기업 시스템/네트웍 보안 종합 설계 방안.

Presentation on theme: "기업 시스템/네트웍 보안 종합 설계 방안."— Presentation transcript:

1 기업 시스템/네트웍 보안 종합 설계 방안

2 보안 설계시 고려 요소들 사용자 보안 통합 보안 관리 네트워크 장비 기반의 인프라 보안 사용자 보안 기술 구현을 통한
보안사고의 근본적 예방 구현 통합보안관리 통합 지능형 위협 방어 네트워크 인프라 보안 통합 보안 관리 통합 보안 관리 도구를 통한 통합 관제 서비스 구현 확장성 높은 지능형 위협에 대한 방어 시스템 네트워크 장비 기반의 인프라 보안 하드웨어 기반의 강력한 보안 기능 안전한 인프라 구축

3 핵심 적용 보안 기술 기업 보안을 위한 설계 요소들 보안 기술과 보안 설계 사상 사용자 보안 NAC 기술
네트워크 인프라 보안 통합보안관리 통합 지능형 위협방어 OS, 백신 패치에 대한 자동 업데이트 알려지지 않은 공격으로 부터 방어 트래픽 과다 발생시 자동 방어 불량 스위치,허브 문제에 대한 예방 IP 변조에 대한 방어 기능 수행 ACL에 대한 효과적인 관리 웜 발생시 네트워크 장비 보호 내부망의 트래픽에 대한 우선순위 전용회선의 비용절감 및 보안적용 강력한 성능, 가용성 기반의 방화벽 L7 기반의 심도깊은 보안 기능 통합 보안 관리 및 적용 지능형 보안 분석 및 관리 모든 트래픽의 효과적인 분석, 리포트 NAC 기술 IOS Security Feature Port Security, Storm Control BPDU / Root Guard uRPF, PACL, VACL, RACL QoS : CBWFQ, PQ 서비스 모듈 지원 통합관제 모니터링 시스템 핵심 적용 보안 기술 보안 기술과 보안 설계 사상 NAC(Network Access Control): 시스코, MS 등에서 유저자체에 보안적 취약점이 있을 경우, 통신망을 제한하는 차원에서 자체적으로 프로그램을 개발하여 사용자의 접속장치에 설치하고, 이 프로그램들이 보안패치 버전이나 백신의 최신 업데이트에 대한 여부를 검사. Storm control : 과다 Traffic이 흐를 경우, Traffic 량을 설정된 값 만큼 낮추거나 포트 차단 할 경우 사용 BPDU(Bridge Protocol Data Unit) : STP(스패닝트리정보)를 브리지끼리 주고 받기 위해서 사용하는 특수한 프레임. 처음 STP가 등장하면 모든 스위치는 루트스위치로 동작, 이후 BPDU 프레임을 이용하여 루트 스위치 선정하게 됨. Root Guard : 특정포트에 접속된 네트워크에 있는 스위치들은 루트 스위치가 될 수 없도록 하는 기능, 해당 포트 BPDU 패킷으로 루트스위치 주장시 해당포트 다운. uRPF(unicast Reverse-Path Forwarding) : 라우팅 정보를 참조하여 패킷의 Inbound I/F와 Outbound I/F가 동일한가 검사 후 부합되지 않으면 드롭시킴. IP를 속여서 공격하는, IP spoofing으로 발생하는 syn flooding attack, smurf attack 등을 막는 기능. ACL(Access Control List) : 라우터를 경유하는 모든 패킷에 대한 제어를 적용한다. RACL(Router ACL) : 라우터에서 다른 서브넷간 트래픽 제어, 라우터에 인터페이스에 적용 VACL(VLAN ACL) : 스위치에 구현, 같은 VLAN내에 호스트간 IP Packet Filter를 가능케 함, VLAN MAP 이용하여 VLAN 적용. CBWFQ(Class Based Weighted Fair Queuing) : marking 된 패킷별 가중치를 두어 트래픽 스케쥴링하는 방법, Traffic Policing에 쓰이는 방법. CAR(Committed Access Rate) : 일정 한계치를 두어 넘으면 트래픽을 잘라 버리는 설정. PQ(Priority Queuing)

4 보안구축을 위한 청사진 사용자 영역 Access S/W 센터 B/B 센터 B/B Router 사용자 보안 기술
통합 지능형 위협 방어 기술 CSM NAC MARS 네트워크 인프라 보호 기술 통합 보안 관리 기술 Server B/B Server CSM(Concurrent Service Monitor) : 병행 서비스 모니터. MARS(Multicase Address Resolution Server) : 사용자 영역 Access 센터 백본 센터코어백본 서버 백본 서버팜 라우터 보안 기술 사용자 보안 인프라보호기술 인프라보호기술 통합보안 관리 통합보안 기술 통합지능형보안 사용자 보안 통합보안관리 인프라보호기술 통합지능형보안 보안 Level 4 3 5

5 사용자 보안 사용자 보안 상태에 대한 점검 및 교정 치료 서비스 설계 구현 실시간 사용자 보안 상태 점검 서비스 설계
사용자 인증 OS 패치 점검 백신패치,구성점검 보안 규칙 위반 유무 사용자 보안을 위한 NAC 설계 EAP RADIUS Check 정책배포 HCAP OOB 사용자 보안 상태 점검 Access SW 사용자 보안 상태에 대한 점검 및 교정 치료 서비스 설계 구현 사용자의 OS 패치 상태 및 백신 패치 상태를 연동 서버와 점검 연동서버에서 사용자 보안 상태에 대한 결과 통보 통보된 결과를 토대로 NAC Server에서 자동 격리 또는 URL Redirection 기술을 통한 치료 실시간 사용자 보안 상태 점검 서비스 설계 사용자 보안 상태 구성 변경 시, AV Server 에서 OOB 기술을 통한 구성 복귀 서비스 제공 NAC & AV Server Server B/B AV Server(Anti Virus Server) RADIUS(Remote Authentication Dial-In User Services) EAP(Extensible Authentication Protocol) OOB(Out Of Browser)

6 네트워크 인프라 보호기술 영역별 효과적인 IOS 통합 보안 기술 구현 네트워크 장비 기반 인프라보호 네트워크 인프라 보호 기술
Internet Router 센터 Core B/B 센터 B/B Access Switch 영역별 효과적인 IOS 통합 보안 기술 구현 Access Switch – Port Security , Storm Control, VLAN ACL 센터 Backbone – uRPF , Router ACL, DHCP Trust, ARP Inspection, IP Source Guard Core Backbone –uRPF, Router ACL, QoS Internet Router –Router ACL, QoS 공통 적용 기술 – QoS, ACL L2 공격/방어기술 트래픽 폭주 방어 기술 Vlan ACL 적용 IP 변조 방어 기술 DHCP 공격 방어 기술 Router ACL 적용 CPU 보호 기술 적용 CPU 보호 기술 QoS 기술 적용 Smart Port 적용

7 통합지능형 위협방어 적응형 위협 보안 기술을 통한 심도 깊은 방어 구성 통합 지능형 위협 방어
내,외부.DMZ 데이터 보호를 위한 방화벽 심도 깊은 보안을 위한 IPS 서비스 인터넷,서버팜,DMZ로 향하는 모든 트래픽 상세 분석 및 Reporting 내부 서버 자원 보호를 위한 방화벽 서비스 - 효율적인 통합 보안 관리와 유연한 Design 구현을 위해 Security Service 모듈 구성 !!! - Internet Router Core Backbone Server Backbone 적응형 위협 보안 기술을 통한 심도 깊은 방어 구성 VPN Service Module 구성 2.5 Gbps 고성능 VPN Service 이중화 구성 통한 원격 무정지 IPSec Tunnel 유지 Firewall Service Module 구성 5.5 Gbps 의 고성능 방화벽 서비스 이중화 구성을 통한 인터넷,서버팜 보안 강화 IDSM Service Module 구성 – 500 Mbps의 심도깊은 IPS 서비스 이중화 구성을 통한 인터넷, 서버팜 1Gbps IPS 구현 IDS(Instrusion Detection System) IPS(Instrusion Prevention System)

8 통합보안 관리 통합 보안 관리 구성 통합 보안 관리 통합보안관리 Internet Router Core B/B 센터/서버 B/B
Access Switch 통합 보안 관리 구성 통합 보안 관리 구성을 통한 Management Overhead 감소 효과 모든 보안 장비 및 ACL의 통합 관리 및 배포 가능 통합관제 서비스 툴을 활용한 보안 사고 분석 및 사고 발생시 자동 추적 및 해당 사용자 억제 기능 네트워크 분석 툴을 통한 트래픽 유형별 분석 및 다양한 리포팅 기능 제공 통합 보안 구성 가능 – 모든 ACL 관리 및 보안 장비 통합 관리 구성 설계 시스템를 통한 네트워크 장비 , 보안 장비 로그 상관관계 통합 구성 및 웜 발생 진원지 추적 제거 기능 제공 NAM 모듈을 통한 코어 백본을 흐르는 모든 트래픽 유형별 분석 및 다양한 리포팅 기능 제공 MARS(Multicase Address Resolution Server) : CSM(Concurrent Service Monitor) : 병행 서비스 모니터. NAM(Network Assignment Module) : 네트워크 분석 모듈

9 보안 로드맵 NAC IOS 보안 IOS 보안 통합보안관리 IOS 보안 지능형위협보안 지능형위협보안 지능형위협보안 사용자 PC
사용자영역 중소형스위치 코어 스위치 서버팜 라우터 적용 기술 적용 장비 투자비용 설치기간 확장성 보안강화 NAC IOS 보안 IOS 보안 통합보안관리 IOS 보안 지능형위협보안 지능형위협보안 지능형위협보안 사용자 PC 중소형 S/W 코어 스위치 코어 스위치 라우터 CCA Solution 센터 중소형 스위치 코어 스위치 NAM II 모듈 통합 서버팜 스위치구축 FWSM,IDSM ACE,NAM 통합 보안 라우터 FWSM,IDSM VPN-SPA 대형지점 라우터 ISR 보안라우터 CCA(Credit Control Area) FWSM(Firewall Service Module) IDSM(Instruction Detection Service Module) SPA(Shared Port Adapter) ISR(Integrated Services Router) 통합보안관리 –보안관제,통합보안관리, NAC Server&CCA

10 솔루션 적용과 기대효과 내부 사용자 보안 강화 코어보안강화 Traffic패턴분석 내부 서버 인터넷,WAN 보안 강화
사용자영역 중소형스위치 코어 스위치 서버팜 라우터 적용 기술 적용 장비 예상 기대 투자대비 효율성 NAC IOS 보안 IOS 보안 통합보안관리 IOS 보안 지능형위협보안 지능형위협보안 지능형위협보안 사용자 PC 전산센터 중소형 스위치 전산센터 코어 스위치 전산센터 코어 스위치 전산센터 라우터 CCA Solution 센터 중소형 스위치 코어 스위치 NAM II 모듈 통합 서버팜 스위치구축 FWSM,IDSM ACE,NAM 통합 보안 라우터 FWSM,IDSM VPN-SPA 라우터 ISR 보안라우터 통합보안관리 –보안관제,통합보안관리, NAC Server&CCA DMVPN(Dynamic Multipoint VPN) 내부 사용자 보안 강화 인프라 보안 강화 코어보안강화 Traffic패턴분석 내부 서버 보안 강화 인터넷,WAN 보안 강화 내부 사용자 취약점 예방 망 안정성 강화 내부 사용자 취약점 예방 대용량 서버수용 VPN 효율화 직원 생산성 향상 보안 장비 효율성 극대화 Master Plan 근거 자료 확보 투자대비 확장성,유연성 DMVPN을 통한 업무효율성확보