Upload
others
View
1
Download
0
Embed Size (px)
Citation preview
1 www.handream.net
㈜한드림넷
Security Switch
2
한드림넷 보안스위치 특징
3
L2 스위치에 대한 관리자 들의 보편적인 생각
네트워크 트러블(관리) IP Address충돌 Network Loop 발생 장비 고장
ATTACK(유해트래픽) DoS, DDoS, SCAN, ARP Spoofing…………
L2 레벨의 사용자 인증 내부 네트워크의 IP관리 비인가 사용자 접속 제어
왜? L2 스위치에 보안이 필요한가?
4
네트워크와 보안이 통합된 엑서스레벨의 보안 스위치
한드림넷 보안 스위치 란?
5
K대학교
실습실과 기숙사에서 발생한
DDoS 공격으로 방화벽과 인터
넷 서비스 장애 발생
내부망에 접속한 노트북으로
인해 2차 감염발생
다량의 flooding공격으로 업무시간
내내 내부 네트워크 다운
A기업
바이러스가 감염된 사 용자가 내부
전산망을 통해 공격 네트워크
다운으로 창구민원 업무 중단
B관공서
공장 내부에서 flooding공격 발생
전체 반도체 라인 작업 중지, 수억
원의 영업손실 발생
XX전자 반도체 공장
내부네트워크에서 시작된 위협
6
IPS / 방화벽등으로 외부 공격에 대한 대비 충실
신종 바이러스에 의한 내부 공격에 취약
내부 공격 발생시 즉각적인 대응책 부재
외부 및 CORE망
내부 액세스망 모바일 디바이스에 의한 감염 가능성 증가
보안상 가장 취약한 영역/관리 통제 어려움
공격/해킹 발생시 실시간 탐지 불가
보안을 위한 네트워크 구성변경 어려움
백본 레이어 내부망으로 부터의 공격에 의한 2차감염
다량의 트래픽으로 인한 과부하/서비스 정지
필 요 성
내부 네트워크의 보안 자동화
내부 통합 관제 시스템화
비용의 현실화
설치의 용이함
편중된 보안 환경
7
Hacking
Attack
네트워크 공격(Flooding/DDos)
내부 네트워크의 사용자 인증 기능 미비 네트워크 자원 관리 기능 미비
의도적이며 보다 직접적인 공격 (Sniffing/Spoofing)
SECURITY
ISSUE
비정상 패킷 증가로 네트워크 장애 유발
급속한 피해 확산
모바일 디바이스에 의한 불법 내부 네트워크 사용 증가
악의적인 의도를 가진 내부 네트워크 사용자 제어 불가
전체 보안침해 사고 중 내부에서 발생하는 것이 80%를 차지
Network Resource
Management
취약한 내부 보안
메시지 또는 파일 가로채기
인증정보 , VOIP 도/감청
내부자에 의한 해킹 발생시
진단/대응이 어려움
8
의도적 해킹툴을 이용한 기밀 정보 해킹
시스템권한 (ERP/그룹웨어)
ID/PWD등 인증정보
메일내용
개인신상정보 데이터 파일
통화내역
Data Sniffing 개인정보 및 기업비밀정보 유출
IP Telephony 음성통화 도청/감청
내부 사용자에 의한 해킹
외부 사용자에 의한 해킹
모바일 기기 사용의 증가로 인한 내부 보안 사고 증가
내부보안에 대한 위협
바이러스에 의한 인지하지 못한 해킹 발생
※ ARP Spoofing과 같은 L2레벨에서 일어나
는 네트워크 패킷 변조를 통한 해킹 행위 탐지
어려움
L2레벨의 보안이슈(해킹)
9
공격자
액세스 레벨에서 발생하는 공격
L2 - MAC flooding , MAC 변조 , ARP Attack
L3 - IP Spoofing,DHCP Attack , ICMP
Attack
L4 - TCP Sync flooding
(Dos,DDos,RANDOM Attack) UDP flooding ,
Scanning
비정상 네트워크 트래픽을 발생시켜
네트워크 장애를 유발시키는 공격
내부 네트워크에서 공격이 이루어
질 때 진단/대응할 수단이 없음
L2레벨의 보안이슈(네트워크 공격)
10
? X
허가받지 않은 사용자의 내부 네트워크
접근 경로의 다양화
불법적인 내부망 접속 증가
허가 받지 않은 내부 네트워크 사용자에
대한 감시/제어기능 미비
악의적 내부 네트워크 사용자에 의한
해킹 및 바이러스의 손쉬운 배포 가능
L2레벨의 보안이슈(사용자 인증)
11
도입/ 사후관리의
용이성
간단하고 간편한
관리 시스템
해킹/보안/인증
지능적인 보안기능
고성능 스위칭 L2레벨의 네트워크 인증
관리자의 요구사항
12
관리자의 요구
네트워크 보안 이슈
한드림넷 L2 보안 스위치
13
한드림넷 보안스위치 주요 기능
14
유해트래픽 자동 탐지/차단
데이터 유출 및 도청/감청 방지
사용자 엑세스 제어
한드림넷 보안스위치 특장점
15
사용자 접점에서 능동적 보호와 인증필요
인증 - 누가 - 언제 - 어디서
보호 중요 서비스 보호 기밀문서 보호 개인정보 보호 네트워크 보호
16
Sensor Log
MD Protection Engine RT Packet Gathering
Module
Switching Fabric Protection
Security Filter
Module
Giga / Fast Ethernet Interface
유해트래픽 차단 전용 엔진 – MDS 엔진
Multi Dimension Security Engine
H/W기반의 보안 전용 엔진
선별적 유해트래픽 차단
유해트래픽 차단시에도 Full Wire Speed 제공
17
-IP 전화의 도청 -정보의 유출 (ID, Password, data유출)
ARP Spoofing – 중요데이터 유출 및 도·감청 방지
ARP Spoofing 차단
중요 데이터 / 기밀 유출 방지
ID / PW등 개인 정보 유출 방지
IP 전화 도.감청 방지
네트워크 품질 저하 방지
서비스 장애 방지
18 Network Attack Protection (Layer 4 level)
MAC source/dest address
IP source/dest address/port
IP range TCP flags
Protocol (TCP/UDP/ICMP) TCP/UDP dest port
Port pattern/IP pattern Detection count
Cable Loopback Test
Layer 4 based analysis & protection No signature update base
IP Spoofing, DHCP Attack, ICMP Attack
Cable disconnected
MAC Flooding, MAC 변조, ARP Attack
TCP Syn flooding (DoS/DDoS/Random Attack) UDP flooding, Scanning
유해트래픽 차단
19
Smart Protection – 유해트래픽 선별적 차단
Smart Protection
유해 트래픽 선별적 차단
업무의 연속성 보장
네트워크 장애 예방
20
유해트래픽 차단 모니터링 - VNM
실시간 유해트래픽 차단 현황
포트별 트래픽 현황
실시간 IP 사용 현황
번들 제공
Visual Node Manager
21
Web Alert
유해트래픽 차단 알림 공지
Non Agent 방식
사용자 PC 웹브라우져를 통한
알림 제공
Web Alert
22
사용자 인증 및 제어
• VIPM • IPScan • IDS • Etc
API
LOCAL Embeded 인증
802.1x인증 솔루션 인증 & 제어
Local 인증 DB
Port Base인증 Multi User인증
MAC인증 WEB인증
Guest_VLAN
RADIUS Server TACACS+ Server
EAP(EAPOL) EAP(EAPOL)
EAP(RADIUS/Diameter)
IP, ARP
Port Base인증 Multi User인증
MAC인증 WEB인증
Guest_VLAN
IP(Port,Vlan)인증 MAC(Port,Vlan)인증 IP,MAC(Port,Vlan)
인증 MAC Wildcard(*)
인증
23
2007년 LG-Nortel 신뢰성 검증 통과
2008년도 HIT 상품 선정- 네트워크장비/소비자추천부문 – 디지털타임즈
2008년도 IT혁신상품 선정 – 네트워크/보안 – 디지털데일리 (08.12.26)
2009년 삼성전자 신뢰성 검증 및 표준화 장비 선정
2009년도 DT브랜드파워대상 – 네트워크장비II – 디지털타임즈 (09.04.27)
2010년 일본 소프트 뱅크 표준화 장비 선정
2011년도 4월 – IT인증사무국 – CC인증 EAL2 인증
2011년도 5월 – 국제 IPv6 Ready Logo Phase-2 인증
검증된 안정성
업계 최고 품질 기준 통과
검증된 보안 알고리즘
장애율 0.2% 미만
24
한드림넷(SG2024) 제품 사용자의 대응 방법 타 Vendor 제품 사용자의 대응 방법
상황) 공격자가 목적지 IP를 변경하며, 3개의 물리적인 포트에 대해 SCAN 공격을 시도 중
④ 물리적인 해당 포트에 대한 Access list 수동 생성 ② MDS 엔진에서 Attack 의 유형에 대응한 차단 Rule 자동 생성
■ 효 과
L3 Core Switch 의 과부하는 해결 하였으나, 이미 유해트래픽이 확산
되어
사용자들의 업무 불가
향후의 문제의 해결에 상당한 시간이 소요됨
모든 과정에 관리자가 필요함
① 네트워크에 이 상징후 발생 (속도저하, 사용 자에 의한 장애 신고등 )
③ L3 장비에서 모
든 패킷의 분석 및 공격 트래픽 확인
② 관리자에 의한 장비 점검 (L3 백본 스위치, Router, 전용회
선, Server farm 등)
L2 스위치의 포트 단위 처리로 Attack 트래픽에의한 피해 없음
유해트래픽의 확산에 의한 추가 감염 피해 없음
공격정보 Log 기록
관리자의 개입이 필요 없음
■ 효 과
① MDS 엔진에서 Attack 패킷 자동감지
③ MDS 엔진에서 공격 정보
Log 생성 및 기록
④ Attack 패킷이 멈추면 차단 Rule 자동 해제
⑤ 관리자에 의한 ACL 정책 수동 해제
네트워크 장애 후 장애 복구 (사후대책) 네트워크 장애 방지 (사전예방) VS
③ MDS 엔진에서 공격 정보
Log 생성 및 기록
유해트래픽 차단 사례 대응 방법 비교
25
공격자 Port
Connect Port Up-Link Port
Attack Alert
해킹/공격/장비 실시간 모니터링 네트워크 자원 관리[IP/MAC/SWITCH PORT]
유해트래픽 차단 정보 실시간 레포팅/검색
스위치 통합 관제 시스템(Visual Node Manager)
26
서비스의 안정화
투자비용 절감
네트워크 자원관리
내부공격 차단
해킹차단
기대효과
27
* 네트워크 환경에 따라 최대 50% 이상의 절전 효과
SG2024의 Green IT 구현
절전 기능 기능 설명 비 고
•그린 IT •소비전력 34.7W의 동종 제품 최저. •초 고효율율 그린 IT 제공
• SG 전제품
• AUTO 절전 기능 제공 • 60/600초(관리자 지정)간격으로 스위치를 체크하여 포트별 ON/OFF 기능에 의한 절전 기능 제공
• SG 전제품
• 스케쥴 절전 기능
• 요일별/시간별/포트별 스케쥴 기능에 의한 절전 기능 제공
• 스케뷸에 의한 절전 기간 중이어도 클라이언트 및 단말이 연결되면 자동으로 ON/OFF 기능 제공
• 절전 효과는 AUTO 절전 기능 대비 높음
•SG2024G 이상
• Green IT 표준 지원 • IEEE802.3az 지원 – Energy Efficient Ethernet • RoHS 인증 - 유해물질사용제한지침
28
제공 기능 기능 설명 비고
• Shard VLAN Egress-port 기능 (Private VLAN)
• 동일 네트워크 내에서 포트간의 통신을 차단하여 사용자들의 Security를 보장하며 Uplink 인터페이스로만 통신하게 하여 보안성과 네트워크 독립성을 제공함
• 사이버 맨선 • 호텔, IDC 센터 • 금융권, 기숙사, 연구소
• Port Redundancy • STP를 지원하지 않는 더비허브등에 Cable을 이중화로 연결하여 Active로 연결된 Cable에 장애 발생 시 Stand-by로 연결되어 있던 Cable이 Active로 동작
•노후 네트워크, 공장
•DHCP Server 및 Relay 기능 • DHCP Relay 뿐만 아니라 DHCP Server 기능 제공. •소규모 네트워크, 기숙사
• 802.1P(Voice VLAN)기능 • Voice 패킷을 우선 처리 하여, 트래픽 폭주 시에도 IP 전화 등의 통화 품질을 우선적으로 보장 하는 기능
• IP전화 도입 및 사용시
• 케이블 거리 특정 기능 • 스위치에 연결된 포트별 케이블의 거리를 측정 하는 기능 • 네트워크 구축, 및 보수
• 시스코사의 독자 포로토콜인 CDP, PVST 기능 지원
• CDP, PVST등 시스코의 독자 포로토콜을 지원하여 기존 시스코 제품을 설치 사용중인 고객사에 납품할경우 기존 제품의 설정 변경없이 설치 및 구성 가능
• 스위치에 RADIUS 서버를 내장하여 인증 기능 제공
• 스위치에 RADISU서버를 내장 하여 별도의 외부 RADIUS 서버 없이도 스위치 독자적인 인증 기능 제공
- 웹인증, MAC 인증, 802.1X 인증
• 별도의 RADIUS 서버 구성없이 ID/PASS를 이용한 유저 인증 가능
• 스위치 1대당 최대 512명의 인증 기능 제공
• NetBios 필터링 기능 • NetBios 프로토콜을 이용한 윈도우 클라이언트 간의 공유 기능을 자동으로 차단
• SFF-8472(광 모듈 정보 지원)기능 • 광 모듈의 정보 지원 기능
- 광 모듈의 온도, 전압, 광 모듈의 TX/RX 감도 정보 등을 제공
SG2024 독자 기능 및 경쟁사 대비 우위 기능
29
한드림넷 통합 보안 관제 솔루션
Visual IP Manager
30
Visual IP Manager
VIPM 네트워크 구성
IP MAC IP MAC
VIPM 서버 L2 보안스위치
① 수집한 IP/MAC등의 정보를 VIPM
서버에 전송
③ 설정된 접근제어 폴리시 및 신규 정책을 L2 보안스위치에 전송
② 신규 정책 설정 및 네트 워크 사용현황 모니터링
④ 비 인증 단말의 접속 차단 (네트워크 자동 인증 처리) 웹 기반의 관리 툴 제공
네트워크 현황에 대한 실시간 모니터링 IP 자원관리 업무 수행
L2 스위치(SG2024)에서 수집된 유저 정보 및 IP 정보를 데이터베이스에 저장 스위치로부터 전송 받은 정보를 이용하여 네트워크 현황 분석 유저별 네트워크 접근 권한 설정 및 인증
네트워크에 접속 하는 시스템의 IP/MAC정보를 수집하여 VIPM 서버에 전송 VIPM서버로부터 배포되는 접근제 어 폴리시를 적용하고 제어처리를 수행 네트워크 공격/해킹 대한 감지/ 차단 수행 및 차단 정보를 VIPM 서버에 전송
IPM 콘솔
31
보안 스위치와 VIPM 서버 연동
접속자 OS구분 없이 차단 가능
접속 유도 웹페이지 제공
DHCP 정책 배포
VIPM 이중화 구현
비인가 접속자 제어 – VIPM 인증
비인가 PC
VIPM 인증
32
네트워크 및 사용자 통합 관리
실시간 네트워크 통합 관제
유해트래픽 차단 현황 모니터링
IP 관리 및 제어
문제 발생 시 사용자 알림 기능 제공
33
실시간 네트워크 현황 - Dashboard
Dashboard 실시간 장비 현황 파악
실시간 네트워크 접속자 현황 파악
유해트래픽 차단 현황 파악
34
IP 관리 및 제어
장비별, IP Class별, 부서별 관리
IP 충돌방지, 미사용 IP 관리
접속자 위치 파악
IP Management
35
네트워크 접속자 위치 추적
접속 스위치 명, 스위치 포트
IP 사용 이력
사용 가능 시간 설정(스케줄)
IP 접속자 위치 파악
36
사용자 IP 신청 페이지 제공
Non Agent 방식
사용자 웹페이지를 이용한 사용 신청
매 학기마다 신규 사용자 적용
[일괄수정] [일괄등록] [일괄삭제]
관리자 SMS, E-Mail, VIPM 팝업
IP 사용 신청
37
스위치 형상관리
스위치 형상관리
38
SECURITY SWITCH Line-up
39
100 10G Giga 100 10G Giga
PoE
08
24
48
SG2024G SG2024
SG2008G SG2008GPoE
SG2024P SG2024GPoE
SG2048GPoE SG2048G
SG2024GF
SG2124GX
SG2148GXPoE
SG2124GXPoE
SG2124
SG2148 SG2148GX
SG2124PoE
SG2124GXF
[L2 48Port 10/100]
[L2 24Port 10/100]
[L2 24Port 10/100]
[L2 48Port Giga]
[L2 24Port Giga] [L2 24Port 10G]
[SFP 24Port]
[SFP 24Port 10G]
[L2 48Port 10G] [L2 48Port Giga/PoE] [L2 48Port 10G/PoE]
[L2 24Port 10G/PoE] [L2 24Port Giga/PoE] [L2 24Port 10/100 PoE]
[L2 8Port Giga/PoE] [L2 8Port Giga]
[L2 24Port 10/100 PoE]
성능
포트수
한드림넷 L2 스위치 Line-up
40
100 10G Giga 100 10G Giga
PoE
08
24
48
SG3024G SG3024 SG3024P SG3024GPoE
SG3048GPoE SG3048G
SG3024GF
SG3124GX
SG3148GXPoE
SG3124GXPoE
SG3124
SG3148 SG3148GX
SG3124PoE
SG3124GXF
[L3 48Port 10/100]
[L3 24Port 10/100]
[L3 24Port 10/100]
[L3 48Port Giga]
[L3 24Port Giga] [L3 24Port 10G]
[SFP 24Port]
[SFP 24Port 10G]
[L3 48Port 10G] [L3 48Port Giga/PoE] [L3 48Port 10G/PoE]
[L3 24Port 10G/PoE] [L3 24Port Giga/PoE] [L3 24Port 10/100 PoE]
[L3 24Port 10/100 PoE]
성능
포트수
한드림넷 L3 스위치 Line-up
41
모델명 Capacity Throughput Port type 포트 수 PoE
SG2024 28.8Gbps 13.09Mpps 10/100 24
SG2024P 28.8Gbps 13.09Mpps 10/100 24 24
SG2008G 20Gbps 29.76Mpps 10/100/1000 8
SG2008GPoE 20Gbps 29.76Mpps 10/100/1000 8 8
SG2024G 48Gbps 71.43Mpps 10/100/1000 24
SG2024GPoE 48Gbps 71.43Mpps 10/100/1000 24 24
SG2048G 192Gbps 142.9Mpps 10/100/1000 48
SG2048GPoE 192Gbps 142.9Mpps 10/100/1000 48 48
SG2024GF 48Gbps 71.43Mpps 1000Base-
SX/LX/LH(SFP) 24
보안 스위치
SG2000 시리즈
42
모델명 Capacity Throughput Port type 포트 수 PoE
SG2124 28.8Gbps 19Mpps 10/100 24
SG2124PoE 28.8Gbps 19Mpps 10/100 24 24
SG2148 57.68Gbps 26.2Mpps 10/100 48
SG2148PoE 57.68Gbps 26.2Mpps 10/100 48 48
SG2124GX 144Gbps 131Mpps 10/100/1000 24
SG2124GXPoE 144Gbps 131Mpps 10/100/1000 24 24
SG2148GX 288Gbps 202.4Mpps 10/100/1000 48
SSG2148GXPoE 288Gbps 202.4Mpps 10/100/1000 48 48
SG2124GXF 144Gbps 131Mpps 1000Base-
SX/LX/LH(SFP) 24
보안 스위치
SG2100 시리즈
43
모델명 Capacity Throughput Port type 포트 수 PoE
SG3024 28.8Gbps 13.09Mpps 10/100 24
SG3024PoE 28.8Gbps 13.09Mpps 10/100 24 24
SG3024G 48Gbps 71.43Mpps 10/100/1000 24
SG3024GPoE 48Gbps 71.43Mpps 10/100/1000 24 24
SG3048G 192Gbps 142.9Mpps 10/100/1000 48
SG3048GPoE 192Gbps 142.9Mpps 10/100/1000 48 48
SG3024GF 48Gbps 71.43Mpps 1000Base-SX/LX/LH(SFP) 24
보안 스위치
SG3000 시리즈
44
모델명 Capacity Throughput Port type 포트 수 PoE
SG3124 28.8Gbps 19Mpps 10/100 24
SG3124PoE 28.8Gbps 19Mpps 10/100 24 24
SG3148 57.68Gbps 26.2Mpps 10/100 48
SG3148PoE 57.6Gbps 26.2Mpps 10/100 48 48
SG3124GX 144Gbps 131Mpps 10/100/1000 24
SG3124GXPoE 144Gbps 131Mpps 10/100/1000 24 24
SG3148GX 288Gbps 202.4Mpps 10/100/1000 48
SG3148GXPoE 288Gbps 202.4Mpps 10/100/1000 48 48
SG3124GXF 144Gbps 131Mpps 1000Base-SX/LX/LH(SFP) 24
보안 스위치
SG3100 시리즈
45
납품사례 - Public
46
납품사례 - Public
47
납품사례 - Company
48
납품사례 - Education