I N D E X

PRODUCTⅠ

REFERENCEⅡ

PRODUCTⅠ

배 경

목 표

추진범위

IT 환경 변화에 따른 무선 네트워크 활용 빈도가 높아짐

무선 네트워크는 데이터 도청이나 비인가 사용자의 접속이 용이해 사내 네트워크의 내부 자원의 위협 발생

무선 보안 위협으로부터 내부 자원을 무선 인증/암호화 인프라 구축을 통해 효과적인 무선 보안 환경 제공

고객사의 유/무선 보안 인프라 개선

고객사의 기 구축된 보안 솔루션 및 로그 서버 연동 제공

사용자 중심의 ROI 제공 및 운용 관리 등 고객 편의성 극대화

1. Anyclick AUS 개요 Anyclick AUS 개요

4

•내부 보안강화로 대외 신인도 향상

•감독기관 정보보호규정 및외부감사 사전 대비

•임직원 보안 마인드 재고에 따른잠재적 보안 사고 예방

•유무선 사용자 통합 인증

•다양한 유무선 단말 인증 지원

•비인가 무선 단말의 내부 네트워크접속 차단, 데이터 유출/유포, 바이러스감염 방지

•유무선 사용자 및 장비 통합 인증체계 구축으로 인증 관리비용 감소

•추가 장비 구성 없는 Active-Active mode HA 구성 기능

•Proxy / DB Replication / self –healing 등의 기능으로 최소 다운타임보증

•향후 FMC, Mobile Office 업무 환경지원

•미래지향적 투자 적합성 확보

•PKI 원천기술 및 단말 드라이버 기술보유로 고객사의 기존 인증체계 유지

•기존 투자 보호 및 투자 타당성 확보

전사적측면

단말 & 네트워크측면

우수한ROI

투자적합성

기대효과

Anyclick AUS는 강력한 사용자 인증 및 암호화를 통해 허용되지 않은 사용자와 단말의 네트워크 접속을 차단하고, 안전한 무선

데이터 전송을 제공하여 내부 인프라를 보호하는 무선 보안에 특화된 유무선 통합 인증시스템입니다.

2. Anyclick AUS 제품 소개 Anyclick AUS 주요 기능

5

표준 준수 사항 다양한 인증 기능

• 인증: IEEE 802.1x / EAP• 암호화: Dynamic WEP, WPA1 (TKIP), WPA2 (AES-CCMP)• RADIUS, DHCP 서비스 등 다수의 IETF RFC 인터넷 표준 준수• RADIUS v6 지원

• HDD 인증, HW 고유 ID 인증 등 특수 인증 기능 제공• 네트워크 장비 – 관리자 그룹간 접속 등 부가 인증 관리 기능 제공• ID&PW/IP/MAC/지문/스마트카드 등 인증요소의 개별/조합 인증기능 지원• 기 인증체계(PKI, SSO/EAM) 및 AD/LDAP, 3rd RDBMS 등 Back-end 인증DB

연동 커스터마이징 지원

장애/성능 관리 등 일반 기능 기타

• Proxy 형태의 이중화 기능, DR을 위한 DB Replication 기능 제공• L4 장비 또는 추가 SW 없이 Active-Active mode HA 구성 지원• 사용자 편이성을 위한 프로파일 인증관리, 인증서 관리 기능 제공• SYSLOG, SNMP 등을 통한 보안관리시스템 연계 방안 제공

• 인증ㆍ정책ㆍDHCPㆍWAS 통합 Appliance 장비• 지원 단말 환경: 2000, 8, 10 ; PDA/Smart Phone (Pocket PC 2002, 2003,

mobile 6.x, Windows CE.NET 4.2/5.0 등)• 사용자 접속 편이성을 위한 안드로이드 기반 접속 CM제공• 국정원 “무선랜 인증시스템 보호프로파일“을 준용한 CC EAL4 인증 획득

사용자 인증 기반 IP관리 기능

• 사용자/그룹 인증을 이용한 네트워크 접근 통제• 기 설정된 VLAN ID와 연계된 사용자/그룹별 접근통제• 사용자별, 그룹별, 시간별, 일별, 요일별 접근 통제• NAS장비의 ACL 설정 기능과 인증속성 정보와 연계한 접근 통제• 인증서버에서 NAS 장비와 연계한 SSID별 사용자 접속 통제

• 무선 IP roaming 기능• IP/MAC 변조 방지 기능: ID-IP-MAC 매핑 인증, DHCP client 설정 강제• ID 기반 IP할당 관리: ID 기반 인증 DHCP 서버 제공• 사용자 등록 프로세스 처리 기능 제공• NAS 그룹 별/VLAN별 DHCP 설정 기능 제공• 사용자 – IP 할당 감사 증적 제공, 다양한 리포팅 기능 제공

Anyclick AUS에서는 기본적인 ID/PW 인증, MAC 인증, IP인증, 공인/사설 인증서 등의 다양한 방식을 통하여 사용자 인증이 가능

합니다.

지원 가능한 인증/암호화 방식

6

2. Anyclick AUS 제품 소개

인증서 방식 사용자 프로파일 방식

사용자등록업무프로세스

HDDVolume정보

IP

ID/PW

인증서

지문,스마트카드등

MAC

개별조합병행

사용자, 단말, 네트워크장비통합인증

단일인증체계구현(유무선/1x & non-1x)

AD, SSO 등기인증체계

연동

지원 인증 기능 인증방식 별 GUI

지원 암호화 방식

구 분 설 명

Dynamic WEP Dynamic Wireless Equivalent Privacy

TKIP/MIC

Temporal Key Integrity Protocol, IEEE 802.1X / Wi-Fi

WPA 규격에서 기업환경에서 사용토록 권고한 암호화 프

로토콜로 MIC (Message Integrity Check)과 함께 전송데

이터의 기밀성과 무결성을 보장 함.

AES-CCMP

Advanced Encryption Standard Counter-Mode/CBC-MAC

Protocol, 강화된 IEEE 802.11i / Wi-Fi WPA2 규격에서 제

공하는 128비트 대칭키 암호화 방식으로 전송데이터의 기

밀성과 무결성을 보장 함.

Anyclick AUS에서는 효율적인 사용자 인증 환경을 제공하기 위해 사설 인증서 발급 및 관리 기능을 제공합니다.

사설 인증서 발급 기능

7

2. Anyclick AUS 제품 소개

③ 사용자 검증① 사설 인증서 요청 및 발급

사용자 단말

AP 인증서버④-1 사용자 인증 성공네트워크 허용

② 사용자 인증 요청(인증서, ID)

④-2 사용자 인증 실패네트워크 차단

1. 사용자 ID/PW를 통해사용자 Web 페이지 접속

2. 사용자 Web 페이지 상에서 사설 인증서 발급

단말단 사용자 인증 측면 서버단 사설인증서 발급 측면

※ 인증서를 통한 사용자 인증은 EAP 인증 프로토콜 중 EAP-TLS 적용 필요

1. 네트워크 접속 프로파일더블클릭

2. 발급 받은 사설 인증서 및 ID를 통해 사용자 인증 요청

3. 네트워크 접속 정보 확인

Anyclick AUS에서는 TLS(Transport Layer Security) V1.2 를 통하여 각 에이전트와 무선 인증 서버간의 통신 구간에 대하여 보안

이 강화되었습니다.

사용자 인증 TLS V1.2

8

2. Anyclick AUS 제품 소개

국내 최초 “사용자 인증 과정 TLS V1.2 암호화” CC(EAL4)인증 획득

AttackerTLS V 1.0 / 1.1

복호화

암호화

TLS V 1.0 / 1.1

복호화

암호화

기존 암호화 구간:

SHA-1, DES, RSA1024 등 보안 등급이 낮은 암호 알고리즘 사용

Agent 무선 인증 서버보안 취약점

타사 제품

Anyclick AUS

TLS V 1.0 / 1.1 / 1.2

복호화

암호화

TLS V 1.0 / 1.1 / 1.2

복호화

암호화

TLS V1.2 암호화구간:

SHA-256, AES-256, RSA2048 등 강화된 암호알고리즘 사용으로 보안 강화

Agent 무선 인증 서버Attacker

기존에 도입되어 구축이 완료된 인증체제를 유지하기 위해 기 인증체제(PKI, SSO, 3rd DB 등)와 안정적으로 연동할 수 있는 기능

을 제공합니다.

기존 인증 시스템 연동 지원

9

2. Anyclick AUS 제품 소개

사용자정보

검증

INISAFE OCSP

인증서유효성검사

[유효성결과전달]1. Success2. Fail

EAP-TLS인증서를통한

인증

OCSP연동구간

2

3

1

45

[인증결과전달]1. Success2. Fail

6

유효네트워크접근

네트워크

INITECH SERVER

AUS SERVER

AUTHENTICATOR

CLIENT

CA를통해발급된디지털인증서의유효성(폐기) 여부를실시간으로확인

• K은행 PKI 연동 사례• 지문인식, smart card 등 기존 인증체계 연동 Know-how

인증 체계와의 연동

ESM

System 이벤트, Radius인증로그

②안: syslog 연동

①안: ESM agent 연동

②원본파일(text, binary) 전송

①syslog 포맷의로컬파일생성

LogSaver

③원문파싱후, 검색가능형태로DB 저장

NMSRadius인증로그

SNMP MIB 제공

• K은행 이글루시큐리티 Spider-X ESM 연동 사례

3rd Party 인사DB 연동

ESM, NMS 시스템과의 연동

관리자에 의한 수동 등록

CSV 포맷 통한 일괄 등록Back-end 인증 시스템 연동

DB

SAM파일

ADLDAP

일 batch 등Sync.과정필요

제3의 인사시스템

IEEE 802.1X 포트 기반 네트워크 접근 제어 기능으로 비인가 사용자/단말을 통제하고, 사용자/부서/그룹별 접속가능 시간대(시간/

날짜/요일 별) 설정을 통한 접근 통제가 가능합니다.

인증 기반의 네트워크 접근통제

10

2. Anyclick AUS 제품 소개

▶ IEEE 802.1x 표준 기반 유무선 사용자 인증과 단말 식별, 네트워크 장비-관리자 그룹 인증을 모두 수용* IEEE 802.1x 포트기반 네트워크 접근제어 (port-based NAC): L2/L3 물리적 스위치 포트 또는 무선AP 가상포트 단위 NAC

네트워크 접근 제어

802.1x 지원 AP

802.1x 지원 Switch

무선랜 사용자

유선랜 사용자

내부 비인가 단말

비인가 외부 사용자

사용자, 부서 및 사용자 그룹별(입직원, 협력직원 등) 네트워크 분리 방안을 제공하고, RADIUS attibute 정보값과 ‘SSID 이름’을 통

한 인증 여부 판별하여 접속 가능 네트워크를 통제 가능합니다.

* MAC 정보만을 전송하는 장비일 경우, AP ACL 기능 활용

연동 기능

11

2. Anyclick AUS 제품 소개

주) 해당 기능은 AP가 RADIUS로 표준에 맞게 ‘MAC주소:SSID이름’ 형식으로 정보를 줄 수 있어야 지원할 수 있는 기능입니다. AP벤더에 따라 MAC 정보만을 전송하는

장비가 있으므로 AP 기능 확인이 필요합니다. 해당 기능 미지원 시, AP ACL 기능을 활용할 수 있습니다.

Database (RADIUS attribute)

802.1X 지원무선AP

임직원

MACaddr_#1, 임직원SSID

MACaddr_#2, 협력직원SSID

협력직원

RADIUS Server: 네트워크 통제 주체

802.1X 지원무선AP

Virtual Port Open

User PW Called-Station-ID

임직원 AAA MACaddr_#1:임직원SSID

협력직원 BBB MACaddr_#2:협력직원SSID

ID 기반의 DHCP 서버 기능, 단말의 DHCP 강제화 적용 기능, 무선 IP Roaming 기능, IP 할당 기능 등을 제공하여 관리자의 IP관리

업무 편의성 및 IP 변경 방지를 위한 효율적인 IP관리 기능을 제공합니다.

DHCP를 통한 IP관리 기능

12

2. Anyclick AUS 제품 소개

• 사용자(ID) 기반으로 IP 할당 지원

• 기존 MAC 기반의 IP 할당의 DHCP

서버 대비 IP 관리의 효율성 우수

• IP 변경 방지 및 효율적인 IP

관리를 위하여

- ID 기반 인증 DHCP 서버에

서 사용자 IP 강제 할당

- Agent에서 IP 주소 설정의

네트워크 사용 환경을 DHCP

로 강제화

2F(SSID: Anyclick)

1F(SSID: Anyclick)

• 자동 재인증• 접속 권한 유지

• AP 간의 동일 SSID 인 경우

- 사용자 개입 없이 자동 재인증

- 접속 권한 및 동일 IP 유지

• IP 할당 내역

• 사용자에 할당된 IP 주소의 추적

감사로그 제공

• “CSV” 형식의 리포팅 기능 제공

네트워크 환경을DHCP로 강제화

서버로부터 수신된IP의 임의 변경 차단MAC: 00-18-DE-94-9F-2A

ID: test01 ID: test01

IP: 10.10.10.1IP: 10.10.10.1단말 교체 등

ID 기반의 DHCP 기능 DHCP 강제화 기능

모니터링 & 리포팅Roaming 기능

안정된 시스템 구축을 위해 Anyclick AUS서버의 Active-Standby 및 Active-Active 와 같은 이중화 방안을 지원합니다.

다양한 장애/성능 관리 기능

13

2. Anyclick AUS 제품 소개

원격지 이중화

Master인증서버

Proxy인증서버 AP

WAN구간

(저속)

LAN구간

(고속)

Primary인증서버 Secondary

인증서버

Activ

e-S

tandby

L2 Switch

* 서비스 포트를 통한 Heart bit 체크

Primary인증서버

Activ

e-A

ctive

L2 Switch

※ 추가 장비 없이 비용 효과적인 이중화 구성

HA 구성 Proxy 인증서버

DB Replication

* 서비스 포트를 통한 Heart bit 체크

3. Anyclick AUS 시스템 구성도 Anyclick AUS 시스템 구성도

14

Anyclick AUS Server

Agent-less or AUS agent

사용자 식별/인증

사용자 IP할당

네트워크 차단

네트워크 접근 허용

재인증(필요시)

유효사용자?

동작 절차

사용자 유형별 (RBAC) IP할당: 임직원/파견/방문

(주: DHCP 환경)

SW/System 구성도

RADIUS Accounting

RADIUS 인증 서버

ID기반 인증 DHCP 서버

Agent Update Sever.

WAS

DBMS

UNETOS

AUS Server

Logon 연동 모듈

(GINA, 인증서,

profile)

Protocol Host 모듈

IEEE802.1x supplicant

PDA: CE, Pocket PC

Windows 계열 OS

AUS AgentAgent-less의 경우, Windows WZC 로 지원

다양한 시스템 구축 경험을 기반으로 검증된 성능 및 안전성을 확보하고, ID 기반의 IP 할당 및 로그 확보로 감사 추적이 가능합니

다. 또한 기존에 구축된 인증시스템과 연동하여 다양한 인증 환경의 구축이 가능합니다.

4. Anyclick AUS 특장점 Anyclick AUS 특장점

15

검증된

안정성

세계최고

성능 및

스케일

다양한

인증 환경

지원

ID기반

인증

DHCP

유연한연동

지원

▶ 500여개 사이트에서 검증된 기술▶ 기 구축 경험과 Know-how를 통하여

완성된 구축 방법론 적용

우수한

ROI

▶ L4 장비 없이 HA 구성 지원,

DB Replication 지원

▶ 인증/DHCP/WAS 서버 등이 All-in-one 구성

* 대부분의 타사 제품은 별도 구축 필요

▶ 압도적 세계 최고 성능• PEAP 기준 70,000 APM

(경쟁업체는 최대 15,000 APM)▶ CC 인증(EAL 4 등급), 국내 최초 획득▶ 세계 최대 규모 레퍼런스 : LGU+

200만 AP 연동

▶ IEEE 802.1x 기반 유무선 통합 사용자인증환경 제공

▶ 다양한 EAP 프로토콜 / 인증 방법 /무선 암호화 방식 등 모두 지원

▶ 네트워크 장비 관리자에 대한 인증지원

▶ 기 인증 체계 및 인증 DB와의 유연한연동 지원(암호화된 DB 연동 지원)

▶ NAS 장비의 인증 속성 정보(VLAN,SSID, ACL 등)와 연계한 접근 통제지원

▶ ID 기반으로 IP 할당 / 관리 기능 제공

▶ 사고 시, 감사추적이 가능한 사용자 /IP할당 로그 확보

내부보안강화

감독기관 규정

준수 및 감사

대비

무선 보안

인프라 구축

비인가자 대상

네트워크

접근제어

네트워크 장비

RADIUS 인증

5. 제품 라인업 Anyclick AUS 제품 라인업(일반)

16

제품 이미지 품명 규격 기능 비고

Anyclick AUS Standard III

(STD3)

• CPU : Intel® Celeron® Processor N3060 @

1.6GHz

• MEM : 8 GB

• HDD : 1 TB

• LAN : 10/100/1000BASE-T(RJ45) x 4

• 인증 및 ID기반 인증 DHCP 통합

서버

• IEEE802.1X 네트워크 접근통제

(사용자 / 그룹 인증 기반)

• 네트워크 장비 RADIUS 인증

• 사용자 인증 관리

• 로그 및 감사

• Agent Update 서버 기능

• 이중화 구성

동시접속100명

Anyclick AUS Enterprise III

(ENT3)

• CPU : Intel® CoreTM i3-6100 Processor @

3.7GHz

• MEM : 16 GB

• HDD : 1 TB

• LAN : 10/100/1000BASE-T(RJ45) x 6

동시접속1,000명

Anyclick AUS Advance III

(ADV3)

• CPU : Intel® Xeon® Processor E3-1225 v5 @

3.3GHz

• MEM : 16 GB

• HDD : 2 TB (RAID level 0 or 1)

• LAN : 10/100/1000BASE-T(RJ45) x 6

동시접속5,000명

Anyclick AUS Premium III

(PRM3)

• CPU : Intel® Xeon® Processor E3-1275 v5 @

3.6GHz

• RAM : 32 GB

• HDD : 4 TB (RAID level 0 or 1)

• LAN : 10/100/1000BASE-T(RJ45) x 6

동시접속10,000명

5. 제품 라인업 Anyclick AUS 제품 라인업(조달)

17

제품 이미지 품명 규격 기능 비고

Anyclick AUS Standard II

(STD2)

• CPU : Intel® ATOM Processor D2250

1.86GHz

• MEM : 2 GB

• HDD : 1 TB

• LAN : 10/100/1000BASE-T(RJ45) x 4

• 인증 및 ID기반 인증 DHCP 통합

서버

• IEEE802.1X 네트워크 접근통제

(사용자 / 그룹 인증 기반)

• 네트워크 장비 RADIUS 인증

• 사용자 인증 관리

• 로그 및 감사

• Agent Update 서버 기능

• 이중화 구성

동시접속100명

Anyclick AUS Enterprise II

(ENT2)

• CPU : Intel® CoreTM i3-3220 Processor @

3.3GHz

• MEM : 8 GB

• HDD : 1 TB

• LAN : 10/100/1000BASE-T(RJ45) x 6

동시접속1,000명

REFERENCEⅡ

19

연수원 내에 기존에 구축된 인증체제인 LDAP을 통하여 인사시스템을 연동하여 무선 교육 환경에 대하여 보안을 강화하였습니다.

1. Anyclick AUS 활용 분야 Anyclick AUS 활용 분야

고객

요구사항

내부 교육원의 무선 네트워크 보안 강화

LDAP을 통한 인증 시스템 구축

구 성 LDAP을 통한 무선 인증시스템 구축

적용제품 Anyclick AUS 1EA

도입 효과 무선인증을 통한 안전한 무선네트워크 사용

인사데이터 연동을 통하여 사용자 별 사용 현황 관리

S그룹 연수원• 비즈니스 요구사항: 무선 교육 환경 구축

• 구축 키 포인트: LDAP 인증체계 연동 커스터마이징

인사DB (LDAP)

교육 System Portal

무선인증시스템(Anyclick AUS)

Wireless Controller 6개 연수원

무선 단말에 PEAP-GTC 지원 에이전트 필수

…

…

…

…

20

사내의 네트워크 환경을 무선화 하면서 Anyclick AUS의 DHCP 기능을 활용하여 FC/지점별 사용 네트워크 대역을 분류하여 관리

가 가능하도록 구축하였습니다.

1. Anyclick AUS 활용 분야 Anyclick AUS 활용 분야

고객

요구사항

사내의 무선 네트워크 보안 강화 및 용이한 관리

사용자 별 고정 IP를 할당하여 IP관리 필요

지점별 사용 네트워크 대역 분리 및 관리

구 성 내부 DHCP를 통한 사용자 별 IP 사용 현황 관리

적용제품 Anyclick AUS 1EA

도입 효과

사용자 별 고정 IP 할당하여 IP 관리 용이

FC/지점 별 네트워크 대역 분리로 내부 보안 강화

AD 서버 연동을 통한 사용자 별 로그 관리

S생명• 비즈니스 요구사항: FC/지점 업무의 무선 온라인화

• 구축 키 포인트: AD 연동, DHCP 서버 커스터마이징

• S생명 AD 연동 사례사용자

① 네트워크 접속 시도

② 사용자 인증(IEEE802.1x)

④ 사용자 유형별 IP 할당(전 지역 네트워크를 통한 VLAN으로 사용)

③ 사용자

인증

AnyClick AUS AD 서버

AnyClick AUSAD 서버

21

군내에서 사용 중인 RFID 인증시스템을 연계하여 무선 인증시스템을 구축하였고 통신구간의 DWEP 암호화를 사용하여 인증 패킷

의 보안을 강화하였습니다.

1. Anyclick AUS 활용 분야 Anyclick AUS 활용 분야

고객

요구사항

영내 사용중인 인증시스템의 활용

인증단말 및 서버간의 통신구간 암호화

인증 사용자 정보 및 이력 관리

구 성 RFID를 통한 물리적 사용자 인증 시스템

적용제품 Anyclick AUS 1EA

도입 효과

물리적인 인증시스템 사용으로 계정 도용 문제 해소

RFID 시스템의 사용자 정보를 통한 사후 관리

DWEP 암호화를 통한 사용자 인증 정보 보안 강화

기존의 인증체제의 연동으로 시스템 도입비용 절감

국군• 비즈니스 요구사항: 5개 부대 탄약 물류 체계 선진화

• 구축 키 포인트: 무선 RFID 단말기에 DWEP 적용

암호화 통신 제공

A 부대B 부대

C 부대

D부대 E 부대

22

교내의 임직원 및 재학생의 분리된 무선 네트워크 및 안정된 무선 네트워크를 제공하며 에듀롬(Eduroam)을 통한 타 학교 학생의

네트워크 사용을 보장하기 위하여 구축하였습니다.

1. Anyclick AUS 활용 분야 Anyclick AUS 활용 분야

고객

요구사항

외부인은 교내 무선 네트워크 접근차단

학생과 교직원 간의 교내 무선 네트워크 분리

타 학교 학생 및 교환 학생의 원활한 무선 네트워크

지원

구 성 Eduroam과 연계한 무선 대외 인증 시스템

적용제품 Anyclick AUS 1EA

도입 효과

외부인으로부터 교내 네트워크 보호

학사DB의 연동을 통한 교직원 및 재학생 인증

인증 사용자에 맞는 네트워크 접근제어

교내에서 타 학교 학생의 원활한 무선 네트워크 환경

제공

K대학교

무선인증시스템(Anyclick AUS)

타 학교 학생교직원 재학생

학사DB

교직원망 학사망