Upload
others
View
5
Download
0
Embed Size (px)
Citation preview
I N D E X
PRODUCTⅠ
REFERENCEⅡ
PRODUCTⅠ
배 경
목 표
추진범위
IT 환경 변화에 따른 무선 네트워크 활용 빈도가 높아짐
무선 네트워크는 데이터 도청이나 비인가 사용자의 접속이 용이해 사내 네트워크의 내부 자원의 위협 발생
무선 보안 위협으로부터 내부 자원을 무선 인증/암호화 인프라 구축을 통해 효과적인 무선 보안 환경 제공
고객사의 유/무선 보안 인프라 개선
고객사의 기 구축된 보안 솔루션 및 로그 서버 연동 제공
사용자 중심의 ROI 제공 및 운용 관리 등 고객 편의성 극대화
1. Anyclick AUS 개요 Anyclick AUS 개요
4
•내부 보안강화로 대외 신인도 향상
•감독기관 정보보호규정 및외부감사 사전 대비
•임직원 보안 마인드 재고에 따른잠재적 보안 사고 예방
•유무선 사용자 통합 인증
•다양한 유무선 단말 인증 지원
•비인가 무선 단말의 내부 네트워크접속 차단, 데이터 유출/유포, 바이러스감염 방지
•유무선 사용자 및 장비 통합 인증체계 구축으로 인증 관리비용 감소
•추가 장비 구성 없는 Active-Active mode HA 구성 기능
•Proxy / DB Replication / self –healing 등의 기능으로 최소 다운타임보증
•향후 FMC, Mobile Office 업무 환경지원
•미래지향적 투자 적합성 확보
•PKI 원천기술 및 단말 드라이버 기술보유로 고객사의 기존 인증체계 유지
•기존 투자 보호 및 투자 타당성 확보
전사적측면
단말 & 네트워크측면
우수한ROI
투자적합성
기대효과
Anyclick AUS는 강력한 사용자 인증 및 암호화를 통해 허용되지 않은 사용자와 단말의 네트워크 접속을 차단하고, 안전한 무선
데이터 전송을 제공하여 내부 인프라를 보호하는 무선 보안에 특화된 유무선 통합 인증시스템입니다.
2. Anyclick AUS 제품 소개 Anyclick AUS 주요 기능
5
표준 준수 사항 다양한 인증 기능
• 인증: IEEE 802.1x / EAP• 암호화: Dynamic WEP, WPA1 (TKIP), WPA2 (AES-CCMP)• RADIUS, DHCP 서비스 등 다수의 IETF RFC 인터넷 표준 준수• RADIUS v6 지원
• HDD 인증, HW 고유 ID 인증 등 특수 인증 기능 제공• 네트워크 장비 – 관리자 그룹간 접속 등 부가 인증 관리 기능 제공• ID&PW/IP/MAC/지문/스마트카드 등 인증요소의 개별/조합 인증기능 지원• 기 인증체계(PKI, SSO/EAM) 및 AD/LDAP, 3rd RDBMS 등 Back-end 인증DB
연동 커스터마이징 지원
장애/성능 관리 등 일반 기능 기타
• Proxy 형태의 이중화 기능, DR을 위한 DB Replication 기능 제공• L4 장비 또는 추가 SW 없이 Active-Active mode HA 구성 지원• 사용자 편이성을 위한 프로파일 인증관리, 인증서 관리 기능 제공• SYSLOG, SNMP 등을 통한 보안관리시스템 연계 방안 제공
• 인증ㆍ정책ㆍDHCPㆍWAS 통합 Appliance 장비• 지원 단말 환경: 2000, 8, 10 ; PDA/Smart Phone (Pocket PC 2002, 2003,
mobile 6.x, Windows CE.NET 4.2/5.0 등)• 사용자 접속 편이성을 위한 안드로이드 기반 접속 CM제공• 국정원 “무선랜 인증시스템 보호프로파일“을 준용한 CC EAL4 인증 획득
사용자 인증 기반 IP관리 기능
• 사용자/그룹 인증을 이용한 네트워크 접근 통제• 기 설정된 VLAN ID와 연계된 사용자/그룹별 접근통제• 사용자별, 그룹별, 시간별, 일별, 요일별 접근 통제• NAS장비의 ACL 설정 기능과 인증속성 정보와 연계한 접근 통제• 인증서버에서 NAS 장비와 연계한 SSID별 사용자 접속 통제
• 무선 IP roaming 기능• IP/MAC 변조 방지 기능: ID-IP-MAC 매핑 인증, DHCP client 설정 강제• ID 기반 IP할당 관리: ID 기반 인증 DHCP 서버 제공• 사용자 등록 프로세스 처리 기능 제공• NAS 그룹 별/VLAN별 DHCP 설정 기능 제공• 사용자 – IP 할당 감사 증적 제공, 다양한 리포팅 기능 제공
Anyclick AUS에서는 기본적인 ID/PW 인증, MAC 인증, IP인증, 공인/사설 인증서 등의 다양한 방식을 통하여 사용자 인증이 가능
합니다.
지원 가능한 인증/암호화 방식
6
2. Anyclick AUS 제품 소개
인증서 방식 사용자 프로파일 방식
사용자등록업무프로세스
HDDVolume정보
IP
ID/PW
인증서
지문,스마트카드등
MAC
개별조합병행
사용자, 단말, 네트워크장비통합인증
단일인증체계구현(유무선/1x & non-1x)
AD, SSO 등기인증체계
연동
지원 인증 기능 인증방식 별 GUI
지원 암호화 방식
구 분 설 명
Dynamic WEP Dynamic Wireless Equivalent Privacy
TKIP/MIC
Temporal Key Integrity Protocol, IEEE 802.1X / Wi-Fi
WPA 규격에서 기업환경에서 사용토록 권고한 암호화 프
로토콜로 MIC (Message Integrity Check)과 함께 전송데
이터의 기밀성과 무결성을 보장 함.
AES-CCMP
Advanced Encryption Standard Counter-Mode/CBC-MAC
Protocol, 강화된 IEEE 802.11i / Wi-Fi WPA2 규격에서 제
공하는 128비트 대칭키 암호화 방식으로 전송데이터의 기
밀성과 무결성을 보장 함.
Anyclick AUS에서는 효율적인 사용자 인증 환경을 제공하기 위해 사설 인증서 발급 및 관리 기능을 제공합니다.
사설 인증서 발급 기능
7
2. Anyclick AUS 제품 소개
③ 사용자 검증① 사설 인증서 요청 및 발급
사용자 단말
AP 인증서버④-1 사용자 인증 성공네트워크 허용
② 사용자 인증 요청(인증서, ID)
④-2 사용자 인증 실패네트워크 차단
1. 사용자 ID/PW를 통해사용자 Web 페이지 접속
2. 사용자 Web 페이지 상에서 사설 인증서 발급
단말단 사용자 인증 측면 서버단 사설인증서 발급 측면
※ 인증서를 통한 사용자 인증은 EAP 인증 프로토콜 중 EAP-TLS 적용 필요
1. 네트워크 접속 프로파일더블클릭
2. 발급 받은 사설 인증서 및 ID를 통해 사용자 인증 요청
3. 네트워크 접속 정보 확인
Anyclick AUS에서는 TLS(Transport Layer Security) V1.2 를 통하여 각 에이전트와 무선 인증 서버간의 통신 구간에 대하여 보안
이 강화되었습니다.
사용자 인증 TLS V1.2
8
2. Anyclick AUS 제품 소개
국내 최초 “사용자 인증 과정 TLS V1.2 암호화” CC(EAL4)인증 획득
AttackerTLS V 1.0 / 1.1
복호화
암호화
TLS V 1.0 / 1.1
복호화
암호화
기존 암호화 구간:
SHA-1, DES, RSA1024 등 보안 등급이 낮은 암호 알고리즘 사용
Agent 무선 인증 서버보안 취약점
타사 제품
Anyclick AUS
TLS V 1.0 / 1.1 / 1.2
복호화
암호화
TLS V 1.0 / 1.1 / 1.2
복호화
암호화
TLS V1.2 암호화구간:
SHA-256, AES-256, RSA2048 등 강화된 암호알고리즘 사용으로 보안 강화
Agent 무선 인증 서버Attacker
기존에 도입되어 구축이 완료된 인증체제를 유지하기 위해 기 인증체제(PKI, SSO, 3rd DB 등)와 안정적으로 연동할 수 있는 기능
을 제공합니다.
기존 인증 시스템 연동 지원
9
2. Anyclick AUS 제품 소개
사용자정보
검증
INISAFE OCSP
인증서유효성검사
[유효성결과전달]1. Success2. Fail
EAP-TLS인증서를통한
인증
OCSP연동구간
2
3
1
45
[인증결과전달]1. Success2. Fail
6
유효네트워크접근
네트워크
INITECH SERVER
AUS SERVER
AUTHENTICATOR
CLIENT
CA를통해발급된디지털인증서의유효성(폐기) 여부를실시간으로확인
• K은행 PKI 연동 사례• 지문인식, smart card 등 기존 인증체계 연동 Know-how
인증 체계와의 연동
ESM
System 이벤트, Radius인증로그
②안: syslog 연동
①안: ESM agent 연동
②원본파일(text, binary) 전송
①syslog 포맷의로컬파일생성
LogSaver
③원문파싱후, 검색가능형태로DB 저장
NMSRadius인증로그
SNMP MIB 제공
• K은행 이글루시큐리티 Spider-X ESM 연동 사례
3rd Party 인사DB 연동
ESM, NMS 시스템과의 연동
관리자에 의한 수동 등록
CSV 포맷 통한 일괄 등록Back-end 인증 시스템 연동
DB
SAM파일
ADLDAP
일 batch 등Sync.과정필요
제3의 인사시스템
IEEE 802.1X 포트 기반 네트워크 접근 제어 기능으로 비인가 사용자/단말을 통제하고, 사용자/부서/그룹별 접속가능 시간대(시간/
날짜/요일 별) 설정을 통한 접근 통제가 가능합니다.
인증 기반의 네트워크 접근통제
10
2. Anyclick AUS 제품 소개
▶ IEEE 802.1x 표준 기반 유무선 사용자 인증과 단말 식별, 네트워크 장비-관리자 그룹 인증을 모두 수용* IEEE 802.1x 포트기반 네트워크 접근제어 (port-based NAC): L2/L3 물리적 스위치 포트 또는 무선AP 가상포트 단위 NAC
네트워크 접근 제어
802.1x 지원 AP
802.1x 지원 Switch
무선랜 사용자
유선랜 사용자
내부 비인가 단말
비인가 외부 사용자
사용자, 부서 및 사용자 그룹별(입직원, 협력직원 등) 네트워크 분리 방안을 제공하고, RADIUS attibute 정보값과 ‘SSID 이름’을 통
한 인증 여부 판별하여 접속 가능 네트워크를 통제 가능합니다.
* MAC 정보만을 전송하는 장비일 경우, AP ACL 기능 활용
연동 기능
11
2. Anyclick AUS 제품 소개
주) 해당 기능은 AP가 RADIUS로 표준에 맞게 ‘MAC주소:SSID이름’ 형식으로 정보를 줄 수 있어야 지원할 수 있는 기능입니다. AP벤더에 따라 MAC 정보만을 전송하는
장비가 있으므로 AP 기능 확인이 필요합니다. 해당 기능 미지원 시, AP ACL 기능을 활용할 수 있습니다.
Database (RADIUS attribute)
802.1X 지원무선AP
임직원
MACaddr_#1, 임직원SSID
MACaddr_#2, 협력직원SSID
협력직원
RADIUS Server: 네트워크 통제 주체
802.1X 지원무선AP
Virtual Port Open
User PW Called-Station-ID
임직원 AAA MACaddr_#1:임직원SSID
협력직원 BBB MACaddr_#2:협력직원SSID
ID 기반의 DHCP 서버 기능, 단말의 DHCP 강제화 적용 기능, 무선 IP Roaming 기능, IP 할당 기능 등을 제공하여 관리자의 IP관리
업무 편의성 및 IP 변경 방지를 위한 효율적인 IP관리 기능을 제공합니다.
DHCP를 통한 IP관리 기능
12
2. Anyclick AUS 제품 소개
• 사용자(ID) 기반으로 IP 할당 지원
• 기존 MAC 기반의 IP 할당의 DHCP
서버 대비 IP 관리의 효율성 우수
• IP 변경 방지 및 효율적인 IP
관리를 위하여
- ID 기반 인증 DHCP 서버에
서 사용자 IP 강제 할당
- Agent에서 IP 주소 설정의
네트워크 사용 환경을 DHCP
로 강제화
2F(SSID: Anyclick)
1F(SSID: Anyclick)
• 자동 재인증• 접속 권한 유지
• AP 간의 동일 SSID 인 경우
- 사용자 개입 없이 자동 재인증
- 접속 권한 및 동일 IP 유지
• IP 할당 내역
• 사용자에 할당된 IP 주소의 추적
감사로그 제공
• “CSV” 형식의 리포팅 기능 제공
네트워크 환경을DHCP로 강제화
서버로부터 수신된IP의 임의 변경 차단MAC: 00-18-DE-94-9F-2A
ID: test01 ID: test01
IP: 10.10.10.1IP: 10.10.10.1단말 교체 등
ID 기반의 DHCP 기능 DHCP 강제화 기능
모니터링 & 리포팅Roaming 기능
안정된 시스템 구축을 위해 Anyclick AUS서버의 Active-Standby 및 Active-Active 와 같은 이중화 방안을 지원합니다.
다양한 장애/성능 관리 기능
13
2. Anyclick AUS 제품 소개
원격지 이중화
Master인증서버
Proxy인증서버 AP
WAN구간
(저속)
LAN구간
(고속)
Primary인증서버 Secondary
인증서버
Activ
e-S
tandby
L2 Switch
* 서비스 포트를 통한 Heart bit 체크
Primary인증서버
Activ
e-A
ctive
L2 Switch
※ 추가 장비 없이 비용 효과적인 이중화 구성
HA 구성 Proxy 인증서버
DB Replication
* 서비스 포트를 통한 Heart bit 체크
3. Anyclick AUS 시스템 구성도 Anyclick AUS 시스템 구성도
14
Anyclick AUS Server
Agent-less or AUS agent
사용자 식별/인증
사용자 IP할당
네트워크 차단
네트워크 접근 허용
재인증(필요시)
유효사용자?
동작 절차
사용자 유형별 (RBAC) IP할당: 임직원/파견/방문
(주: DHCP 환경)
SW/System 구성도
RADIUS Accounting
RADIUS 인증 서버
ID기반 인증 DHCP 서버
Agent Update Sever.
WAS
DBMS
UNETOS
AUS Server
Logon 연동 모듈
(GINA, 인증서,
profile)
Protocol Host 모듈
IEEE802.1x supplicant
PDA: CE, Pocket PC
Windows 계열 OS
AUS AgentAgent-less의 경우, Windows WZC 로 지원
다양한 시스템 구축 경험을 기반으로 검증된 성능 및 안전성을 확보하고, ID 기반의 IP 할당 및 로그 확보로 감사 추적이 가능합니
다. 또한 기존에 구축된 인증시스템과 연동하여 다양한 인증 환경의 구축이 가능합니다.
4. Anyclick AUS 특장점 Anyclick AUS 특장점
15
검증된
안정성
세계최고
성능 및
스케일
다양한
인증 환경
지원
ID기반
인증
DHCP
유연한연동
지원
▶ 500여개 사이트에서 검증된 기술▶ 기 구축 경험과 Know-how를 통하여
완성된 구축 방법론 적용
우수한
ROI
▶ L4 장비 없이 HA 구성 지원,
DB Replication 지원
▶ 인증/DHCP/WAS 서버 등이 All-in-one 구성
* 대부분의 타사 제품은 별도 구축 필요
▶ 압도적 세계 최고 성능• PEAP 기준 70,000 APM
(경쟁업체는 최대 15,000 APM)▶ CC 인증(EAL 4 등급), 국내 최초 획득▶ 세계 최대 규모 레퍼런스 : LGU+
200만 AP 연동
▶ IEEE 802.1x 기반 유무선 통합 사용자인증환경 제공
▶ 다양한 EAP 프로토콜 / 인증 방법 /무선 암호화 방식 등 모두 지원
▶ 네트워크 장비 관리자에 대한 인증지원
▶ 기 인증 체계 및 인증 DB와의 유연한연동 지원(암호화된 DB 연동 지원)
▶ NAS 장비의 인증 속성 정보(VLAN,SSID, ACL 등)와 연계한 접근 통제지원
▶ ID 기반으로 IP 할당 / 관리 기능 제공
▶ 사고 시, 감사추적이 가능한 사용자 /IP할당 로그 확보
내부보안강화
감독기관 규정
준수 및 감사
대비
무선 보안
인프라 구축
비인가자 대상
네트워크
접근제어
네트워크 장비
RADIUS 인증
5. 제품 라인업 Anyclick AUS 제품 라인업(일반)
16
제품 이미지 품명 규격 기능 비고
Anyclick AUS Standard III
(STD3)
• CPU : Intel® Celeron® Processor N3060 @
1.6GHz
• MEM : 8 GB
• HDD : 1 TB
• LAN : 10/100/1000BASE-T(RJ45) x 4
• 인증 및 ID기반 인증 DHCP 통합
서버
• IEEE802.1X 네트워크 접근통제
(사용자 / 그룹 인증 기반)
• 네트워크 장비 RADIUS 인증
• 사용자 인증 관리
• 로그 및 감사
• Agent Update 서버 기능
• 이중화 구성
동시접속100명
Anyclick AUS Enterprise III
(ENT3)
• CPU : Intel® CoreTM i3-6100 Processor @
3.7GHz
• MEM : 16 GB
• HDD : 1 TB
• LAN : 10/100/1000BASE-T(RJ45) x 6
동시접속1,000명
Anyclick AUS Advance III
(ADV3)
• CPU : Intel® Xeon® Processor E3-1225 v5 @
3.3GHz
• MEM : 16 GB
• HDD : 2 TB (RAID level 0 or 1)
• LAN : 10/100/1000BASE-T(RJ45) x 6
동시접속5,000명
Anyclick AUS Premium III
(PRM3)
• CPU : Intel® Xeon® Processor E3-1275 v5 @
3.6GHz
• RAM : 32 GB
• HDD : 4 TB (RAID level 0 or 1)
• LAN : 10/100/1000BASE-T(RJ45) x 6
동시접속10,000명
5. 제품 라인업 Anyclick AUS 제품 라인업(조달)
17
제품 이미지 품명 규격 기능 비고
Anyclick AUS Standard II
(STD2)
• CPU : Intel® ATOM Processor D2250
1.86GHz
• MEM : 2 GB
• HDD : 1 TB
• LAN : 10/100/1000BASE-T(RJ45) x 4
• 인증 및 ID기반 인증 DHCP 통합
서버
• IEEE802.1X 네트워크 접근통제
(사용자 / 그룹 인증 기반)
• 네트워크 장비 RADIUS 인증
• 사용자 인증 관리
• 로그 및 감사
• Agent Update 서버 기능
• 이중화 구성
동시접속100명
Anyclick AUS Enterprise II
(ENT2)
• CPU : Intel® CoreTM i3-3220 Processor @
3.3GHz
• MEM : 8 GB
• HDD : 1 TB
• LAN : 10/100/1000BASE-T(RJ45) x 6
동시접속1,000명
REFERENCEⅡ
19
연수원 내에 기존에 구축된 인증체제인 LDAP을 통하여 인사시스템을 연동하여 무선 교육 환경에 대하여 보안을 강화하였습니다.
1. Anyclick AUS 활용 분야 Anyclick AUS 활용 분야
고객
요구사항
내부 교육원의 무선 네트워크 보안 강화
LDAP을 통한 인증 시스템 구축
구 성 LDAP을 통한 무선 인증시스템 구축
적용제품 Anyclick AUS 1EA
도입 효과 무선인증을 통한 안전한 무선네트워크 사용
인사데이터 연동을 통하여 사용자 별 사용 현황 관리
S그룹 연수원• 비즈니스 요구사항: 무선 교육 환경 구축
• 구축 키 포인트: LDAP 인증체계 연동 커스터마이징
인사DB (LDAP)
교육 System Portal
무선인증시스템(Anyclick AUS)
Wireless Controller 6개 연수원
무선 단말에 PEAP-GTC 지원 에이전트 필수
…
…
…
…
20
사내의 네트워크 환경을 무선화 하면서 Anyclick AUS의 DHCP 기능을 활용하여 FC/지점별 사용 네트워크 대역을 분류하여 관리
가 가능하도록 구축하였습니다.
1. Anyclick AUS 활용 분야 Anyclick AUS 활용 분야
고객
요구사항
사내의 무선 네트워크 보안 강화 및 용이한 관리
사용자 별 고정 IP를 할당하여 IP관리 필요
지점별 사용 네트워크 대역 분리 및 관리
구 성 내부 DHCP를 통한 사용자 별 IP 사용 현황 관리
적용제품 Anyclick AUS 1EA
도입 효과
사용자 별 고정 IP 할당하여 IP 관리 용이
FC/지점 별 네트워크 대역 분리로 내부 보안 강화
AD 서버 연동을 통한 사용자 별 로그 관리
S생명• 비즈니스 요구사항: FC/지점 업무의 무선 온라인화
• 구축 키 포인트: AD 연동, DHCP 서버 커스터마이징
• S생명 AD 연동 사례사용자
① 네트워크 접속 시도
② 사용자 인증(IEEE802.1x)
④ 사용자 유형별 IP 할당(전 지역 네트워크를 통한 VLAN으로 사용)
③ 사용자
인증
AnyClick AUS AD 서버
AnyClick AUSAD 서버
21
군내에서 사용 중인 RFID 인증시스템을 연계하여 무선 인증시스템을 구축하였고 통신구간의 DWEP 암호화를 사용하여 인증 패킷
의 보안을 강화하였습니다.
1. Anyclick AUS 활용 분야 Anyclick AUS 활용 분야
고객
요구사항
영내 사용중인 인증시스템의 활용
인증단말 및 서버간의 통신구간 암호화
인증 사용자 정보 및 이력 관리
구 성 RFID를 통한 물리적 사용자 인증 시스템
적용제품 Anyclick AUS 1EA
도입 효과
물리적인 인증시스템 사용으로 계정 도용 문제 해소
RFID 시스템의 사용자 정보를 통한 사후 관리
DWEP 암호화를 통한 사용자 인증 정보 보안 강화
기존의 인증체제의 연동으로 시스템 도입비용 절감
국군• 비즈니스 요구사항: 5개 부대 탄약 물류 체계 선진화
• 구축 키 포인트: 무선 RFID 단말기에 DWEP 적용
암호화 통신 제공
A 부대B 부대
C 부대
D부대 E 부대
22
교내의 임직원 및 재학생의 분리된 무선 네트워크 및 안정된 무선 네트워크를 제공하며 에듀롬(Eduroam)을 통한 타 학교 학생의
네트워크 사용을 보장하기 위하여 구축하였습니다.
1. Anyclick AUS 활용 분야 Anyclick AUS 활용 분야
고객
요구사항
외부인은 교내 무선 네트워크 접근차단
학생과 교직원 간의 교내 무선 네트워크 분리
타 학교 학생 및 교환 학생의 원활한 무선 네트워크
지원
구 성 Eduroam과 연계한 무선 대외 인증 시스템
적용제품 Anyclick AUS 1EA
도입 효과
외부인으로부터 교내 네트워크 보호
학사DB의 연동을 통한 교직원 및 재학생 인증
인증 사용자에 맞는 네트워크 접근제어
교내에서 타 학교 학생의 원활한 무선 네트워크 환경
제공
K대학교
무선인증시스템(Anyclick AUS)
타 학교 학생교직원 재학생
학사DB
교직원망 학사망