Genian NAC Suite Smart Leader of BYOD Security
목차 Ⅰ Genian NAC Intro Ⅱ Genian NAC Suite Ⅲ NAC 기본정책안 Ⅳ 지니네트웍스 소개 *NAC : Network Access Control Page 1
목차 Ⅰ Genian NAC Intro Ⅱ Genian NAC Suite Ⅲ NAC 기본정책안 Ⅳ 지니네트웍스 소개 *NAC : Network Access Control Page 2
Upgrade Your Expectations! Ⅰ Genian NAC Intro
NAC 필요성 최근기업내부네트워크에접속하는다양한장비 ( 스마트폰, VoIP, CCTV, 테블릿 PC, 넷북등 ) 가급속하게증가함으로인해엔드포인트의관리및보안의중요성이증가하고있다. 또한기업내부의단말사용자들은기존의보안정책을준수하지않고사용하는단말에대한통제방안이미흡한실정이다.
NAC 필요성 NAC has matured and will now be one of the key mechanisms for mitigating the risks of consumerization. 1 st st NAC Endpoint Compliance (Worm/ Virus Era) 2 nd nd NAC Authentication (Guest Networking) 3 rd NAC Consumerization (BYOD) 2004 년 2005 년 2009 년 2011 년 Gartner Strategic Road Map for Network Access Control Published: 11 October 2011 ID:G00219087 Page 5
Genian NAC 주요기술 어떤장비가내부인프라네트워크에접근하는가? BYOD(Bring-Your-Own-Device) 로인한다양한모바일단말접속탐지및관리 VoIP, CCTV, 녹취단말, 의료장비등네트워크를이용하는다양한장비관리 Page 6
Genian NAC 주요기술 누가내부인프라네트워크를사용하고있는가? 기존인증시스템 (SSO, AD 등 ) 과의연계를통한사용자관리및통제 NAC 자체인증수행을통한관리및통제 ( 인사정보시스템과연동 ) Active Directory 인증 SSO 인증 PC 보안및클라이언트기반인증그룹웨어포탈인증인사 DB 연동 인증자동처리 ( 통합인증 ) NAC 인증수행완료 NAC 자체인증 ( 사용자정보혹은인사 DB 연동 ) 인증수행 Page 7
Genian NAC 주요기술 사용자에따라내부네트워크접근통제는되어있는가? RBAC( Role Based Access Control ) 기술을통한사용자 / 역할에따라접근통제 Internet RBAC (Role Based Access Control) 기술적용 스위치의네트워크구성변경없이각사용자에따라네트워크접근을제한하는기술 백신서버 방문객 방문객은 Internet 만허용, 업무네트워크통제 Internet 계정서버 백신서버 메일서버 백신유지보수 방문객은백신서버만허용, 업무 / 인터넷네트워크통제 계정서버 내부직원 방문객 백신유지보수 계정서버관리자 계정서버관리자 방문객은계정서버만허용, 업무 / 인터넷네트워크통제 Page 8
Genian NAC 주요기술 사용자에따라내부네트워크접근통제는되어있는가? RBAC( Role Based Access Control ) 기술을통한사용자 / 역할에따라접근통제 < Ex. 인터넷만접근허용 > < Ex. 특정서버및프린터, 인터넷접근허용 > 유지보수대상서버 : 허용 : 차단 : 허용 : 차단 방문자 유지보수 유지보수대상서버 리포트출력 Page 9
Genian NAC 주요기술 기업내부 PC 의보안정책을잘이행하고있는가? 사용자, 방문자 PC 의보안 / 필수프로그램, 보안설정, 우회경로통제, 테더링등위반사항점검및강제화 기본적인하드웨어, 소프트웨어자산정보전송 PC 무결성검사프로그램 PC 의무선 AP 정보수집및사용통제 필수 / 보안프로그램의최신업데이트, 설치유도 / 강제설치 PMS(Patch Management System) 제공 Windows 의보안설정강제화 TCP 세션정보수집및임계치설정통제 Page 10
Genian NAC 주요기술 인터넷차단시스템 내부인프라네트워크를통합적으로관리하고있는가? V3, 하우리알약 기구축된보안시스템과연동을통한시너지효과 SNMP Trap, syslog 등을통한연계 좀비 PC 차단시스템 SNMP Trap 등표준프로토콜송 / 수신 차단에벤트전송 IPS NAC 정책관리서버 NAC 차단센서 ESM, TSM Page 11
Genian NAC 특징 구축용이성 OOB(Out-Of-Band) 구성의가상인라인 (Virtual-In-Line) 특허기술을적용하여구축 - 기존네트워크인프라의구성변경 NO - 스위치환경 ( 스위치벤더, 더미허브등 ) 에의존 NO - 구축시사용자의업무영향도 No 안정성 네트워크접근제어를차단센서 (Sensor) 에서수행함으로안정적통제 - 네트워크접근제어시스위치, Mirroring 등에의존하지않고전용 Appliance 에서수행 - NAC Agent 안정성확보 (Application Layer Player) 내부통합관리 / 보안강화 내부네트워크에서의통합보안관리및확장성지원 - 내부발생할수있는네트워크및 PC의보안설정에대한강제화지원 - 내부인증시스템 (SSO, Active-Directory, 그룹웨어등 ) 과연계다경험 - ESM, IPS, 인터넷차단시스템, TMS 등기본보안시스템과 SNMP Trap, Syslog를활용한표준연동 Page 12
Genian NAC 특징 Agentless 방식 Agent 방식 (agentless 방식기능포함 ) PMS 기능 Windows patch, MS office patch 시스템정보 PC H/W 정보 (CPU, MEM, DISK, OS, NIC 등 ) Platform 분류 OS(Win, Linux, Unix, ios, Android 등 ) 별, 네트워크장비, 프린터, 제조사등 세션제어 TCP 세션정보수집및임계치초과시차단 IP, MAC, PORT 별접근제어 포트정보 열린포트정보 접근제어 네트워크정보 Platform 별접근제어 (OS 및장치별 ) 시간 / 요일 / 기간접근제어 사용자별접근제어 ( 인증 / 미인증, ID, 부서, 직급등 ) IP 관리 사용자 PC 가연결된스위치및포트정보 Host 명, Domain 명 PC 동작유무판단 장치제어 프로세스제어 백신연동 소프트웨어탐지 USB, NIC, Bluetooth, Wifi, Tethering, PC 전원제어 프로세스목록수집및제어 백신 (V3, 바이로봇, 알약 ) 업데이트및바이러스탐지에대한네트워크제어 필수 S/W, 불법 S/W 탐지및제어 메시지전송사용자에게메시지전송 ( 공지및알림팝업 ) 보안기능 비번유효성검사, 윈도우보안설정, 자동실행제어, 파일배포, 공유폴더제어, 화면보호기제어, IE 보안설정제어, 윈도우방화벽제어, 계정취약성검사 위변조탐지 IP, MAC clone 탐지 / 차단 Page 13
Genian NAC 특징 기능요약 네트워크접근통제 비인가단말의네트워크사용통제, 방문자단말의네트워크사용제한 단말보안상태에따른네트워크접근제어 사용자보안정책강제화 (OS 패치, 백신업데이트, 실시간감지 On 등 ) 애플리케이션관리 (PMS) OS 및주요 App 패치중앙관리 온라인및오프라인패치배포 필수 S/W 배포및설치강제화 불법 S/W 설치탐지 네트워크디스커버리 네트워크에연결된모든장비실시간탐지 GPDB 를이용한 OS 자동분류 ( 서버 /PC/ 모바일 / 프린터 /VoIP 장비등 ) 비인가네트워크우회경로, Adhoc 탐지 비인가네트워크서비스 (DHCP, SMTP, HTTP 등 ) 의불법사용탐지및차단 네트워크에연결된모든 IP 기기자산관리 사용자인증 모바일관리 ID/PW 자체인증 AD/LDAP/RADIUS 인증 CWP(Captive Web Portal) 인증 802.1x 인증 네트워크에연결된모바일단말인식및분류 테더링행위방지 USB/ 블루투스 / 불법 AP 연결방지 IP 관리 IP 충돌방지기능으로주요장비보호 IP 실명제 사용자 +IP+MAC 강제화 네트워크위협관리 허니팟 (honey-pot) 을이용한악성트래픽탐지 악성코드감염단말및이상행위단말네트워크격리 임계치기반의네트워크공격차단 데스크탑디스커버리 S/W 설치내역, 수집 / 관리 / 통계 H/W 설치내역, 수집 / 관리 / 통계 주요매체 (CD-ROM, USB, Wireless) 사용관리 무선네트워크관리 (Wi-fi Discovery) AP/Soft AP/Adhoc 무선랜탐지 내부네트워크에연결된 AP 탐지 Rogue AP 사용차단및비인가 AP 접속차단 AP 연결된장비추적 (Tracking) Page 14
NAC 구축구성도 Genian NAC 는고객의네트워크환경의구성변경없이구축가능하며, 장비설치시네트워크에영향을미치지않는다. Multi Sensor 는 Multi VLAN(802.1Q) 를지원한다. 1. 정책관리서버 (Policy Center) - NAC 차단센서와 Agent 에대한정책및로그관리 - PC 보안상태및사용자역할기반의정책수립 - 차단서버로부터수집된정보분석 - 차단서버및 Agent 동작설정기능 2. 관리자콘솔 (Console) Policy Center - 웹 (Web) 기반보안정책설정및감사, 모니터링 서버팜스위치 라우터 방화벽 백본 802.1Q VLAN #1 VLAN #2 VLAN #3 Multi Sensor Internet 3. 차단서버 (Network Sensor) - 네트워크상의장비및사용자통제기능수행 - IP, MAC, OS 등노드정보수집및자동분류 - Web 기반의사용자인증기능 - Honey Pot 운영으로유해 traffic 감지및차단 Single Sensor - 장비별 CLI (command line interface) 지원 - Dashboard 제공및주요이벤트발생시알람기능 4. Agent - 단말 (PC) 의보안정책준수여부점검및조치 - 패치자동적용및자산관리기능수행 - 사용자 PC 취약성점검및정보확인기능 Page 15
NAC 구성요소상세내역 구분제품명모델명모델이미지 Capacity (IP 수량 ) GPC-3600-T20 10,000 ~ 정책관리서버 Genian Policy Center GPC-3200-T20 10,000 GPC-1100-T20 3,000 Genian Multi Sensor Premium GNS-2500-T40 2,500 Genian Multi Sensor Standard II GNS-1500-T60 1,500 NAC 차단센서 (Sensor) Genian Multi Sensor Standard GNS-1200-T60 800 Genian Multi Sensor SMB GNS-950-T40 300 Genian Single Sensor GNS-900-T40 200 Genian Single Sensor GNS-100-T20 50 NAC Agent NAC Thin-Client Windows 98 이상설치지원 가용성 : 20% 까지수용 Page 16
Upgrade Your Expectations! II Genian NAC Suite
Genian NAC Suite Genian NAC Suite Genian NAC Suite 1 2 Policy Center( 관리UI, Eco-System) Net-Sentry - Sensor( 차단센서 ) 3 Air-Sentry Wireless Sensor( 무선센서 ) NAC Thin-Client( 에이전트 ) Page 18
Genian NAC Suite 1 관리 UI GNOS 4.0 (Genian NAC Operating System Version 4.0) 완전히새로워진사용자인터페이스 Personalization Widget Enhancement Easy Navigation 계정, 역할별차등화된뷰 (View) 제공 관리, 설정을위한개인별 workplace 제공 개인별빠른명령도구 90 여개의관리위젯제공 현황 / 상태 / 통계등기능별분류 커스터마이징위젯제공 One Screen Mgmt. 검색 확인 조치 를한번에수행 초보자부터전문가까지빠르고효율적인 Page 19
Genian NAC Suite 1 관리 UI 사용자추가탭 메인메뉴 위젯설정 DASHBOARD 빈틈없는현황관리 1 최다 (90여) 관리위젯 2 워크스페이스제공으로개인별맞춤위젯제공 3 대시보드확인후즉시조치등으로연결 Page 20
Genian NAC Suite 1 관리 UI 메인메뉴 빠른검색 센서별구분 단말동작상태 IP 차단정책위반 MAC 차단 전체노드관리 조회부터조치까지한방에 1 전체노드의그룹별조회 2 20여필터로정확한대상선별 3 대상에대한상세확인 4 빠른조치및즐겨쓰는조치등록 현황통계 Agent 동작상태 Agent 설치유 / 무 Page 21
Genian NAC Suite 2Eco Eco- System 네트워크디스커버리 (Network View) 의핵심 쏟아지는새로운단말기어떻게해야할까요? Genian CLOUD 1) 실네트워크에서단말정보수집 2) Cloud 에서정제 / 가공 3) NAC Suite 에재배포 (GPDB) 4) 새로운단말인식및분류 GPDB(Genian Platform DB) 현재 25,000 여이상의단말정보수록 CLOUD 를통하여매월 50 건이상추가 Page 22
Genian NAC Suite 3Air Air- Sentry(WNAC) 비인가 ( 불법 ) 무선접근시도탐지 - 비인가단말 ( 스마트폰, 테블릿등 ) - 내부 ( 자 ) 의불법 AP 운용 - 스마트폰을통한 SoftAP(HotSpot) / AdHoc 등의운용 안전한무선접근환경제공 - 확인된 ( 안전한 ) 무선접속가능목록제공 - 단말, 상태, 사용자, 시간등 Heath Check에의한접속통제 - CWP 등다양한통제방법으로안전한접속유도 WNAC 변경최소화 - 기존 NAC 환경의변화없이즉시무선영역대응 - Zero Configuration Page 23
Genian NAC Suite 3Air Air- Sentry(WNAC) Air-Sentry( 무선센서 ) 는주변의 AP 의무선정보 (SSID, BSSID, 암호화방법, signal strength 등 ) 를수집하여 Policy Center( 정책관리서버 ) 로전송하며, 내부네트워크접근통제는기존차단센서 (Sensor) 혹은 NAC Agent 에서수행한다. 라우터 Internet 방화벽 Policy Center 서버팜스위치 백본 802.1Q VLAN #1 VLAN #2 VLAN #3 Multi Sensor Single Sensor Air-Sentry Air-Sentry Air-Sentry Air-Sentry Air-Sentry - 무선 AP 및무선단말탐지 - Connection tracking - Automated classification Page 24
Genian NAC Suite 3Air Air- Sentry(WNAC) 장비모델구분기능사양 Dimension 160 ⅹ 190 ⅹ 25 160 ⅹ 190 ⅹ 25 mm Console RJ45 RS 232 serial Baud rate : 115200 LAN 1 10/100/1000 Base-T Ethernet Power 1 12V DC power jack 802.3af PoE support (POE : Power over Ethernet 의약자로별도의전원없이 POE 지원스위치또는 PoE 전원을통해랜케이블로전원을공급받는방식 ) Wireless 802.11 a/b/g/n 802.11an + bgn Dual-Band Concurrent MIMO Air-Sentry Antenna 2 ⅹ 2 2.4Ghz, 5Ghz Dual-Band 4 dbi CPU MIPS processor core High-performance wireless network processor MEM 64MB SDRAM, 16MB Flash memory Signal Range 반경 30 m ( 장애물없는경우이며환경에따라다름 ) Page 25
Genian NAC Suite 3Air Air- Sentry(WNAC) Air- Sentry 탐지및등록정보 Page 26
Genian NAC Suite 3Air Air- Sentry(WNAC) Air- Sentry 무선랜그룹설정 Page 27
Genian NAC Suite 3Air Air- Sentry(WNAC) Air- Sentry 그룹관리및통제정책 Page 28
Genian NAC Suite 3Air Air- Sentry(WNAC) Air- Sentry 통제정책 ( 미인증패킷전송방식 ) Page 29
WNAC vs WIPS Access Control Availability 1 무선단말의불법적내부접근에강점 무선망에불법적인접근차단이우선 무선을이용한우회경로탐지 / 차단이우선 1 무선환경의잠재적위협에대응 무선망의가용성강점 Deep View (Visibility) Deep Inspection 2 무선망보호하기위해정책수립, 판단을위한종합정보가중요 Platform Auto Update Service 2 위협을탐지하기위한깊은정보 Packet, Signal level 위협탐지 Deep Enforcement WiFi Enforcement 3 내부망접근제어 (by 유선센서 ) PC Agent connection blocking Switch Port Blocking 3 무선 (WiFi) 통신제어 Reasonable Cost High Cost 4 Genian NAC 를사용중이라면무선센서추가로쉽게확장 센싱 ( 무선센서 ) 과차단 ( 유선센서 ) 분리 4 무선인프라구축보다더많은비용소요 고가로인해부분적인구축 ( 예 : 본점만구축 ) 으로끝남 Page 30
Upgrade Your Expectations! Ⅲ NAC 기본정책안
NAC 기본정책안 구분 내용 IP/MAC 인증 ( 비인가단말통제 ) 사용자인증 ( 기존시스템연계 ) 필수 S/W 설치 / 유도 N/W 접근권한 비고 비인가단말통제 내부네트워크접속하는모든단말 관리자가승인하지않은 IP, MAC 은네트워크접속차단및안내페이지유도 DHCP 환경고려 (MAC 차단적용 ) 예외단말 스마트폰, 프린터, 네트워킹장비, VOIP 등 IP/MAC 인증 예외 CCTV, 녹취 server/clien, 방송용 IP 등담당자가인지하지못하는 IP 들이다수존재주의필요 운영팀적용적용적용 ALL 내부직원 인증계정있는내부직원 일반사용자적용적용적용 ALL or 제한권한 공용 PC/ 노트북적용적용적용 ALL or 제한권한 필수 S/W 사전점검 (DRM, 백신, PC 보안, USB 통제등 ) NAC 보안정책위반시업무차단, 모두차단등유연하게정책적용가능 내부직원은사용자인증연계 기타 (Unix) 적용예외 ALL or 제한권한 서버팜 내부업무시스템개발용도서버시스템 예외 외부개발자협력업체, 외부개발자적용적용적용 업무상필요접속권한 방문자네트워크사용이필요한방문자적용 사용자등록 (NAC DB 저장 ) 적용 or 미적용 인터넷만허용업무네트워크제한 방문객을위한사용자계정신청 / 승인지원 Page 32
지니네트웍스 연혁 Page 33
지니네트웍스 인증서 Page 34
주요고객사 공공 기업 Page 35