introduce product
DESCRIPTION
TRANSCRIPT
Ethernet Security Switch서울시 구로구 구로동 222-12 마리오타워 1209 호 Tel:02)890-6650 Fax:02)890-6654
www.handream.net
Ethernet Security Switch
Ⅲ. 보안스위치 제품군 및 VIPM 소개
Ⅲ 보안스위치 제품군 및 VIPM 소개
- 09 -
Ethernet Security Switch
L2 Security Switch SG2024
Performance- Up to 8000 MAC Address- Throughpu : 6.88 Mbps- Switch Capacity : 28.8 Gbps
Media Interface- 24 Port 10/100 Base-TX- 2 Port 10/100/1000 Base-TX- 2 Port SFP Slot
Security- ASIC Based(Layer2-4 Packet classification)- ARP Spoofing, DoS / DDoS Attack, TCP Syn flooding- Scanning, IP Spoofing, DHCP Attack, ICMP Attack- MAC flooding, Mac Spoofing, ARP Attack
Ⅲ SG2024
- 10 -
Ethernet Security Switch
L2 Security PoE Switch SG2024P
Ⅲ SG2024P
PoE- IEEE 802.3 af Compatible- Supply Power : 15.4W(max. per port) Dual Power (Load Sharing) : Optional- Support 24-Port 10/100Base-TX- Supply Voltage Range : +44Vdc ~ +57Vdc
Media Interface- 24 Port 10/100 Base-TX- 2 Port 10/100/1000 Base-TX- 2 Port SFP Slot
Performance- Up to 8000 MAC Address- Throughpu : 6.88 Mbps- Switch Capacity : 28.8 Gbps
Security- ASIC Based(Layer2-4 Packet classification)- ARP Spoofing, DoS / DDoS Attack, TCP Syn flooding- Scanning, IP Spoofing, DHCP Attack, ICMP Attack- MAC flooding, Mac Spoofing, ARP Attack
- 11 -
Ethernet Security Switch
L2 Security Gigabit Switch SG2024G
Ⅲ SG2024G
Media Interface- 24 Port 10/100/1000 Base-TX- 4 Port SFP Slot (combo)- 4 Port 1000Base SX/LX/LH
(combo)
Performance- Up to 32768 MAC Address- Throughpu : 71.43 Mbps- Switch Capacity : 68 Gbps
Security- ASIC Based(Layer2-4 Packet
classification)- ARP Spoofing, DoS / DDoS Attack- TCP Syn flooding- Scanning, IP Spoofing, DHCP Attack- ICMP Attack, MAC flooding, Mac Spoofing- ARP Attack
Power- Input : AC100 ~ 240VAC, 47~63- Power Consumptio n : 56W (max)- Dual Power (Load Sharing) : Optional
- 12 -
Ethernet Security Switch
네트워크와 보안이 통합된 Layer2 보안 스위치
Wire Speedwith Clean-zone
통합 관제 시스템
성능 및 가격의 우수성ASIC 기반의
Security Engine
Attack 의 실시간 History log 제공
혁신적 기능현실적 가격
Ⅲ Ethernet Security Switch 의 Benefit
- 13 -
Ethernet Security Switch
HackingHacking
AttackAttack네트워크 공격(Flooding/DDos)네트워크 공격(Flooding/DDos)
내부 네트워크의 사용자 인증 기능 미비 네트워크 자원 관리 기능 미비내부 네트워크의 사용자 인증 기능 미비 네트워크 자원 관리 기능 미비
의도적이며 보다 직접적인 공격(Sniffing/Spoofing)의도적이며 보다 직접적인 공격(Sniffing/Spoofing)
SECURITYISSUE
비정상 패킷 증가로 네트워크 장애 유발 급속한 피해 확산
모바일 디바이스에 의한 불법 내부 네트워크 사용 증가 악의적인 의도를 가진 내부 네트워크 사용자 제어 불가
메시지 또는 파일 가로채기 인증정보 , VOIP 도 /감청 내부자에 의한 해킹 발생시
진단 /대응이 어려움
Network ResourceManagement
Network ResourceManagement
- 14 -
Ⅲ L2 레벨의 보안 이슈
전체 보안침해 사고 중 내부에서 발생하는 것이 80% 를 차지
Ethernet Security Switch
2 차 백본
외부 및 Core 망 보안 솔루션 (IPS, Firewall, L4 switch)
1 차 백본
Access 레벨
모바일 사용자 또는 이동성 매체 (USB 메모리 등 ) 에 의한
감염 가능성 증가
Core 망의 보안은 강력하지만Access 레벨의 보안은취약
내부 네트워크 침해 사고 발생시 급속하게 확산 된다 .
IPS
L4 Switch
L4 Switch
Internet
Access 레벨의 단독형 보안 솔루션이 없다
Ⅲ 네트워크 보안의 문제점
- 15 -
Ethernet Security Switch
의도적 해킹툴을 이용한 기밀 정보 해킹
내부보안에 대한 위협
바이러스에 의한 인지하지 못한 해킹 발생
※ ARP Spoofing 과 같은 L2 레벨에서 일어나는
네트워크 패킷 변조를 통한 해킹 행위 탐지 어려움
- 16 -
모바일 기기 사용의 증가로 인한 내부 보안 사고 증가
Ⅲ L2 레벨의 보안이슈
시스템권한시스템권한(ERP/(ERP/ 그룹웨어그룹웨어 ))
ID/PWDID/PWD 등등인증정보인증정보
메일내용메일내용
개인신상정보개인신상정보데이터 파일데이터 파일
통화내역통화내역
Data Sniffing개인정보 및 기업비밀정보 유출
IP Telephony음성통화 도청 /감청
내부 사용자에 의한 해킹
Internet외부 사용자에 의한
해킹
Ethernet Security Switch
2 차 백본
외부 및 Core 망 보안 솔루션 (IPS, Firewall, L4 switch)
1 차 백본
Access 레벨업무의 연속성 보장
문제원인 실시간 파악네트워크 인프라 보호
강력한 Reporting 기능 제공
Zero-day 공격 실시간 차단단독형 (Stand-alone) 구성
실시간 차단 정보 전송
IPS
L4 Switch
L4 Switch
Internet
Ⅲ 솔루션 – Ethernet Security Switch
- 17 -
Ethernet Security Switch
Security Real-time detection and protection by traffic sniffing.
Self-running No signature update based
Simple No management for clean-service
ESS2224 Architecture
ASIC basedASIC basedSecurity EngineSecurity Engine
Ⅲ ASIC 기반의 MDS(Multi Dimension Security) Engine
Full port wire speed with Security
- 18 -
Ethernet Security Switch
DoS DDoS DDoS(spoofed) Flash crowds,Worms(spoofed)
Attack Packet AnalysisMulti-dimension Security Engine
Sensor Log
MD Protection EngineRT Packet Gathering Module
Switching FabricProtection
DDoS ClassDoS ClassScan ClassRandom Class
Security Filter Module
2GE 24FE
(0011)
Response
프로토콜별 S-IP, S-port, D-port, D-IP 조합의 고유분산도 , 엔트로피 6 개의 큐브 (Cube) 를 통한 트래픽 분석 및 트래픽 이상현상 확인
Ⅲ MDS(Multi Dimension Security) Engine Architecture
- 19 -
Ethernet Security Switch
호스트 -A ARP Cache
IP Addr Mac Address
192.168.1.1
xxxx15axxxx17c
호스트 -B ARP Cache
IP Addr Mac Address
192.168.1.3
xxxx13bxxxx17c
MDS arp-table
Port
Mac/IP Address
315
Xxxx17c 192.168.1.13Xxxx13b 192.168.1.3 Xxxx15a 192.168.1.1
IP Addr : 192.168.1.13MAC Addr : xxxx17c
IP Addr : 192.168.1.1MAC Addr : xxxx15a
IP Addr : 192.168.1.3MAC Addr : xxxx13b
ARP Spoofing 의 공격 방법- 서브넷의 모든 호스트 MAC 주소 SCAN- ARP Spoofing 대상 선택- ARP Spoofing 공격
관련 어플리케이션의 데이터 스니핑 (ID/PASS, FTP, HTTP, POP, VOICE....)
피해 시스템 에서의 증상- 네트워크 속도 저하 ARP 패킷 다량 수신
공격 시스템 에서의 증상- 네트워크 사용량 증가- 정기적인 ARP 패킷 발송
IP Telephony- Voice 도청 , 녹취
Data sniffing - 개인정보 및 기업 내부의 기밀정보 유출 패킷을 변조한 후 전송 ( 금융 기관 등을 사칭하는 피싱 또는 파밍 공격 )
ARP Spoofing 공격
Ⅲ MDS Engine 의 특징 1 - ARP Spoofing (Layer 2 level hacking)
- 20 -
Ethernet Security Switch
Layer 4 based analysis & protectionNo signature update base
MAC source/dest address
IP source/dest address/port
IP rangeTCP flags
Protocol (TCP/UDP/ICMP)TCP/UDP dest port
Port pattern/IP pattern Detection count
Cable Loopback Test
IP Spoofing, DHCP Attack, ICMP Attack
Cable disconnected
MAC Flooding, MAC 변조 , ARP Attack
TCP Syn flooding (DoS/DDoS/Random Attack)
UDP flooding, Scanning
Physical
Data Network
Transport
Ⅲ MDS Engine 의 특징 2 - Network Attack Protection (Layer 4 level)
- 21 -
Ethernet Security Switch
SubGATE Security Switch
Release
Protection
Security Policing
Packet Analysis
Smart Protection 웜 , 바이러스에 감염된 유 해
패킷 또는 서비스 포트만을 선별적으로 차단하여 업무의
연속성 보장
MDS Engine 의 능동적인 대응
TCP 135 port 이상 패킷 탐지
TCP 135 port 패킷 차단
TCP 135 port 패킷 이외의트래픽 은 정상 서비스 .
업무의 연속성 보호
Ⅲ MDS Engine 의 특징 3 - 선별적 차단 정책
- 22 -
Ethernet Security Switch
상황 ) 공격자가 목적지 IP 를 변경하며 , 3 개의 물리적인 포트에 대해 SCAN 공격을 시도 중
④ 물리적인 해당 포트에 대한 Access list 수동 생성 ② MDS 엔진에서 Attack 의 유형에 대응한 차단 Rule 자동 생성
■ 효 과
L3 Core Switch 의 과부하는 해결 하였으나 , 이미 유해트래픽이 확산 되어
사용자들의 업무 불가 향후의 문제의 해결에 상당한 시간이 소요됨 모든 과정에 관리자가 필요함
① 네트워크에 이 상징후 발생 ( 속도저하 , 사용 자에 의한 장애 신고등 )
③ L3 장비에서 모 든 패킷의 분석 및 공격 트래픽 확인
② 관리자에 의한 장비 점검 (L3 백본 스위치 , Router, 전용회
선 , Server farm 등 )
L2 스위치의 포트 단위 처리로 Attack 트래픽에의한 피해 없음 유해트래픽의 확산에 의한 추가 감염 피해 없음 공격정보 Log 기록 관리자의 개입이 필요 없음
■ 효 과
① MDS 엔진에서 Attack 패킷 자동감지
③ MDS 엔진에서 공격 정보
Log 생성 및 기록
④ Attack 패킷이 멈추면 차단 Rule 자동 해제
ASIC basedASIC basedSecurity Security EngineEngine
타사 제품과의 대응방법 비교
⑤ 관리자에 의한 ACL 정책 수동 해제
- 23 -
타 타 Vendor Vendor 제품 사용자의 대응 방법제품 사용자의 대응 방법 Security Switch Security Switch 제품 사용자의 대응 방법제품 사용자의 대응 방법
Ⅲ Worm traffic 차단 사례 비교 분석
Ethernet Security Switch
공격자 PortConnect Port
Up-Link Port
Attack Alert
해킹 /공격 /장비 실시간 모니터링 네트워크 자원 관리 [IP/MAC/SWITCH PORT]
유해트래픽 차단 정보 실시간 레포팅 /검색
- 24 -
Ⅲ 통합 보안 관제 시스템
Ethernet Security Switch
L2 레벨의 네트워크 인증 (IP Address + MAC Address + Switch port) 누가 , 언제 , 어떤 IP 로
네트 워크에 접속했는지 사용자 관리
네 트 워 크 접 속 유 저 의
실시 간 사용현황 모니터링
내부 정보 유출 등의 문제 발생시 IP 추적
비 인가 시스템의비 인가 시스템의네트워크 접속 제어네트워크 접속 제어 Virus 확산 방지
전체 네트워크 장애 방지
해킹에 의한 내부 정보 유출 방지
유 해 트 래 픽 발 생
시스템의 실시간 현황 파악
Ⅲ Visual IP Manager 소개
내부 네트워크의 IP 관리 및 접속 제어 솔루션
◈ Visual IP Manager(VIPM) 란 ?
- 25 -
Ethernet Security Switch
네트워크 공격네트워크 공격및 해킹차단및 해킹차단네트워크 공격네트워크 공격및 해킹차단및 해킹차단
네트워크 인증네트워크 인증네트워크 인증네트워크 인증
IP IP ManagementManagementIP IP ManagementManagement
L2 레벨의 네트워크 인증 IP + MAC + 스위치포트
IP , MAC 실시간 사용현황 관리
IP 변경 및 도용 방지 IP 충돌 방지 비활성 IP 자동 차단 미사용 IP 관리 IP 별 사용 기간 설정 분산된 IP 자원의 통합 관리 네트워크 사용자 이력 관리 네트워크 사용자 트래픽 관리 장애 발생시 문제 사용자 추적 실시간 네트워크 사용자 현황 모니터링
L2~L4 레벨의 공격 차단 MAC flooding 、 MAC Spoofing,
ARP Attack, ARP Spoofing IP Spoofing 、 DHCP Attack, ICMP Attack, TCP Sync flooding
(DoS/DDoS/RANDOM Attack UDP flooding, Scanning)
실시간 차단 정보조회 및
로그 관리
Ⅲ Visual IP Manager 소개
◈ VIPM 의 주요 기능
내부 네트워크의 IP 관리 및 접속 제어
- 26 -
Ethernet Security Switch
내부 네트워크 내부 네트워크 보안 강화보안 강화
내부 네트워크 내부 네트워크 보안 강화보안 강화
내부 네트워크내부 네트워크통합 보안 통합 보안
관제 시스템 관제 시스템 구축구축
내부 네트워크내부 네트워크통합 보안 통합 보안
관제 시스템 관제 시스템 구축구축
비 인가 시스템의 네트워크 접속 제어
네트워크 사용 현황 모니터링 및 로그 관리
유해트래픽 및 해킹 차단
주요 전산장비 보호 설정
문제 발생 시스템에 대한 신속 한 대응
IP 자원의 효율적인 관리
네트워크 신뢰성 향상
Ⅲ 보안 스위치 제품군 및 VIPM 소개
◈ VIPM 의 도입효과
- 27 -
Ethernet Security Switch
◈ VIPM 의 제품 구성
Ⅲ Visual IP Manager 소개
Ethernet Security Switch
Ethernet Security Switch
24Port 10/100 Base-TX
2Port 10/100/1000Base-TX
SFP Slot
Visual IP ManagerServer
O/S
Linux / Apache Webserver
권장 H/W Spec
Intel X86 / Memory 2GB 이상
(2000User 기준 )
- 28 -
Ethernet Security Switch
IP MAC IP MAC
VIPM 서버L2 보안스위치① 수집한 IP/MAC 등의 정보를 IPM 서버에 전송
③ 설정된 접근제어 폴리시 및 신규 정책을 L2 보안스위치에 전송
② 신규 정책 설정 및 네트 워크 사용현황 모니터링
④ 비 인증 단말의 접속 차단 ( 네트워크 자동 인증 처리 )
웹 기반의 관리 툴 제공 네트워크 현황에 대한 실시간 모니터링 IP 자원관리 업무 수행
L2 스위치 (SG2024) 에서 수집된 유저 정보 및 IP 정보를 데이터베이스에 저장 스위치로부터 전송 받은 정보를 이용하여 네트워크 현황 분석 유저별 네트워크 접근 권한 설정 및 인증
네트워크에 접속 하는 시스템의 IP/MAC 정보를 수집하여 VIPM 서버에 전송 VIPM 서버로부터 배포되는 접근제 어 폴리시를 적용하고 제어처리를 수행 네트워크 공격 /해킹 대한 감지 / 차단 수행 및 차단 정보를 VIPM 서버에 전송
IPM 콘솔
Ⅲ Visual IP Manager 소개
◈ VIPM 네트워크 구성
VIPM 은 VIPM 서버와 L2 보안 스위치로 구성
- 29 -
Ethernet Security Switch
[Visual IP Manager]
[L2 Switch]
VIPM : L2 Switch 를 이용하여 관리
타 제품 : 외부장치 (Probe) 를 이용하여 관리 수행
외부 디바이스
Probe
Multi-Dimension Security Engine 내장-IP, 인증 , 유해트래픽 등에 대하여 L2 Switch 가 직접 관리
① Data Gathering
②정보 전송 ③ARP Reply 패킷 전송
정보 전송
Ⅲ Visual IP Manager 소개
Good
Bad
Good
Bad
부정 IP 차단 시 트래픽 발생이 없음스위치 포트에서 차단 정책을 수행하여 불필요한 패킷 발생 없음
부정 IP 차단 시 불필요한 트래픽 발생직 접 적 인 제 어 가 불 가 능 한 Probe 를 통 한 구 성 으 로 , 부 정 IP 와 동 일 한 가 상 의 IP 시스템을 이용한 IP 충돌 방식으로 불필요한 다량의 패킷을 발생시켜 네트워크의 운영의 장애 요인이 됨
완벽한 인증 시스템 구축IP+MAC+ 스 위 치 의 포 트 를 이 용 한 인증방식으로 완벽한 접속제어 가능
인증 시스템의 신뢰성 저하IP 와 MAC 정보만으로 접속제어를 함으로 위조된 패킷 의 경우 대응이 불가
Good
Good
관리 포인트가 증가 하지 않음스위치를 이용한 구성으로 별도의 관리가 필요 없으며 , 추가 적인 비용 발생이 없음
Bad
Bad
관리 포인트의 증가Probe 를 이 용 한 구 성 으 로 관 리 포 인 트 가 증가하며 , Probe 구매에 의한 추가적인 비용 발생
L2~L4 레벨의 유해트래픽 차단
유해트래픽 발생시 대응 불가
◈ 제품 비교 분석
- 30 -
Ethernet Security Switch
과학관
인문관
연구동
전산실
공학관
기숙사
Internet
학내 네트워크
▼ IPM Console
Ⅲ Visual IP Manager 소개
Probe 를 설치하지 않고 L2 보안 Switch 를 이용한 IP자원관리
◈ VIPM 네트워크 구성 예 – 1. 대학교
실시간 네트워크 접속 유저에 대한 현황 관제
네트워크 접속 유저에 대한 인 증 정책 설정 및 관리
IP 자원관리 정책 설정
네트워크 이벤트 및 로그 관리
- 31 -
Ethernet Security Switch
A 지사
※각 스 위 치 부 터 의 제 어 / 통 제 정 보 가 서울 본사에서 일원 관리됨
※ B 지사의 관리자는 서울본사에 있는 IPM서 버 에 접 속 하 여 B지사의 관리를 실행함
접속차단
연구소본사
B 지사 관리자
부정접속 PC불법반입 PC
부정접속 PC미등록 노트 PC
접속차단
B지사
IPM 서버
본사 관리자
▼ 실시간 전체 네트워크 상황
▼ 네트워크 리소스 상황
◈ VIPM 네트워크 구성 예 – 2. 본사 및 지사 관리
내부 네트워크 IP 자원에 대한 통합 보안 관제 시스템 구축
Ⅲ Visual IP Manager 소개
- 32 -
Ethernet Security Switch
◈ VIPM 관제 시스템 (1) - 실시간 네트워크 현황 모니터링
Ⅲ Visual IP Manager 소개
- 33 -
Ethernet Security Switch
◈ VIPM 관제 시스템 (2) – IP Address 사용 현황
Ⅲ Visual IP Manager 소개
- 34 -
Ethernet Security Switch
◈ VIPM 관제 시스템 (3) - 유해 트래픽 차단 정보
Ⅲ Visual IP Manager 소개
- 35 -
Ethernet Security Switch
◈ VIPM 관제 시스템 (4) - 네트워크 인증 설정 (IP+MAC+Switch port)
Ⅲ Visual IP Manager 소개
- 36 -
Ethernet Security Switch
◈ VIPM 관제 시스템 (5) - 스위치 별 네트워크 사용 현황 ( 접속 유저 , IP 사용현황 , 트래픽 발생 현황 )
Ⅲ Visual IP Manager 소개
- 37 -
Ethernet Security Switch
◈ VIPM 관제 시스템 (6) - 유해트래픽 공격 형태별 분류
Ⅲ Visual IP Manager 소개
- 38 -
Ethernet Security Switch
서비스의안정화
서비스의안정화
투자비용절감
투자비용절감
네트워크자원관리네트워크자원관리
내부공격차단
내부공격차단
해킹차단해킹차단
Ⅲ Visual IP Manager 소개
- 39 -
Ethernet Security Switch
Ⅲ reference - 공공기관
- 40 -
Ethernet Security Switch
Ⅲ reference - 기업
- 41 -
Ethernet Security Switch
Ⅲ reference - 대학
- 42 -