Download
1 / 27
280 likes | 426 Views
IP Management System ( IPMS ) IP 管理設備. CURELAN TECHNOLOGY 治科資訊 ( 股 ) 有限公司 www.curelan.com. 安全認證機制常見問題. 安全認證機制常見問題. 內部 IP 遭合法使用者或非法使用者冒用,責任不易釐清,影響合法用戶權益、造成網管人員與企業管理負擔。 IP 認證管理機制繁複,造成使用者經常性的重複認證操作,形成使用者麻煩、管理者不勝其擾的困擾。 IP 安全認證機制與網路管理者的審查機制整合度不佳。.
E N D
IP Management System( IPMS )IP管理設備 CURELAN TECHNOLOGY 治科資訊(股)有限公司 www.curelan.com
安全認證機制常見問題 • 內部IP遭合法使用者或非法使用者冒用,責任不易釐清,影響合法用戶權益、造成網管人員與企業管理負擔。 • IP認證管理機制繁複,造成使用者經常性的重複認證操作,形成使用者麻煩、管理者不勝其擾的困擾。 • IP安全認證機制與網路管理者的審查機制整合度不佳。
雖使用IP Spoofing技術,卻無法有效遏阻L3 Switch更新動態ARP Table時的空窗時間(5分鐘)被Netcut(剪刀手)及ARP Spoof病毒攻擊竄改動態ARP Table的問題,使駭客趁虛而入。 • 無法有效設置DHCP管理時間,IP用戶的增刪常需重置DHCP server,影響網路作業效率。 • 實務上的IP核發管理機制與安全認證管理整合不易。(無法支援兩段式認證管理),且無動態式的使用者自訂管理功能。
安全認證機制解決方案 及 設備主要功能與架構
安全認證機制解決方案(IPv4) • 運用L3 Switch(或L3 Core Switch)上之Arp Inspection、DHCP Snooping、DHCP Relay三種功能,來達成IP + MAC綁定的功能,加上IPMS設備之二段式認證授權方式,即可達成使用者姓名 + IP + MAC相互綁定功能。 • Arp Inspection、DHCP Snooping、DHCP Relay功能,要能同時啟動方可搭配IPMS設備使用,目前支援的廠牌有CISCO、FOUNDRY、Extreme(xos)、Alcatel、Zyxel。 • 搭配Arp Inspection功能,可防止防止ARP病毒攻擊、Netcut(剪刀手)、有人私自設定IP等安全機制。 • 搭配DHCP Snooping功能,可防止有人私自架設DHCPServer。
安全認證機制解決方案(IPv6) • 運用L3 Switch(或L3 Core Switch)上之DHCP Snooping、DHCP Relay二種功能,來達成IP + DUID綁定的功能,加上IPMS設備之二段式認證授權方式,即可達成使用者姓名 + IP + DUID相互綁定功能。 • DHCP Snooping、DHCP Relay功能,要能同時啟動方可搭配IPMS設備使用,只要有支援這兩個功能的廠牌即可。 • 搭配DHCP Snooping功能,可防止有人私自架設DHCPServer。
設備主要功能 IPMS設備主要功能: • 二段式認證授權方式 (IPv4、IPv6) • 支援AD、LDAP、Radius認證 (IPv4、IPv6) • 臨時用戶功能 (IPv4、IPv6) • VIP功能 (IPv4、IPv6) • IP/MAC自動學習功能 (IPv4) • 主備機功能 (IPv4、IPv6) • 非法IP紀錄功能 (IPv4) • 分權管理系統 (IPv4、IPv6)
二段式認證授權方式(IPv4) 第一階段認證: • 採用使用者開啟Web頁面後直接顯示註冊認証畫面。 • 當使用者的IP為不被DHCP Server認可時,會將使用者自動導到『申請畫面』來做申請動作(強制使用者來認證註冊)。
第二階段認證: • 使用者上網填寫註冊個人基本資料後,資料會自動記錄在『未繳費用戶』中,這時管理者確認基本資料無誤後,按下動作欄位中『繳費』功能,則使用者才可正常上網。 • 當系統每次偵測到MAC為:AABBCC:DDEE12時,都會發出同一個固定IP,以達到使用者姓名 + IP + MAC相互綁定功能。
二段式認證授權方式(IPv6) 第一階段認證: • 採用使用者開啟Web頁面後直接顯示註冊認証畫面。 • 當使用者的IP為不被DHCP Server認可時,會將使用者自動導到『申請畫面』來做申請動作(強制使用者來認證註冊)。
第二階段認證: • 使用者上網填寫註冊個人基本資料後,資料會自動記錄在『未繳費用戶』中,這時管理者確認基本資料無誤後,按下動作欄位中『繳費』功能,則使用者才可正常上網。 • 當系統每次偵測到DUID為:0001000117BCB4A9-000E0CB3F0B9時,都會發出同一個固定IP,以達到使用者姓名 + IP + MAC相互綁定功能。
支援AD、LDAP、Radius認證(IPv4、IPv6) • 使用者在做申請註冊時,可加上透過AD、LADP、Radius來做進一步的認證,確認該使用者是否為合法申請用戶。 • 透過AD或LDAP或Radius認證,並配合二段式認證自動取得IP+MAC來使用。 • AD 或 LDAP 或 Radius+二段式認證
臨時用戶功能(IPv4) • 本設備系統可讓管理者針對臨時來洽公的人員,創建一組臨時使用IP,當設定的使用時間到達後,系統會自動停權該IP 的使用權限。 • 當管理者設定完畢後,即可在用戶列表及臨時用戶處看到顯示為綠色之用戶資料,即為臨時用戶。
臨時用戶功能(IPv6) • 本設備系統可讓管理者針對臨時來洽公的人員,創建一組臨時使用IP,當設定的使用時間到達後,系統會自動停權該IP 的使用權限。 • 當管理者設定完畢後,即可在用戶列表及臨時用戶處看到顯示為綠色之用戶資料,即為臨時用戶。
V I P功能(IPv4) • VIP功能:本設備系統為了更嚴謹資訊安全,凡是由本系統DHCP Server核發的IP是不能跨L3 Switch的VLAN,但是為了使用單位有特別需求,多了此VIP 功能,只要在『使用VIP』打勾,之後勾選需要創建資料的大樓(VLAN),則本系統DHCP Server會自動在所勾選的大樓(VLAN)核發一組核准的IP。
V I P功能(IPv6) • VIP功能:本設備系統為了更嚴謹資訊安全,凡是由本系統DHCP Server核發的IP是不能跨L3 Switch的VLAN,但是為了使用單位有特別需求,多了此VIP 功能,只要在『使用VIP』打勾,之後勾選需要創建資料的大樓(VLAN),則本系統DHCP Server會自動在所勾選的大樓(VLAN)核發一組核准的IP。
IP/MAC自動學習功能(IPv4) • 透過自動學習L3 Switch上之動態ARP Table表,利用載入學習資料功能把IP、MAC、Switch、Port、Port Name的資料匯入進來,方便管理者快速建立使用者資料庫。
主備機功能 (IPv4、IPv6) • 在雙機備援模式下,採取主機(Master)和備機(Slave)相互備援,一但主機發生問題,備援主機將自動調整內部組態並取代主機的職務,來保持網路不斷線的運作。 • 網管人員亦可立即獲得新主機的訊息,來對原本故障的主機做修復的工作,使其能夠盡快恢復運作,保障網路永續通暢。而設備也可以經由循環使用來延續雙機的壽命。
非法IP紀錄功能(IPv4) • 管理者可利用此功能得知有哪些IP一直在試圖未經認證情況下上網且全世界只有本產品有這項功能,可讓嘗試設定非法IP上網的人員無所遁形。 • 此功能須把有Arp Inspection功能的Switch,Syslog導到IPMS設備上,且因只有Cisco設備的Log有非法IP紀錄,其他廠牌(如:Alcatel、Extreme、Foundry)皆無該紀錄,所以目前只支援Cisco設備。
分權管理系統(IPv4、IPv6) • 管理者可自行定義每個VLAN由哪些人去控管、可以控制的權限。
