1 / 32

IP Management System ( IPMS ) IP 管理設備

IP Management System ( IPMS ) IP 管理設備. CURELAN TECHNOLOGY 治科資訊 ( 股 ) 有限公司 www.curelan.com. 安全認證機制常見問題. 安全認證機制常見問題. 內部 IP 遭合法使用者或非法使用者冒用,責任不易釐清,影響合法用戶權益、造成網管人員與企業管理負擔。 IP 認證管理機制繁複,造成使用者經常性的重複認證操作,形成使用者麻煩、管理者不勝其擾的困擾。 IP 安全認證機制與網路管理者的審查機制整合度不佳。.

inigo
Download Presentation

IP Management System ( IPMS ) IP 管理設備

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. IP Management System( IPMS )IP管理設備 CURELAN TECHNOLOGY 治科資訊(股)有限公司 www.curelan.com

  2. 安全認證機制常見問題

  3. 安全認證機制常見問題 • 內部IP遭合法使用者或非法使用者冒用,責任不易釐清,影響合法用戶權益、造成網管人員與企業管理負擔。 • IP認證管理機制繁複,造成使用者經常性的重複認證操作,形成使用者麻煩、管理者不勝其擾的困擾。 • IP安全認證機制與網路管理者的審查機制整合度不佳。

  4. 雖使用IP Spoofing技術,卻無法有效遏阻L3 Switch更新動態ARP Table時的空窗時間(5分鐘)被Netcut(剪刀手)及ARP Spoof病毒攻擊竄改動態ARP Table的問題,使駭客趁虛而入。 • 無法有效設置DHCP管理時間,IP用戶的增刪常需重置DHCP server,影響網路作業效率。 • 實務上的IP核發管理機制與安全認證管理整合不易。(無法支援兩段式認證管理),且無動態式的使用者自訂管理功能。

  5. 安全認證機制解決方案 及 設備主要功能與架構

  6. 安全認證機制解決方案(IPv4) • 運用L3 Switch(或L3 Core Switch)上之Arp Inspection、DHCP Snooping、DHCP Relay三種功能,來達成IP + MAC綁定的功能,加上IPMS設備之二段式認證授權方式,即可達成User Name+ IP + MAC相互綁定功能。 • Arp Inspection、DHCP Snooping、DHCP Relay功能,要能同時啟動才可搭配IPMS設備的完整功能使用,目前支援的廠牌有CISCO、FOUNDRY、Extreme(xos)、Alcatel、Zyxel。 • 搭配Arp Inspection功能,可防止防止ARP病毒攻擊、Netcut(剪刀手)、有人私自設定IP等安全機制。 • 搭配DHCP Snooping功能,可防止有人私自架設DHCPServer。

  7. 安全認證機制解決方案(IPv6) • 運用L3 Switch(或L3 Core Switch)上之DHCP Snooping、DHCP Relay二種功能加上IPMS設備之二段式認證授權方式,即可達成使用者姓名 + IP + DUID(DHCP Unique Identifier,DHCP唯一標示符)相互綁定功能。 • DHCP Snooping、DHCP Relay功能,要能同時啟動方可搭配IPMS設備使用,只要有支援這兩個功能的廠牌即可。 • 搭配DHCP Snooping功能,可防止有人私自架設DHCPServer。

  8. 設備主要功能 IPMS設備主要功能: • 二段式認證授權方式 (支援IPv4、IPv6) • 支援AD、LDAP、Radius認證 (支援IPv4、IPv6) • 臨時用戶功能 (支援IPv4、IPv6) • 基本用戶資料及認證功能(支援IPv4、IPv6) • VIP功能 (支援IPv4、IPv6) • IP/MAC自動學習功能 (支援IPv4) • 主備機功能 (支援IPv4、IPv6) • 非法IP紀錄及通知功能(支援IPv4) • 分權管理系統 (支援IPv4、IPv6) • DHCP核發紀錄及IP核發統計(支援IPv4、IPv6)

  9. 設備架構

  10. IPMS設備功能介紹

  11. 二段式認證授權方式(IPv4) 第一階段認證: • 採用使用者開啟Web頁面後直接顯示註冊認証畫面。 • 當使用者的IP為不被DHCP Server認可時,會將使用者自動導到『申請畫面』來做申請動作(強制使用者來認證註冊)。

  12. 第二階段認證: • 使用者上網填寫註冊個人基本資料後,資料會自動記錄在『未繳費用戶』中,這時管理者確認基本資料無誤後,按下動作欄位中『繳費』功能,則使用者才可正常上網。 • 當系統每次偵測到MAC為:AABBCC:DDEE12時,都會發出同一個固定IP,以達到使用者姓名 + IP + MAC相互綁定功能。

  13. 二段式認證授權方式(IPv6) 第一階段認證: • 採用使用者開啟Web頁面後直接顯示註冊認証畫面。 • 當使用者的IP為不被DHCP Server認可時,會將使用者自動導到『申請畫面』來做申請動作(強制使用者來認證註冊)。

  14. 第二階段認證: • 使用者上網填寫註冊個人基本資料後,資料會自動記錄在『未繳費用戶』中,這時管理者確認基本資料無誤後,按下動作欄位中『繳費』功能,則使用者才可正常上網。 • 當系統每次偵測到DUID為:0001000117BCB4A9-000E0CB3F0B9時,都會發出同一個固定IP,以達到使用者姓名 + IP + DUID相互綁定功能。

  15. 支援AD、LDAP、Radius認證(IPv4、IPv6) • 使用者在做申請註冊時,可加上透過AD、LADP、Radius來做進一步的認證,確認該使用者是否為合法申請用戶。 • 透過AD或LDAP或Radius認證,並配合二段式認證自動取得IP+MAC來使用。 • AD 或 LDAP 或 Radius+二段式認證

  16. 支援Radius或LDAP或AD認證,且可依各網段(Vlan)需求,各別套用不同的認證功能。支援Radius或LDAP或AD認證,且可依各網段(Vlan)需求,各別套用不同的認證功能。 • 登入系統註冊頁面時,也可自動根據註冊網域名稱套用不同的Radius認證。

  17. 臨時用戶功能(IPv4) • 本設備系統可讓管理者針對臨時來洽公的人員,創建一組臨時使用IP,當設定的使用時間到達後,系統會自動停權該IP 的使用權限。 • 當管理者設定完畢後,即可在用戶列表及臨時用戶處看到顯示為綠色之用戶資料,即為臨時用戶。

  18. 臨時用戶功能(IPv6) • 本設備系統可讓管理者針對臨時來洽公的人員,創建一組臨時使用IP,當設定的使用時間到達後,系統會自動停權該IP 的使用權限。 • 當管理者設定完畢後,即可在用戶列表及臨時用戶處看到顯示為綠色之用戶資料,即為臨時用戶。

  19. 基本用戶資料及認證功能(IPv4、IPv6) • 透過基本用戶資料,在用戶註冊時可自動帶入事先建立好的個人基本資料外,除了本身可以當作認證功能外,也可搭配Radius或LDAP或AD,做進一步的認證。 • 針對使用者不能跨部門申請,也可利用建立部門資料做歸類,強制使用者只能在同一部門申請使用網路。

  20. V I P功能(IPv4) • VIP功能:本設備系統為了更嚴謹資訊安全,凡是由本系統DHCP Server核發的IP是不能跨L3 Switch的VLAN,但是為了使用單位有特別需求,多了此VIP 功能,只要在『使用VIP』打勾,之後勾選需要創建資料的大樓(VLAN),則本系統DHCP Server會自動在所勾選的大樓(VLAN)核發一組核准的IP。

  21. V I P功能(IPv6) • VIP功能:本設備系統為了更嚴謹資訊安全,凡是由本系統DHCP Server核發的IP是不能跨L3 Switch的VLAN,但是為了使用單位有特別需求,多了此VIP 功能,只要在『使用VIP』打勾,之後勾選需要創建資料的大樓(VLAN),則本系統DHCP Server會自動在所勾選的大樓(VLAN)核發一組核准的IP。

  22. IP/MAC自動學習功能(IPv4) • 透過自動學習L3 Switch上之動態ARP Table表,可利用載入學習資料功能把學習到的IP、MAC資料匯入進來,方便管理者快速建立使用者資料庫,減少網管人員及用戶端的麻煩。

  23. 主備機功能 (IPv4、IPv6) • 在雙機備援模式下,採取主機(Master)和備機(Slave)相互備援,一但主機發生問題,備援主機將自動調整內部組態並取代主機的職務,來保持網路不斷線的運作,保障網路永續通暢。 • 網管人員亦可立即獲得新主機的訊息,來對原本故障的主機做修復的工作,使其能夠盡快恢復運作。

  24. 非法IP紀錄及通知功能(IPv4) • 管理者可利用此功能得知有哪些IP一直在試圖未經認證情況下上網且全世界只有本產品有這項功能,可讓嘗試設定非法IP上網的人員無所遁形。 • 此功能須把有Arp Inspection功能的Switch,Syslog導到IPMS設備上,且只有Cisco設備的Log有非法IP紀錄,其他廠牌則為至Switch抓取ARPTable表來作比對(因各家廠牌ARP Table表更新時間不一,會有資料不準確的問題)。

  25. 管理者也可利用此Mail通知功能得知有哪些IP一直在試圖未經認證情況下上網。管理者也可利用此Mail通知功能得知有哪些IP一直在試圖未經認證情況下上網。

  26. 分權管理系統(IPv4、IPv6) • 管理者可自行定義每個VLAN由哪些人去控管、可以控制的權限。

  27. DHCP核發紀錄及IP核發統計(IPv4) • 管理者可查詢核發IP的時間及IP核發數量的統計。

  28. DHCP核發紀錄及IP核發統計(IPv6) • 管理者可查詢核發IP的時間及IP核發數量的統計。

  29. 成功案例

  30. 機型

  31. Curelan(治科資訊)

More Related