Ethernet Security Switch The Best Integrated Security Solution

Presentation on theme: "Ethernet Security Switch The Best Integrated Security Solution"— Presentation transcript:

1 Ethernet Security Switch The Best Integrated Security Solution
_v7 Ethernet Security Switch The Best Integrated Security Solution 안녕하십니까 한드림넷 박성원입니다. ESS-2224 스위치에 대한 제품 소개를 하도록 하겠습니다. 우선 ESS-2224 스위치는 ㈜한드림넷

2 목차 SG2024란? 제안의 배경 MDS엔진 네트워크 보안 기능 통합 보안 관제 시스템 제품비교 결론 부록

3 왜? L2 스위치에 보안이 필요한가? L2 스위치에 대한 관리자 들의 보편적인 생각 ATTACK(유해트래픽)
DoS, DDoS, SCAN, ARP Spoofing………… 네트워크 트러블(관리) IP Address충돌 Network Loop 발생 장비 고장 L2 레벨의 사용자 인증 내부 네트워크의 IP관리 비인가 사용자 접속 제어

4 네트워크와 보안이 통합된 엑서스레벨의 보안 스위치
SG2024란? 네트워크와 보안이 통합된 엑서스레벨의 보안 스위치 고성능 스위치 보안 기능

5 내부 네트워크에서 시작된 위협 K대학교 XX전자 반도체 공장 A기업 B관공서
실습실과 기숙사에서 발생한 DDoS 공격으로 방화벽과 인터넷 서비스 장애 발생 공장 내부에서 flooding공격 발생 전체 반도체 라인 작업 중지, 수억원의 영업손실 발생 XX전자 반도체 공장 내부망에 접속한 노트북으로 인해 2차 감염발생 다량의 flooding공격으로 업무시간 내내 내부 네트워크 다운 A기업 바이러스가 감염된 사 용자가 내부 전산망을 통해 공격 네트워크 다 운으로 창구민원 업무 중단 B관공서

6 편중된 보안환경 필 요 성 외부 및 CORE망 백본 레이어 내부 액세스망 내부 네트워크의 보안 자동화 내부 통합 관제 시스템화
IPS / 방화벽등으로 외부 공격에 대한 대비 충실 신종 바이러스에 의한 내부 공격에 취약 내부 공격 발생시 즉각적인 대응책 부재 내부 네트워크의 보안 자동화 내부 통합 관제 시스템화 비용의 현실화 설치의 용이함 IPS 편중된 보안환경 Firewall 백본 레이어 내부망으로 부터의 공격에 의한 2차감염 다량의 트래픽으로 인한 과부하/서비스 정지 내부 액세스망 액세스레벨의 모니터링 부재 환경변화/관리 어려움 예산 부족 모바일 디바이스에 의한 감염 가능성 증가 보안상 가장 취약한 영역/관리 통제 어려움 공격/해킹 발생시 실시간 탐지 불가 보안을 위한 네트워크 구성변경 어려움

7 전체 보안침해 사고 중 내부에서 발생하는 것이 80%를 차지
취약한 내부 보안 L2레벨의 네트워크 보안 이슈 전체 보안침해 사고 중 내부에서 발생하는 것이 80%를 차지 메시지 또는 파일 가로채기 인증정보 , VOIP 도/감청 내부자에 의한 해킹 발생시 진단/대응이 어려움 비정상 패킷 증가로 네트워크 장애 유발 급속한 피해 확산 Hacking 의도적이며 보다 직접적인 공격 (Sniffing/Spoofing) Attack SECURITY ISSUE 네트워크 공격(Flooding/DDos) Network Resource Management 내부 네트워크의 사용자 인증 기능 미비 네트워크 자원 관리 기능 미비 모바일 디바이스에 의한 불법 내부 네트워크 사용 증가 악의적인 의도를 가진 내부 네트워크 사용자 제어 불가

8 모바일 기기 사용의 증가로 인한 내부 보안 사고 증가
L2레벨의 보안이슈1 (해킹) 모바일 기기 사용의 증가로 인한 내부 보안 사고 증가 Internet 외부 사용자에 의한 해킹 내부보안에 대한 위협 Data Sniffing 개인정보 및 기업비밀정보 유출 ID/PWD등 인증정보 시스템권한 (ERP/그룹웨어) 의도적 해킹툴을 이용한 기밀 정보 해킹 메일내용 통화내역 바이러스에 의한 인지하지 못한 해킹 발생 개인신상정보 ※ ARP Spoofing과 같은 L2레벨에서 일어나는 네트워크 패킷 변조를 통한 해킹 행위 탐지 어려움 데이터 파일 내부 사용자에 의한 해킹 IP Telephony 음성통화 도청/감청

9 L2레벨의 보안이슈2 (공격) 액세스 레벨에서 발생하는 공격 Internet WAN Edge Router, Firewall
 L2 - MAC flooding , MAC 변조 , ARP Attack L3 - IP Spoofing,DHCP Attack , ICMP Attack L4 - TCP Sync flooding (Dos,DDos,RANDOM Attack) UDP flooding , Scanning Main core 비정상 네트워크 트래픽을 발생시켜 네트워크 장애를 유발시키는 공격 Distribute core 내부 네트워크에서 공격이 이루어질 때 진단/대응할 수단이 없음 Access core 공격자

10 L2레벨의 보안이슈3 (사용자 인증) 불법적인 내부망 접속 증가 Internet 허가받지 않은 사용자의 내부 네트워크
Production Network 불법적인 내부망 접속 증가 허가받지 않은 사용자의 내부 네트워크 접근 경로의 다양화 악의적 내부 네트워크 사용자에 의한 해킹 및 바이러스의 손쉬운 배포 가능 허가 받지 않은 내부 네트워크 사용자에 대한 감시/제어기능 미비 Unknown or Non-Compliant Known Device Guest

11 L2레벨의 보안 스위치 네트워크 보안 이슈 관리자의 요구

12 관리자의 요구사항 해킹/보안/인증 지능적인 보안기능 고성능 스위칭 L2레벨의 네트워크 인증 간단하고 도입/ 간편한 사후관리의
용이성 간단하고 간편한 관리 시스템

13 SG2024가 제공하는 보안기능 범위 인증 해킹 공격 보 안 범 위 L2레벨의 네트워크 사용자 인증
인 증 I P주소 + MAC + Switch Port를 조합하여 액세스레벨의 네트워크 사용자 인증을 수행 해 킹 서브넷의 모든 MAC주소를 스캔하여서 패킷변조/전송을 이용한 형태의Spoofing /Sniffing을 차단 IPT의 통화내역 도・감청 차단 Spoofing공격에 의한 네트워크 속도 저하 /네트워크 사용량 증가방지 공 격 L2~L4까지의 트래픽을 분석하여 공격차단 L2레벨의 네트워크 사용자 인증 IP Address | MAC Address | Switch Port 조합 인증 인증 L2~L4 트래픽 분석 ARP Spoofing 차단 (인지하지 못한 해킹) Data Sniffing 차단 (악의적인 해킹) IP Telephony – 도・감청차단 해킹 L2~L4레벨까지의 공격차단 L2 - MAC flooding , MAC 변조 , ARP Attack L3 - IP Spoofing,DHCP Attack , ICMP Attack L4 - TCP Sync flooding(Dos,DDos,RANDOM Attack), UDP flooding , Scanning 공격

14 Multi Dimension Security엔진
Multi Dimension Security엔진에 의한 Wire Speed 성능 보증과 오판 방지 Multi-dimension Security Engine Attack Packet Analysis DoS DDoS DDoS(spoofed) Flash croeds,Worms(spoofed) Security Filter Module Sensor Log DDoS Class DoS Class Scan Class Random Class RT Packet Gathering Module MD Protection Engine Switching Fabric Protection Giga / Fast Ethernet Interface Response H/W 기반의 MDS Engine은 네트워크 흐름에 따라 자동으로 일정시간동안 출발지 IP/Port, 목적지 IP/Port, Protocol 등의 Header 정보로 Packet들의 Flow를 모니터링하여 Packet Flow의 엔트로피(자유도) 분포를 분석하여 비정상적인 Packet만 선별적으로 차단합니다.

15 IP/MAC/ Switch Port 조합 인증
SG2024 보안기능 Data Sniffing - 개인정보(아이디/패스워드) - 기업 내부의 기밀정보 유출 ARP Spoofing - 네트워크 사용량 증가 - 네트워크 속도 저하 IP Telephony - 도청/녹취 L2레벨의 해킹 차단 Mac Address IP Addr xxxx17c xxxx15a 호스트-A ARP Cache xxxx13b 호스트-B ARP Cache Mac/IP Address Port Xxxx17c Xxxx15a Xxxx13b 3 1 5 MDS arp-table IP Addr : MAC Addr : xxxx17c IP Addr : MAC Addr : xxxx15a MAC Addr : xxxx13b IP Addr : MAC Flooding ARP Attack Layer 4 based analysis & protection No signature update base Physical Data Network Transport Cable Disconnected IP Spoofing DHCP Attack TCP Sync Flooding DDos Attack L4기반의 트래픽 분석/차단 미등록IP/MAC 변조된 IP/MAC Internet 등록한 IP/MAC Production Network IP/MAC/ Switch Port 조합 인증 L2레벨 인증 Policy 설정 Switch Port정보 불일치 L2레벨의 네트워크 인증 Ethernet Security Switch Release Protection Security Policing Packet Analysis 이상 패킷 검출 포트 차단 Smart Protection 유해 트래픽 선별적 차단 업무의 연속성 보호

16 통합 보안 관제 시스템 해킹/공격/장비 실시간 모니터링 네트워크 자원 관리[IP/MAC/SWITCH PORT]
Connect Port Up-Link Port Attack Alert 해킹/공격/장비 실시간 모니터링 네트워크 자원 관리[IP/MAC/SWITCH PORT] 유해트래픽 차단 정보 실시간 레포팅/검색

17 통합 네트워크 관제 & IP자원 관리 & 비인가 사용자 접근제어
실시간 네트워크 모니터링 IP Address 사용현황 유해트래픽 차단로그 분석 스윗치별 네트워크 사용 상황 (접속 유저, IP 사용 상황, 트래픽 현황) 네트워크 인증 설정(IP+MAC+Switch port) 유해 트래픽 형태별 분석 Visual IP Management IP , MAC 실시간 사용현황 관리 네트워크 사용자 이력 및 트래픽 관리 분산된 IP 자원의 통합 관리 비인가 사용자의 네트워크 접근 제어 미사용 IP관리 및 비활성 IP 자동 차단 IP별 사용 기간 설정 IP 변경 및 도용 방지 IP 충돌 방지

18 상황) 공격자가 목적지 IP를 변경하며, 3개의 물리적인 포트에 대해 SCAN 공격을 시도 중
유해트래픽 차단 사례 비교 분석 타사 제품과의 대응방법 비교 상황) 공격자가 목적지 IP를 변경하며, 3개의 물리적인 포트에 대해 SCAN 공격을 시도 중 타 Vendor 제품 사용자의 대응 방법 한드림넷(SG2024) 제품 사용자의 대응 방법 네트워크에 이 상징후 발생 (속도저하, 사용 자에 의한 장애 신고등 ) ② 관리자에 의한 장비 점검 (L3 백본 스위치, Router, 전용회선, Server farm 등) L3 장비에서 모 든 패킷의 분석 및 공격 트래픽 확인 MDS 엔진에서 Attack 패킷 자동감지 ASIC based Security Engine 관리자에 의한 ACL 정책 수동 해제 ④ Attack 패킷이 멈추면 차단 Rule 자동 해제 ③ MDS 엔진에서 공격 정보 Log 생성 및 기록 ③ MDS 엔진에서 공격 정보 Log 생성 및 기록 ④ 물리적인 해당 포트에 대한 Access list 수동 생성 ② MDS 엔진에서 Attack 의 유형에 대응한 차단 Rule 자동 생성 ■ 효 과 ■ 효 과 L3 Core Switch 의 과부하는 해결 하였으나, 이미 유해트래픽이 확산 되어 사용자들의 업무 불가 향후의 문제의 해결에 상당한 시간이 소요됨 모든 과정에 관리자가 필요함 L2 스위치의 포트 단위 처리로 Attack 트래픽에의한 피해 없음 유해트래픽의 확산에 의한 추가 감염 피해 없음 공격정보 Log 기록 관리자의 개입이 필요 없음 네트워크 장애 후 장애 복구 (사후대책) 네트워크 장애 방지 (사전예방) VS

19 최적화된 엑서스 레벨의 보안구성 1 2 3 4 5 6 7 8 ASIC기반의 특허받은 MDS 엔진에 의한 신속한 처리 능력
Distnibute core WAN Edge Router, Firewall Main core Internet Access core 내부 네트워크 통합 관리 콘솔 SG2024 IP 매니지먼트 (비인가 PC 검출) Zero-Day 공격 차단 (DDoS/DoS/SCAN 공격 탐지/차단) ARP 스푸핑 차단 (도/감청, 개인정보 유출 탐지/차단) 1 ASIC기반의 특허받은 MDS 엔진에 의한 신속한 처리 능력 2 VNM 모니터링 툴에서 관리자를 위한 레포팅 기능제공 3 Wire Speed의 안정적인 네트워크 서비스 제공 4 네트워크 공격의 실시간 감지 및 자동차단, 해제 5 비인가 사용자의 네트워크 접속제어 (IP+MAC+PPort) 6 바이러스 자동 확산 방지 기능 7 사용자의 실시간 모니터링 기능 8 혁신적인 가격 및 기능

20 기대 효과 서비스의 안정화 해킹차단 내부공격 차단 투자비용 절감 네트워크 자원관리

21 SG2024의 그린IT 구현 * 네트워크 환경에 따라 최대 50% 이상의 절전 효과 절전 기능 기능 설명 비 고 그린 IT
소비전력 34.7W의 동종 제품 최저. 초 고효율율 그린 IT 제공 SG 전제품 AUTO 절전 기능 제공 60/600초(관리자 지정)간격으로 스위치를 체크하여 포트별 ON/OFF 기능에 의한 절전 기능 제공 스케쥴 절전 기능 요일별/시간별/포트별 스케쥴 기능에 의한 절전 기능 제공 스케뷸에 의한 절전 기간 중이어도 클라이언트 및 단말이 연결되면 자동으로 ON/OFF 기능 제공 절전 효과는 AUTO 절전 기능 대비 높음 SG2024G 이상 * 네트워크 환경에 따라 최대 50% 이상의 절전 효과

22 SG2024독자 기능 및 경쟁사 대비 우위 기능 제공 기능 기능 설명 비고 Shard VLAN Egress-port 기능
(Private VLAN) 동일 네트워크 내에서 포트간의 통신을 차단하여 사용자들의 Security를 보장하며 Uplink 인터페이스로만 통신하게 하여 보안성과 네트워크 독립성을 제공함 사이버 맨선 호텔, IDC 센터 금융권, 기숙사, 연구소 Port Redundancy STP를 지원하지 않는 더비허브등에 Cable을 이중화로 연결하여 Active로 연결된 Cable에 장애 발생 시 Stand-by로 연결되어 있던 Cable이 Active로 동작 노후 네트워크, 공장 DHCP Server 및 Relay 기능 DHCP Relay 뿐만 아니라 DHCP Server 기능 제공. 소규모 네트워크, 기숙사 802.1P(Voice VLAN)기능 Voice 패킷을 우선 처리 하여, 트래픽 폭주 시에도 IP 전화 등의 통화 품질을 우선적으로 보장 하는 기능 IP전화 도입 및 사용시 케이블 거리 특정 기능 스위치에 연결된 포트별 케이블의 거리를 측정 하는 기능 네트워크 구축, 및 보수 PoE스위치의 전원 이중화 기능 SG시리즈의 PoE 스위치는 전화 이중화 지원시 스위치 내장 전원으로 전원 이중 이중화 지원. 타사 제품의 경우 별도의 외부 전원 공급장치Redundant Power Supply)를 통한 지원으로 외부전원 공급장지(RPS)구매에 의한 구매 비용 증가와 설치 구성시 RACK 공간의 효율성 감소 시스코사의 독자 포로토콜인 CDP, PVST 기능 지원 CDP, PVST등 시스코의 독자 포로토콜을 지원하여 기존 시스코 제품을 설치 사용중인 고객사에 납품할경우 기존 제품의 설정 변경없이 설치 및 구성 가능 스위치에 RADIUS 서버를 내장하여 인증 기능 제공 스위치에 RADISU서버를 내장 하여 별도의 외부 RADIUS 서버 없이도 스위치 독자적인 인증 기능 제공 웹인증, MAC 인증, X 인증 별도의 RADIUS 서버 구성없이 ID/PASS를 이용한 유저 인증 가능 스위치 1대당 최대 512명의 인증 기능 제공 NetBios 필터링 기능 NetBios 프로토콜을 이용한 윈도우 클라이언트 간의 공유 기능을 자동으로 차단 SFF-8472(광 모듈 정보 지원)기능 광 모듈의 정보 지원 기능 광 모듈의 온도, 전압, 광 모듈의 TX/RX 감도 정보 등을 제공

23 SG Security Switch Series Line-up & Load map
SG2xxx vs SG3xxx Series Product portfolio 현재 시판중인 제품 2010년 출시 제품 2006~2007 2008~2009 상반기 하반기 L2 Switch SG2024GF [SFP 24port Switch] SG2008G / PoE [L2 8Port Giga / PoE Switch] SG2024P [L2 24port 10/100 PoE Switch] SG2048G [L2 48Port Giga Switch] SG2024GPoE [L2 24port Giga PoE Switch] SG2148 [L3 48port 10/100 Switch] SG2024 [L2 24port 10/100 Switch] SG2024G [L2 24port Giga Switch] SG2148PoE [L3 48port 10/100 PoE Switch] L3 Switch SG2024M [L2 24port 10/100 Metro Switch] SG3024G [L3 24port Giga Switch] SG3024GPoE [L3 24port Giga PoE Switch] SG3024GF [SFP 24port Switch] SG3024 [L3 24port 10/100 Switch] SG3048G [L3 48port Giga Switch] SG3048GPoE [L3 24port Giga PoE Switch] SG3024PoE [L3 24port 10/100 PoE Switch]

24 SG2024 시리즈 스팩 다양한 인터페이스 및 성능 제공 (L2/L3) Gigabit 10/100
28.8Gbps switching capacity 13.1Mpps throughput 28.8Gbps switching capacity 13.1Mpps throughput Full Port 802.3af(15.4w per port) 48Gbps switching capacity 71.43Mpps throughput 48Gbps switching capacity 71.43Mpps throughput Full Port 802.3af(15.4w per port) 192Gbps switching capacity 142.9Mpps throughput

25 납품업체 Public

26 납품업체 Public

27 납품업체 Company

28 납품업체 Education