*NAC : Network Access Control

Presentation on theme: "*NAC : Network Access Control"— Presentation transcript:

0 Genian NAC Suite ‘Smart Leader of BYOD Security’ 지니네트웍스㈜

1 *NAC : Network Access Control
목 차 Ⅰ. Genian NAC Intro Ⅱ. Genian NAC Suite Ⅲ. NAC 기본정책안 Ⅳ. 지니네트웍스㈜ 소개 *NAC : Network Access Control 1

2 Upgrade Your Expectations!
Ⅰ. Genian NAC Intro 2

3 NAC 필요성 최근 기업 내부 네트워크에 접속하는 다양한 장비(스마트폰, VIP, CCTV, 테블릿PC, 넷북 등)들이 급속하게 증가함으로 인해 엔드포인트의 관리 및 보안의 중요성이 증가하고 있다. 또한 기업 내부의 단말사용자들은 기존의 보안정책을 준수하지 않고 사용하는 단말에 대한 통제방안이 미흡한 실정이다.

4 NAC 필요성 1st NAC 3rd NAC 2nd NAC
NAC has matured and will now be one of the key mechanisms for mitigating the risks of consumerization. 1st NAC Endpoint Compliance (Worm/Virus Era) 3rd NAC Consumerization (BYOD) 2nd NAC Authentication (Guest Networking) 2004년 2005년 2009년 2011년 Gartner Strategic Road Map for Network Access Control Published: 11 October 2011 ID:G

5 어떤 장비가 내부 인프라 네트워크에 접근하는가?
Genian NAC 주요 기술 어떤 장비가 내부 인프라 네트워크에 접근하는가? BYOD(Bring-Your-Own-Device)로 인한 다양한 모바일 단말 접속 탐지 및 관리 VoIP, CCTV, 녹취단말, 의료장비 등 네트워크를 이용하는 다양한 장비 관리

6 Genian NAC 주요 기술 기존 인증 시스템(SSO, AD 등)과의 연계를 통한 사용자 관리 및 통제
누가 내부 인프라 네트워크를 사용하고 있는가? NAC 자체 인증 수행을 통한 관리 및 통제(인사 정보 시스템과 연동) Active Directory 인증 SSO 인증 PC보안 및 클라이언트 기반 인증 그룹웨어 포탈 인증 인사DB 연동 인증 자동 처리(통합인증) NAC 인증 수행 완료 인증 수행 NAC 자체 인증 (사용자 정보 혹은 인사DB 연동)

7 사용자에 따라 내부 네트워크 접근 통제는 되어 있는가?
Genian NAC 주요 기술 사용자에 따라 내부 네트워크 접근 통제는 되어 있는가? RBAC( Role Based Access Control ) 기술을 통한 사용자/역할에 따라 접근 통제 방문객 계정서버 메일서버 Internet 내부 직원 백신 유지보수 계정서버 관리자 백신서버 RBAC (Role Based Access Control) 기술 적용 스위치의 네트워크 구성 변경 없이 각 사용자에 따라 네트워크 접근을 제한하는 기술 Internet 방문객은 Internet만 허용, 업무 네트워크 통제 방문객 백신서버 방문객은 백신서버만 허용, 업무/인터넷 네트워크 통제 백신 유지보수 계정서버 방문객은 계정서버만 허용, 업무/인터넷 네트워크 통제 계정서버 관리자

8 사용자에 따라 내부 네트워크 접근 통제는 되어 있는가?
Genian NAC 주요 기술 사용자에 따라 내부 네트워크 접근 통제는 되어 있는가? RBAC( Role Based Access Control ) 기술을 통한 사용자/역할에 따라 접근 통제 < Ex. 인터넷만 접근 > < Ex. 특정 서버 및 인터넷 접근만 허용 >

9 Genian NAC 주요 기술 기업 내부 PC의 보안정책을 잘 이행하고 있는가? 사용자, 방문자 PC의 보안/필수 프로그램, 보안설정, 우회경로 통제, 테더링 등 위반사항 점검 및 강제화 PC의 무선 AP 정보 수집 및 사용 통제 PC 무결성 검사 프로그램 기본적인 하드웨어, 소프트웨어 자산 정보 전송 필수/보안 프로그램의 최신업데이트, 설치 유도/강제설치 PMS(Patch Management System) 제공 Windows의 보안설정 강제화 TCP 세션 정보수집 및 임계치 설정 통제

10 내부 인프라 네트워크를 통합적으로 관리하고 있는가?
Genian NAC 주요 기술 내부 인프라 네트워크를 통합적으로 관리하고 있는가? 기 구축된 보안 시스템과 연동을 통한 시너지 효과 SNMP Trap, Syslog 등을 통한 연계 V3, 하우리 알약 인터넷 차단 시스템 좀비PC차단 시스템 위험단말 통제 SNMP Trap 등 표준 프로토콜 송/수신 차단 에벤트 전송 NAC 정책관리서버 NAC 차단센서 IPS 위험단말 통제 ESM, TSM

11 Genian NAC 특징 구축 용이성 안정성 내부 통합관리/ 보안강화
OOB(Out-Of-Band) 구성의 가상인라인(Virtual-In-Line) 특허기술을 적용하여 구축 - 기존 네트워크 인프라의 구성변경 NO - 스위치 환경(스위치 벤더, 더미허브 등)에 의존 NO - 구축 시 사용자의 업무 영향도 No 안정성 네트워크 접근 제어를 차단센서(Sensor)에서 수행함으로 안정적 통제 - 네트워크 접근 제어 시 스위치, Mirroring 등에 의존하지 않고 전용 Appliance에서 수행 - NAC Agent 안정성 확보(Application Layer Player) 내부 통합관리/ 보안강화 내부 네트워크에서의 통합 보안관리 및 확장성 지원 - 내부 발생할 수 있는 네트워크 및 PC의 보안설정에 대한 강제화 지원 - 내부 인증 시스템(SSO, Active-Directory, 그룹웨어 등)과 연계 다 경험 - ESM, IPS, 인터넷차단시스템, TMS 등 기본 보안 시스템과 SNMP Trap, Syslog를 활용한 표준 연동

12 NAC 구축 구성도 Genian NAC는 고객의 네트워크 환경의 구성변경 없이 구축 가능하며, 장비 설치 시 네트워크에 영향을 미치지 않는다. Net-Sentry는 Multi VLAN(802.1Q)를 지원한다. Internet 3. 차단 서버 (Net-Sentry) - 네트워크 상의 장비 및 사용자 통제 기능 수행 - IP, MAC, OS등 노드 정보 수집 및 자동 분류 - Web 기반의 사용자 인증 기능 - Honey Pot 운영으로 유해 traffic 감지 및 차단 Policy Center 서버팜 스위치 백본 방화벽 라우터 Net-Sentry 802.1Q VLAN #1 VLAN #2 VLAN #3 1. 정책 관리 서버 (Policy Center) - NAC 차단센서와 Agent에 대한 정책 및 로그 관리 - PC 보안상태 및 사용자 역할 기반의 정책 수립 - 차단 서버로부터 수집된 정보 분석 - 차단 서버 및 Agent 동작 설정 기능 Net-Sentry 2. 관리자 콘솔(Console) - 웹(Web) 기반 보안정책 설정 및 감사, 모니터링 - 장비 별 CLI (command line interface) 지원 - Dashboard 제공 및 주요 이벤트 발생 시 알람기능 4. Agent - 단말(PC)의 보안 정책 준수 여부 점검 및 조치 - 패치자동적용 및 자산관리 기능 수행 - 사용자 PC 취약성 점검 및 정보 확인 기능

13 Upgrade Your Expectations!
II. Genian NAC Suite 13

14 Genian NAC Suite Genian NAC Suite Genian NAC Suite
① ② Policy Center(관리UI, Eco-System) Net-Sentry - Sensor(차단센서) ③ Air-Sentry – Wireless Sensor(무선센서) NAC Thin-Client(에이전트)

15 Genian NAC Suite – ①관리UI
GNOS 4.0 (Genian NAC Operating System Version 4.0) 완전히 새로워진 사용자 인터페이스 Personalization Widget Enhancement Easy Navigation 계정, 역할 별 차등화 된 뷰(View) 제공 관리, 설정을 위한 개인별 workplace 제공 개인별 빠른 명령 도구 70여 개의 관리 위젯 제공 현황 / 상태 / 통계 등 기능별 분류 커스터마이징 위젯 제공 One Screen Mgmt. ‘검색 – 확인 – 조치’를 한번에 수행 초보자부터 전문가 까지 빠르고 효율적인

16 Genian NAC Suite – ①관리UI
데시보드 ‘빈틈없는 현황관리’ ① 최다(70여) 관리 위젯 ② 워크스페이스 제공으로 개인별 맞춤 위젯 제공 ③ 대시보드 확인 후 즉시 조치 등으로 연결

17 Genian NAC Suite – ①관리UI
전체노드관리 ‘조회부터 조치까지 한방에’ ① 전체 노드의 그룹별 조회 ② 20여 필터로 정확한 대상 선별 ③ 대상에 대한 상세 확인 ④ 빠른 조치 및 즐겨 쓰는 조치 등록 ① ③ ④ ②

18 ‘네트워크 디스커버리(Network View)’의 핵심
Genian NAC Suite – ②Eco-System ‘네트워크 디스커버리(Network View)’의 핵심 쏟아지는 새로운 단말기 어떻게 해야 할까요? Genian CLOUD 1) 실 네트워크에서 단말 정보 수집 2) Cloud에서 정제/가공 3) NAC Suite에 재 배포(GPDB) 4) 새로운 단말 인식 및 분류 GPDB(Genian Platform DB) 현재 35,000여 이상의 단말을 정보 수록 CLOUD를 통하여 매월 150~200건 추가

19 Genian NAC Suite - ③Air-Sentry(WNAC)
비 인가(불법) 무선 접근 시도 탐지 - 비 인가 단말(스마트폰, 테블릿 등) - 내부(자)의 불법 AP 운용 - 스마트폰을 통한 SoftAP(HotSpot) / AdHoc 등의 운용 안전한 무선 접근 환경 제공 확인된(안전한) 무선 접속 가능 목록 제공 단말, 상태, 사용자, 시간 등 Heath Check에 의한 접속 통제 - CWP 등 다양한 통제 방법으로 안전한 접속 유도 WNAC 변경 최소화 기존 NAC 환경의 변화 없이 즉시 무선 영역 대응 - Zero Configuration

20 Genian NAC Suite - ③Air-Sentry(WNAC)
Air-Sentry(무선센서)는 주변의 AP의 무선정보(SSID, BSSID , 암호화방법, signal strength 등)를 수집하여 Policy Center(정책관리서버)로 전송하며, 내부 네트워크 접근 통제는 기존 차단센서(Net-Sentry) 혹은 NAC Agent에서 수행한다. Internet 라우터 방화벽 Net-Sentry 서버팜 스위치 백본 802.1Q Policy Center Net-Sentry VLAN #1 VLAN #2 VLAN #3 Air-Sentry Air-Sentry  Air-Sentry - 무선AP 및 무선단말 탐지 - Connection tracking - Automated classification Air-Sentry Air-Sentry

21 Genian NAC Suite - ③Air-Sentry(WNAC)
장비모델 구 분 기 능 사 양 Dimension 160 ⅹ 190 ⅹ 25 160 ⅹ 190 ⅹ 25 mm Console RJ45 RS 232 serial Baud rate : LAN 1 10/100/1000 Base-T Ethernet Power 12V DC power jack 802.3af PoE support Wireless a/b/g/n 802.11an + bgn Dual-Band Concurrent MIMO Antenna 2 ⅹ 2 2.4Ghz, 5Ghz Dual-Band 4 dbi CPU MIPS processor core High-performance wireless network processor MEM 64MB SDRAM, 16MB Flash memory Air-Sentry

22 Genian NAC Suite - ③Air-Sentry(WNAC)

23 Genian NAC Suite - ③Air-Sentry(WNAC)

24 Genian NAC Suite - ③Air-Sentry(WNAC)

25 WNAC vs WIPS Access Control Availability 1 1 Deep View (Visibility)
무선 단말의 불법적 내부 접근에 강점 무선망에 불법적인 접근 차단이 우선 무선을 이용한 우회 경로 탐지/차단이 우선 무선 환경의 잠재적 위협에 대응 무선망의 가용성 강점 1 1 Deep View (Visibility) Deep Inspection WNAC 무선망 보호하기 위해 정책 수립, 판단을 위한 종 합정보가 중요 Platform Auto Update Service 위협을 탐지하기 위한 깊은 정보 Packet, Signal level 위협 탐지 2 2 WIPS Deep Enforcement WiFi Enforcement 내부망 접근 제어(by 유선센서) PC Agent connection blocking Switch Port Blocking 무선(WiFi)통신 제어 3 3 Reasonable Cost High Cost Genian NAC를 사용 중이라면 무선센서 추가로 쉽게 확장 센싱(무선센서)과 차단(유선센서) 분리 무선인프라구축보다 더 많은 비용 소요 고가로 인해 부분적인 구축(예:본점만 구축)으로 끝남 4 4

26 Upgrade Your Expectations!
Ⅲ. NAC 기본정책안 26

27 관리자가 승인하지 않은 IP, MAC은 네트워크 접속 차단 및 안내페이지 유도
NAC 기본정책안 구 분 내 용 IP/MAC 인증 (비 인가 단말 통제) 사용자 인증 (기존 시스템 연계) 필수S/W 설치/유도 N/W 접근 권한 비 고 비 인가 단말 통제 내부 네트워크 접속하는 모든 단말 관리자가 승인하지 않은 IP, MAC은 네트워크 접속 차단 및 안내페이지 유도 DHCP 환경 고려 (MAC차단적용) 예외 단말 스마트폰, 프린터, 네트워킹 장비, VOIP 등 예외 CCTV, 녹취 server/Clien, 방송용IP 등 담당자가 인지하지 못하는 IP들이 다수 존재 주의 필요 내부직원 인증계정 있는 운영팀 적용 ALL 필수 S/W 사전 점검 (DRM, 백신, PC보안, USB통제 등) NAC 보안정책 위반 시 업무 차단, 모두 차단 등 유연하게 정책 적용 가능 내부직원은 사용자 인증 연계 일반 사용자 ALL or 제한권한 공용 PC/노트북 기타 (Unix) 서버팜 내부 업무 시스템 개발 용도 서버 시스템 외부 개발자 협력업체, 외부 개발자 업무상 필요 접속 권한 방문자 네트워크 사용이 필요한 방문자 사용자 등록 (NAC DB 저장) 적용 or 미적용 인터넷만 허용 업무 네트워크 제한 방문객을 위한 사용자 계정 신청/승인 지원

28 Upgrade Your Expectations!
Ⅳ. 지니네트웍스㈜ 소개 28

29 지니네트웍스㈜

30 지니네트웍스㈜

31 주요 고객사 31

32 지니네트웍스㈜와 의 하십시오. 지니네트웍스㈜의 임직원 일동은
언제나 고객의 발전에 기여하고 고객에게 신뢰받는 기업이 될 것을 약속드립니다. 32