Transcript SG2024소개자료_v2.2_101127

2010.11.01_v7
Ethernet Security Switch
The Best Integrated Security Solution
㈜한드림넷
목차
SG2024란?
제안의 배경
MDS엔진
네트워크 보안 기능
통합 보안 관제 시스템
제품비교
결론
부록
2
Ethernet Security Switch
왜? L2 스위치에 보안이 필요한가?
L2 스위치에 대한
관리자 들의 보편적
인 생각
ATTACK(유해트래픽)
네트워크 트러블(관리)
L2 레벨의 사용자 인증
IP Address충돌
Network Loop 발생
장비 고장
내부 네트워크의 IP관리
비인가 사용자 접속 제어
DoS, DDoS, SCAN, ARP
Spoofing…………
3
Ethernet Security Switch
SG2024란?
네트워크와 보안이 통합된 엑서스레벨의 보안 스위치
고성능
스위치
보안 기능
4
Ethernet Security Switch
내부 네트워크에서 시작된 위협
K대학교
XX전자 반도체 공장
실습실과 기숙사에서 발생한 DDoS
공장 내부에서 flooding공격 발생
공격으로 방화벽과
전체 반도체 라인 작업 중지, 수억원
인터넷 서비스
장애 발생
의 영업손실 발생
A기업
B관공서
내부망에 접속한 노트북으로
바이러스가 감염된 사 용자가 내부
인해 2차 감염발생
다량의 flooding공격으로 업무시간
전산망을 통해 공격 네트워크 다
내내 내부 네트워크 다운
운으로 창구민원 업무 중단
5
Ethernet Security Switch
편중된 보안환경
필요성
외부 및 CORE망
IPS / 방화벽등으로 외부 공격에 대한 대비 충실
 내부 네트워크의 보안 자동화
신종 바이러스에 의한 내부 공격에 취약
 내부 통합 관제 시스템화
내부 공격 발생시 즉각적인 대응책 부재
 비용의 현실화
 설치의 용이함
백본 레이어
내부망으로 부터의 공격에 의한 2차감염
다량의 트래픽으로 인한 과부하/서비스 정지
내부 액세스망
모바일 디바이스에 의한 감염 가능성 증가
보안상 가장 취약한 영역/관리 통제 어려움
공격/해킹 발생시 실시간 탐지 불가
보안을 위한 네트워크 구성변경 어려움
6
Ethernet Security Switch
취약한 내부 보안
L2레벨의 네트워크 보안 이슈
전체 보안침해 사고 중 내부에서 발생하는 것이 80%를 차지
 메시지 또는 파일 가로채기
비정상 패킷 증가로 네트워크 장애 유발
 인증정보 , VOIP 도/감청
Hacking
 급속한 피해 확산
 내부자에 의한 해킹 발생시
의도적이며 보다 직접적인 공격
(Sniffing/Spoofing)
Attack
네트워크 공격
(Flooding/DDos)
진단/대응이 어려움
SECURITY
ISSUE
Network Resource
Management
내부 네트워크의 사용자 인증 기능 미비
네트워크 자원 관리 기능 미비
 모바일 디바이스에 의한 불법 내부 네트워크 사용 증가
 악의적인 의도를 가진 내부 네트워크 사용자 제어 불가
7
Ethernet Security Switch
L2레벨의 보안이슈1 (해킹)
모바일 기기 사용의 증가로 인한 내부 보안 사고 증가
외부 사용자에 의한
해킹
Data Sniffing
내부보안에 대한 위협
개인정보 및 기업비밀정보 유출
ID/PWD등
인증정보
시스템권한
(ERP/그룹웨어)
의도적 해킹툴을 이용한 기밀 정보 해킹
메일내용
통화내역
바이러스에 의한 인지하지 못한 해킹 발생
개인신상정보
데이터 파일
※ ARP Spoofing과 같은 L2레벨에서 일어나는
네트워크 패킷 변조를 통한 해킹 행위 탐지 어려움
내부 사용자에 의한
해킹
IP Telephony
음성통화 도청/감청
8
Ethernet Security Switch
Internet
L2레벨의 보안이슈2 (공격)
Internet
WAN Edge
Router, Firewall
액세스 레벨에서 발생하는 공격
 L2 - MAC flooding , MAC 변조 , ARP Attack
 L3 - IP Spoofing,DHCP Attack , ICMP Attack
 L4 - TCP Sync flooding (Dos,DDos,RANDOM
Main core
Attack) UDP flooding , Scanning
비정상 네트워크 트래픽을 발생시켜 네
트워크 장애를 유발시키는 공격
Distribute
core
내부 네트워크에서 공격이 이루어질
때 진단/대응할 수단이 없음
Access
core
공격자
9
Ethernet Security Switch
L2레벨의 보안이슈3 (사용자 인증)
Production
Network
Internet
불법적인 내부망 접속 증가
허가받지 않은 사용자의 내부 네트워크
접근 경로의 다양화
악의적 내부 네트워크 사용자에 의한
해킹 및 바이러스의 손쉬운 배포 가능
허가 받지 않은 내부 네트워크 사용자에
대한 감시/제어기능 미비
X
Unknown or
Non-Compliant
10
?

Guest

Known Device
Ethernet Security Switch
L2레벨의 보안 스위치
관리자의
요구
네트워크 보안 이슈
11
Ethernet Security Switch
관리자의 요구사항
지능적인
보안기능
고성능 스위칭
L2레벨의
네트워크 인증
해킹/보안/인증
간단하고
간편한
관리 시스템
도입/
사후관리의
용이성
12
Ethernet Security Switch
SG2024가 제공하는 보안기능 범위
보안범위
인 증
L2레벨의 네트워크 사용자 인증
인증
L2~L4
트래픽 분석
해킹
IP Address | MAC Address | Switch Port 조합 인증
 I P주소 + MAC + Switch Port
를 조합하여 액세스레벨의 네트
워크 사용자 인증을 수행
ARP Spoofing 차단 (인지하지 못한 해킹)
Data Sniffing 차단 (악의적인 해킹)
IP Telephony – 도・감청차단
해 킹
 서브넷의 모든 MAC주소를 스캔
하여서 패킷변조/전송을 이용한
형태의Spoofing /Sniffing을 차
단
공격
L2~L4레벨까지의 공격차단
 IPT의 통화내역 도・감청 차단
L2 - MAC flooding , MAC 변조 , ARP Attack
L3 - IP Spoofing,DHCP Attack , ICMP Attack
L4 - TCP Sync flooding(Dos,DDos,RANDOM
Attack), UDP flooding , Scanning
 Spoofing공격에 의한 네트워크
속도 저하 /네트워크 사용량 증
가방지
공 격
 L2~L4까지의 트래픽을 분석하
여 공격차단
13
Ethernet Security Switch
Multi Dimension Security엔진
Multi Dimension Security엔진에 의한 Wire Speed 성능 보증과 오판 방지
Attack Packet Analysis
Multi-dimension Security Engine
DoS
Security Filter Module
DDoS
DDoS(spoofed)
Flash croeds,Worms(spoofed)
Sensor Log
DDoS Class
DoS Class
Scan Class
Random Class
RT Packet Gathering
Module
MD Protection Engine
Switching Fabric
Protection
Giga / Fast Ethernet Interface
Response
H/W 기반의 MDS Engine은 네트워크 흐름에 따라 자동으로 일정시간동안
출발지 IP/Port, 목적지 IP/Port, Protocol 등의 Header 정보로 Packet들의 Flow를 모니터링하여
Packet Flow의 엔트로피(자유도) 분포를 분석하여 비정상적인 Packet만 선별적으로 차단합니다.
14
Ethernet Security Switch
SG2024 보안기능
L2레벨의 해킹 차단
L4기반의 트래픽 분석/차단
호스트-A ARP Cache
Data Sniffing
IP Addr
192.168.
1.1
- 개인정보(아이디/패스워드)
- 기업 내부의 기밀정보 유출
Layer 4 based analysis & protection
No signature update base
호스트-B ARP Cache
Mac
Address
xxxx15a
xxxx17c
IP Addr
192.168.
1.3
Mac
Address
xxxx13b
xxxx17c
IP Addr :
192.168.1.1
MAC Addr :
xxxx15a
IP Addr : 192.168.1.3
MAC Addr : xxxx13b
Cable Disconnected
ARP Spoofing
MAC Flooding
ARP Attack
- 네트워크 사용량 증가
- 네트워크 속도 저하
IP Spoofing
DHCP Attack
MDS arp-table
P
o
3r
1t
IP Telephony
5
Mac/IP Address
Xxxx17c
192.168.1.13
Xxxx13b 192.168.1.3
Xxxx15a 192.168.1.1
TCP Sync Flooding
DDos Attack
IP Addr :
192.168.1.13
MAC Addr : xxxx17c
- 도청/녹취
L2레벨의 네트워크 인증
Smart Protection
유해 트래픽 선별적 차단
업무의 연속성 보호

Production
Network
등록한 IP/MAC
이상 패킷 검출
포트 차단
IP/MAC/ Switch
Port 조합 인증
?
Release
Protection
Security Policing
Packet Analysis
미등록IP/MAC
Internet
Switch Port정보
불일치
X
L2레벨 인증
Policy 설정
변조된 IP/MAC
15
Ethernet Security Switch
Ethernet
Security
Switch
통합 보안 관제 시스템
해킹/공격/장비 실시간 모니터링
Up-Link Port
네트워크 자원 관리[IP/MAC/SWITCH PORT]
공격자 Port
Connect Port
Attack Alert
유해트래픽 차단 정보
실시간 레포팅/검색
16
Ethernet Security Switch
통합 네트워크 관제 & IP자원 관리 & 비인가 사용자 접근제어
• 실시간 네트워크 모니터링
• IP Address 사용현황
• 유해트래픽 차단로그 분석
• 네트워크 인증 설정(IP+MAC+Switch port)
• 스윗치별 네트워크 사용 상황
(접속 유저, IP 사용 상황, 트래픽 현황)
• 유해 트래픽 형태별 분석
Visual IP Management
 IP , MAC 실시간 사용현황 관리
 네트워크 사용자 이력 및 트래픽 관리
 분산된 IP 자원의 통합 관리
 비인가 사용자의 네트워크 접근 제어
17




미사용 IP관리 및 비활성 IP 자동 차단
IP별 사용 기간 설정
IP 변경 및 도용 방지
IP 충돌 방지
Ethernet Security Switch
유해트래픽 차단 사례 비교 분석
타사 제품과의 대응방법 비교
상황) 공격자가 목적지 IP를 변경하며, 3개의 물리적인 포트에 대해 SCAN 공격을 시도 중
한드림넷(SG2024) 제품 사용자의 대응 방법
타 Vendor 제품 사용자의 대응 방법
① 네트워크에 이
상징후 발생
(속도저하, 사용
자에 의한 장애
신고등 )
② 관리자에 의한
장비 점검 (L3
백본 스위치,
Router, 전용회선,
Server farm 등)
③ L3 장비에서 모
든 패킷의 분석
및 공격 트래픽
확인
① MDS 엔진에서 Attack 패킷 자동감지
④ Attack 패킷이 멈추면
차단 Rule 자동 해제
⑤ 관리자에 의한
ACL 정책 수동
해제
ASIC based
Security Engine
③ MDS 엔진에서 공격 정보
Log 생성 및 기록
④ 물리적인 해당 포트에 대한 Access list 수동 생성
② MDS 엔진에서 Attack 의 유형에 대응한 차단 Rule 자동 생성
■ 효과
■ 효과




 L3 Core Switch 의 과부하는 해결 하였으나, 이미 유해트래픽이 확산 되어
사용자들의 업무 불가
 향후의 문제의 해결에 상당한 시간이 소요됨
 모든 과정에 관리자가 필요함
네트워크 장애 후 장애 복구 (사후대책)
VS
18
L2 스위치의 포트 단위 처리로 Attack 트래픽에의한 피해 없음
유해트래픽의 확산에 의한 추가 감염 피해 없음
공격정보 Log 기록
관리자의 개입이 필요 없음
네트워크 장애 방지 (사전예방)
Ethernet Security Switch
최적화된 엑서스 레벨의 보안구성
Internet
WAN Edge
Router, Firewall
Main core
Distnibute core
내부 네트워크
통합 관리 콘솔
1
ASIC기반의 특허받은 MDS 엔진에
의한 신속한 처리 능력
2
VNM 모니터링 툴에서 관리자를
위한 레포팅 기능제공
3
Wire Speed의 안정적인 네트워크
4
네트워크 공격의
실시간 감지 및 자동차단, 해제
5
비인가 사용자의 네트워크 접속제어
서비스 제공
(IP+MAC+PPort)
Access
core
SG2024
IP 매니지먼트
(비인가 PC 검출)
SG2024
Zero-Day 공격 차단
(DDoS/DoS/SCAN
공격 탐지/차단)
ARP 스푸핑 차단
(도/감청, 개인정보
유출 탐지/차단)
19
6
바이러스 자동 확산 방지 기능
7
사용자의 실시간 모니터링 기능
8
혁신적인 가격 및 기능
Ethernet Security Switch
기대 효과
해킹차단
서비스의
안정화
내부공격
차단
투자비용
절감
네트워크
자원관리
20
Ethernet Security Switch
SG2024의 그린IT 구현
절전 기능
기능 설명
비고
•그린 IT
• 소비전력 34.7W의 동종 제품 최저.
• 초 고효율율 그린 IT 제공
• SG 전제품
• AUTO 절전 기능 제공
• 60/600초(관리자 지정)간격으로 스위치를 체크하
여 포트별 ON/OFF 기능에 의한 절전 기능 제공
• SG 전제품
• 요일별/시간별/포트별 스케쥴 기능에 의한 절전 기
능 제공
• 스케쥴 절전 기능
• 스케뷸에 의한 절전 기간 중이어도 클라이언트 및
단말이 연결되면 자동으로 ON/OFF 기능 제공
•SG2024G 이상
• 절전 효과는 AUTO 절전 기능 대비 높음
* 네트워크 환경에 따라 최대 50% 이상의 절전 효과
21
Ethernet Security Switch
SG2024독자 기능 및 경쟁사 대비 우위 기능
제공 기능
기능 설명
비고
• Shard VLAN Egress-port 기능
(Private VLAN)
• 동일 네트워크 내에서 포트간의 통신을 차단하여 사용자들의 Security를 보장하
며 Uplink 인터페이스로만 통신하게 하여 보안성과 네트워크 독립성을 제공함
• 사이버 맨선
• 호텔, IDC 센터
• 금융권, 기숙사, 연구소
• Port Redundancy
• STP를 지원하지 않는 더비허브등에 Cable을 이중화로 연결하여 Active로 연결된
Cable에 장애 발생 시 Stand-by로 연결되어 있던 Cable이 Active로 동작
•노후 네트워크, 공장
•DHCP Server 및 Relay 기능
• DHCP Relay 뿐만 아니라 DHCP Server 기능 제공.
•소규모 네트워크, 기숙사
• 802.1P(Voice VLAN)기능
• Voice 패킷을 우선 처리 하여, 트래픽 폭주 시에도 IP 전화 등의 통화 품질을 우
선적으로 보장 하는 기능
• IP전화 도입 및 사용시
• 케이블 거리 특정 기능
• 스위치에 연결된 포트별 케이블의 거리를 측정 하는 기능
• 네트워크 구축, 및 보수
• PoE스위치의 전원 이중화 기능
• SG시리즈의 PoE 스위치는 전화 이중화 지원시
• 스위치 내장 전원으로 전원 이중 이중화 지원.
• 타사 제품의 경우 별도의 외부 전원 공급장치Redundant Power Supply)를 통한 지
원으로 외부전원 공급장지(RPS)구매에 의한 구매 비용 증가와 설치 구성시 RACK
공간의 효율성 감소
• 시스코사의 독자 포로토콜인
CDP, PVST 기능 지원
• CDP, PVST등 시스코의 독자 포로토콜을 지원하여 기존 시스코 제품을 설치 사
용중인 고객사에 납품할경우 기존 제품의 설정 변경없이 설치 및 구성 가능
• 스위치에 RADIUS 서버를 내장하여 인
증 기능 제공
• 스위치에 RADISU서버를 내장 하여 별도의 외부 RADIUS 서버 없이도 스위치 독
자적인 인증 기능 제공
- 웹인증, MAC 인증, 802.1X 인증
• NetBios 필터링 기능
• NetBios 프로토콜을 이용한 윈도우 클라이언트 간의 공유 기능을 자동으로 차단
• SFF-8472(광 모듈 정보 지원)기능
• 광 모듈의 정보 지원 기능
- 광 모듈의 온도, 전압, 광 모듈의 TX/RX 감도 정보 등을 제공
22
• 별도의 RADIUS 서버 구성없
이 ID/PASS를 이용한 유저 인
증 가능
• 스위치 1대당 최대 512명의
인증 기능 제공
Ethernet Security Switch
SG Security Switch Series Line-up & Load map
SG2xxx vs SG3xxx Series Product portfolio
현재 시판중인 제품
2006~2007
2010년 출시 제품
2008~2009
상반기
하반기
L2 Switch
SG2024GF
SG2008G / PoE
[SFP 24port Switch]
[L2 8Port Giga / PoE Switch]
SG2024P
SG2048G
[L2 24port 10/100 PoE Switch]
[L2 48Port Giga Switch]
SG2024
SG2024G
SG2024GPoE
[L2 24port Giga Switch]
[L2 24port Giga PoE Switch]
[L2 24port 10/100 Switch]
SG2148
[L3 48port 10/100 Switch]
SG2148PoE
[L3 48port 10/100 PoE Switch]
L3 Switch
SG2024M
SG3024G
SG3024GPoE
[L2 24port 10/100 Metro Switch]
[L3 24port Giga Switch]
[L3 24port Giga PoE Switch]
SG3024
SG3048G
[L3 24port 10/100 Switch]
[L3 48port Giga Switch]
SG3024GF
[SFP 24port Switch]
SG3048GPoE
[L3 24port Giga PoE Switch]
SG3024PoE
[L3 24port 10/100 PoE Switch]
23
Ethernet Security Switch
SG2024 시리즈 스팩
다양한 인터페이스 및 성능 제공 (L2/L3)
Gigabit
28.8Gbps switching capacity
13.1Mpps throughput
28.8Gbps switching capacity
13.1Mpps throughput
Full Port 802.3af(15.4w per port)
48Gbps switching capacity
71.43Mpps throughput
48Gbps switching capacity
71.43Mpps throughput
Full Port 802.3af(15.4w per port)
192Gbps switching capacity
142.9Mpps throughput
24
Ethernet Security Switch
10/100
납품업체
 Public
25
Ethernet Security Switch
납품업체
 Public
26
Ethernet Security Switch
납품업체
 Company
27
Ethernet Security Switch
납품업체
 Education
28
Ethernet Security Switch