Transcript œë¦¼ë„·-í”„ë ˆì í…Œì ´ì…˜2

㈜한드림넷
Security Switch
1
www.handream.net
한드림넷 보안스위치 특징
2
왜? L2 스위치에 보안이 필요한가?
L2 스위치에 대한
관리자 들의 보편
적인 생각
ATTACK(유해트래픽)
네트워크 트러블(관리)
L2 레벨의 사용자 인증
IP Address충돌
Network Loop 발생
장비 고장
내부 네트워크의 IP관리
비인가 사용자 접속 제어
DoS, DDoS, SCAN, ARP
Spoofing…………
3
한드림넷 보안 스위치 란?
네트워크와 보안이 통합된 엑서스레벨의 보안 스위치
4
내부네트워크에서 시작된 위협
K대학교
XX전자 반도체 공장
실습실과 기숙사에서 발생한
공장 내부에서 flooding공격 발생
DDoS 공격으로 방화벽과 인터
전체 반도체 라인 작업 중지, 수억
넷 서비스 장애 발생
원의 영업손실 발생
A기업
B관공서
내부망에 접속한 노트북으로
바이러스가 감염된 사 용자가 내부
인해 2차 감염발생
전산망을 통해 공격 네트워크
다량의 flooding공격으로 업무시간
다운으로 창구민원 업무 중단
내내 내부 네트워크 다운
5
편중된 보안 환경
필요성
외부 및 CORE망
IPS / 방화벽등으로 외부 공격에 대한 대비 충실
신종 바이러스에 의한 내부 공격에 취약
내부 공격 발생시 즉각적인 대응책 부재
 내부 네트워크의 보안 자동화
 내부 통합 관제 시스템화
 비용의 현실화
 설치의 용이함
백본 레이어
내부망으로 부터의 공격에 의한 2차감염
다량의 트래픽으로 인한 과부하/서비스 정지
내부 액세스망
모바일 디바이스에 의한 감염 가능성 증가
보안상 가장 취약한 영역/관리 통제 어려움
공격/해킹 발생시 실시간 탐지 불가
보안을 위한 네트워크 구성변경 어려움
6
취약한 내부 보안
전체 보안침해 사고 중 내부에서 발생하는 것이 80%를 차지
비정상 패킷 증가로 네트워크 장애 유발
Hacking
 급속한 피해 확산
의도적이며 보다 직접적인 공격
(Sniffing/Spoofing)
Attack
네트워크 공격
(Flooding/DDos)
SECURITY
ISSUE
Network Resource
Management
내부 네트워크의 사용자 인증 기능 미비
네트워크 자원 관리 기능 미비
 모바일 디바이스에 의한 불법 내부 네트워크 사용 증가
 악의적인 의도를 가진 내부 네트워크 사용자 제어 불가
7
 메시지 또는 파일 가로채기
 인증정보 , VOIP 도/감청
 내부자에 의한 해킹 발생시
진단/대응이 어려움
L2레벨의 보안이슈(해킹)
모바일 기기 사용의 증가로 인한 내부 보안 사고 증가
외부 사용자에
의한 해킹
Internet
Data Sniffing
내부보안에 대한 위협
개인정보 및 기업비밀정보 유출
ID/PWD등
인증정보
시스템권한
(ERP/그룹웨어)
메일내용
의도적 해킹툴을 이용한 기밀 정보 해킹
통화내역
바이러스에 의한 인지하지 못한 해킹 발생
개인신상정보
데이터 파일
※ ARP Spoofing과 같은 L2레벨에서 일어나는
네트워크 패킷 변조를 통한 해킹 행위 탐지 어려
내부 사용자에 의한
해킹
움
IP Telephony
음성통화 도청/감청
8
L2레벨의 보안이슈(네트워크 공격)
Internet
WAN Edge
Router, Firewall
액세스 레벨에서 발생하는 공격
 L2 - MAC flooding , MAC 변조 , ARP Attack
 L3 - IP Spoofing,DHCP Attack , ICMP Attack
 L4 - TCP Sync flooding (Dos,DDos,RANDOM
Main core
Attack) UDP flooding , Scanning
비정상 네트워크 트래픽을 발생시켜
Distribute
core
네트워크 장애를 유발시키는 공격
내부 네트워크에서 공격이 이루어
질 때 진단/대응할 수단이 없음
Access
core
공격자
9
L2레벨의 보안이슈(사용자 인증)
Production
Network
Internet
불법적인 내부망 접속 증가
허가받지 않은 사용자의 내부 네트워크
접근 경로의 다양화
악의적 내부 네트워크 사용자에 의한
해킹 및 바이러스의 손쉬운 배포 가능
허가 받지 않은 내부 네트워크 사용자에
대한 감시/제어기능 미비
X
Unknown or
Non-Compliant
10
?

Guest

Known Device
관리자의 요구사항
지능적인
보안기능
L2레벨의
네트워크 인증
고성능 스위칭
해킹/보안/인증
간단하고
간편한
관리 시스템
도입/
사후관리의
용이성
11
한드림넷 L2 보안 스위치
네트워크 보안
이슈
관리자의
요구
12
한드림넷 보안스위치 주요 기능
13
한드림넷 보안스위치 특장점
유해트래픽
자동 탐지/차단
데이터 유출 및
도청/감청 방지
14
사용자 엑세스 제어
사용자 접점에서 능동적 보호와 인증필요
보호
중요 서비스 보호
기밀문서 보호
개인정보 보호
네트워크 보호
인증
- 누가
- 언제
- 어디서
15
유해트래픽 차단 전용 엔진 – MDS 엔진
Multi Dimension Security Engine
Security Filter
Module
RT Packet Gathering
Module
Sensor Log
MD Protection Engine
Switching Fabric
Protection
 H/W기반의 보안 전용 엔진
Giga / Fast Ethernet Interface
 선별적 유해트래픽 차단
 유해트래픽 차단시에도 Full Wire Speed 제공
16
ARP Spoofing –
중요데이터 유출 및 도·감청 방지
ARP Spoofing 차단





중요 데이터 / 기밀 유출 방지
ID / PW등 개인 정보 유출 방지
IP 전화 도.감청 방지
네트워크 품질 저하 방지
서비스 장애 방지
17
-IP 전화의 도청
-정보의 유출 (ID, Password, data유출)
유해트래픽 차단
Layer 4 based analysis & protection
No signature update base
Cable disconnected
IP Spoofing, DHCP Attack, ICMP Attack
MAC Flooding, MAC 변조, ARP
Attack
TCP Syn flooding (DoS/DDoS/Random
Attack)
UDP flooding, Scanning
MAC source/dest address
Cable Loopback Test
Network Attack Protection (Layer 4 level)
18
Protocol (TCP/UDP/ICMP)
TCP/UDP dest port
Port pattern/IP pattern
Detection count
IP source/dest
address/port
IP range
TCP flags
Smart Protection –
유해트래픽 선별적 차단
Smart Protection
 유해 트래픽 선별적 차단
 업무의 연속성 보장
 네트워크 장애 예방
19
유해트래픽 차단 모니터링 - VNM
Visual Node Manager




실시간 유해트래픽 차단 현황
포트별 트래픽 현황
실시간 IP 사용 현황
번들 제공
20
Web Alert
Web Alert
 유해트래픽 차단 알림 공지
 Non Agent 방식
 사용자 PC 웹브라우져를 통한
알림 제공
21
사용자 인증 및 제어
LOCAL Embeded
인증
Local
인증 DB
802.1x인증
RADIUS Server
TACACS+ Server
EAP(RADIUS/Diameter)
EAP(EAPOL)
EAP(EAPOL)
Port Base인증
Multi User인증
MAC인증
WEB인증
Guest_VLAN
Port Base인증
Multi User인증
MAC인증
WEB인증
Guest_VLAN
22
솔루션 인증 & 제어
•
•
•
•
VIPM
IPScan
IDS
Etc
API
IP, ARP
IP(Port,Vlan)인증
MAC(Port,Vlan)인증
IP,MAC(Port,Vlan)
인증
MAC Wildcard(*)
인증
검증된 안정성
2007년 LG-Nortel 신뢰성 검증 통과
2008년도 HIT 상품 선정- 네트워크장비/소비자추천부문 –
2008년도 IT혁신상품 선정 – 네트워크/보안 –
디지털타임즈
디지털데일리 (08.12.26)
2009년 삼성전자 신뢰성 검증 및 표준화 장비 선정
2009년도 DT브랜드파워대상 – 네트워크장비II –
디지털타임즈 (09.04.27)
2010년 일본 소프트 뱅크 표준화 장비 선정
2011년도 4월 – IT인증사무국 – CC인증 EAL2 인증
2011년도 5월 – 국제 IPv6 Ready Logo Phase-2 인증
업계 최고
품질 기준 통과
검증된 보안
알고리즘
23
장애율
0.2% 미만
유해트래픽 차단 사례 대응 방법 비교
상황) 공격자가 목적지 IP를 변경하며, 3개의 물리적인 포트에 대해 SCAN 공격을 시도 중
한드림넷(SG2024) 제품 사용자의 대응 방법
타 Vendor 제품 사용자의 대응 방법
① 네트워크에 이
상징후 발생
(속도저하, 사용
자에 의한 장애
신고등 )
② 관리자에 의한
장비 점검 (L3
백본 스위치,
Router, 전용회
선,
Server farm 등)
③ L3 장비에서
모
든 패킷의 분석
및 공격 트래픽
확인
① MDS 엔진에서 Attack 패킷 자동감지
④ Attack 패킷이 멈추면
차단 Rule 자동 해제
⑤ 관리자에 의한
ACL 정책 수동
해제
ASIC based
Security
Engine
③ MDS 엔진에서 공격
정보
Log 생성 및 기록
④ 물리적인 해당 포트에 대한 Access list 수동 생성
② MDS 엔진에서 Attack 의 유형에 대응한 차단 Rule 자동 생
성
■ 효과
■ 효과




 L3 Core Switch 의 과부하는 해결 하였으나, 이미 유해트래픽이 확산
되어
사용자들의 업무 불가
 향후의 문제의 해결에 상당한 시간이 소요됨
 모든 과정에 관리자가 필요함
네트워크 장애 후 장애 복구 (사후대책)
VS
24
L2 스위치의 포트 단위 처리로 Attack 트래픽에의한 피해 없음
유해트래픽의 확산에 의한 추가 감염 피해 없음
공격정보 Log 기록
관리자의 개입이 필요 없음
네트워크 장애 방지 (사전예방)
스위치 통합 관제 시스템(Visual Node Manager)
해킹/공격/장비 실시간 모니터링
Up-Link Port
네트워크 자원 관리[IP/MAC/SWITCH PORT]
공격자 Port
Connect Port
Attack Alert
유해트래픽 차단 정보
실시간 레포팅/검색
25
기대효과
해킹차단
서비스의
안정화
내부공격
차단
투자비용
절감
네트워크
자원관리
26
SG2024의 Green IT 구현
절전 기능
기능 설명
비고
•그린 IT
• 소비전력 34.7W의 동종 제품 최저.
• 초 고효율율 그린 IT 제공
• SG 전제품
• AUTO 절전 기능 제공
• 60/600초(관리자 지정)간격으로 스위치를 체크하여
포트별 ON/OFF 기능에 의한 절전 기능 제공
• SG 전제품
• 요일별/시간별/포트별 스케쥴 기능에 의한 절전 기능
제공
• 스케쥴 절전 기능
• 스케뷸에 의한 절전 기간 중이어도 클라이언트 및 단
말이 연결되면 자동으로 ON/OFF 기능 제공
• 절전 효과는 AUTO 절전 기능 대비 높음
• Green IT 표준 지원
• IEEE802.3az 지원 – Energy Efficient Ethernet
• RoHS 인증 - 유해물질사용제한지침
* 네트워크 환경에 따라 최대 50% 이상의 절전 효과
27
•SG2024G 이상
SG2024 독자 기능 및 경쟁사 대비 우위 기능
제공 기능
기능 설명
비고
• Shard VLAN Egress-port 기능
(Private VLAN)
• 동일 네트워크 내에서 포트간의 통신을 차단하여 사용자들의 Security를
보장하며 Uplink 인터페이스로만 통신하게 하여 보안성과 네트워크 독립
성을 제공함
• 사이버 맨선
• 호텔, IDC 센터
• 금융권, 기숙사, 연구소
• Port Redundancy
• STP를 지원하지 않는 더비허브등에 Cable을 이중화로 연결하여 Active로
연결된 Cable에 장애 발생 시 Stand-by로 연결되어 있던 Cable이 Active
로 동작
•노후 네트워크, 공장
•DHCP Server 및 Relay 기능
• DHCP Relay 뿐만 아니라 DHCP Server 기능 제공.
•소규모 네트워크, 기숙사
• 802.1P(Voice VLAN)기능
• Voice 패킷을 우선 처리 하여, 트래픽 폭주 시에도 IP 전화 등의 통화 품
질을 우선적으로 보장 하는 기능
• IP전화 도입 및 사용시
• 케이블 거리 특정 기능
• 스위치에 연결된 포트별 케이블의 거리를 측정 하는 기능
• 네트워크 구축, 및 보수
• 시스코사의 독자 포로토콜인
CDP, PVST 기능 지원
• CDP, PVST등 시스코의 독자 포로토콜을 지원하여 기존 시스코 제품을
설치 사용중인 고객사에 납품할경우 기존 제품의 설정 변경없이 설치 및
구성 가능
• 스위치에 RADIUS 서버를 내장하여
인증 기능 제공
• 스위치에 RADISU서버를 내장 하여 별도의 외부 RADIUS 서버 없이도 스
위치 독자적인 인증 기능 제공
- 웹인증, MAC 인증, 802.1X 인증
• NetBios 필터링 기능
• NetBios 프로토콜을 이용한 윈도우 클라이언트 간의 공유 기능을 자동으
로 차단
• SFF-8472(광 모듈 정보 지원)기능
• 광 모듈의 정보 지원 기능
- 광 모듈의 온도, 전압, 광 모듈의 TX/RX 감도 정보 등을 제공
28
• 별도의 RADIUS 서버 구성
없이 ID/PASS를 이용한 유
저 인증 가능
• 스위치 1대당 최대 512명
의 인증 기능 제공
한드림넷 통합 보안 관제 솔루션
Visual IP Manager
29
Visual IP Manager
VIPM 네트워크 구성
 네트워크에 접속 하는 시스템의
IP/MAC정보를 수집하여 VIPM
서버에 전송
 VIPM서버로부터 배포되는 접근제
어 폴리시를 적용하고 제어처리를
수행
 네트워크 공격/해킹 대한 감지/
차단 수행 및 차단 정보를 VIPM
서버에 전송
 L2 스위치(SG2024)에서 수집된 유저
정보 및 IP 정보를 데이터베이스에 저장
 스위치로부터 전송 받은 정보를
이용하여 네트워크 현황 분석
 유저별 네트워크 접근 권한 설정 및 인증
L2 보안스위치
VIPM 서버
① 수집한 IP/MAC등의 정보를 VIPM
서버에 전송
③ 설정된 접근제어 폴리시 및
신규 정책을 L2 보안스위치에 전송
IP
MAC
IP
② 신규 정책 설정 및 네트
워크 사용현황 모니터링
MAC
IPM 콘솔
④ 비 인증 단말의 접속 차단
(네트워크 자동 인증 처리)
 웹 기반의 관리 툴 제공
 네트워크 현황에 대한 실시간 모니터링
 IP 자원관리 업무 수행
30
비인가 접속자 제어 – VIPM 인증
VIPM 인증





보안 스위치와 VIPM 서버 연동
접속자 OS구분 없이 차단 가능
접속 유도 웹페이지 제공
DHCP 정책 배포
VIPM 이중화 구현
비인가 PC
31
네트워크 및 사용자 통합 관리
실시간 네트워크 통합 관제
유해트래픽 차단 현황 모니터링
IP 관리 및 제어
문제 발생 시 사용자 알림 기능 제공
32
실시간 네트워크 현황 - Dashboard
Dashboard
 실시간 장비 현황 파악
 실시간 네트워크 접속자 현황 파악
 유해트래픽 차단 현황 파악
33
IP 관리 및 제어
IP Management
 장비별, IP Class별, 부서별 관리
 IP 충돌방지, 미사용 IP 관리
 접속자 위치 파악
34
네트워크 접속자 위치 추적
IP 접속자 위치 파악
 접속 스위치 명, 스위치 포트
 IP 사용 이력
 사용 가능 시간 설정(스케줄)
35
사용자 IP 신청 페이지 제공
IP 사용 신청
 Non Agent 방식
 사용자 웹페이지를 이용한 사용 신청
 매 학기마다 신규 사용자 적용
[일괄수정] [일괄등록] [일괄삭제]
 관리자 SMS, E-Mail, VIPM 팝업
36
스위치 형상관리
스위치 형상관리
37
SECURITY SWITCH
Line-up
38
한드림넷 L2 스위치 Line-up
포트수
48
SG2148
SG2048G
SG2148GX
[L2 48Port 10/100][L2 48Port Giga]
SG2048GPoE
[L2 48Port 10G]
SG2148GXPoE
[L2 48Port Giga/PoE]
[L2 48Port 10G/PoE]
SG2124GXF
[SFP 24Port 10G]
24
SG2124
SG2024GF
SG2124PoE
[L2 24Port 10/100]
[SFP 24Port]
[L2 24Port 10/100 PoE]
SG2024
SG2024G
[L2 24Port 10/100][L2 24Port Giga]
08
100
SG2124GX
SG2024P
[L2 24Port 10G]
SG2024GPoE
SG2124GXPoE
[L2 24Port 10/100 PoE]
[L2 24Port Giga/PoE]
[L2 24Port 10G/PoE]
SG2008G
SG2008GPoE
[L2 8Port Giga]
[L2 8Port Giga/PoE]
Giga
10G
100
Giga
PoE
39
10G
성능
한드림넷 L3 스위치 Line-up
포트수
48
SG3148
SG3048G
SG3148GX
[L3 48Port 10/100][L3 48Port Giga]
SG3048GPoE
[L3 48Port 10G]
SG3148GXPoE
[L3 48Port Giga/PoE]
[L3 48Port 10G/PoE]
SG3124GXF
[SFP 24Port 10G]
24
SG3124
SG3024GF
SG3124PoE
[L3 24Port 10/100]
[SFP 24Port]
[L3 24Port 10/100 PoE]
SG3024
SG3024G
[L3 24Port 10/100][L3 24Port Giga]
SG3124GX
SG3024P
[L3 24Port 10G]
SG3024GPoE
SG3124GXPoE
[L3 24Port 10/100 PoE]
[L3 24Port Giga/PoE]
[L3 24Port 10G/PoE]
08
100
Giga
10G
100
Giga
PoE
40
10G
성능
보안 스위치
SG2000 시리즈
모델명
Capacity
Throughput
Port type
포트 수
SG2024
28.8Gbps
13.09Mpps
10/100
24
SG2024P
28.8Gbps
13.09Mpps
10/100
24
SG2008G
20Gbps
29.76Mpps
10/100/1000
8
SG2008GPoE
20Gbps
29.76Mpps
10/100/1000
8
SG2024G
48Gbps
71.43Mpps
10/100/1000
24
SG2024GPoE
48Gbps
71.43Mpps
10/100/1000
24
SG2048G
192Gbps
142.9Mpps
10/100/1000
48
SG2048GPoE
192Gbps
142.9Mpps
10/100/1000
48
SG2024GF
48Gbps
71.43Mpps
1000Base-SX/LX/LH(SFP)
24
41
PoE
24
8
24
48
보안 스위치
SG2100 시리즈
모델명
Capacity
Throughput
Port type
포트 수
SG2124
28.8Gbps
19Mpps
10/100
24
SG2124PoE
28.8Gbps
19Mpps
10/100
24
SG2148
57.68Gbps
26.2Mpps
10/100
48
SG2148PoE
57.68Gbps
26.2Mpps
10/100
48
SG2124GX
144Gbps
131Mpps
10/100/1000
24
SG2124GXPoE
144Gbps
131Mpps
10/100/1000
24
SG2148GX
288Gbps
202.4Mpps
10/100/1000
48
SSG2148GXPoE
288Gbps
202.4Mpps
10/100/1000
48
SG2124GXF
144Gbps
131Mpps
1000Base-SX/LX/LH(SFP)
24
42
PoE
24
48
24
48
보안 스위치
SG3000 시리즈
모델명
Capacity
Throughput
Port type
포트 수
SG3024
28.8Gbps
13.09Mpps
10/100
24
SG3024PoE
28.8Gbps
13.09Mpps
10/100
24
SG3024G
48Gbps
71.43Mpps
10/100/1000
24
SG3024GPoE
48Gbps
71.43Mpps
10/100/1000
24
SG3048G
192Gbps
142.9Mpps
10/100/1000
48
SG3048GPoE
192Gbps
142.9Mpps
10/100/1000
48
SG3024GF
48Gbps
71.43Mpps
1000Base-SX/LX/LH(SFP)
24
43
PoE
24
24
48
보안 스위치
SG3100 시리즈
모델명
Capacity
Throughput
Port type
포트 수
SG3124
28.8Gbps
19Mpps
10/100
24
SG3124PoE
28.8Gbps
19Mpps
10/100
24
SG3148
57.68Gbps
26.2Mpps
10/100
48
SG3148PoE
57.6Gbps
26.2Mpps
10/100
48
SG3124GX
144Gbps
131Mpps
10/100/1000
24
SG3124GXPoE
144Gbps
131Mpps
10/100/1000
24
SG3148GX
288Gbps
202.4Mpps
10/100/1000
48
SG3148GXPoE
288Gbps
202.4Mpps
10/100/1000
48
SG3124GXF
144Gbps
131Mpps
1000Base-SX/LX/LH(SFP)
24
44
PoE
24
48
24
48
납품사례 - Public
45
납품사례 - Public
46
납품사례 - Company
47
납품사례 - Education
48