Vernier Networks System을 활용한 무선랜 보안과 관리

Slides:



Advertisements
Similar presentations
Windows XP Home Networking 장 석 준 고객 사업본부 ㈜마이크로소프트.
Advertisements

Windows Clustering Technology Overview 기술사업부 ( 주 ) 마이크로소프트.
KT Managed ICT KT Managed ICT. 우편물 반송정보제공서비스 SSL VPN 정보보호 구축 제안서 1. SSL VPN 암호화 통신 제안 ( 요약 ) 2. SSL VPN 암호화 통신 구축 비용 3. 국가정보원 IT 보안 인증서 반송정보분석센터 이포스팅㈜
PRODUCT SPECIFICATION EL – GBP24E1402 RT / COT FIBER OPTIC BY_PASS SWICTH 10/100/1000Mbps RT/COT FCC 24 ETHERNET ☞ DESCRIPTION. ☞ FEATURES.CCTV, ITV and.
1 WLAN 보안. 2 WLAN Security Requirements for Secure Wireless LANs –Authentication –Access Control –Data Privacy –Data Integrity –Protection Against Replay.
10/100Mbps 24포트 + GIGA 2포트 Managed Switch
Building Enterprise VPNs
SFP Bi-Di Transceiver FIBER OPTIC L2 SWICTH PRODUCT SPECIFICATION
Chapter 7 ARP and RARP.
PC와 인터넷 정강수 컴퓨터 구조와 웹의 이해 PC와 인터넷 정강수
Nortelnetworks VPN & Firewall Contivity 1100.
임베디드 SW 시스템 소개 - 임베디드 운영체제 - 임베디드 리눅스 - 임베디드 인터넷
APPEON SOLUTION INTRODUCTION.
한드림넷 솔루션 소개.
Data Communications 제4장 데이터통신의 기본 개념.
목 차 5. 제품 소개 6. 구 축 효 과 7. 지 원 사 항 2. 제안시스템 구성 3. 제안시스템 특징
암호화 기술(SSL, IPSec) 손재성 권기읍 안복선 최준혁
비업무 사이트 차단 시스템 Venus/CPS.
Network Security - Wireless Sniffing 실습
공개소프트웨어란? “Open Source Software(공개SW)는 저작권자가 소스 코드를 개방하여 소스 코드의 수정, 재 배포가 자유로운 SW로 규정한다 공개소프트웨어는 전세계 개발자 누구나 참여하고 있는 커뮤니티 프로젝트로 개발되며, 브랜드를 달고.
효과적인 DB암호화 구축을 위한 애슬론 v1.5 제안
Windows CE 5.0 Networking Internals
PC1 E0 R1 로컬 Host 파일 브로드 캐스트 LMHOSTS 조회 Host 파일 조회 DNS Server 조회
Switching 기술 II(L4, L5, L7).
10장. 무선 LAN의 기본개념과 설정방법 2012년 2학기 중부대학교 정보보호학과 이병천 교수.
Operating Systems Overview
Network Security - Wired Sniffing 실습
Dept. of Computer Engineering, Hannam Univ. Won Goo Lee
Cisco 단독형 AP LWAPP 변환 Guide
Internet Group Management Protocol (IGMP)
회사 소개서.
1장. 패킷트레이서 2012년 2학기 중부대학교 정보보호학과 이병천 교수.
Introduction to Networking
PART 01 개념 컴퓨터 네트워크 Chapter 3 OSI 참조모델과 인터넷 임효택.
목 차 1. 기 업 현 황 회 사 개 요 2. Finger Police System 개요
OWASP Mobile TOP 10 학번 : 이름 : 공 우 진 발표일 :
모든 내용에 대한 저작권은 BANNA에 있으며, 허가된 사용자 이외에는 사용할 수 없습니다.
2007. Database Term Project Team 2 윤형석, 김희용, 최현대 우경남, 이상제
Chapter 8 목차 8.1 네트워크 보안이란 무엇인가? 8.2 암호학의 원리 8.3 메시지 무결성 8.4 종단점 인증
Chapter 2 OSI 모델과 TCP/IP 프로토콜.
운영체제와 Windows XP 초등 ICT 교육 방법론 2013년 1학기.
6장 무선과 이동 네트워크.
무선 랜 보안 세종대학교 소프트웨어공학 김명현.
1장. 패킷트레이서 2012년 2학기 중부대학교 정보보호학과 이병천 교수.
디지털 녹음장비 제 안 서 휴 코 산 업.
Unified Communications Cisco Korea
Processing resulting output
Windows Server 2008 보안 한국마이크로소프트.
(Network Transaction Application Server)
기업 시스템/네트웍 보안 종합 설계 방안.
침입탐지시스템과 정보보안 안
01. VPN의 개요 VPN(가상 사설 망)은 개인 네트워크를 확장한 네트워크로 인터넷 같은 공용 네트워크를 통한 연결을 지원
PART 01 개념 컴퓨터 네트워크 Chapter 3 OSI 참조모델과 인터넷 임효택.
DHCP 김영석 박대혁 신영주.
6장 무선과 이동 네트워크.
Xen and the Art of Virtualization
학내전산망 제안서 본 제안서의 기술적 내용은 해당 회사에 저작권이 있습니다.
IPv 이 동 주 HONGIK UNIVERSITY.
네트워크와 소켓 프로그래밍 Chapter 01. * 학습목표 TCP/IP 프로토콜의 동작 원리를 개관 소켓의 기본 개념을 이해
박 태하 ㈜ 아이네트 인터넷 망관리를 위한 도구 박 태하 ㈜ 아이네트.
AP3 매뉴얼.
FireWall / VPN Solution
Data Communications 제2장 데이터통신의 기본 개념.
10장. 무선 LAN의 기본개념과 설정방법 2012년 2학기 중부대학교 정보보호학과 이병천 교수.
네트워크 속에서의 정보보안 전 상 대.
시스코 네트워킹 (CCNA) 5주차.
14 방화벽.
학내전산망 제안서.
7/25/2019 경계선 방어 기술 공급원 May
CCNA 3 CHAPTER .1 LAN DESIGN 박명진, 문창호, 최성호.
Presentation transcript:

Vernier Networks System을 활용한 무선랜 보안과 관리 Enabling Mission-Critical 802.11 Networks for eBusiness

목차 Vernier Networks System의 위상 제품 소개 주요장점 802.11 보안 취약성에 대한 대안 WLAN 환경에서의 새로운 도전 요소 제품 소개 주요장점 Appendix 1. 6500 Platform 소개 Appendix 2. FAQ Appendix 3. 802.1x 장비와 Vernier Networks System Appendix 4. 주요 이점 및 기능 Appendix 5. Demonstration

802.11 보안 취약성에 대한 대안 IEEE 802.11i WG 독자 기술로 WEP 취약성 개선 표준안에 대한 보안 개선 표준화 작업에는 시간이 필요함. 독자 기술로 WEP 취약성 개선 802.11 기반 장비 제조업체(CISCO, FUNK,…) 공급자 시스템간 표준 없음. 3rd party add-on 제품 (Vernier Networks) 세밀한 권한 관리, 보완적인 인증 및 암호화 방식 현재로서는 최선책 Sensors online “Is wireless internet safe to use?” July 2002

WLAN 환경에서의 새로운 도전 보안 자원 할당 클라이언트 지원 이동성(휴대성) 이슈 인가된 사용자 vs 인가되지 않은 사용자 모든 네트워크 자원의 보호 자원 할당 대역폭 우선 순위 트래픽 클라이언트 지원 다양한 디바이스, OS 종류와 버전, 복수 드라이버 이동성(휴대성) 이슈 지속적인 서비스 끊기지 않는 접속

Vernier Networks System 제품 일람 Control Server(CS) 모든 규모의 WLAN에 대한 보안 설정과 관리를 중앙 집중 식으로 제공 Access Manager(AM) Giga bit 업링크 옵션이 있는 지능형 스위치로서, 12개 까지의 Ethernet 포트를 지원할 수 있고 사용자 인증, 접근 권한, 데이터 암호화를 사용자 접속, 로밍 시에 적용 Integrated System(IS) CS와 AM의 기능을 하나로 통합한 비용 효과적인 장치로서, 제한된 WLAN 확장이 계획되어 있는 부서 또는 소규모 네트워크에 적합.

기본 구성 : 무선 게이트웨이 IS 6500: 무선랜과 유선랜사이에 존재 인증 및 트래픽 관리를 수행 Directory DB Web Server Business Appliance 인증 서버 인터넷 IS 6500: 무선랜과 유선랜사이에 존재 인증 및 트래픽 관리를 수행 Open for presentation specific discussions. For short talk this merely puts some details behind what we do: we build two boxes, one that sits at the edge of the network and enforces the policy and provides RF (airwave) security, the other that sits in the central network and coordinates the authentication services, the rights management, and the mobility (roaming) services. Guest 비인가사용자 직원

기본 구성 : 분산 솔루션 Control Server Access Manager Control Server 기업 네트워크 인증 서버 인터넷 Control Server Access Manager Access Manager Control Server 중앙에 위치 관리 인증 로밍 권한 설정 Access Manager 특수 목적의 에지 스위치 정책이 적용되는 곳에 위치 4- 12 이더넷 포트 확장성 Open for presentation specific discussions. For short talk this merely puts some details behind what we do: we build two boxes, one that sits at the edge of the network and enforces the policy and provides RF (airwave) security, the other that sits in the central network and coordinates the authentication services, the rights management, and the mobility (roaming) services.

통합적 기업 솔루션 권한 관리 User + Group 인증 향상된 RF 보안 이동성(휴대성) 접근 제어 사용자, 그룹, 위치, 시간 Guest 접근 IGMP v3 멀티캐스트 정교한 권한 제어 기업 네트워크 인증 서버 인터넷 User + Group 인증 RADIUS NT Domain (single sign-on) LDAP 802.1x Kerberos Active Directory 자체 database 네트워크 보호와 관리 향상된 RF 보안 PPTP L2TP/IPsec IPSec DES, 3DES, AES WEP/802.1x 데이터 보호 Open for presentation specific discussions. For short talk this merely puts some details behind what we do: we build two boxes, one that sits at the edge of the network and enforces the policy and provides RF (airwave) security, the other that sits in the central network and coordinates the authentication services, the rights management, and the mobility (roaming) services. 이동성(휴대성) Layer 3 로밍 디바이스 독립적 설정 불일치 사용자 관리 위치 인지 서비스 미래 보장

주요장점 – 분산 아키텍처 Vernier의 분산 아키텍처는 경쟁 우위적 장점 중앙 집중식 제어 확장성 AM이 설치되어 암호화 성능은 증가 전개 용이성 고객은 서브넷으로 구성된 기존 아키텍처를 변경할 필요 없음 새로운 VLAN설정 및 관리가 필요없음

주요장점 - 권한설정 완벽하게 권한 설정 관리 가능 인가된 사용자와 Guest사용자에 대한 개인 및 그룹권한 설정 Control Server 와 Integrated System에 탑재 Web 사용자 인터페이스 및 CLI제공

주요 장점 – 신속한 네트워크 구성 엔터프라이즈 급 802.11 기간 망 운영 가능 즉시 전개 아키텍처 이동성과 역할 기반 보안을 포함하는 AP간 서비스 제공 역할 기반의 보안 즉시 전개 아키텍처 확장성 있는 802.11 네트워크의 전개 가속화 기존의 어플리케이션 / 관리 인프라와 투명하게 통합 안전한 무선 네트워크의 전개와 관리를 위한 TCO를 현격히 절감 접근 제어, 이동성을 포함하여 AP 서비스의 중앙 집중식 관리

주요 장점 – 보안 및 로밍 특허 기술 802.11의 Layer 2 시스템 대비 Layer 3로 접근 정교한 “사용자별” 보안과 관리 802.11 장비 벤더 선택의 자유 클라이언트 디바이스가 아닌 네트워크에서의 지능화 WEP 문제에 대한 포괄적 보안 솔루션 복수의 인증 메커니즘, 사용자 기반 인증, 사용자/그룹 권한 적용, 위치 권한 인지 IPSec(3DES, AES), PPTP, L2TP/IPSec 이동성을 위한 설계 보안도 사용자와 함께 끊김 없이 로밍됨 단순한 보안 솔루션을 넘어 회사의 규모 확장까지 고려한 확장된 이동 서비스를 위한 인프라 플랫폼

로밍 작동 Client가 세션을 연다. Client가 새로운 AM으로 이동. AM은 CS에 사용자 존재와 권한을 검증함. 어플리케이션 서버 파일 서버 인증 서버 인터넷 AM은 CS에 사용자 존재와 권한을 검증함. Control Server CS는 AM-to-AM 통신을 조정함. Access Manager 기존 세션들은 터널을 통해 유지됨. 새로운 세션들은 새로운 AM을 통해 접속됨.

Award Winning Products 2 0 0 2 “… beat out its competitors by delivering a highly appealing feature set together with excellent configuration and management capabilities” – Network Computing June 2002 Address points on slide The Vernier Networks System™

Appendix 1 6500 Platform 소개

V3.0 New Software Highlights 강화된 고객 지원 잘못 설정된 단말기도 무선랜 접근이 가능하도록 Login Page 제공 802.1q VLAN 지원 Multicast 지원 Roaming중에도 무선랜 사용자가 Multicast 응용 프로그램 접근가능 Education Edition(Option) 무선랜 인증 및 권한제어를 위해 기존의 학생 DB를 활용가능 교수가 현장에서 현장에서 권한 변환 가능 WISP Edition(Option) 무선랜 서비스를 제공하는 Wireless ISP에게 고객 관리를 위해 인증 및 RADIUS Account에 I/F 제공

Vernier Networks Software 특징 요약 이점 기술 무선 통신 구간 보안 Client와 AM간 사용자 트래픽을 암호화하기 위해 보안 터널을 사용하므로, 알려진 WEP의 데이터 기밀성에 대한 취약성 극복 IPSec (DES, 3DES, Blowfish, CAST, AES), IPSec / L2TP, PPTP, SSH VLAN 지원 무선 트래픽을 별도의 VLAN에서 처리하도록 지원 Vernier 고유 특성: 사용자, 그룹, 위치에 따른 802.1q 태깅 기존 인터넷 설정 수용 신규 사용자, 설정을 변경한 사용자(예, 가정 사용), 게스트도 지원 요청없이 로그온 화면까지 유도 Vernier 고유 특성 잘못 설정된 프록시 (eg WINS, DNS) 방향 전환 네트워크 접근 제어 콘솔 별도의 웹 인터페이스로 권한 정책을 즉시 변경할 수 있음. 그룹 리더 (eg 교수)가 수업 권한을 즉시 변경할 수 있게 함. (eg 시험 시간 동안) 중앙 집중식 정교한 네트워크 접근 제어와 관리 맞춤 식 네트워크 서비스 하나의 콘솔에서 관리됨으로써 복잡성과 운영 비용을 절감 지능형 패킷 검사 (특허)로 사용자, 시간, 위치, 그룹별 권한 적용 서비넷 간의 로밍 서브넷 간 연속적인 접속 서비스 로밍 중 서비스 분실(재인증) 없음. Layer 3 구현 AM간의 동적 터널링 향상된 하드웨어 다양한 네트워크 인터페이스 암호화 성능 개선 H/W 암호화 가속기 옵션 기가 비트 이더넷 인터페이스 옵션

VLAN 지원 Tag Frames based upon Vernier Group This is the ability to tag a frame coming from the downlink of the Access Manager with a specific VID mapped from the group rights of an authenticated user. The benefits of this feature are for example: Identifying Guest users and then directing their traffic onto a specific VLAN Identifying a group of normal users and then directing their traffic onto the appropriate organizational VLAN segment, e.g. Marketing, Engineering, etc. Tag Frames based upon Vernier Location This is the ability to identify a Vernier Location, which represents one or more physical downlink ports, to be on the same VLAN. This feature is similar to a popular port-based VLAN. Apply rights to a previously tagged frame This is the ability to apply a specific set of rights to a frame that has already been tagged. The Vernier Networks System will automatically recognize both normal Ethernet frames and 802.1Q tagged frame. Roam while maintaining the same VID This is the ability to maintain the subscription to the same VLAN segment even when the client roams to a new location that has been assigned with a different VID based on Vernier Location.

Multicast (IGMP v3.0) 지원 Multicast Application Server Non-Multicast User

X Proxy Redirection Internet Internet Proxy Server Guest User with incorrect PROXY.PAC file specified Employee Contractor with no Internet Proxy Settings Visiting Employee with incorrect fixed IP and misconfigured Proxy settings

Programmable Access Control Backend Group Database Server Dynamically Override Default Rights XML-RPC For Example: Deny Internet Access for 15 minutes at this location for unscheduled upgrade of firewall Contractors Monday Wednesday 10.00am – 11.00am 3.00pm – 4.00pm User 1 User 8 User 12 User 14 User 19 Contractors Monday 10.00am – 11.00am User 1 User 12 User 14 ---

CS 6500 Control Server 무선랜의 중앙 집중식 접근 및 권한제어로 TCO 절감 도메인내 수천의 무선랜 사용자를 중앙에서 관리 가능 모바일 IP대비 45%의 대역폭 절감 가능한 로밍 기능 지원 2U 장비 10/100/1000 Base-T Uplink 내장 Fiber Gigabit Ethernet Uplink(SX or LX) 옵션제공

AM 6500 Access Manager 무선네트워크 끝단인 Access Point 관리 및 보안정책 강제적용 가능 특허인 초고속 Layer 3 패킷 검사 엔진 인가된 사용자, Guest, 그룹에 대한 권한 강제 적용 IPSec, PPTP, L2TP/IPSec을 사용한 무선구간 보안 Layer 3 로밍 지원 확장성 12개의 10/100 Ethernet Port 지원 Gigabit Ethernet (LX, SX) Uplink/Downlink 지원(옵션) 암호전용 가속기 지원(옵션) 300Mbps이상의 Throughput 제공 2U의 10/100/1000 Base-T Uplink 내장

IS 6500 Integrated System 소규모 네트워크나 부서단위의 무선 보안 및 권한 관리기능 제공 단일 장비에 Control Server와 Access Manager기능을 제공 사용자 인증 및 여러 장소간의 Layer 3 로밍 지원 확장성 12개의 10/100 Ethernet Port 지원 Gigabit Ethernet (LX, SX) Uplink/Downlink 지원(옵션) 암호전용 가속기 지원(옵션) 300Mbps이상의 Throughput 제공 2U의 10/100/1000 Base-T Uplink 내장

하드웨어 옵션 Gigabit Ethernet Uplinks Hardware encryption card 고속의 기가비트 백본을 가진 네트워크에 통합될 수 있도록 제공 Short-haul fiber (SX) 1 port (LC) (LC – SC Media Converter Included) Long-haul fiber (LX) 1 port (SC) Copper (Cu) 1-port (RJ-45) 10/100/1000Mbps 각 카드는 슬롯 한 개를 차지함 6000 Series Platform과 호환됨 Hardware encryption card DES, 3DES 암호화 성능을 가속시킴 슬롯 한 개를 차지함 6500 Series Platform만 지원

Appendix 2 Frequent Asked Questions

제품 일반 FAQ CS가 지원할 수 있는 AM 수 AM이 지원하는 사용자 수 100개 이상 지원하나 logon/logoff와 로밍 양에 따라 다름. AM이 지원하는 사용자 수 90Mbps 이상의 트래픽 처리 사용자 수는 각 사용자가 소모하는 트래픽 양에 따라 다름. 5,000 사용자까지 지원 (AM6000: 동시 사용자 100 ~ 120이 적절)

무선 보안과 관리 FAQ(1) 무선 통신 구간 보안(Airwave security)을 지원하는 클라이언트 디바이스는? 표준 기반의 IPsec 클라이언트를 지원하는 모든 클라이언트(Windows 2000/NT, Linux, MacOS 용) Windows 95/98/NT/2000/XP의 PPTP Windows 98SE/ME/2000/XP의 L2TP/IPsec Airwave security를 사용하기 위해 클라이언트에 S/W가 요구되는가? IPsec를 위한 표준 기반의 IPsec 클라이언트가 필요. PPTP와 L2TP/IPsec 사용시에는 이미 Windows OS에서 제공됨. Airwave security를 사용하면 두 번 로그인? IPsec 접속인 경우에는 한 번 PPTP, L2TP인 경우에는 인증 서버에 따라 다름. Airwave security를 사용하면서 L3 로밍이 되는가? 예. Airwave security를 강제적으로 사용하게 할 수 있는 가? 예. AM 단위로 Airwave security mechanism (IPsec, PPTP, L2TP/IPsec) 설정 가능 802.11 표준의 진화가 Vernier 솔루션에 미치는 영향은? Vernier 솔루션은 Link layer 기술 (802.11b, 802.11a, 802.3 등)에 상관없으므로, 모든 802.11 표준 지원

무선 보안과 관리 FAQ(2) CS와 AM간의 통신은 안전한가? 예. 접속은 Challenge/Response MD5 인증을 사용하는 128 비트 암호화. 프로토콜은 Blowfish 암호화 알고리즘에 기반함. 현재 무선에 필요한 보안을 위해 VPN과 라우터의 ACL을 사용하는 데, Vernier 솔루션이 왜 필요한가? 사용자, 그룹, 위치의 조합에 의한 정교한 제어 기능과 로밍 기능은 VPN과 ACL 구현으로 가능하지 않음. IS의 Rights Manager를 사용하여 추가되는 AM을 제어할 수 있는가? - 예 현재 CISCO AP를 가지고 있고, 무선 네트워크를 보호하기 위해 LEAP과 ACS를 구현했는 데, Vernier 솔루션을 사용할 수 있는가? 예. Vernier 솔루션은 이들 제품에 보완적임. LEAP과 ACS는 인증과 per-session WEP 키만을 제공 Vernier 솔루션은 정교한 접근 제어, 로밍, IPsec과 같은 강력한 암호화로 airwave를 안전하게 해 줌. 802.1x와는 어떻게 연동하는가? Vernier 솔루션은 추가 인증 절차가 없이, 일반적인 네트워크 인증을 위해 고객이 802.1x를 사용할 수 있게 함.

이동 사용자 성능 FAQ 지역내 또는 지역간 사용자 이동을 어떻게 지원하는가? 로밍은 AM간의 IP 터널을 통해 달성됨. CS는 사용자가 다른 위치(즉, 디른 AM)로 로밍했음을 인식하여 AM들에게 세션 터널을 형성하게 함. 시스템이 NAT를 사용하도록 설정되었으면, 기존 세션들은 터널되어 있고, 새로운 세션이 두 번째 AM에서 시작된다. 시스템 “real IP” 모드로 설정되었으면, 클라이언트 IP를 유지하고 모든 세션을 원래 AM으로 터널을 생성함. 802.1x가 보안 이슈를 해결하는 것으로 들었는데, Vernier 솔루션이 왜 필요한가? 802.1x는 우선적으로 WEP에 내재된 암호화 결함을 해결하는 것이 목적 암호화 개선은 무선 LAN의 보안을 향상시키지만, 사용자 기반 서비스는 허용하지 않음. (all or nothing access) 모든 보안 문제를 해결하기 위해 802.1x와 VPN을 사용할 수 있다. Vernier 솔루션이 제공하는 추가적 가치는 무엇인가? VPN: IPsec에 의한 트래픽 암호화 802.1x: 사용자 인증에 의한 접근 차단으로 all or nothing 제어 방문객, 고객, 계약자들에게 제한적으로 접근할 수 있는 방법 없음. 사용자 레벨(Layer 3)에서 네트워크 상의 모든 서비스와 디바이스에 대한 접근을 제어하는 것이 부가가치임. 네트워크상의 새로운 사용자나 디바이스는 스스로 인증되어야 하고 특정한 사용자 권한이 부여됨. Rogue AP로 인한 보안 구멍이 발생하지 않음. 이에 접근하는 모든 사용자가 인증을 받아야 네트워크에 접근할 수 있으므로.

Appendix 3 Vernier System과 802.1x

802.1x와 Vernier Networks System 802.11 WLAN의 보안을 개선하기 위해 인증 프레임웍을 제공하는 포트 기준 네트워크 접근 제어에 대한 표준 구성 3 요소 Supplicant: user’s client software (NIC NDIS5.1) Authenticator: Access Point Authentication server: RADIUS server 인증 과정의 메시지 교환: EAP over LAN (EAPOL) EAP 메시지는 unprotected이므로, 암호화 방식에 따라, 여러 버전의 EAP가 존재 EAP-MD5, LEAP, EAP-TLS, EAP-TTLS, PEAP

Vernier Networks System의 802.1x 지원 Rights Manager에서 802.1x Logon 지원 여부 설정 AP와 인증 서버간에 교환되는 메시지는 AM을 거치므로, 802.1x 지원이 설정되지 않은 경우(디폴트), 인가되지 않은 사용자의 트래픽은 통과되지 않음. AP가 인증 서버에 접근할 수 있도록 허용된 경우(802.1x 지원 설정), 802.1x 서버의 승인 여부에 따라 네트워크 자원 접근 허용 802.1x 인증에 대한 보완으로, 클라이언트에 네트워크 접근 제어 정책을 적용할 수 있음.

802.1x 적용 시 장단점 장점 단점 인증에 대해서는 원스톱 쇼핑 사용자 레벨 인증, 사용자 기준 세션 키 발행 시판되고 있는 대부분의 802.11b AP와 NIC이 802.1x를 지원하지 않음. 관리자는 802.1x를 하나씩 구현할 수 없고, 전체적인 시스템 업그레이드 요구 AP와 NIC이 모두 802.1x를 지원해야 하고, 802.1x를 지원하는 인증 서버가 필요 클라이언트 OS의 지원 제한: 적용 비용 증가, 클라이언트 라이센스 비용 추가 보안 문제는 아직 존재 Static WEP -> dynamic WEP: 아직 WEP 기반(RC4) LEAP: Dictionary attack 가능

Vernier Networks System의 장점 입증된 VPN 암호화 기술 사용 IPsec, PPTP, L2TP PPTP와 L2TP/IPsec은 Windows OS에서 지원하므로 추가 S/W 설치없이 AM과 VPN 접속 세션이 살아 있는 동안, 모든 네트워크 트래픽에 대한 정교한 제어가 가능 802.1x는 all or nothing 모든 AP와 client 지원 802.1x 지원 여부와 상관 없음. MS Windows, Palm OS, Apple Mac, UNIX, Linux, Free BSD AP가 아닌 인프라에 보안 장착 업그레이드 보장: 802.11a, 802.11g,…

Appendix 3 주요기능과 이점

Protect 주요 기능과 이점(1) 패킷 검사 엔진(특허) 권한 기반의 네트워크 액세스 무선 통신 구간(Airwave) 보안 패킷 레벨 속성에 따라 고속으로 패킷을 검사하고 필터링하여 네트워크 보안과 관리적 통제 증가 권한 기반의 네트워크 액세스 사용자가 인증될 때 까지 사용자로 부터의 모든 트래픽을 봉쇄하고, 사용자의 권한으로 지정된 트래픽만을 허용 무선 통신 구간(Airwave) 보안 IPSec, PPTP, L2TP/IPSec 터널을 사용하여, 클라이언트와 AM간의 사용자 트래픽을 AES, DES, 3DES, Blowfish, CAST로 암호화 시키므로,잘 알려진 WEP와 802.11의 데이터 기밀성에 대한 취약점을 제거 User/Group/Time/Location 접근 제어 시간, 날짜, 위치의 임의 조합에 따라 사용자의 네트워크 접근 정책을 수립할 수 있어, 네트워크 보안을 향상 MAC 주소 spoofing 차단 신임되지 않은 사용자가 신임된 사용자의 MAC 주소를 spoofing하여 네트워크에 접근하지 못하도록 추가적인 방지책을 제공 Broadcast packet의 도청 방지 Windows NT 서버와 네트워크 서비스가 broadcast하는 정보를 필터링하여 무선 디바이스에 수신되지 않게 함 Protect

Manage 주요 기능과 이점(2) 정교한 네트워크 접근 제어 시간, 날짜, 위치에 따라 호스트와 어플리케이션에 대한 접근 통제 LDAP, 802.1x, RADIUS, Kerberos, Windows XP/2000/NT-domain, 자체 DB에 대한 인증 지원 네트워크에 대한 접근을 제어하기 위해 널리 사용되는 인증 시스템을 지원하므로, 기존 네트워크로의 통합이 용이하고, 운영비를 낮춤 중앙 관리 중대규모의 무선 네트워크를 관리하기 위한 운영 비와 복잡성을 경감 Guest와 인가된 사용자의 동시 사용 신임된 사용자와 게스트가 다른 네트워크 권한으로 동시에 네트워크에 접근을 허용 Rights Manager용 직관적 GUI 네트워크에 어떤 트래픽이 허용되고 개별 사용자가 어떤 네트워크 자원에 접근할 수 있도록 부여되었는지, 네트워크 관리자가 정확히 제어하기가 용이함 완전한 세션 로깅 사용자별, 서비스별, 시간별, 위치별로 로깅과 트랙킹을 지원 웹 브라우저 기반 관리 안전하고 직관적인 네트워크 및 사용자 설정을 제공 기타 네트워크 관리 기능 AM 포트당 사용자 수 제한 사용자당 동시 로그인 수 제한 SNMP 지원 Manage

Enhance 주요 기능과 이점(3) Coverage Zone간의 로밍 Windows Native Client 사용 접근 권한으로 허가된 모든 위치에서 사용자 로밍 제공. 이 기술은 Mobile-IP 구현보다 로밍하는 동안의 네트워크 트래픽을 45% 까지 줄임 Windows Native Client 사용 네트워크 설정을 변경하거나, 특별한 클라이언트 소프트웨어를 설치할 필요가 없으므로 시간과 비용을 절약 802.11, Bluetooth, 802.3을 포함하는 유무선 네트워킹 표준과 호환 기존 네트워크와의 쉬운 통합 Coverage zone 확장 시 비용 효과적 증설 경로 제공 하나의 AM6000에서 12개 까지의 Ethernet 포트 지원. 이 포트들은 직접 AP 또는 허브/스위치에 연결될 수 있음 Faster network performance 802.11a bandwidth ready 고속 백본 연결성 기가비트 백본에 연결할 수 있도록 제공 Enhance

Appendix 4 Demonstration

Demo 시스템 구성 24 port switch 203.xxx.yyy.0 외부 인터넷 192.168.0.0 ②Routing G/W DNS DHCP FTP/File Server RADIUS 802.1x Syslog Server 192.168.1.254 203.xxx.yyy.zzz 203.xxx.yyy.0 외부 인터넷 192.168.0.0 100Mbps Ethernet 24 port switch IS6000 Rights Manager 192.168.1.193 AM6000 192.168.2.193 10/100 Downlink 10/100 Downlink ⑤Samsung SWL3300AP 64bit WEP key 192.168.1.2 CHANNEL 6 ⑥Samsung SWL3300AP 64-bit WEP key 192.168.2.2 CHANNEL 11 HQF11 CR101 HQF12 CR102 ①Windows 2K AiroNet 350 ③AiroPeek Windows XP Aironet 350 ④iPAQ 8350 Pocket PC 2002 Cisco 350 PCM

IS6000/AM6000 설정 Network Configuration IS6000 Locations Enterprise HQFloor11(⑤ AP) Where: IS slot3/port1 Time: Always University CR101(⑤ AP) AM6000 Locations Enterprise HQFloor12(⑥ AP) Where: AM slot3/port1 Time: Always University CR102(⑥ AP)

AP Settings ⑤번 AP ⑥ 번 AP Location: HQF11/CS101 IS6000 Slot 3/port 1 Channel: 6 ESSID: 102 IP: 192.168.1.2 WEP Enabled 64 bit Key1: 0123456789 ⑥ 번 AP Location: HQF12/CS102 AM6000 Slot3/port 1 Channel: 11 ESSID: 102 IP: 192.168.2.2 WEP Enabled 64 bit Key1: 0123456789

Group/User/Location 설정 std1 std2 std3 std4 std5 std6 std7 std8 std9 std10 CR101 CR102 대 학 Engineering Math 교필/0910 O IT BAsic Lab. 교필/1315 Data Structure 전필/1012 Computer Network 전택/1618 Communication Theory 전택/teacher1/1618 emp1 emp2 emp3 emp4 emp5 emp6 emp7 emp8 emp9 emp10 HQF11 HQF12 기 업 Executives (Always) Interns (0918) Consultants (0912) Sales (Always) Operation (Always) IT Admin (Always)

Location별 Group 허용 내역 Location Group CR101 CR102 Everywhere Else HQF11 Comm. Theory O Computer Network Data Structure Engineering Math IT Basic Lab Consultants Executives Interns IT Admin Operation Sales Guest Logon User Access Points

데모 내용 무선 네트워크 보안 Subnet Roaming Location별 로그 온 페이지 설정 사용자 인증과 권한 무선 통신 구간 보안의 중요성 Windows OS에서의 암호화 인증(Native L2TP/IPSec) Rogue AP 방지 Anti MAC Spoofing 설정 Subnet Roaming Location별 로그 온 페이지 설정 Instructor Console Radius Accounting

무선 네트워크 보안 권한(Authorization) 인증(Authentication) 암호화(Encryption)