Ethernet Security Switch서울시 구로구 구로동 222-12 마리오타워 1209 호 Tel:02)890-6650 Fax:02)890-6654

www.handream.net

Ethernet Security Switch

Ⅲ. 보안스위치 제품군 및 VIPM 소개

Ⅲ 보안스위치 제품군 및 VIPM 소개

- 09 -

Ethernet Security Switch

L2 Security Switch SG2024

Performance- Up to 8000 MAC Address- Throughpu : 6.88 Mbps- Switch Capacity : 28.8 Gbps

Media Interface- 24 Port 10/100 Base-TX- 2 Port 10/100/1000 Base-TX- 2 Port SFP Slot

Security- ASIC Based(Layer2-4 Packet classification)- ARP Spoofing, DoS / DDoS Attack, TCP Syn flooding- Scanning, IP Spoofing, DHCP Attack, ICMP Attack- MAC flooding, Mac Spoofing, ARP Attack

Ⅲ SG2024

- 10 -

Ethernet Security Switch

L2 Security PoE Switch SG2024P

Ⅲ SG2024P

PoE- IEEE 802.3 af Compatible- Supply Power : 15.4W(max. per port) Dual Power (Load Sharing) : Optional- Support 24-Port 10/100Base-TX- Supply Voltage Range : +44Vdc ~ +57Vdc

Media Interface- 24 Port 10/100 Base-TX- 2 Port 10/100/1000 Base-TX- 2 Port SFP Slot

Performance- Up to 8000 MAC Address- Throughpu : 6.88 Mbps- Switch Capacity : 28.8 Gbps

Security- ASIC Based(Layer2-4 Packet classification)- ARP Spoofing, DoS / DDoS Attack, TCP Syn flooding- Scanning, IP Spoofing, DHCP Attack, ICMP Attack- MAC flooding, Mac Spoofing, ARP Attack

- 11 -

Ethernet Security Switch

L2 Security Gigabit Switch SG2024G

Ⅲ SG2024G

Media Interface- 24 Port 10/100/1000 Base-TX- 4 Port SFP Slot (combo)- 4 Port 1000Base SX/LX/LH

(combo)

Performance- Up to 32768 MAC Address- Throughpu : 71.43 Mbps- Switch Capacity : 68 Gbps

Security- ASIC Based(Layer2-4 Packet

classification)- ARP Spoofing, DoS / DDoS Attack- TCP Syn flooding- Scanning, IP Spoofing, DHCP Attack- ICMP Attack, MAC flooding, Mac Spoofing- ARP Attack

Power- Input : AC100 ~ 240VAC, 47~63- Power Consumptio n : 56W (max)- Dual Power (Load Sharing) : Optional

- 12 -

Ethernet Security Switch

네트워크와 보안이 통합된 Layer2 보안 스위치

Wire Speedwith Clean-zone

통합 관제 시스템

성능 및 가격의 우수성ASIC 기반의

Security Engine

Attack 의 실시간 History log 제공

혁신적 기능현실적 가격

Ⅲ Ethernet Security Switch 의 Benefit

- 13 -

Ethernet Security Switch

HackingHacking

AttackAttack네트워크 공격(Flooding/DDos)네트워크 공격(Flooding/DDos)

내부 네트워크의 사용자 인증 기능 미비 네트워크 자원 관리 기능 미비내부 네트워크의 사용자 인증 기능 미비 네트워크 자원 관리 기능 미비

의도적이며 보다 직접적인 공격(Sniffing/Spoofing)의도적이며 보다 직접적인 공격(Sniffing/Spoofing)

SECURITYISSUE

비정상 패킷 증가로 네트워크 장애 유발 급속한 피해 확산

모바일 디바이스에 의한 불법 내부 네트워크 사용 증가 악의적인 의도를 가진 내부 네트워크 사용자 제어 불가

메시지 또는 파일 가로채기 인증정보 , VOIP 도 /감청 내부자에 의한 해킹 발생시

진단 /대응이 어려움

Network ResourceManagement

Network ResourceManagement

- 14 -

Ⅲ L2 레벨의 보안 이슈

전체 보안침해 사고 중 내부에서 발생하는 것이 80% 를 차지

Ethernet Security Switch

2 차 백본

외부 및 Core 망 보안 솔루션 (IPS, Firewall, L4 switch)

1 차 백본

Access 레벨

모바일 사용자 또는 이동성 매체 (USB 메모리 등 ) 에 의한

감염 가능성 증가

Core 망의 보안은 강력하지만Access 레벨의 보안은취약

내부 네트워크 침해 사고 발생시 급속하게 확산 된다 .

IPS

L4 Switch

L4 Switch

Internet

Access 레벨의 단독형 보안 솔루션이 없다

Ⅲ 네트워크 보안의 문제점

- 15 -

Ethernet Security Switch

의도적 해킹툴을 이용한 기밀 정보 해킹

내부보안에 대한 위협

바이러스에 의한 인지하지 못한 해킹 발생

※ ARP Spoofing 과 같은 L2 레벨에서 일어나는

네트워크 패킷 변조를 통한 해킹 행위 탐지 어려움

- 16 -

모바일 기기 사용의 증가로 인한 내부 보안 사고 증가

Ⅲ L2 레벨의 보안이슈

시스템권한시스템권한(ERP/(ERP/ 그룹웨어그룹웨어 ))

ID/PWDID/PWD 등등인증정보인증정보

메일내용메일내용

개인신상정보개인신상정보데이터 파일데이터 파일

통화내역통화내역

Data Sniffing개인정보 및 기업비밀정보 유출

IP Telephony음성통화 도청 /감청

내부 사용자에 의한 해킹

Internet외부 사용자에 의한

해킹

Ethernet Security Switch

2 차 백본

외부 및 Core 망 보안 솔루션 (IPS, Firewall, L4 switch)

1 차 백본

Access 레벨업무의 연속성 보장

문제원인 실시간 파악네트워크 인프라 보호

강력한 Reporting 기능 제공

Zero-day 공격 실시간 차단단독형 (Stand-alone) 구성

실시간 차단 정보 전송

IPS

L4 Switch

L4 Switch

Internet

Ⅲ 솔루션 – Ethernet Security Switch

- 17 -

Ethernet Security Switch

Security Real-time detection and protection by traffic sniffing.

Self-running No signature update based

Simple No management for clean-service

ESS2224 Architecture

ASIC basedASIC basedSecurity EngineSecurity Engine

Ⅲ ASIC 기반의 MDS(Multi Dimension Security) Engine

Full port wire speed with Security

- 18 -

Ethernet Security Switch

DoS DDoS DDoS(spoofed) Flash crowds,Worms(spoofed)

Attack Packet AnalysisMulti-dimension Security Engine

Sensor Log

MD Protection EngineRT Packet Gathering Module

Switching FabricProtection

DDoS ClassDoS ClassScan ClassRandom Class

Security Filter Module

2GE 24FE

(0011)

Response

프로토콜별 S-IP, S-port, D-port, D-IP 조합의 고유분산도 , 엔트로피 6 개의 큐브 (Cube) 를 통한 트래픽 분석 및 트래픽 이상현상 확인

Ⅲ MDS(Multi Dimension Security) Engine Architecture

- 19 -

Ethernet Security Switch

호스트 -A ARP Cache

IP Addr Mac Address

192.168.1.1

xxxx15axxxx17c

호스트 -B ARP Cache

IP Addr Mac Address

192.168.1.3

xxxx13bxxxx17c

MDS arp-table

Port

Mac/IP Address

315

Xxxx17c 192.168.1.13Xxxx13b 192.168.1.3 Xxxx15a 192.168.1.1

IP Addr : 192.168.1.13MAC Addr : xxxx17c

IP Addr : 192.168.1.1MAC Addr : xxxx15a

IP Addr : 192.168.1.3MAC Addr : xxxx13b

ARP Spoofing 의 공격 방법- 서브넷의 모든 호스트 MAC 주소 SCAN- ARP Spoofing 대상 선택- ARP Spoofing 공격

관련 어플리케이션의 데이터 스니핑 (ID/PASS, FTP, HTTP, POP, VOICE....)

피해 시스템 에서의 증상- 네트워크 속도 저하 ARP 패킷 다량 수신

공격 시스템 에서의 증상- 네트워크 사용량 증가- 정기적인 ARP 패킷 발송

IP Telephony- Voice 도청 , 녹취

Data sniffing - 개인정보 및 기업 내부의 기밀정보 유출 패킷을 변조한 후 전송 ( 금융 기관 등을 사칭하는 피싱 또는 파밍 공격 )

ARP Spoofing 공격

Ⅲ MDS Engine 의 특징 1 - ARP Spoofing (Layer 2 level hacking)

- 20 -

Ethernet Security Switch

Layer 4 based analysis & protectionNo signature update base

MAC source/dest address

IP source/dest address/port

IP rangeTCP flags

Protocol (TCP/UDP/ICMP)TCP/UDP dest port

Port pattern/IP pattern Detection count

Cable Loopback Test

IP Spoofing, DHCP Attack, ICMP Attack

Cable disconnected

MAC Flooding, MAC 변조 , ARP Attack

TCP Syn flooding (DoS/DDoS/Random Attack)

UDP flooding, Scanning

Physical

Data Network

Transport

Ⅲ MDS Engine 의 특징 2 - Network Attack Protection (Layer 4 level)

- 21 -

Ethernet Security Switch

SubGATE Security Switch

Release

Protection

Security Policing

Packet Analysis

Smart Protection 웜 , 바이러스에 감염된 유 해

패킷 또는 서비스 포트만을 선별적으로 차단하여 업무의

연속성 보장

MDS Engine 의 능동적인 대응

TCP 135 port 이상 패킷 탐지

TCP 135 port 패킷 차단

TCP 135 port 패킷 이외의트래픽 은 정상 서비스 .

업무의 연속성 보호

Ⅲ MDS Engine 의 특징 3 - 선별적 차단 정책

- 22 -

Ethernet Security Switch

상황 ) 공격자가 목적지 IP 를 변경하며 , 3 개의 물리적인 포트에 대해 SCAN 공격을 시도 중

④ 물리적인 해당 포트에 대한 Access list 수동 생성 ② MDS 엔진에서 Attack 의 유형에 대응한 차단 Rule 자동 생성

■ 효 과

L3 Core Switch 의 과부하는 해결 하였으나 , 이미 유해트래픽이 확산 되어

사용자들의 업무 불가 향후의 문제의 해결에 상당한 시간이 소요됨 모든 과정에 관리자가 필요함

① 네트워크에 이 상징후 발생 ( 속도저하 , 사용 자에 의한 장애 신고등 )

③ L3 장비에서 모 든 패킷의 분석 및 공격 트래픽 확인

② 관리자에 의한 장비 점검 (L3 백본 스위치 , Router, 전용회

선 , Server farm 등 )

L2 스위치의 포트 단위 처리로 Attack 트래픽에의한 피해 없음 유해트래픽의 확산에 의한 추가 감염 피해 없음 공격정보 Log 기록 관리자의 개입이 필요 없음

■ 효 과

① MDS 엔진에서 Attack 패킷 자동감지

③ MDS 엔진에서 공격 정보

Log 생성 및 기록

④ Attack 패킷이 멈추면 차단 Rule 자동 해제

ASIC basedASIC basedSecurity Security EngineEngine

타사 제품과의 대응방법 비교

⑤ 관리자에 의한 ACL 정책 수동 해제

- 23 -

타 타 Vendor Vendor 제품 사용자의 대응 방법제품 사용자의 대응 방법 Security Switch Security Switch 제품 사용자의 대응 방법제품 사용자의 대응 방법

Ⅲ Worm traffic 차단 사례 비교 분석

Ethernet Security Switch

공격자 PortConnect Port

Up-Link Port

Attack Alert

해킹 /공격 /장비 실시간 모니터링 네트워크 자원 관리 [IP/MAC/SWITCH PORT]

유해트래픽 차단 정보 실시간 레포팅 /검색

- 24 -

Ⅲ 통합 보안 관제 시스템

Ethernet Security Switch

L2 레벨의 네트워크 인증 (IP Address + MAC Address + Switch port) 누가 , 언제 , 어떤 IP 로

네트 워크에 접속했는지 사용자 관리

네 트 워 크 접 속 유 저 의

실시 간 사용현황 모니터링

내부 정보 유출 등의 문제 발생시 IP 추적

비 인가 시스템의비 인가 시스템의네트워크 접속 제어네트워크 접속 제어 Virus 확산 방지

전체 네트워크 장애 방지

해킹에 의한 내부 정보 유출 방지

유 해 트 래 픽 발 생

시스템의 실시간 현황 파악

Ⅲ Visual IP Manager 소개

내부 네트워크의 IP 관리 및 접속 제어 솔루션

◈ Visual IP Manager(VIPM) 란 ?

- 25 -

Ethernet Security Switch

네트워크 공격네트워크 공격및 해킹차단및 해킹차단네트워크 공격네트워크 공격및 해킹차단및 해킹차단

네트워크 인증네트워크 인증네트워크 인증네트워크 인증

IP IP ManagementManagementIP IP ManagementManagement

L2 레벨의 네트워크 인증 IP + MAC + 스위치포트

IP , MAC 실시간 사용현황 관리

IP 변경 및 도용 방지 IP 충돌 방지 비활성 IP 자동 차단 미사용 IP 관리 IP 별 사용 기간 설정 분산된 IP 자원의 통합 관리 네트워크 사용자 이력 관리 네트워크 사용자 트래픽 관리 장애 발생시 문제 사용자 추적 실시간 네트워크 사용자 현황 모니터링

L2~L4 레벨의 공격 차단 MAC flooding 、 MAC Spoofing,

ARP Attack, ARP Spoofing IP Spoofing 、 DHCP Attack, ICMP Attack, TCP Sync flooding

(DoS/DDoS/RANDOM Attack UDP flooding, Scanning)

실시간 차단 정보조회 및

로그 관리

Ⅲ Visual IP Manager 소개

◈ VIPM 의 주요 기능

내부 네트워크의 IP 관리 및 접속 제어

- 26 -

Ethernet Security Switch

내부 네트워크 내부 네트워크 보안 강화보안 강화

내부 네트워크 내부 네트워크 보안 강화보안 강화

내부 네트워크내부 네트워크통합 보안 통합 보안

관제 시스템 관제 시스템 구축구축

내부 네트워크내부 네트워크통합 보안 통합 보안

관제 시스템 관제 시스템 구축구축

비 인가 시스템의 네트워크 접속 제어

네트워크 사용 현황 모니터링 및 로그 관리

유해트래픽 및 해킹 차단

주요 전산장비 보호 설정

문제 발생 시스템에 대한 신속 한 대응

IP 자원의 효율적인 관리

네트워크 신뢰성 향상

Ⅲ 보안 스위치 제품군 및 VIPM 소개

◈ VIPM 의 도입효과

- 27 -

Ethernet Security Switch

◈ VIPM 의 제품 구성

Ⅲ Visual IP Manager 소개

Ethernet Security Switch

Ethernet Security Switch

24Port 10/100 Base-TX

2Port 10/100/1000Base-TX

SFP Slot

Visual IP ManagerServer

O/S

Linux / Apache Webserver

권장 H/W Spec

Intel X86 / Memory 2GB 이상

(2000User 기준 )

- 28 -

Ethernet Security Switch

IP MAC IP MAC

VIPM 서버L2 보안스위치① 수집한 IP/MAC 등의 정보를 IPM 서버에 전송

③ 설정된 접근제어 폴리시 및 신규 정책을 L2 보안스위치에 전송

② 신규 정책 설정 및 네트 워크 사용현황 모니터링

④ 비 인증 단말의 접속 차단 ( 네트워크 자동 인증 처리 )

웹 기반의 관리 툴 제공 네트워크 현황에 대한 실시간 모니터링 IP 자원관리 업무 수행

L2 스위치 (SG2024) 에서 수집된 유저 정보 및 IP 정보를 데이터베이스에 저장 스위치로부터 전송 받은 정보를 이용하여 네트워크 현황 분석 유저별 네트워크 접근 권한 설정 및 인증

네트워크에 접속 하는 시스템의 IP/MAC 정보를 수집하여 VIPM 서버에 전송 VIPM 서버로부터 배포되는 접근제 어 폴리시를 적용하고 제어처리를 수행 네트워크 공격 /해킹 대한 감지 / 차단 수행 및 차단 정보를 VIPM 서버에 전송

IPM 콘솔

Ⅲ Visual IP Manager 소개

◈ VIPM 네트워크 구성

VIPM 은 VIPM 서버와 L2 보안 스위치로 구성

- 29 -

Ethernet Security Switch

[Visual IP Manager]

[L2 Switch]

VIPM : L2 Switch 를 이용하여 관리

타 제품 : 외부장치 (Probe) 를 이용하여 관리 수행

외부 디바이스

Probe

Multi-Dimension Security Engine 내장-IP, 인증 , 유해트래픽 등에 대하여 L2 Switch 가 직접 관리

① Data Gathering

②정보 전송 ③ARP Reply 패킷 전송

정보 전송

Ⅲ Visual IP Manager 소개

Good

Bad

Good

Bad

부정 IP 차단 시 트래픽 발생이 없음스위치 포트에서 차단 정책을 수행하여 불필요한 패킷 발생 없음

부정 IP 차단 시 불필요한 트래픽 발생직 접 적 인 제 어 가 불 가 능 한 Probe 를 통 한 구 성 으 로 , 부 정 IP 와 동 일 한 가 상 의 IP 시스템을 이용한 IP 충돌 방식으로 불필요한 다량의 패킷을 발생시켜 네트워크의 운영의 장애 요인이 됨

완벽한 인증 시스템 구축IP+MAC+ 스 위 치 의 포 트 를 이 용 한 인증방식으로 완벽한 접속제어 가능

인증 시스템의 신뢰성 저하IP 와 MAC 정보만으로 접속제어를 함으로 위조된 패킷 의 경우 대응이 불가

Good

Good

관리 포인트가 증가 하지 않음스위치를 이용한 구성으로 별도의 관리가 필요 없으며 , 추가 적인 비용 발생이 없음

Bad

Bad

관리 포인트의 증가Probe 를 이 용 한 구 성 으 로 관 리 포 인 트 가 증가하며 , Probe 구매에 의한 추가적인 비용 발생

L2~L4 레벨의 유해트래픽 차단

유해트래픽 발생시 대응 불가

◈ 제품 비교 분석

- 30 -

Ethernet Security Switch

과학관

인문관

연구동

전산실

공학관

기숙사

Internet

학내 네트워크

▼ IPM Console

Ⅲ Visual IP Manager 소개

Probe 를 설치하지 않고 L2 보안 Switch 를 이용한 IP자원관리

◈ VIPM 네트워크 구성 예 – 1. 대학교

실시간 네트워크 접속 유저에 대한 현황 관제

네트워크 접속 유저에 대한 인 증 정책 설정 및 관리

IP 자원관리 정책 설정

네트워크 이벤트 및 로그 관리

- 31 -

Ethernet Security Switch

A 지사

※각 스 위 치 부 터 의 제 어 / 통 제 정 보 가 서울 본사에서 일원 관리됨

※ B 지사의 관리자는 서울본사에 있는 IPM서 버 에 접 속 하 여 B지사의 관리를 실행함

접속차단

연구소본사

B 지사 관리자

부정접속 PC불법반입 PC

부정접속 PC미등록 노트 PC

접속차단

B지사

IPM 서버

본사 관리자

▼ 실시간 전체 네트워크 상황

▼ 네트워크 리소스 상황

◈ VIPM 네트워크 구성 예 – 2. 본사 및 지사 관리

내부 네트워크 IP 자원에 대한 통합 보안 관제 시스템 구축

Ⅲ Visual IP Manager 소개

- 32 -

Ethernet Security Switch

◈ VIPM 관제 시스템 (1) - 실시간 네트워크 현황 모니터링

Ⅲ Visual IP Manager 소개

- 33 -

Ethernet Security Switch

◈ VIPM 관제 시스템 (2) – IP Address 사용 현황

Ⅲ Visual IP Manager 소개

- 34 -

Ethernet Security Switch

◈ VIPM 관제 시스템 (3) - 유해 트래픽 차단 정보

Ⅲ Visual IP Manager 소개

- 35 -

Ethernet Security Switch

◈ VIPM 관제 시스템 (4) - 네트워크 인증 설정 (IP+MAC+Switch port)

Ⅲ Visual IP Manager 소개

- 36 -

Ethernet Security Switch

◈ VIPM 관제 시스템 (5) - 스위치 별 네트워크 사용 현황 ( 접속 유저 , IP 사용현황 , 트래픽 발생 현황 )

Ⅲ Visual IP Manager 소개

- 37 -

Ethernet Security Switch

◈ VIPM 관제 시스템 (6) - 유해트래픽 공격 형태별 분류

Ⅲ Visual IP Manager 소개

- 38 -

Ethernet Security Switch

서비스의안정화

서비스의안정화

투자비용절감

투자비용절감

네트워크자원관리네트워크자원관리

내부공격차단

내부공격차단

해킹차단해킹차단

Ⅲ Visual IP Manager 소개

- 39 -

Ethernet Security Switch

Ⅲ reference - 공공기관

- 40 -

Ethernet Security Switch

Ⅲ reference - 기업

- 41 -

Ethernet Security Switch

Ⅲ reference - 대학

- 42 -