1 / 48

handream

㈜ 한드림넷 Security Switch. www.handream.net. 한드림넷 보안스위치 특징. 왜 ? L2 스위치에 보안이 필요한가 ?. L2 스위치에 대한 관리자 들의 보편적인 생각. ATTACK( 유해트래픽 ) DoS , DDoS , SCAN, ARP Spoofing…………. 네트워크 트러블 ( 관리 ) IP Address 충돌 Network Loop 발생 장비 고장. L2 레벨의 사용자 인증 내부 네트워크의 IP 관리 비인가 사용자 접속 제어. 한드림넷 보안 스위치 란 ?.

sibley
Download Presentation

handream

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. ㈜한드림넷 Security Switch • www.handream.net

  2. 한드림넷 보안스위치 특징

  3. 왜? L2 스위치에 보안이 필요한가? L2 스위치에 대한 관리자 들의 보편적인 생각 ATTACK(유해트래픽) DoS, DDoS, SCAN, ARP Spoofing………… 네트워크 트러블(관리) IP Address충돌 Network Loop 발생 장비 고장 L2 레벨의 사용자 인증 내부 네트워크의 IP관리 비인가 사용자접속 제어

  4. 한드림넷 보안 스위치 란? 네트워크와 보안이 통합된 엑서스레벨의 보안 스위치 고성능 스위치 보안기능

  5. 내부네트워크에서 시작된 위협 K대학교 XX전자 반도체 공장 실습실과 기숙사에서 발생한 DDoS공격으로 방화벽과 인터넷 서비스 장애 발생 공장 내부에서 flooding공격 발생 전체 반도체 라인 작업 중지, 수억원의 영업손실 발생 A기업 B관공서 내부망에 접속한 노트북으로 인해 2차 감염발생 다량의 flooding공격으로 업무시간 내내 내부 네트워크 다운 바이러스가 감염된 사 용자가 내부 전산망을 통해 공격 네트워크 다운으로 창구민원 업무 중단

  6. 편중된 보안 환경 필 요 성 외부 및 CORE망 • 내부 네트워크의 보안 자동화 • 내부 통합 관제 시스템화 • 비용의 현실화 • 설치의 용이함 IPS / 방화벽등으로 외부 공격에 대한 대비 충실 신종 바이러스에 의한 내부 공격에 취약 내부 공격 발생시 즉각적인 대응책 부재 IPS 편중된 보안환경 Firewall 백본 레이어 내부망으로부터의 공격에 의한 2차감염 다량의 트래픽으로 인한 과부하/서비스 정지 내부 액세스망 액세스레벨의 모니터링 부재 예산 부족 환경변화/관리 어려움 모바일 디바이스에 의한 감염 가능성 증가 보안상 가장 취약한 영역/관리 통제어려움 공격/해킹 발생시 실시간 탐지 불가 보안을 위한 네트워크 구성변경 어려움

  7. 취약한 내부 보안 전체 보안침해 사고 중 내부에서 발생하는 것이 80%를 차지 • 메시지 또는 파일 가로채기 • 인증정보 , VOIP 도/감청 • 내부자에 의한 해킹 발생시 • 진단/대응이 어려움 • 비정상 패킷 증가로 네트워크 장애 유발 • 급속한 피해 확산 Hacking 의도적이며 보다 직접적인 공격 (Sniffing/Spoofing) Attack SECURITY ISSUE 네트워크 공격(Flooding/DDos) Network Resource Management 내부 네트워크의 사용자 인증 기능 미비 네트워크 자원 관리 기능 미비 • 모바일 디바이스에 의한 불법 내부 네트워크 사용 증가 • 악의적인 의도를 가진 내부 네트워크 사용자 제어 불가

  8. Internet • L2레벨의 보안이슈(해킹) 모바일 기기 사용의 증가로 인한 내부 보안 사고 증가 외부 사용자에 의한 해킹 내부보안에 대한 위협 Data Sniffing 개인정보 및 기업비밀정보 유출 ID/PWD등 인증정보 시스템권한 (ERP/그룹웨어) 메일내용 의도적해킹툴을 이용한 기밀 정보 해킹 통화내역 바이러스에 의한 인지하지 못한 해킹 발생 개인신상정보 데이터 파일 ※ ARP Spoofing과 같은 L2레벨에서 일어나는 네트워크 패킷 변조를 통한 해킹 행위 탐지 어려움 내부 사용자에 의한 해킹 IP Telephony 음성통화도청/감청

  9. Internet • L2레벨의 보안이슈(네트워크 공격) WAN Edge Router, Firewall • 액세스 레벨에서 발생하는 공격 • L2 - MAC flooding , MAC 변조 , ARP Attack • L3 - IP Spoofing,DHCP Attack , ICMP Attack • L4 - TCP Sync flooding (Dos,DDos,RANDOMAttack) UDP flooding , Scanning Main core 비정상 네트워크 트래픽을 발생시켜 네트워크 장애를 유발시키는 공격 Distribute core 내부 네트워크에서 공격이 이루어질 때 진단/대응할 수단이 없음 Access core 공격자

  10. Internet Production Network • L2레벨의 보안이슈(사용자 인증) 불법적인 내부망 접속 증가 허가받지 않은 사용자의 내부 네트워크 접근 경로의 다양화 악의적 내부 네트워크 사용자에 의한 해킹 및 바이러스의 손쉬운 배포 가능 허가 받지 않은 내부 네트워크 사용자에 대한 감시/제어기능 미비 Unknown or Non-Compliant Known Device Guest

  11. 관리자의 요구사항 지능적인 보안기능 L2레벨의 네트워크 인증 고성능 스위칭 해킹/보안/인증 간단하고 간편한 관리 시스템 도입/ 사후관리의 용이성

  12. 한드림넷L2 보안 스위치 네트워크 보안 이슈 관리자의 요구

  13. 한드림넷 보안스위치 주요 기능

  14. 한드림넷 보안스위치 특장점 유해트래픽 자동 탐지/차단 데이터 유출 및 도청/감청 방지 사용자 엑세스 제어

  15. 사용자 접점에서 능동적 보호와 인증필요 보호 중요 서비스 보호 기밀문서 보호 개인정보 보호 네트워크 보호 인증 - 누가 - 언제 - 어디서

  16. 유해트래픽 차단 전용 엔진 – MDS 엔진 Multi Dimension Security Engine Security Filter Module Sensor Log MD Protection Engine RT Packet Gathering Module • H/W기반의 보안 전용 엔진 • 선별적 유해트래픽 차단 • 유해트래픽차단시에도Full Wire Speed 제공 Switching Fabric Protection Giga / Fast Ethernet Interface

  17. ARP Spoofing – 중요데이터 유출 및 도·감청 방지 ARP Spoofing 차단 -IP 전화의 도청 -정보의 유출 (ID, Password, data유출) • 중요 데이터 / 기밀 유출 방지 • ID / PW등 개인 정보 유출 방지 • IP 전화 도.감청 방지 • 네트워크 품질 저하 방지 • 서비스 장애 방지

  18. 유해트래픽 차단 Cable Loopback Test Layer 4 based analysis & protection No signature update base Physical Network Transport Data Cable disconnected IP Spoofing, DHCP Attack, ICMP Attack MAC Flooding, MAC 변조, ARP Attack TCP Syn flooding (DoS/DDoS/Random Attack) UDP flooding, Scanning Protocol (TCP/UDP/ICMP) TCP/UDP dest port Port pattern/IP pattern Detection count MAC source/dest address IP source/dest address/port IP range TCP flags Network Attack Protection (Layer 4 level)

  19. Smart Protection – 유해트래픽 선별적 차단 Smart Protection • 유해 트래픽 선별적 차단 • 업무의 연속성 보장 • 네트워크 장애 예방

  20. 유해트래픽 차단 모니터링 - VNM Visual Node Manager • 실시간 유해트래픽 차단 현황 • 포트별트래픽 현황 • 실시간 IP 사용 현황 • 번들 제공

  21. Web Alert Web Alert • 유해트래픽 차단 알림 공지 • Non Agent 방식 • 사용자 PC 웹브라우져를 통한 • 알림 제공

  22. 사용자 인증 및 제어 LOCAL Embeded인증 802.1x인증 솔루션 인증 & 제어 RADIUS Server TACACS+ Server Local 인증 DB • VIPM • IPScan • IDS • Etc API EAP(RADIUS/Diameter) EAP(EAPOL) EAP(EAPOL) IP, ARP Port Base인증 Multi User인증 MAC인증 WEB인증 Guest_VLAN Port Base인증 Multi User인증 MAC인증 WEB인증 Guest_VLAN IP(Port,Vlan)인증 MAC(Port,Vlan)인증 IP,MAC(Port,Vlan) 인증 MAC Wildcard(*) 인증

  23. 검증된 안정성 • 2007년 LG-Nortel 신뢰성 검증 통과 • 2008년도 HIT 상품 선정- 네트워크장비/소비자추천부문 – 디지털타임즈 • 2008년도 IT혁신상품 선정 – 네트워크/보안 – 디지털데일리(08.12.26) • 2009년 삼성전자 신뢰성 검증 및 표준화 장비 선정 • 2009년도 DT브랜드파워대상 – 네트워크장비II – 디지털타임즈(09.04.27) • 2010년 일본 소프트 뱅크 표준화 장비 선정 • 2011년도 4월 – IT인증사무국 – CC인증 EAL2 인증 • 2011년도 5월 – 국제 IPv6 Ready Logo Phase-2 인증 업계 최고 품질 기준 통과 장애율 0.2% 미만 검증된 보안 알고리즘

  24. 유해트래픽 차단 사례 대응 방법 비교 ASIC based Security Engine 상황) 공격자가 목적지 IP를 변경하며, 3개의 물리적인 포트에 대해 SCAN 공격을 시도 중 한드림넷(SG2024) 제품 사용자의 대응 방법 타 Vendor 제품 사용자의 대응 방법 • MDS 엔진에서 Attack 패킷 자동감지 • 네트워크에 이 • 상징후 발생 • (속도저하, 사용 • 자에 의한 장애 • 신고등 ) ② 관리자에 의한 장비 점검 (L3 백본 스위치, Router, 전용회선, Server farm 등) • L3 장비에서 모 • 든 패킷의 분석 • 및 공격 트래픽 • 확인 • 관리자에 의한 • ACL 정책 수동 • 해제 ④ Attack 패킷이 멈추면 차단 Rule 자동 해제 ③ MDS 엔진에서 공격 정보 Log 생성 및 기록 ③ MDS 엔진에서 공격 정보 Log 생성 및 기록 ④ 물리적인 해당 포트에 대한 Access list 수동 생성 ② MDS 엔진에서 Attack 의 유형에 대응한 차단 Rule 자동 생성 ■ 효 과 ■ 효 과 • L2 스위치의 포트 단위 처리로 Attack 트래픽에의한 피해 없음 • 유해트래픽의 확산에 의한 추가 감염 피해 없음 • 공격정보 Log 기록 • 관리자의 개입이 필요 없음 • L3 Core Switch 의 과부하는 해결 하였으나, 이미 유해트래픽이 확산 되어 • 사용자들의 업무 불가 • 향후의 문제의 해결에 상당한 시간이 소요됨 • 모든 과정에 관리자가 필요함 네트워크 장애 후 장애 복구 (사후대책) VS 네트워크 장애 방지 (사전예방)

  25. 스위치 통합 관제 시스템(Visual Node Manager) 해킹/공격/장비 실시간 모니터링 네트워크 자원 관리[IP/MAC/SWITCH PORT] 공격자 Port Up-Link Port Connect Port 유해트래픽 차단 정보 실시간 레포팅/검색 Attack Alert

  26. 기대효과 해킹차단 서비스의 안정화 내부공격 차단 투자비용 절감 네트워크 자원관리

  27. SG2024의 Green IT 구현 * 네트워크 환경에 따라 최대 50% 이상의 절전 효과

  28. SG2024 독자 기능 및 경쟁사 대비 우위 기능

  29. 한드림넷 통합 보안 관제 솔루션 Visual IP Manager

  30. Visual IP Manager VIPM 네트워크 구성 • 네트워크에 접속 하는 시스템의 IP/MAC정보를 수집하여 VIPM 서버에 전송 • VIPM서버로부터 배포되는 접근제 어 폴리시를 적용하고 제어처리를 수행 • 네트워크 공격/해킹 대한 감지/ 차단 수행 및 차단 정보를 VIPM 서버에 전송 • L2 스위치(SG2024)에서 수집된 유저 • 정보 및 IP 정보를 데이터베이스에 저장 • 스위치로부터 전송 받은 정보를 • 이용하여 네트워크 현황 분석 • 유저별 네트워크 접근 권한 설정 및 인증 L2 보안스위치 VIPM 서버 ① 수집한 IP/MAC등의 정보를 VIPM 서버에 전송 ③ 설정된 접근제어 폴리시 및 신규 정책을 L2 보안스위치에 전송 ②신규 정책 설정 및 네트 워크 사용현황 모니터링 IP MAC IP MAC IPM 콘솔 ④ 비 인증 단말의 접속 차단 (네트워크 자동 인증 처리) • 웹 기반의 관리 툴 제공 • 네트워크 현황에 대한 실시간 모니터링 • IP 자원관리 업무 수행

  31. 비인가 접속자 제어 – VIPM 인증 VIPM 인증 • 보안 스위치와 VIPM 서버 연동 • 접속자OS구분 없이 차단 가능 • 접속 유도 웹페이지 제공 • DHCP 정책 배포 • VIPM 이중화 구현 일괄정책 배포 로그정보전송  비인가 PC

  32. 네트워크 및 사용자 통합 관리 실시간 네트워크 통합 관제 유해트래픽 차단 현황 모니터링 IP 관리 및 제어 문제 발생 시 사용자 알림 기능 제공

  33. 실시간 네트워크 현황 - Dashboard Dashboard • 실시간 장비 현황 파악 • 실시간 네트워크 접속자 현황 파악 • 유해트래픽 차단 현황 파악

  34. IP 관리 및 제어 IP Management • 장비별, IP Class별, 부서별 관리 • IP 충돌방지, 미사용 IP 관리 • 접속자 위치 파악

  35. 네트워크 접속자 위치 추적 IP 접속자 위치 파악 • 접속 스위치 명, 스위치 포트 • IP 사용 이력 • 사용 가능 시간 설정(스케줄)

  36. 사용자 IP 신청 페이지 제공 IP 사용 신청 • Non Agent 방식 • 사용자 웹페이지를 이용한 사용 신청 • 매 학기마다 신규 사용자 적용 • [일괄수정] [일괄등록] [일괄삭제] • 관리자 SMS, E-Mail, VIPM 팝업

  37. 스위치 형상관리 스위치 형상관리

  38. SECURITY SWITCHLine-up

  39. 한드림넷L2스위치 Line-up 포트수 48 SG2148 SG2048G SG2148GX SG2048GPoE SG2148GXPoE [L2 48Port 10/100] [L2 48Port Giga] [L2 48Port 10G] [L2 48Port Giga/PoE] [L2 48Port 10G/PoE] SG2124GXF [SFP 24Port 10G] SG2124 SG2124PoE SG2024GF [L2 24Port 10/100] [SFP 24Port] [L2 24Port 10/100 PoE] 24 SG2024 SG2024G SG2124GX SG2024P SG2024GPoE SG2124GXPoE [L2 24Port 10/100] [L2 24Port Giga] [L2 24Port 10G] [L2 24Port 10/100 PoE] [L2 24Port Giga/PoE] [L2 24Port 10G/PoE] 08 SG2008G SG2008GPoE [L2 8Port Giga] [L2 8Port Giga/PoE] 100 Giga 10G 100 Giga 10G 성능 PoE

  40. 한드림넷L3스위치 Line-up 포트수 48 SG3148 SG3048G SG3148GX SG3048GPoE SG3148GXPoE [L3 48Port 10/100] [L3 48Port Giga] [L3 48Port 10G] [L3 48Port Giga/PoE] [L3 48Port 10G/PoE] SG3124GXF [SFP 24Port 10G] SG3124 SG3124PoE SG3024GF [L3 24Port 10/100] [SFP 24Port] [L3 24Port 10/100 PoE] 24 SG3024 SG3024G SG3124GX SG3024P SG3024GPoE SG3124GXPoE [L3 24Port 10/100] [L3 24Port Giga] [L3 24Port 10G] [L3 24Port 10/100 PoE] [L3 24Port Giga/PoE] [L3 24Port 10G/PoE] 08 100 Giga 10G 100 Giga 10G 성능 PoE

  41. 보안 스위치 SG2000 시리즈

  42. 보안 스위치 SG2100 시리즈

  43. 보안 스위치 SG3000 시리즈

  44. 보안 스위치 SG3100 시리즈

  45. 납품사례 - Public

  46. 납품사례 - Public

  47. 납품사례 - Company

  48. 납품사례 - Education

More Related