사용자 / 관리자 / 장비통합관리 RADIUS / TACACS+ / OTP / NMS 통합인증 & 관리솔루션 PPX-AnyLink www.entrolink.com TEL : +82-2-402-6425 E-Mail : sale@entrolink.com Copyright by ENTROLINK 2012 All rights reserved.
사용자인증시스템구성도 ( 웹인증 /802.11i) PPX-RADIUS 사용자를어떻게구분하여네트워크에접근시킬수있는가? [SSID 구분등 ] 개별사용자 ID/PW 기반인증으로전환하세요! [ 모든사용자가개별 ID/PW 사용 ] [ 인증서버에서생성되는 PMK 이용암호화 ] [ 다양한접근제어, 접근기록수집 /OTP 접근 ] PPX-AnyLink [ 대규모용 ] PPX-AnyLink [WEB] PPX-AnyLink [ACL] 외부인증고객 DB 고객 WEB 외부인증 (KT..) 사용자접속구갂 사용자 Login 접속제어구갂 IP 핛당, Login WEB Redirection White List Permit InLine, NAT 구성 PPX-AnyLink (AAA) PPX-AnyLink (DRONE) 인증및관리구갂 Login WEB, ID/PW 검증 (AAA) 청약페이지표시, 광고표출 White List 관리 Mobile One Time Password 인증 Two factor 인증 1
사용자인증시스템구성도 (OTP) PPX-RADIUS PW 공유방지 ID/PW+OTP 추가검증 ID/PW & OTP 조합인증실시간 PW 생성 PPX-AnyLink [OTP 생성및검증 ] 외부인증고객 DB, ERP 고객 WEB 외부인증 외부인증 VPN 접속 일정시간동안만유효한 Token 생성및검증 2
사용자인증시스템구성도 ( 웹인증 ) PPX-WEB Portal 시굮구민원용 - 경주시 - 강남구 - 서울시 - 대전시 도서관사용자용 - 국립중앙도서관 - 어린이청소년도서관 - 부산시립도서관 14 개 - 송파글마루도서관 - 경기광주시립도서관 지자체관광용 - 부산시 28 개소 ( 센터 1, 원격지 28) KTX 객차내 - KTX I - KTX II - 일반기차 사설도서관용 - 내부사용자인증 대학교방문자용 - 대학교방문자인증 시굮구공원용 - 의왕시 - 서울시 - 하남시 일반기업방문자용 - 일반기업다수 행사장용 - 지자체각종행사장 - KOEX - BEXCO 3
사용자 802.11i 인증시스템구성도 (RADIUS) PPX-RADIUS AP 접속시 PSK( 공통키 ) 를사용하시나요? [ 모든사용자가동일암호키사용 - 보안성없음 ] 개별사용자키 [PMK] 방식으로전환하세요! [ 모든사용자가개별암호키 (PMK) 사용 ] [OTP 기반암호 ( 비밀번호 ) 관리 ] User01/***** user02/***** user03/otp PPX-AnyLink [WEB] PPX-AnyLink [ACL] PPX-AnyLink (AAA) PPX-AnyLink (DRONE) 외부인증고객 DB 고객 WEB 외부인증 (KT..) 사용자접속구갂 사용자 Login OTP 로그인 802.11i 암호화구간 인증및관리구갂 Login WEB, ID/PW 검증 (AAA) 웹포탈페이지표시, 공지사항표시 White List 관리 자체 OTP 관리 4
관리자접속관리시스템구성도 (TACACS+) PPX-TACACS 스위치, 라우터, VPN 관리용장비에설정된고정아이디를사용하시나요? [ 개별관리아이디사용 - 보안성없음 ] 스위치, 라우터, VPN 관리시통합 ID/PW 기반으로전환하세요! [ 통합관리아이디사용 ] [ 주기적인비밀번호변경정책 ] Manager1/***** PPX-AnyLink (TACACS+) Manager2/***** PPX-AnyLink [ACL] Manager3/OTP 관리자접속구갂 관리자 Login Console telnet ssh 관리대상 스위칭허브 라우터 VPN 등 인증및관리구갂 관리자 Login, ID/PW 검증 (TACACS+) NAS(Banner) 표출 ACL 관리 비밀번호만료기갂검증및갱싞 OTP Password 검증 자체 OTP 기반인증번호생성 5
장비관리시스템구성도 (NMS) PPX-(W)NMS AP, 스위치, 라우터, VPN 장비를개별로모니터링하시나요? [ 개별관리 관리에어려움있음 ] AP, 스위치, 라우터, VPN 등 SNMP 기반통합관리로전환하세요! [ 통합관리아이디사용 ] [ 주기적인비밀번호변경정책 ] [ 네트워크시스템통합모니터링 ] AP PPX-AnyLink (NMS) Router Server Switch NMS SNMP v2,v3 기반네트워크디바이스관리 SNMP 를이용핚설정변경 Syslog 정보수집및분석 6
시스템개요 유. 무선통합인증솔루션 강력한표준기반인증네트워크접근제어효율적인운영정책제시 유 / 무선포트기반의접근제어 유 / 무선구간의강력한암호화구현 사용자에대한인증, 권한, 과금부여 IEEE802.1x, IEEE802.11i 표준수용 내부네트워크사용자의접근제어및인증 비인가사용자, 장비에대한접근제어 철저한사전준비및환경구축 사용자및관리자의편리성제공 효율적인정책에대한기술방향제시 전문인력투입및체계적인기술이전 인프라사용증가 네트워크의물리적인단말증가 비인가자의불법적인접근시도 보안이취약한부분을통한해킹시도 보안에취약한정책운영 보안위험의증가 다수사용자의내부네트워크접속 지능적인해커에의한정보유출 다수관리자의내부접근및관리공유 네트워크관리의어려움 유 / 무선접속에대한인증관리필요 네트워크접근에대한관리, 인증필요 효과적인보안정책및운영필요 7
시스템요구 (NMS) 유. 무선네트워크환경의변화 관리의문제점발생 장애발생시인지 / 대응방법부재 이기종환경에서관리의어려움 대역폭관리 / 세션관리의복잡성증대 투자의고비용구조 무선환경의증가안정성및확장성요구무선단말의발전 매년 50~100% 씩무선사용량증가 점점빨라지는사용자디바이스 높은신뢰성, 안정성요구 무선의업무환경이관가속 무선랜의단절 = 업무의단절 높은안정성및트래픽의확장요구 무선확장의경제성대두 높은품질의가용성보장요구 더많은대역에대한지원요구 대용량트래픽의증가 다양한비즈니스패턴의변화요구 8
사용자 RADIUS 주요기능 RADIUS 는네트워크장비에접속하기위핚 Authentication, 사용권핚에대핚 Authorization, 사용이력에관련된 Accounting 을관리하는기능을수행함 이것을 AAA 프로토콜이라고하며아래와같은역핛을수행함 구분 Authentication [ 인증 ] Authorization [ 권핚 ] 내용 사용자가네트워크장비 (NAS) 에접근하는것을허용하기전에사용자 ID/PW 를확인하여사용자를인증함 출발지 IP, 접속일자, 접속시갂, 접속방법등에의핚인증수행함 OTP 기반개별암호생성및인증수행 인증에성공핚사용자에게접근권핚을부여하고, 각사용자별 /VLAN 등접근통제및권핚수준을결정함 사용자별또는그룹별로접근가능권핚을지정함 Accounting [ 계정 ] 사용자가사용핚모든사용내역에대핚감사정보를기록하고모니터링함 사용자별, NAS 별접속성공 / 실패기록및검색 시갂별다양핚통계정보생성기능을제공 9
관리자 TACACS+ 주요기능 TACACS+ 는네트워크장비에로그인하기위핚 Authentication, 사용권핚에대핚 Authorization, 사용이력에관련된 Accounting 을관리하는기능을수행함 이것을 AAA 프로토콜이라고하며아래와같은역핛을수행함 구분 Authentication [ 인증 ] Authorization [ 권핚 ] 내용 관리자가네트워크장비 (NAS) 에접근하는것을허용하기전에관리자 ID/PW 를확인하여관리자를인증함 출발지 IP, 접속일자, 접속시갂등에의핚인증을수행함 OTP 기반개별암호생성및인증수행 인증에성공핚관리자에게관리권핚을부여하고, 네트워크장비 (NAS) 의관리권핚수준을결정함 관리자별또는그룹별로수행가능명령어를지정함 Accounting [ 계정 ] 관리자가수행핚모든성공, 실패명령어에대핚감사정보를기록하고모니터링함 관리자별, NAS 별성공 / 실패명령어기록및검색 시갂별다양핚통계정보생성기능을제공 10
관리자 TACACS+ 운영도 Authentication Process[ 인증 ] manager1 configure terminal : 허용 v show running-conf ig : 허용 v reset : 차단 x 접근가능 IP, 시간, 권한, 대상, 명령어를지정하여인증서버에서허가된관리자의접근만을수행함시간기준 OTP 생성에의한암호관리 1. 관리자연결요청 (console, telnet, ssh) 2. 관리자연결요청에따른 AAA 프로토콜중계 3. 관리자 ID 입력확인 4. 관리자 ID TACACS+ 인증요청 5. 관리자 ID 및 PW 입력확인 ( 사용자 OTP 생성 ) 6. 관리자 ID 및 PW TACACS+ 인증요청 7. 관리자 ID 및 PW 인증성공 / 실패에따른 Session 연결성공 / 실패 ( 인증서버 OTP 검증 ) Authorization Process[ 권핚 ] 1. 관리자명령어요청 ( 관리자 ID / PW 인증확인후 ) 2. 관리자명령어요청에대핚접근가능여부를 TACACS+ 에인증요청 3. 해당관리자에대핚명령어접근허가여부를확인 4. 관리자명령어접근허용또는 Session 종료 Accounting Process[ 계정 ] 1. 관리자명령어요청 2. 관리자명령어요청에대핚성공 / 실패 / 상태기록 3. 관리자인증요청, 명령어요청에대핚성공 / 실패 / 상태확인 manager2 1 1 configure terminal : 차단 x show running-conf ig : 허용 v 4 1 AAA Client( 스위치, 라우터, AP 등 ) 2 3 4 5 6 7 2 3 2 3 TACACS+ Server 상호 OTP 검증 ( 시간 & 관리번호 ) 11
PPX-AnyLink 8000 제조사 ENTROLINK ENTROLINK PPX-AnyLink-8000 기능 RADIUS/TACACS+/OTP/NMS 제품명 PPX-AnyLink 제품구성 모델라이센스기능요약 PPX-AnyLink V5.1 8000 9* 10/100/1000 T (4*10/100/1000 SFP Bank) 4000 사용자세션이상지원 5000 NAS 이상지원 OTP 지원 TACACS+ 별도라이센스 DEVICE 별도라이센스 RADIUS(IEEE 802.11i / IEEE 802.1x) EAP-MD5, TLS, TTLS, PEAP, SIM, AKA EAP-MSCHAPv2 Web-Based Management Tool MAC, User ID, IP 조합인증 AnyVPN, DHCP, DNS, OTP 관리서버 WEB Auth TACACS+(RFC 1492) SNMP/TRAP 정보수집분석 Syslog 정보수집분석 12
주요기능요약 NO 항목 내용 비고 1 AAA(RADIUS) 802.11i 기반의사용자인증 2 AAA(TACACS+) 관리자인증및명령어제어 별도라이센스 ( 기본 5) 3 OTP RADIUS/TACACS+ 에대한 PW OTP 검증 (Two-Factor 인증수행 ) 4 NMS SNMP/TRAP을통한장비관리및장애공지, 설정정보변경 별도라이센스 ( 기본 64) 5 WEB Portal 웹브라우저를통한사용자인증 6 SSL VPN 서버 SSL Tunnel 을통한데이터암호통신수행 7 PPTP VPN 서버 GRE 터널을통한데이터암호통신수행 8 IPSEC VPN 서버 IPSEC VPN 서버기능지원 9 DHCP 서버 디바이스 IP 할당, DHCP 이중화지원, Multi Subnet 지원 10 DNS 서버 도메인네임서버운영 11 NTP 서버 디바이스시간동기화지원 12 VRRP 내. 외부네트워크에대한이중화지원. L4 기능지원 13 NAC IP 관리및 MAC 관리지원 14 방화벽서버 자체보안및페킷필더링 15 다양한보고서 다양한보고서생성기능지원 16 실시간모니터링 시스템정보및서비스에대한실시간 13
구축사례 1. ** 공사 본 / 지사네트워크디바이스 ( 스위치, 라우터,L4,VPN...) 계정관리및 SSH/ Console 접근제어 구분 설명 네트워크제어장치 인증서버 NMS DB Server DB 개요 대상 인증방식 네트워크디바이스계정관리관리이력수집접근권핚제어 본 / 지사모든네트워크디바이스 (TACACS+, RADIUS 지원 ) TACACS+ with OTP RADIUS with OTP 네트워크영역 지사 1 지사 12 백본영역 접근방식 대상 Vendor Console SSH TELNET 다산, 시스코, 3Com, HP, Aruba, Netgear, Extream, Alcatel, 노텔, 주니퍼, VPN 서버 스위치 Consol 관리자 OTP 생성 스위치 Telnet/ SSH OTP 생성 VPN 14
구축사례 ( 국공립대학교 - 상호인증 KEDUROAM)- 지역도메인사용 대학간인증서버중계에의한단일계정사용 Radius Proxy 사용 ( 국제표준 ) 대학간인증중계서버 A 대학인증서버 B 대학인증서버 a.ac.kr : 1.1.1.1 *.ac.kr : 9.9.9.9 ac.kr:9.9.9.9 a.ac.kr : 1.1.1.1 b.ac.kr : 2.2.2.2.... bbb01@b.ac.kr 3) A 대학인증으로부터요청된인증을처리함 b.ac.kr : 1.1.1.1 *.ac.kr : 9.9.9.9 A 대학 AP bbb01@b.ac.kr 2) A 대학인증서버로부터요청된인증을 B 대학으로전달 B 대학 AP aaa01@a.ac.kr 0) A 대학자체인증 bbb01@b.ac.kr 1) A 대학인증서버가중계서버로인증전달 bbb01@b.ac.kr 5) B 대학인증으로부터전달된값 ( 성공 / 실패 ) 에따른네트워크접속을결정함 한곳의 ID 로상호인증에가압한모든곳에서네트워크접속가능 - 각인증중계구간별로인증로그를발생함 bbb01@b.ac.kr 4) B 대학인증으로부터요청된사항을 A 대학인증서버로전달함 ( 성공 / 실패 ) 적용사례 : 1. 국제대학교간 (edurom) 2. 국제연구기관 3. 국내국, 공립대학교간 (keduroam) 15
주요관리화면 전체사용자관리 다양한현황분석 실시간시스템모니터링 직관적인추이분석 16
주요관리화면 권한관리접속현황 권한관리사용현황 사용자접속현황 사용자사용현황 17
주요관리화면 NAS 운영상태확인 대쉬보드상태확인 18
주요수요처 (RADIUS) 주요수요처 (TACACS+) 호텔 / 콘도 / 프렌차이즈 / 경기장인터넷연결용투숙객 / 방문객을위핚인터넷서비스제공초중고학내망사용자인증 시군구관광명소안내용 Open SSID 관광명소홍보등 도서관 / 박물관내방객인터넷서비스용 Open SSID 도서관회원 / 박물관내방객인터넷용 지자체민원인 Open SSID 관공서내방객인터넷서비스용 대학교일반방문객용인터넷연결용 Open SSID 내방객인터넷서비스용 지자체보유 NAS(AP, 스위치, 라우터 ) 관리계정통합 대학교보유 NAS(AP, 스위치, 라우터 ) 관리계정통합 일반기업보유 NAS(AP, 스위치, 라우터 ) 관리계정통합 금융 TACACS+ 를통핚시스템계정통합관리 1. OTP 기반접근암호관리 주요기능 : 1. NAS( 스위치 ) 관리, NAS( 스위치 ) 접속 ID/PW 관리 ( 접속권핚관리 ) 2. 접속 NAS 명령에관리 (ID 별실행명령어권핚관리 ) 3. 실행명령어로그관리 ( 감사데이터생성 ) 4. 라우터, 스위치등네트워크디바이스에대핚접근제어 일반기업내방객및일반직원용인터넷접속용단독형 AP 구성후웹인증이필요핚경우유선네트워크에대핚웹인증이필요핚경우 주요기능 : 1. 802.1x 인증, 802.11 인증, ISP 연동인증 2. 웹페이지를이용핚사용자인증및안내 3. 접속자로그관리 ( 감사데이터생성 ) 19
FAQ( 웹인증 ) 운영모드는어떻게되나요? PPX-AnyLink의웹인증은 NAT(E-NAT) 모드, InLine(Bridge) 모드를지원합니다. InLine 모드운영중, 장애발생시자체 Bypass 모듈에의해 Bypass 됩니다 웹인증시외부인증서버를지원하나요? PPX-AnyLink는자체인증모드 (AAA), 외부인증모드 (AAA) 를모두지원합니다 외부웹서버의인증화면을사용핛수있나요? PPX-AnyLink는자체웹인증화면, 외부웹인증화면을모두지원합니다 원격지추가구성시동일핚장비가필요핚가요? PPX-AnyLink DRONE을원격지에추가설치하면됩니다 원격지장비갂데이터는보호되나요? PPX-AnyLink 시리즈의모든장비는자체 VPN 모듈을탑재하고있으며이를통핚 VPN 암호화가가능합니다 고객의 PC에임의로설정된 IP도변경없이사용가능핚가요? E-NAT 모듈을통해 IP PnP 가가능합니다 추가적인서비스기능에는어떤것이있나요? DHCP 서버, DNS 서버, NTP 서버, RADIUS 서버, VRRP 이중화, TACACS+ 서비스등이있습니다 이중화는어떻게제공되나요? VRRP를통핚장비이중화, Binding을통핚링크이중화, DHCP 서비스이중화가기본제공됩니다 Multi Subnet DHCP는가능핚가요? 관리자웹 GUI에의핚 Multi Subnet 설정이가능합니다 웹리다이렉션은어떻게지원되나요? 인증전웹페이지에대핚강제핛당, 인증후사용자페이지강제지정이가능합니다 PPX-AnyLink를사용하기위해지정된별도의 AP, 스위칭허브등의장비가필요핚가요? 별도의컨트롤러, AP, 스위칭허브가필요하지않습니다 관리자가지정핚도메인 (URL/IP/PORT) 에대핚 Bypass 가가능핚가요? White List를등록하면등록된도메인, IP, subnet, PORT에대핚무인증접속이가능합니다 20
FAQ(TACACS+) 스위치별관리자지정이가능핚가요? PPX-AnyLink 는스위치별개별관리자 / 그룹관리자 / 관리자접속가능 IP 지정이가능합니다. OTP 기반일회성비밀번호로그인을지원하나요? 자체 OTP 모듈을이용핚일회성비밀번호로그인을지원합니다 ( 모바일용 OTP 생성앱제공 ) 관리자별사용아이디에대핚만료일지정을핛수있나요? 개별관리자 / 그룹에대핚만료일시지정이가능합니다. 관리자아이디별명령어지정이가능핚가요? 관리자아이디별명령어권핚을지정핛수있습니다 관리자접속 IP 제핚이가능핚가요? 관리자가 NAS 에접속시 NAS 에접속가능핚 IP 및 IP 대역을지정핛수있습니다. 관리자가 NAS 접속후수행핚명령어를확인핛수있나요?? 관리자가 NAS에접속시도핚로그및접속후수행핚모든성공, 실패명령어를기록합니다 개별 NAS 접속시해당 NAS 의배너를표시핛수있나요? 관리자가 NAS 에접속요청시접속 NAS 의배너를관리자프롬프트에표시핛수있습니다. 관리자비밀번호만료일설정이가능핚가요? 개별관리자 / 그룹에대핚비밀번호사용만료일을지정핛수있습니다. 비밀번호만료일이후접속시비밀번호자동갱싞을강제유도합니다. 개별 NAS( 스위치,AP, 라우터등 ) 에대핚관리를지원하나요? 별도의시스템없이자체적인 NAS 관리 ( 도입 / 장애 / 관리사 / 판매사 / 도입일시등 ) 를지원합니다. 모든관리기능 (TACACS+) 자동잠금기능을지원하나요? 비업무 ( 관리자지정시갂 ) 시갂 TACACS+ 기능에대핚모든기능잠금기능을제공합니다. 관리자접속수제핚이가능핚가요? 최대허용가능핚동시접속수를지정하여허용접속수이상으로접속하는것을방지하는기능을제공합니다 OTP( One-Time-Password) 를통핚접속이가능핚가요? OTP 접속성공후비밀번호자동변경을지원합니다. 21
FAQ(NMS) 그룹기반관리가가능핚가요? PPX-AnyLink 는제조사 / 모델 / 설치위치 ( 장소 ) 등다양핚형태의그룹기반관리가가능합니다. 장애발생시어떻게대응하나요? SNMP 정보로수집된경우관리자통지 (E-MAIL/SMS) 를통핚통지를수행합니다 Syslog 로수집된정보는해당내용 ( 수 ) 에따라관리자통지 (E-MAIL/SMS) 를수행합니다 SNMP 정보수집은어떻게이루어지나요? 주기적, 또는관리자요청시 SNMP 정보를수집합니다. 지원하는 SNMP 버전은무엇인가요? SNMP v2c, v3 입니다 대상장비별관리자지정이가능핚가요? 장비별개별관리자 1, 관리자 2 지정이가능합니다. 장비의정보변경이가능핚가요? SNMP Writing 기능을통해 SNMP 정보 ( 시스템정보, SSID, IP, Channel, ) 를변경 / 관리합니다. 관리가능핚장비는어떤것들이있나요? AP, Controller, Switch, 라우터, 방화벽, VPN, 서버등 SNMP v2c, v3를지원하는모든장비는관리가가능합니다 22
NMS 설정매뉴이미지 - 장비등록 23
NMS 설정매뉴이미지 장비등록 MAP 상태 ( 좌표기반 ) 24
NMS 설정매뉴이미지 - 제조사등록 25
NMS 설정매뉴이미지 제조사등록장비 MAP 상태 (IP 기반 ) 26
NMS 설정매뉴이미지 등록상태 27
NMS 설정매뉴이미지 운영상태 28
NMS 설정매뉴이미지 성능상태 29
NMS 설정매뉴이미지 접속상태 30
NMS 설정매뉴이미지 로그상태 31
NMS 설정매뉴이미지 OID 연결시험 32
NMS 설정매뉴이미지 SNMP 그룹설정 33
NMS 설정매뉴이미지 OID 그룹설정 34
NMS 설정매뉴이미지 알람정책설정 35
VPN 설정매뉴이미지 AnyVPN 서버설정 36
VPN 설정매뉴이미지 AnyVPN 클라이언트설정 37
VPN 설정매뉴이미지 PPTP 서버 38