300 likes | 776 Views
2010.11.01_v7. Ethernet Security Switch The Best Integrated Security Solution. ㈜한드림넷. 목차. SG2024 란 ?. 제안의 배경. MDS 엔진. 네트워크 보안 기능. 통합 보안 관제 시스템. 제품비교. 결론. 부록. 왜 ? L2 스위치에 보안이 필요한가 ?. L2 스위치에 대한 관리자 들의 보편적인 생각. ATTACK( 유해트래픽 ) DoS, DDoS, SCAN, ARP Spoofing…………. 네트워크 트러블 ( 관리 )
E N D
2010.11.01_v7 Ethernet Security Switch The Best Integrated Security Solution ㈜한드림넷
목차 SG2024란? 제안의 배경 MDS엔진 네트워크 보안 기능 통합 보안 관제 시스템 제품비교 결론 부록
왜? L2 스위치에 보안이 필요한가? L2 스위치에 대한 관리자 들의 보편적인 생각 ATTACK(유해트래픽) DoS, DDoS, SCAN, ARP Spoofing………… 네트워크 트러블(관리) IP Address충돌 Network Loop 발생 장비 고장 L2 레벨의 사용자 인증 내부 네트워크의 IP관리 비인가 사용자접속 제어
SG2024란? 네트워크와 보안이 통합된 엑서스레벨의 보안 스위치 고성능 스위치 보안기능
내부 네트워크에서 시작된 위협 K대학교 XX전자 반도체 공장 실습실과 기숙사에서 발생한 DDoS 공격으로 방화벽과 인터넷 서비스 장애 발생 공장 내부에서 flooding공격 발생 전체 반도체 라인 작업 중지, 수억원의 영업손실 발생 A기업 B관공서 내부망에 접속한 노트북으로 인해 2차 감염발생 다량의 flooding공격으로 업무시간 내내 내부 네트워크 다운 바이러스가 감염된 사 용자가 내부 전산망을 통해 공격 네트워크 다 운으로 창구민원 업무 중단
편중된 보안환경 필 요 성 외부 및 CORE망 IPS / 방화벽등으로 외부 공격에 대한 대비 충실 신종 바이러스에 의한 내부 공격에 취약 내부 공격 발생시 즉각적인 대응책 부재 • 내부 네트워크의 보안 자동화 • 내부 통합 관제 시스템화 • 비용의 현실화 • 설치의 용이함 IPS 편중된 보안환경 Firewall 백본 레이어 내부망으로 부터의 공격에 의한 2차감염 다량의 트래픽으로 인한 과부하/서비스 정지 내부 액세스망 액세스레벨의 모니터링 부재 예산 부족 환경변화/관리 어려움 모바일 디바이스에 의한 감염 가능성 증가 보안상 가장 취약한 영역/관리 통제어려움 공격/해킹 발생시 실시간 탐지 불가 보안을 위한 네트워크 구성변경 어려움
취약한 내부 보안 L2레벨의 네트워크 보안 이슈 전체 보안침해 사고 중 내부에서 발생하는 것이 80%를 차지 • 메시지 또는 파일 가로채기 • 인증정보 , VOIP 도/감청 • 내부자에 의한 해킹 발생시 • 진단/대응이 어려움 • 비정상 패킷 증가로 네트워크 장애 유발 • 급속한 피해 확산 Hacking 의도적이며 보다 직접적인 공격 (Sniffing/Spoofing) Attack SECURITY ISSUE 네트워크 공격(Flooding/DDos) Network Resource Management 내부 네트워크의 사용자 인증 기능 미비 네트워크 자원 관리 기능 미비 • 모바일 디바이스에 의한 불법 내부 네트워크 사용 증가 • 악의적인 의도를 가진 내부 네트워크 사용자 제어 불가
Internet L2레벨의 보안이슈1 (해킹) 모바일 기기 사용의 증가로 인한 내부 보안 사고 증가 외부 사용자에 의한 해킹 내부보안에 대한 위협 Data Sniffing 개인정보 및 기업비밀정보 유출 ID/PWD등 인증정보 시스템권한 (ERP/그룹웨어) 메일내용 의도적해킹툴을 이용한 기밀 정보 해킹 통화내역 바이러스에 의한 인지하지 못한 해킹 발생 개인신상정보 데이터 파일 ※ ARP Spoofing과 같은 L2레벨에서 일어나는 네트워크 패킷 변조를 통한 해킹 행위 탐지 어려움 내부 사용자에 의한 해킹 IP Telephony 음성통화도청/감청
Internet L2레벨의 보안이슈2 (공격) WAN Edge Router, Firewall • 액세스 레벨에서 발생하는 공격 • L2 - MAC flooding , MAC 변조 , ARP Attack • L3 - IP Spoofing,DHCP Attack , ICMP Attack • L4 - TCP Sync flooding (Dos,DDos,RANDOM • Attack) UDP flooding , Scanning Main core 비정상 네트워크 트래픽을 발생시켜 네트워크 장애를 유발시키는 공격 Distribute core 내부 네트워크에서 공격이 이루어질 때 진단/대응할 수단이 없음 Access core 공격자
Internet Production Network L2레벨의 보안이슈3 (사용자 인증) 불법적인 내부망 접속 증가 허가받지 않은 사용자의 내부 네트워크 접근 경로의 다양화 악의적 내부 네트워크 사용자에 의한 해킹 및 바이러스의 손쉬운 배포 가능 허가 받지 않은 내부 네트워크 사용자에 대한 감시/제어기능 미비 Unknown or Non-Compliant Known Device Guest
L2레벨의보안 스위치 네트워크 보안 이슈 관리자의 요구
관리자의 요구사항 지능적인 보안기능 고성능 스위칭 L2레벨의 네트워크 인증 해킹/보안/인증 간단하고 간편한 관리 시스템 도입/ 사후관리의 용이성
SG2024가 제공하는 보안기능 범위 보 안 범 위 • 인 증 • I P주소 + MAC + Switch Port를 조합하여 액세스레벨의 네트워크 사용자 인증을 수행 • 해 킹 • 서브넷의 모든 MAC주소를 스캔하여서 패킷변조/전송을 이용한 형태의Spoofing /Sniffing을 차단 • IPT의 통화내역 도・감청 차단 • Spoofing공격에 의한 네트워크 속도 저하 /네트워크 사용량 증가방지 • 공 격 • L2~L4까지의 트래픽을 분석하여 공격차단 L2레벨의 네트워크 사용자 인증 IP Address | MAC Address | Switch Port 조합 인증 인증 ARP Spoofing 차단 (인지하지 못한 해킹) Data Sniffing 차단 (악의적인 해킹) IP Telephony – 도・감청차단 L2~L4 트래픽 분석 해킹 L2~L4레벨까지의 공격차단 L2 - MAC flooding , MAC 변조 , ARP Attack L3 - IP Spoofing,DHCP Attack , ICMP Attack L4 - TCP Sync flooding(Dos,DDos,RANDOM Attack), UDP flooding , Scanning 공격
Multi Dimension Security엔진 Multi Dimension Security엔진에 의한 Wire Speed 성능 보증과 오판 방지 Attack Packet Analysis Multi-dimension Security Engine DoS DDoS DDoS(spoofed) Flash croeds,Worms(spoofed) Security Filter Module Sensor Log DDoS Class DoS Class Scan Class Random Class RT Packet Gathering Module MD Protection Engine Switching Fabric Protection Giga / Fast Ethernet Interface Response H/W 기반의 MDS Engine은 네트워크 흐름에 따라 자동으로 일정시간동안 출발지 IP/Port, 목적지 IP/Port, Protocol 등의 Header 정보로 Packet들의 Flow를 모니터링하여 PacketFlow의 엔트로피(자유도) 분포를 분석하여 비정상적인 Packet만 선별적으로 차단합니다.
호스트-A ARP Cache 호스트-B ARP Cache IP Addr Mac Address IP Addr Mac Address 192.168.1.1 xxxx15a xxxx17c 192.168.1.3 xxxx13b xxxx17c IP Addr : 192.168.1.1 MAC Addr : xxxx15a IP Addr : 192.168.1.3 MAC Addr : xxxx13b 이상 패킷 검출 포트 차단 MDS arp-table Port Mac/IP Address Release 3 1 5 Xxxx17c 192.168.1.13 Xxxx13b 192.168.1.3 Xxxx15a 192.168.1.1 Protection Ethernet Security Switch Security Policing Packet Analysis IP Addr : 192.168.1.13 MAC Addr : xxxx17c SG2024 보안기능 L2레벨의 해킹 차단 L4기반의 트래픽 분석/차단 Layer 4 based analysis & protection No signature update base Data Sniffing - 개인정보(아이디/패스워드) - 기업 내부의 기밀정보 유출 ARP Spoofing - 네트워크 사용량 증가 - 네트워크 속도 저하 IP Telephony - 도청/녹취 Physical Network Transport Data Cable Disconnected MAC Flooding ARP Attack IP Spoofing DHCP Attack TCP Sync Flooding DDos Attack L2레벨의 네트워크 인증 Smart Protection 유해 트래픽 선별적 차단 업무의 연속성 보호 Production Network 등록한 IP/MAC IP/MAC/ Switch Port 조합인증 미등록IP/MAC Internet Switch Port정보 불일치 L2레벨 인증 Policy 설정 변조된 IP/MAC
통합 보안 관제 시스템 해킹/공격/장비 실시간 모니터링 네트워크 자원 관리[IP/MAC/SWITCH PORT] 공격자 Port Up-Link Port Connect Port 유해트래픽 차단 정보 실시간 레포팅/검색 Attack Alert
통합 네트워크 관제 & IP자원 관리 & 비인가 사용자 접근제어 • 실시간 네트워크 모니터링 • IP Address 사용현황 • 유해트래픽 차단로그 분석 • 스윗치별 네트워크 사용 상황(접속 유저, IP 사용 상황, 트래픽 현황) • 네트워크 인증 설정(IP+MAC+Switch port) • 유해 트래픽 형태별 분석 Visual IP Management • IP , MAC 실시간 사용현황 관리 • 네트워크 사용자 이력 및 트래픽 관리 • 분산된 IP 자원의 통합 관리 • 비인가 사용자의 네트워크 접근 제어 • 미사용 IP관리 및 비활성 IP 자동 차단 • IP별 사용 기간 설정 • IP 변경 및 도용 방지 • IP 충돌 방지
ASIC based Security Engine 유해트래픽차단 사례 비교 분석 타사 제품과의 대응방법 비교 상황) 공격자가 목적지 IP를 변경하며, 3개의 물리적인 포트에 대해 SCAN 공격을 시도 중 한드림넷(SG2024) 제품 사용자의 대응 방법 타 Vendor 제품 사용자의 대응 방법 • MDS 엔진에서 Attack 패킷 자동감지 • 네트워크에 이 • 상징후 발생 • (속도저하, 사용 • 자에 의한 장애 • 신고등 ) ② 관리자에 의한 장비 점검 (L3 백본 스위치, Router, 전용회선, Server farm 등) • L3 장비에서 모 • 든 패킷의 분석 • 및 공격 트래픽 • 확인 • 관리자에 의한 • ACL 정책 수동 • 해제 ④ Attack 패킷이 멈추면 차단 Rule 자동 해제 ③ MDS 엔진에서 공격 정보 Log 생성 및 기록 ③ MDS 엔진에서 공격 정보 Log 생성 및 기록 ④ 물리적인 해당 포트에 대한 Access list 수동 생성 ② MDS 엔진에서 Attack 의 유형에 대응한 차단 Rule 자동 생성 ■ 효 과 ■ 효 과 • L2 스위치의 포트 단위 처리로 Attack 트래픽에의한 피해 없음 • 유해트래픽의 확산에 의한 추가 감염 피해 없음 • 공격정보 Log 기록 • 관리자의 개입이 필요 없음 • L3 Core Switch 의 과부하는 해결 하였으나, 이미 유해트래픽이 확산 되어 • 사용자들의 업무 불가 • 향후의 문제의 해결에 상당한 시간이 소요됨 • 모든 과정에 관리자가 필요함 네트워크 장애 후 장애 복구 (사후대책) VS 네트워크 장애 방지 (사전예방)
최적화된 엑서스 레벨의 보안구성 ASIC기반의 특허받은 MDS 엔진에 의한 신속한 처리 능력 8 7 6 5 4 2 1 3 Internet VNM 모니터링 툴에서 관리자를 위한 레포팅 기능제공 WAN Edge Router, Firewall Wire Speed의 안정적인 네트워크 서비스 제공 Main core 네트워크 공격의 실시간 감지 및 자동차단, 해제 Distnibutecore 비인가 사용자의 네트워크 접속제어 (IP+MAC+PPort) 내부 네트워크 통합 관리 콘솔 Access core SG2024 SG2024 바이러스 자동 확산 방지 기능 사용자의 실시간 모니터링 기능 IP 매니지먼트 (비인가 PC 검출) Zero-Day 공격 차단 (DDoS/DoS/SCAN 공격 탐지/차단) ARP 스푸핑 차단 (도/감청, 개인정보 유출 탐지/차단) 혁신적인 가격 및 기능
기대 효과 해킹차단 서비스의 안정화 내부공격 차단 투자비용 절감 네트워크 자원관리
SG2024의 그린IT 구현 * 네트워크 환경에 따라 최대 50% 이상의 절전 효과
SG Security Switch Series Line-up & Load map SG2xxx vs SG3xxx Series Product portfolio 현재 시판중인 제품 2010년 출시 제품 2006~2007 2008~2009 상반기 하반기 L2 Switch SG2008G / PoE [L2 8Port Giga / PoE Switch] SG2024P [L2 24port 10/100 PoE Switch] SG2048G [L2 48Port Giga Switch] SG2024GF [SFP 24port Switch] SG2148 [L3 48port 10/100 Switch] SG2148PoE [L3 48port 10/100 PoE Switch] SG2024G [L2 24port Giga Switch] SG2024 [L2 24port 10/100 Switch] SG2024GPoE [L2 24port Giga PoE Switch] L3 Switch SG2024M [L2 24port 10/100 Metro Switch] SG3024G [L3 24port Giga Switch] SG3024GPoE [L3 24port Giga PoE Switch] SG3024GF [SFP 24port Switch] SG3048GPoE [L3 24port Giga PoE Switch] SG3024 [L3 24port 10/100 Switch] SG3048G [L3 48port Giga Switch] SG3024PoE [L3 24port 10/100 PoE Switch]
SG2024 시리즈 스팩 다양한 인터페이스 및 성능 제공 (L2/L3) Gigabit 10/100 28.8Gbps switching capacity 13.1Mpps throughput 28.8Gbps switching capacity 13.1Mpps throughput Full Port 802.3af(15.4w per port) 48Gbps switching capacity 71.43Mpps throughput 48Gbps switching capacity 71.43Mpps throughput Full Port 802.3af(15.4w per port) 192Gbps switching capacity 142.9Mpps throughput
납품업체 • Public
납품업체 • Public
납품업체 • Company
납품업체 • Education