 사용자군의 혼재에 따른 차별적 보안 정책 구현 불가 외부 인력의 내부 네트워크 사용 증가 내부 보안 위협 노출 협력사 INTERNET INTERNET 공급사 외부 해커/바이러스 차단 불법 외부 접근 차단 INTRANET Firewall/IPS INTRANET 복잡한 경계 보안정책 VPN Virus Wall NIDS 유해사이트차단 내부 보안 피해 급증 내부 사용자 ※ 정규, 협력사, 자회사, 공급사 임직원 혼재
정보보호 Hype Cycle 1. 기업 네트워크 보안 현황 • NAC, HIPS on PCs 등이 새로운 이슈로 등장, WPA 보안은 관심 적어졌으나 2년 이내 성숙기 진입 예상 (업계에 회자되는 가시성) • NAC(Network Access Control)의 등장 • TCG에 대한 관심도 하락 • PC HIPS 강세 • Deep Packet Inspection F/W, IPS 이슈화 지속 • WPA Security 3단계 유지 • PMS는 안정기 진입 • All-in-One Security Appliances 사라짐 • Role Planning, Audit & Compliance 등장 2004년 2005년 (기술의 성숙도) • Technology Trigger • 상품의 출시를 알리거나 언론에 큰 반향을 일으키는 어떠한 이벤트를 벌이는 단계 • Peak of Inflated Expectations • 갑자기 기술에 대한 평판이 과장되는 단계로 과장되고 부풀려진 기대가 최고 정점에 달한 시점 • Trough of Disillusionment • 몽상에서 깨어나는 시점으로 언론에서 떠들던 것들이 과장이었다는 것을 인식하는 단계 • Slope of Enlightenment • 서서히 시장에서 받아들여지는 단계 • Plateau of Productivity • 널리 알려지고 받아들여지게 되는 단계
2 환경의 변화 정보보호 패러다임의 변화 네트워크 관리 패러다임의 변화 최근 네트워크 보안 이슈
Total Security Safety to Annomaly behavior Protection from Malicious behavior IT 운영/관리 솔루션 ESM IPS Convergence NMS BCP SMS 정보보호 솔루션 UTM ITIL ERP … PKI F/W DRM 백신 정보보호 패러다임의 변화 2. 환경의 변화 • 컴퓨팅 환경의 변화 및 사이버 공격 양상의 변화에 따른 정보보호 대상 및 개념의 동반 변화 • 기업의 정보보호 관련 예산 및 인력 축소에 따라 지능적이고 통합적인 보안 시스템의 요구 증대 • IT 운영/관리 솔루션과 정보보호 솔루션의 융합화 태동 • 메인프레임(‘60) 중소형 컴퓨터(’70) 개인용 컴퓨터(’80) 인터넷 컴퓨팅(’90) 모바일 컴퓨팅(2000) 유비쿼터스 컴퓨팅의 도래 컴퓨팅환경의 변화 • 공격 대상의 다양화, 공격 목표의 구체화, 공격의 신속화 및 대규모화, 첨단 공격기술의 융합화 사이버 공격 양상의 변화 • 물리적 기반 하드웨어 기반 시스템 기반 내용 기반 정보보호 • Host Network Mobile/Endpoint 보안 대상의 변화 및 확대 예산/인력 축소 정보보호 개념의 변화
네트워크 관리 패러다임의 변화 2. 환경의 변화 • 누구나 접근할 수 있는 현재의 네트워크 관리 정책에서 인증과 무결성(Integrity)이 확인된 후 허용 현재의 패러다임 요구되는 패러다임 [출처 : Gartner’s Network Access Control Model, 2005]
최근 네트워크 보안 이슈 2. 환경의 변화 무선랜 보안 무선랜 개념 및 표준화 • 유선 케이블 대신 전파 또는 적외선을 사용하여 허브에서 단말까지 네트워크 환경을 구축하는 기술 • IEEE 802.11b/a/g 까지 표준화 완료되어 54Mbps 지원 보안 이슈 • IEEE 802.11의 기술적 보안 문제점 • 단순 Pre-Shared Key를 통한 사용자인증 • 짧은 WEP Key Initial Vector(24bit)로 인한 WEP Key의 재사용성 • Static WEP Key 분배 및 관리 • CRC에 의한 선형적인 Integrity Check • Default SSID 또는 추측 가능한 SSID의 사용 및 Broadcasting • 불법 AP를 통한 접속 • Tunneling 되지 않은 사용자 인증정보 전달 • 취약점 유형 분석 IEEE 802.11i & WPA 2 표준화
최근 네트워크 보안 이슈 2. 환경의 변화 NAC (Network Access Control) 가트너그룹의 NAC 모델 • 접속 단말에 대한 보안 평가, 보안문제에 대한 대응, 네트워크 접근 허용, 보안정책 준수에 대한 지속적인 모니터링 및 대응에 대한 업무 순환 절차 “Gartner’s Network Access Control Model”, Gartner, Lawrence Orans, 2 August 2005
최근 네트워크 보안 이슈 2. 환경의 변화 NAC (Network Access Control) 주요 구성 요소 • 사용자/시스템 인증 • 시스템 또는 사용자의 신원 확인(IEEE 802.1X, DHCP, Network Device, Appliance) • 정책 점검 • 네트워크 접근 허용 전에 취약점 및 부여된 정책에 대한 Compliance 점검 • OS 보안 패치, 필수/비인가 S/W 설치, Anti-Virus 최신 엔진, Worm 시그너처 등 • 격리(Quarantine) • 신원 미확인 사용자/시스템 또는 정책 미준수 사용자/시스템에 대한 네트워크 접속 제한 • 네트워크 접속 후에도 권한/Role에 맞는 ACL(Access Control List) 적용 • 치료(Remediation)를 위한 연동 서버 Zone으로 격리 • 치료(Remediation) • 부여 정책 위배 사용자/시스템에 대한 S/W 삭제/설치, 업데이트, Virus Vaccine 가동, 패치 적용, 경고(사용자 유도) 등 • 강제(Enforcement) • 사용자 인증 또는 정책 적용 우회 경로에 대한 차단 • 격리(Quarantine)에 대한 실질적 구현(Agent, 네트워크 인프라 연동, Appliance 등)
3 IEEE 802.1X Basic Concept 필요성 확장성
Intranet Basic Concept 3. IEEE 802.1X • 2001년에 최초 표준화된 후 현재 IEEE 802.1X-2004까지 표준화 • Supplicant(사용자 단말) + Authenticator(AP/Switch) + Authentication Server로 구성 • 무선 랜의 보안 취약성 극복을 위해 상용화되었으며, 최근 유선 Switch에서도 지원하면서 유/무선 통합 사용자 인증의 최적의 대안으로 활성화 EAP over LAN EAP over RADIUS (유/무선 네트워크) (유선 네트워크) Supplicant Authenticator Authentication Server Security capabilities discovery 802.1X Authentication 802.1X Key 관리 RADIUS-based Key 분배 Data protection Authenticator Authentication Server 인증수행 uncontrolled port Supplicant controlled port
필요성 3. IEEE 802.1X • 무선랜 보안 표준인 IEEE 802.11i 및 WPA 2에서는 IEEE 802.1X를 필수 요소로 규정 • Layer 2(Data Link)에서 동작하므로 강력한 네트워크 접근 정책 구현 가능 • 유선랜 환경에서의 사용자인증과 무선랜 환경의 사용자인증 및 보안을 모두 제공 • Port control을 통한 비 인가된 사용자들의 네트워크 접속을 원천적 차단 • 다양한 사용자인증 프로토콜과 데이터 암호화 알고리즘을 수용할 수 있는 확장성 제공 유/무선 사용자 인증 수용 비인가자 네트워크 접속 차단 비인가자 802.1x 지원 Switch 영업부 개발부 유선랜 사용자 802.1x지원 Switch 802.1x 인증 Authentication Server 802.1x 지원 AP 무선랜 사용자 비인가자 802.1x 지원 AP 무선랜 사용자 IEEE 802.1x 인증을 거치지 않으면 내부 네트워크의 IP주소를 알아도 내부 네트워크에 접속할 수 있는 기회가 원천적으로 차단됨 IEEE 802.1x를 이용 유선랜 사용자인증과 무선랜 사용자인증을 모두 수용
Authentication Server Authenticator Supplicant 확장성 3. IEEE 802.1X • 네트워크 인증뿐 아니라 서버 시스템 및 어플리케이션 인증까지 수용 가능 • SSO/EAM/IAM과의 통합을 통한 네트워크와 어플리케이션의 통합 접근 및 권한 제어 구현 • PMS, Virus Vaccine 연동을 통한 NAC(Network Access Control) 구축 가능 802.1X Agent + SSO/EAM/IAM Agent EAP over LAN EAP over RADIUS 권한정보 (LDAP) 무선 AP 및 유선Switch INTRANET UNIX/Windows 서버 EAP over RADIUS EAP over UDP 방화벽 Application/Package SW SSO/EAM/IAM Manager Application (SSO/EAM/IAM API)
4 유넷시스템의 NAC 제언 접근 전략 통합 인증 및 암호화 Endpoint Security Zero Day Worm 방어 Quarantine & Enforcement 특징 및 장점 발전 전략
접근 전략 4. 유넷시스템의 NAC 제언 • NAC와 Network Agility의 융합을 통한 보안성 및 효율성 제고 • 국내 환경에 최적화된 완벽한 NAC Framework 제공 • Endpoint 단위 보안 시스템과의 Open API를 통한 유기적 통합 • 네트워크 장비 및 구성에 독립적인 NAC 구현 NAC Network Agility • NAC Framework 제공 • IEEE 802.1X 기반의 NAC • 위협 관리 체계 구축 • 네트워크 장비 및 구성 독립성 보장 • 802.1X Enforcer • 인증 시스템과 연계된 DHCP & DHCP Proxy • Compliance 검증 단말에 대한 ACL 적용 • HP ANA의 User Network Management Tool UNET NAC 보안성 강화 효율성 향상 Customization 무선 랜 보안 • Open API를 통한 편리한 단위 보안 시스템 연동 • Legacy System 연동(HR, SSO, EAM, IAM, IPMS, Inhouse SW, …) • IEEE 802.11i 및 WPA 2 지원 • Nespot & WZC 호환 • 무선 랜 Switch 및 WIDS 연동
통합 인증 및 암호화 4. 유넷시스템의 NAC 제언 무선 인증 및 보안 • IEEE 802.11i 및 Wi-Fi WPA 2에서는 IEEE 802.1X를 필수 보안요소로 규정 • 무선 랜의 보안 취약성 보완을 위한 강력한 사용자 인증 및 암호화는 물론 업무 연속성 측면에서도 Anyclick의 도입은 필수 Access Point Wireless Gateway Wireless Switch Agent 데이터 암호 구간 IEEE 802.1X Enable 접속인증 Backbone Switch Server 사무환경 간이 판매대 외판사원 물류창고 홈네트워크 유통매장
통합 인증 및 암호화 4. 유넷시스템의 NAC 제언 유선 인증 • NAC(Network Access Control) 개념의 대두와 더불어 핵심 인프라로 부상 • All Port Authentication을 위한 H/W Adapter 도입 필수 End Point Switch L3 Switch H/W Adapter Agent S/W Supplicant S/W Supplicant IEEE 802.1X Enable 접속인증 Backbone Switch Server 인증여부검증 대기업 인력 유동성 높은 기업 Mission Critical Area DHCP
LDAP Ldap Ldap LDAP Ldap Ldap LDAP Ldap Ldap 통합 인증 및 암호화 4. 유넷시스템의 NAC 제언 서버 시스템 및 Application • IEEE 802.1X + RADIUS + Authenticator + IM(Identity Management) RADIUS 인증 지원 시스템 & S/W 사용자 단말 RADIUS Client Agent Legacy Access (telnet, ftp) 변형된 IEEE 802.1X (특허등록) RADIUS Anyclick Authenticator IEEE 801.1x Agent Provisioning Server 인증 요청 사용자 정보 Authenticator 연동 불가능 시스템 & S/W Authenticator 연동 가능 시스템 & S/W
단위 보안 시스템 웜/바이러스 탐지 시스템 Plug-in Architecture Agent Server Endpoint Security 4. 유넷시스템의 NAC 제언 Open Plugable Architecture • Endpoint Compliance 검증을 위한 Agent간의 표준 API • 웜/바이러스에 의한 격리 정보 수집을 위한 Server side 표준 API PMS(Patch Management) HIPS, PC F/W Anti-Virus Vaccine Anti-Spyware In-house S/W … NIPS, NIDS, Anymon … Polling & Event Driven (API, Log, Registry) GINA Module PC 상태 정보 Authentication 격리 수준 정책 검증 Module Legacy DHCP Plug-in Architecture 정책 서버 사용자 정책 DHCP Proxy DHCP 정책 수신 Module 802.1X 인증 Module 인증 서버 ACL Driver
Endpoint Security 4. 유넷시스템의 NAC 제언 Endpoint Policy Check • 주요 솔루션 설치 여부 • 필수 S/W 설치 및 프로세스 기동 여부 • 금지 S/W 설치 및 프로세스 기동 여부 • PMS, Anti-Virus, HIPS, Anti-Spyware 설치 및 기동 여부 • PC 보안 정책 준수 여부 • Host Name 보안 위배 여부 • Administrator 계정 사용 여부 • 기본 공유폴더 사용 상태 여부 • 공유 폴더 사용 상태 • Login 계정 취약 패스워드 사용 여부 • 공유 폴더 패스워드 확인 및 취약 패스워드 사용 여부 • 불필요한 Port 사용 여부 • OS 보안 패치, 시그너처 업데이트 여부 • 최근 SCAN 일자 확인 및 감염 여부 • MAC 주소 변조 여부 • 네트워크 차단 또는 격리에 따른 다양한 사용자 메시지를 통한 안내
Server Endpoint Security 4. 유넷시스템의 NAC 제언 Endpoint Remediation • Endpoint 정책에 위배되는 단말은 특정 네트워크 존으로 격리한 후 PMS를 이용하여 S/W 설치, 업데이트, 패치 적용 • Dynamic VLAN 또는 ACL 서버에 의한 제한적 접근 허용 S/W Update O/S 보안 패치 Client SERVER Update 완료 여부 검증 (Tightly Coupled) Agent 사용자 인증 Phase
Zero Day Worm 방어 4. 유넷시스템의 NAC 제언 HIPS & NBA(Network Behavior Analysis)와의 통합 • Host IPS Agent 및 Anti-Virus Agent와의 연동을 통한 Known / Unknown 웜/바이러스 탐지 및 자동격리 • NBA 제품인 Anymon과의 통합을 통한 Known Worm 탐지 및 격리 • NIPS/NIDS, ESM 등 외부 Worm/Virus 탐지 시스템과의 연동을 통한 격리 Server 웜/바이러스 정보 Firewall/IPS 격리 정보 격리 정보 ESM Backbone S/W(L3) Anymon Manager 웜/바이러스 정보 NIDS 행위 기반 비정상 트래픽 정보 AP L2 Anymon Sensor HIPS Agent VMS Agent 격리 정보 NAC 정책 정보 Agent 사용자 단말
Quarantine & Enforcement 4. 유넷시스템의 NAC 제언 다단계 Quarantine & ACL • 인증 성공시, DVLAN 또는 Agent ACL Driver를 이용한 격리 • Known/Unknown 웜/바이러스에 대한 실시간 탐지에 의한 감염 단말 격리 및 치료 유도 • Compliance 검증된 단말에 대해 부여된 ACL(Access Control List) 적용 ID/IP/MAC에 의한 수동 차단 관리자 Server 웜/바이러스 정보 Firewall/IPS IP/MAC에 의한 자동 차단 ESM Backbone S/W(L3) Anymon Manager 웜/바이러스 정보 IDS 3단계 격리(사용자 접속 Port Shutdown) AP L2 Anymon Sensor 2단계 격리 (IP Block) PMS Agent INTRANET 조직별/사용자별 ACL 백신 Agent Agent 1단계 격리(ACL Driver) 사용자 단말
System Architecture Key Function 특징 및 장점 4. 유넷시스템의 NAC 제언 NAC를 완벽하게 구현하는 유일한 국산 솔루션 • 무선 랜 보안과 NAC를 구현하는 유일한 솔루션 • NAC를 통한 보안성 향상 및 User Network Management의 효율성 동시 추구 Management Console Anyclick NAC Server Anyclick NAC Authenticator Anyclick NAC Agent (H/W Adaptor 포함)
Agent 특징 및 장점 4. 유넷시스템의 NAC 제언 안전하고 효율적인 네트워크 관리로의 확장(Endpoint Agility) • IEEE 802.1X 기반의 무선 네트워크 보안 및 유/무선 IBN(Identity Based Network) 구현 • DVLAN 또는 정책서버/ACL Driver를 이용한 사용자 위치와 무관한 네트워크 접근 제어 구현 • 인증 정보와 연계되고 이중화되는 DHCP를 이용한 강력하고 효율적인 IP 정책 구현 • 사용자별 IP 사용 History를 이용한 감사/추적 보장 • Anti-Virus, PMS, PC 보안과 연동을 통한 NAC(Network Access Control) 구현 Anyclick NAC DHCP서버 Anyclick NAC 인증서버 Anyclick NAC 정책서버 SERVER 인증DB 정책DB Network Zone n Network Zone … AP Switch Network Zone 2 Network Zone 1 Client 사용자 단말
DB Replication Proxy 인증 서버 HA 구성 특징 및 장점 4. 유넷시스템의 NAC 제언 다양한 서버 이중화 • 다양하고 복잡한 고객 Site의 네트워크 구성에 대한 최적의 인증 체계 구축 L2 Switch Active-Standby Heart bit WAN구간 (저속) LAN구간 (고속) Master 인증서버 Proxy 인증서버 AP L2 Switch 원격지 이중화 Heart bit Active-Active Primary 인증서버 Primary 인증서버 Secondary 인증서버 ※ 추가 장비없이 비용 효과적인 이중화 구성
특징 및 장점 4. 유넷시스템의 NAC 제언 강력한 동시 인증 성능 • H/W의 성능 및 보안성을 고려하여 EAP-TTLS 이상의 인증 모드를 권고하며, 이는 비대칭키 암호화 연산을 수반(특히 서버에 부하 집중) • 출근과 동시에 네트워크 접속 요청 시도하며, 주기적인 재인증으로 인해 Peek Time의 주기적인 발생 가능 • Active-Active 이중화 구성으로 동시 인증 성능 향상 H/W 암호 가속기 사용 효과 ※ 테스트 장비 제원 : Xeon 2.4GHz X 2 CPU, 1GB M/M, 512Kb L2 Cache ※H/W 암호 가속기는 PKI 및 암호 기술없이는 탑재 불가능 Active-Active 이중화 구성 • 커널 기반의 Packet 분배 방식으로 Application Proxy 형태의 Active-Active 이중화 대비 탁월한 성능 제공 • 추가 장비(L4 Switch 등)없이 비용 경제적이고, 안정적인 이중화 성능 제공
Server Agent 발전 전략 4. 유넷시스템의 NAC 제언 HP ANA(Adaptive Network Architecture) • User Network Management를 위한 최적의 도구 • HP의 네트워크 컨설팅 및 구축 노하우와 Anyclick NAC를 접목하여 ANA 완성
Server Agent 발전 전략 4. 유넷시스템의 NAC 제언 Microsoft와 전략적 제휴 AD 환경 지원 • Active Directory를 이용한 정책 기반 PC 관리(GPO, Group Policy Object) 환경 보장 • 사용자 네트워크 접근 정책에 대한 Active Directory에서의 통합 관리 환경 제공 정책 편집 Active Directory GPMC (Group Policy Management Console) User GPO 사용자 & 단말 인증 Machine GPO (네트워크 접근 정책 포함) 사용자 & 단말 인증 (네트워크 접근 정책 포함)
발전 전략 4. 유넷시스템의 NAC 제언 Microsoft와 전략적 제휴 MNAP Global Partner • Microsoft NAP(Network Access Protection) Global 파트너 등록 추진 중 • In-house 시스템 및 단위 보안 시스템에 대한 NAP Broker In-house 시스템 및 단위 보안시스템 Server In-house 시스템 및 단위 보안시스템 agent UNET SHV UNET SHA ※ HCS : Health certificate server
Agent Enforcer Agent 발전 전략 4. 유넷시스템의 NAC 제언 802.1X Enforcer • IEEE 802.1X를 지원하지 않는 네트워크 환경에서 NAC의 구현 • In-line 장비로 동작하며, 사용자 인증 및 agent 미설치 단말에 대한 네트워크 차단 기능 수행 Internet 관문 Router Core S/W(L3) …. Distribution S/W(L3) Distribution S/W(L3) IEEE 802.1X 미지원 IEEE 802.1X 지원 L2 L2 L2 L2 AP L2 AP L2 AP
감사합니다. Tel : 02) 390-8000 Fax : 02) 390-8099 주소 : 서울시 서초구 양재2동 261-8 우제빌딩 5층 영업문의 - 김창홍 이사 Tel : 011-701-9883 E-mail : chkim@unetsystem.co.kr 기술문의 - 이상준 이사 Tel : 016-290-1725 E-mail : sjunee@unetsystem.co.kr