기업 시스템/네트웍 보안 종합 설계 방안.

Slides:



Advertisements
Similar presentations
NetCross Check Point UTM-1, POWER-1 UTM-1,POWER-1 의 보안, 성능 및 유연성.
Advertisements

Smart Phone Game 쇼군 적용 사례 ㈜블루솜 Global Top Cloud Service Provider Bluesom Co.,Ltd.
6 장. 네트워크 개론 네트워크 장비, 프로토콜, 통신망. 개요 네트워크란 ? 네트워크의 종류 데이터전송방식 네트워크 장비 프로토콜의 종류 IP 주소체계 네트워크 토폴로지 통신망 네트워크진단 명령어.
IoT 환경에서의 네트워크 보안. 2 I.IoT(Internet of Things) 란 ? II.IoT 에서의 접근제어 III. 해결 과제 Agenda.
학내전산망유지보수제안서 태영정보기술㈜ EDU-Service가 포함된 교육의 미래를 생각하는 기업
차세대네트워크보안기술 영산대학교 네트워크정보공학부 이원열.
접수번호 : 글로벌 운영기반 지원사업 사업계획서 - 프로젝트명 (플랫폼서비스) 명: 업 체 명 :
네트워크 관련 용어 전나윤.
Building Enterprise VPNs
SFP Bi-Di Transceiver FIBER OPTIC L2 SWICTH PRODUCT SPECIFICATION
PC와 인터넷 정강수 컴퓨터 구조와 웹의 이해 PC와 인터넷 정강수
Chapter 03. 네트워크 보안 : 길을 지배하려는 자에 대한 저항
SFP Bi-Di Transceiver FIBER OPTIC MANAGED SWICTH FCC
Nortelnetworks VPN & Firewall Contivity 1100.
금융 보안 정보통신대학원 양승화 양승화( ).
Chapter 8 Authorization
VPN 트래픽 분배(Traffic distribution) 대역폭 제어(QOS/Bandwidth Limiting)
한드림넷 솔루션 소개.
Data Communications 제4장 데이터통신의 기본 개념.
엑스게이트 제품 소개 빈틈없는 고성능 네트워크 보안 UTM / FW / VPN
암호화 기술(SSL, IPSec) 손재성 권기읍 안복선 최준혁
보안 시스템 정보 보안 개론 10장.
제목 CHAPTER 09. 정보 보안 선택이 아닌 필수_정보 보안 기술과 정보 윤리.
IPsec 석진선.
인터넷 방송시스템 제안서.
UDP 1434 공격에 대한 방어 요령 Cisco Systems Korea 최 우 형 Network 보안과 대책
PC1 E0 R1 로컬 Host 파일 브로드 캐스트 LMHOSTS 조회 Host 파일 조회 DNS Server 조회
Switching 기술 II(L4, L5, L7).
IPCC Full Solutions Billit All IP Contact Center llllBillit -IP_PBX
Network Security - Wired Sniffing 실습
Dept. of Computer Engineering, Hannam Univ. Won Goo Lee
Dynamic Host Configuration Protocol
RIP 2 IBGP가 다수일 경우 IGP(rip, OSPF,….)가 가까운 곳(목적지까지 비용이 적은 곳)이 최적경로로 선정
Samsung Securities SECURITIES.
회사 소개서.
1장. 패킷트레이서 2012년 2학기 중부대학교 정보보호학과 이병천 교수.
V44408(다산네트웍스) 개량개선 내역(1.05) KT 네트워크기술지원본부 유선액세스망기술담당 1
ARP TARM PROJECT 1조 신영민.
목 차 1. 기 업 현 황 회 사 개 요 2. Finger Police System 개요
Chapter 8 목차 8.1 네트워크 보안이란 무엇인가? 8.2 암호학의 원리 8.3 메시지 무결성 8.4 종단점 인증
General VoIP 발표자: 황인욱.
Data 보관 / 전송을 위한 HYDRA 솔루션 EGT Line.
NAC Test 시나리오 내부단말 통제 보안 BMT 시나리오
1장. 패킷트레이서 2012년 2학기 중부대학교 정보보호학과 이병천 교수.
네트워크 Level의 기술적 보호조치 엘림넷 정보기술사업팀 장웅.
네트워크 기말고사 실습 과제 서승희 이도경.
16 장 LAN 연결, 백본망과 가상 LAN 16.1 연결장비 16.2 백본 네트워크 16.3 가상랜 16.4 요약.
Unified Communications Cisco Korea
For Security, For Stability, For Reliability
IPSec (Internet Protocol Security protocol)
침입탐지시스템과 정보보안 안
01. VPN의 개요 VPN(가상 사설 망)은 개인 네트워크를 확장한 네트워크로 인터넷 같은 공용 네트워크를 통한 연결을 지원
Access Control Lists Access Control List
Network Layer: ARP, ICMP (IGMP).
Chapter 13 사용자 네트워크 보안.
구 성 도 DB Server NAS Server_1 NAS Server_2 VLAN 2
Internet QoS Technique
9장 데이터링크층 소개 (Introduction To Data-Link Layer)
네트워크 팀.
FireWall / VPN Solution
GameWall 제안서 (게임방전용 침입차단시스템).
Data Communications 제2장 데이터통신의 기본 개념.
네트워크 속에서의 정보보안 전 상 대.
공공기관에서의 UTM과 혼합공격 차단기법 May.2004 Fortinet Korea Inc.
14 방화벽.
시스코 네트워킹 (CCNA) 1주차.
정보 INFRA 구축 RF카드를 이용한 고객관리시스템 구축 에클라트소프트.
최종 사용자 관점의 웹 서비스 성능 관리 SmartSQM Agentless 실시간 전구간 성능 모니터링
7/25/2019 경계선 방어 기술 공급원 May
CCNA 3 CHAPTER .1 LAN DESIGN 박명진, 문창호, 최성호.
Presentation transcript:

기업 시스템/네트웍 보안 종합 설계 방안

보안 설계시 고려 요소들 사용자 보안 통합 보안 관리 네트워크 장비 기반의 인프라 보안 사용자 보안 기술 구현을 통한 보안사고의 근본적 예방 구현 통합보안관리 통합 지능형 위협 방어 네트워크 인프라 보안 통합 보안 관리 통합 보안 관리 도구를 통한 통합 관제 서비스 구현 확장성 높은 지능형 위협에 대한 방어 시스템 네트워크 장비 기반의 인프라 보안 하드웨어 기반의 강력한 보안 기능 안전한 인프라 구축

핵심 적용 보안 기술 기업 보안을 위한 설계 요소들 보안 기술과 보안 설계 사상 사용자 보안 NAC 기술 네트워크 인프라 보안 통합보안관리 통합 지능형 위협방어 OS, 백신 패치에 대한 자동 업데이트 알려지지 않은 공격으로 부터 방어 트래픽 과다 발생시 자동 방어 불량 스위치,허브 문제에 대한 예방 IP 변조에 대한 방어 기능 수행 ACL에 대한 효과적인 관리 웜 발생시 네트워크 장비 보호 내부망의 트래픽에 대한 우선순위 전용회선의 비용절감 및 보안적용 강력한 성능, 가용성 기반의 방화벽 L7 기반의 심도깊은 보안 기능 통합 보안 관리 및 적용 지능형 보안 분석 및 관리 모든 트래픽의 효과적인 분석, 리포트 NAC 기술 IOS Security Feature Port Security, Storm Control BPDU / Root Guard uRPF, PACL, VACL, RACL QoS : CBWFQ, PQ 서비스 모듈 지원 통합관제 모니터링 시스템 핵심 적용 보안 기술 보안 기술과 보안 설계 사상 NAC(Network Access Control): 시스코, MS 등에서 유저자체에 보안적 취약점이 있을 경우, 통신망을 제한하는 차원에서 자체적으로 프로그램을 개발하여 사용자의 접속장치에 설치하고, 이 프로그램들이 보안패치 버전이나 백신의 최신 업데이트에 대한 여부를 검사. Storm control : 과다 Traffic이 흐를 경우, Traffic 량을 설정된 값 만큼 낮추거나 포트 차단 할 경우 사용 BPDU(Bridge Protocol Data Unit) : STP(스패닝트리정보)를 브리지끼리 주고 받기 위해서 사용하는 특수한 프레임. 처음 STP가 등장하면 모든 스위치는 루트스위치로 동작, 이후 BPDU 프레임을 이용하여 루트 스위치 선정하게 됨. Root Guard : 특정포트에 접속된 네트워크에 있는 스위치들은 루트 스위치가 될 수 없도록 하는 기능, 해당 포트 BPDU 패킷으로 루트스위치 주장시 해당포트 다운. uRPF(unicast Reverse-Path Forwarding) : 라우팅 정보를 참조하여 패킷의 Inbound I/F와 Outbound I/F가 동일한가 검사 후 부합되지 않으면 드롭시킴. IP를 속여서 공격하는, IP spoofing으로 발생하는 syn flooding attack, smurf attack 등을 막는 기능. ACL(Access Control List) : 라우터를 경유하는 모든 패킷에 대한 제어를 적용한다. RACL(Router ACL) : 라우터에서 다른 서브넷간 트래픽 제어, 라우터에 인터페이스에 적용 VACL(VLAN ACL) : 스위치에 구현, 같은 VLAN내에 호스트간 IP Packet Filter를 가능케 함, VLAN MAP 이용하여 VLAN 적용. CBWFQ(Class Based Weighted Fair Queuing) : marking 된 패킷별 가중치를 두어 트래픽 스케쥴링하는 방법, Traffic Policing에 쓰이는 방법. CAR(Committed Access Rate) : 일정 한계치를 두어 넘으면 트래픽을 잘라 버리는 설정. PQ(Priority Queuing)

보안구축을 위한 청사진 사용자 영역 Access S/W 센터 B/B 센터 B/B Router 사용자 보안 기술 통합 지능형 위협 방어 기술 CSM NAC MARS 네트워크 인프라 보호 기술 통합 보안 관리 기술 Server B/B Server CSM(Concurrent Service Monitor) : 병행 서비스 모니터. MARS(Multicase Address Resolution Server) : 사용자 영역 Access 센터 백본 센터코어백본 서버 백본 서버팜 라우터 보안 기술 사용자 보안 인프라보호기술 인프라보호기술 통합보안 관리 통합보안 기술 통합지능형보안 사용자 보안 통합보안관리 인프라보호기술 통합지능형보안 보안 Level 4 3 5

사용자 보안 사용자 보안 상태에 대한 점검 및 교정 치료 서비스 설계 구현 실시간 사용자 보안 상태 점검 서비스 설계 사용자 인증 OS 패치 점검 백신패치,구성점검 보안 규칙 위반 유무 사용자 보안을 위한 NAC 설계 EAP RADIUS Check 정책배포 HCAP OOB 사용자 보안 상태 점검 Access SW 사용자 보안 상태에 대한 점검 및 교정 치료 서비스 설계 구현 사용자의 OS 패치 상태 및 백신 패치 상태를 연동 서버와 점검 연동서버에서 사용자 보안 상태에 대한 결과 통보 통보된 결과를 토대로 NAC Server에서 자동 격리 또는 URL Redirection 기술을 통한 치료 실시간 사용자 보안 상태 점검 서비스 설계 사용자 보안 상태 구성 변경 시, AV Server 에서 OOB 기술을 통한 구성 복귀 서비스 제공 NAC & AV Server Server B/B AV Server(Anti Virus Server) RADIUS(Remote Authentication Dial-In User Services) EAP(Extensible Authentication Protocol) OOB(Out Of Browser)

네트워크 인프라 보호기술 영역별 효과적인 IOS 통합 보안 기술 구현 네트워크 장비 기반 인프라보호 네트워크 인프라 보호 기술 Internet Router 센터 Core B/B 센터 B/B Access Switch 영역별 효과적인 IOS 통합 보안 기술 구현 Access Switch – Port Security , Storm Control, VLAN ACL 센터 Backbone – uRPF , Router ACL, DHCP Trust, ARP Inspection, IP Source Guard Core Backbone –uRPF, Router ACL, QoS Internet Router –Router ACL, QoS 공통 적용 기술 – QoS, ACL L2 공격/방어기술 트래픽 폭주 방어 기술 Vlan ACL 적용 IP 변조 방어 기술 DHCP 공격 방어 기술 Router ACL 적용 CPU 보호 기술 적용 CPU 보호 기술 QoS 기술 적용 Smart Port 적용

통합지능형 위협방어 적응형 위협 보안 기술을 통한 심도 깊은 방어 구성 통합 지능형 위협 방어 내,외부.DMZ 데이터 보호를 위한 방화벽 심도 깊은 보안을 위한 IPS 서비스 인터넷,서버팜,DMZ로 향하는 모든 트래픽 상세 분석 및 Reporting 내부 서버 자원 보호를 위한 방화벽 서비스 - 효율적인 통합 보안 관리와 유연한 Design 구현을 위해 Security Service 모듈 구성 !!! - Internet Router Core Backbone Server Backbone 적응형 위협 보안 기술을 통한 심도 깊은 방어 구성 VPN Service Module 구성 2.5 Gbps 고성능 VPN Service 이중화 구성 통한 원격 무정지 IPSec Tunnel 유지 Firewall Service Module 구성 5.5 Gbps 의 고성능 방화벽 서비스 이중화 구성을 통한 인터넷,서버팜 보안 강화 IDSM Service Module 구성 – 500 Mbps의 심도깊은 IPS 서비스 이중화 구성을 통한 인터넷, 서버팜 1Gbps IPS 구현 IDS(Instrusion Detection System) IPS(Instrusion Prevention System)

통합보안 관리 통합 보안 관리 구성 통합 보안 관리 통합보안관리 Internet Router Core B/B 센터/서버 B/B Access Switch 통합 보안 관리 구성 통합 보안 관리 구성을 통한 Management Overhead 감소 효과 모든 보안 장비 및 ACL의 통합 관리 및 배포 가능 통합관제 서비스 툴을 활용한 보안 사고 분석 및 사고 발생시 자동 추적 및 해당 사용자 억제 기능 네트워크 분석 툴을 통한 트래픽 유형별 분석 및 다양한 리포팅 기능 제공 통합 보안 구성 가능 – 모든 ACL 관리 및 보안 장비 통합 관리 구성 설계 시스템를 통한 네트워크 장비 , 보안 장비 로그 상관관계 통합 구성 및 웜 발생 진원지 추적 제거 기능 제공 NAM 모듈을 통한 코어 백본을 흐르는 모든 트래픽 유형별 분석 및 다양한 리포팅 기능 제공 MARS(Multicase Address Resolution Server) : CSM(Concurrent Service Monitor) : 병행 서비스 모니터. NAM(Network Assignment Module) : 네트워크 분석 모듈

보안 로드맵 NAC IOS 보안 IOS 보안 통합보안관리 IOS 보안 지능형위협보안 지능형위협보안 지능형위협보안 사용자 PC 사용자영역 중소형스위치 코어 스위치 서버팜 라우터 적용 기술 적용 장비 투자비용 설치기간 확장성 보안강화 NAC IOS 보안 IOS 보안 통합보안관리 IOS 보안 지능형위협보안 지능형위협보안 지능형위협보안 사용자 PC 중소형 S/W 코어 스위치 코어 스위치 라우터 CCA Solution 센터 중소형 스위치 코어 스위치 NAM II 모듈 통합 서버팜 스위치구축 FWSM,IDSM ACE,NAM 통합 보안 라우터 FWSM,IDSM VPN-SPA 대형지점 라우터 ISR 보안라우터 CCA(Credit Control Area) FWSM(Firewall Service Module) IDSM(Instruction Detection Service Module) SPA(Shared Port Adapter) ISR(Integrated Services Router) 통합보안관리 –보안관제,통합보안관리, NAC Server&CCA

솔루션 적용과 기대효과 내부 사용자 보안 강화 코어보안강화 Traffic패턴분석 내부 서버 인터넷,WAN 보안 강화 사용자영역 중소형스위치 코어 스위치 서버팜 라우터 적용 기술 적용 장비 예상 기대 투자대비 효율성 NAC IOS 보안 IOS 보안 통합보안관리 IOS 보안 지능형위협보안 지능형위협보안 지능형위협보안 사용자 PC 전산센터 중소형 스위치 전산센터 코어 스위치 전산센터 코어 스위치 전산센터 라우터 CCA Solution 센터 중소형 스위치 코어 스위치 NAM II 모듈 통합 서버팜 스위치구축 FWSM,IDSM ACE,NAM 통합 보안 라우터 FWSM,IDSM VPN-SPA 라우터 ISR 보안라우터 통합보안관리 –보안관제,통합보안관리, NAC Server&CCA DMVPN(Dynamic Multipoint VPN) 내부 사용자 보안 강화 인프라 보안 강화 코어보안강화 Traffic패턴분석 내부 서버 보안 강화 인터넷,WAN 보안 강화 내부 사용자 취약점 예방 망 안정성 강화 내부 사용자 취약점 예방 대용량 서버수용 VPN 효율화 직원 생산성 향상 보안 장비 효율성 극대화 Master Plan 근거 자료 확보 투자대비 확장성,유연성 DMVPN을 통한 업무효율성확보