Genian NAC Suite - 트리플네트웍스(주 ... datasheets.pdf · 최근 기숯 내부 네트워크숷 접셏하는 다양한 장비((((스마트폰, voip, cctv, 테블릿pc, 넷북

Genian NAC Suite ‘Smart Leader of BYOD Security’

Page �� 1 Copyrightⓒ 2013 Geninetworks Corp. All rights reserved

Ⅰ Genian NAC Intro

Ⅱ Genian NAC Suite

Ⅲ NAC 기본정책안

Ⅳ 지니네트웍스㈜ 소개

*NAC : Network Access Control

목 차



Ⅱ Genian NAC Suite


Ⅳ 지니네트웍스㈜ 소개

*NAC : Network Access Control

목 차


Upgrade Your Expectations!Upgrade Your Expectations!Upgrade Your Expectations!Upgrade Your Expectations!

최근 기업 내부 네트워크에 접속하는 다양한다양한다양한다양한 장비장비장비장비((((스마트폰스마트폰스마트폰스마트폰, VoIP, CCTV, , VoIP, CCTV, , VoIP, CCTV, , VoIP, CCTV, 테블릿테블릿테블릿테블릿PC, PC, PC, PC, 넷북넷북넷북넷북 등등등등))))가 급속하게 증가함으로 인해 엔드포인트의 관리 및 보안의 중요성이 증가하고 있다. 또한 기업 내부의 단말사용

자들은 기존의 보안정책을 준수하지 않고 사용하는 단말에 대한 통제방안이 미흡한 실정이다.

NAC 필요성


1111stststst NACNACNACNAC Endpoint ComplianceEndpoint ComplianceEndpoint ComplianceEndpoint Compliance

(Worm/Virus Era)(Worm/Virus Era)(Worm/Virus Era)(Worm/Virus Era) 2222ndndndnd NACNACNACNAC AuthenticationAuthenticationAuthenticationAuthentication

(Guest Networking)(Guest Networking)(Guest Networking)(Guest Networking)

3333rdrdrdrd NACNACNACNAC ConsumerizationConsumerizationConsumerizationConsumerization

(BYOD)(BYOD)(BYOD)(BYOD)

2004200420042004년년년년 2005200520052005년년년년 2009200920092009년년년년 2011201120112011년년년년

NAC has matured and will now be one of the key mechanisms for mitigating the risks of consumerization.

Gartner Strategic Road Map for Network Access Control

Published: 11 October 2011 ID:G00219087

NAC 필요성


Genian NAC Genian NAC Genian NAC Genian NAC 주요주요주요주요 기술기술기술기술

BYOD(Bring-Your-Own-Device)로 인한

다양한 모바일 단말 접속 탐지 및 관리

VoIP, CCTV, 녹취단말, 의료장비 등

네트워크를 이용하는 다양한 장비 관리

어떤어떤어떤어떤 장비가장비가장비가장비가 내부내부내부내부 인프라인프라인프라인프라 네트워크에네트워크에네트워크에네트워크에 접근하는가접근하는가접근하는가접근하는가????


누가누가누가누가 내부내부내부내부 인프라인프라인프라인프라 네트워크를네트워크를네트워크를네트워크를 사용하고사용하고사용하고사용하고 있는가있는가있는가있는가????


NAC 자체 인증 수행을 통한 관리 및

통제(인사 정보 시스템과 연동)

Active Directory 인증 SSO 인증

PC보안 및 클라이언트 기반 인증 그룹웨어 포탈 인증

인사DB 연동

NAC 자체 인증 (사용자 정보 혹은 인사DB 연동)

NAC 인증 수행 완료

인증 수행

인증 자동 처리(통합인증)

기존 인증 시스템(SSO, AD 등)과의

연계를 통한 사용자 관리 및 통제


사용자에사용자에사용자에사용자에 따라따라따라따라 내부내부내부내부 네트워크네트워크네트워크네트워크 접근접근접근접근 통제는통제는통제는통제는 되어되어되어되어 있는가있는가있는가있는가????


RBAC( Role Based Access Control ) 기술을 통한 사용자/역할에 따라 접근

통제

RBAC (Role Based Access Control) 기술 적용

스위치의 네트워크 구성 변경 없이 각 사용자에 따라 네트워크 접근을 제한하는 기술

방문객

백신 유지보수

계정서버 관리자

Internet 방문객은 Internet만 허용, 업무 네트워크 통제

백신서버

방문객은 백신서버만 허용, 업무/인터넷 네트워크 통제

계정서버

방문객은 계정서버만 허용, 업무/인터넷 네트워크 통제 방문객

계정서버

메일서버

Internet

내부 직원

백신 유지보수

계정서버 관리자

백신서버

Internet



< Ex. 인터넷만 접근 허용 > < Ex. 특정 서버 및 프린터, 인터넷 접근 허용 >

RBAC( Role Based Access Control ) 기술을 통한 사용자/역할에 따라 접근

통제 사용자에사용자에사용자에사용자에 따라따라따라따라 내부내부내부내부 네트워크네트워크네트워크네트워크 접근접근접근접근 통제는통제는통제는통제는 되어되어되어되어 있는가있는가있는가있는가????

: 허용 : 차단

: 허용 : 차단

방문자 유지보수

유지보수 대상서버

리포트 출력

유지보수 대상서버


기업기업기업기업 내부내부내부내부 PCPCPCPC의의의의 보안정책보안정책보안정책보안정책을을을을

잘잘잘잘 이행하고이행하고이행하고이행하고 있는가있는가있는가있는가????


사용자, 방문자 PC의 보안/필수 프로그램, 보안설정, 우회경로 통제, 테더링 등

위반사항 점검 및 강제화

기본적인 하드웨어, 소프트웨어 자산 정보 전송

필수/보안 프로그램의 최신업데이트, 설치 유도/강제설치

Windows의 보안설정 강제화

TCP 세션 정보수집 및 임계치 설정 통제

PC의 무선 AP 정보 수집 및 사용 통제

PC 무결성 검사 프로그램

PMS(Patch Management System) 제공


내부내부내부내부 인프라인프라인프라인프라 네트워크네트워크네트워크네트워크 를를를를 통합적으로통합적으로통합적으로통합적으로 관리하고관리하고관리하고관리하고 있는가있는가있는가있는가????

Genian NAC 주요 기술

기 구축된 보안 시스템과 연동을 통한 시너지 효과

SNMP Trap, syslog 등을 통한 연계

NAC 정책관리서버

V3, 하우리 알약

ESM, TSM

IPS

인터넷 차단 시스템

좀비PC차단 시스템

SNMP Trap 등 표준 프로토콜 송/수신

차단 에벤트 전송

NAC 차단센서


Genian NAC 특징

구축 용이성

안정성

내부 통합관리/

보안강화

OOB(Out-Of-Band) 구성의 가상인라인(Virtual-In-Line) 특허기술을 적용하여 구축

- 기존 네트워크 인프라의 구성변경 NO

- 스위치 환경(스위치 벤더, 더미허브 등)에 의존 NO

- 구축 시 사용자의 업무 영향도 No

네트워크 접근 제어를 차단센서(Sensor)에서 수행함으로 안정적 통제

- 네트워크 접근 제어 시 스위치, Mirroring 등에 의존하지 않고 전용 Appliance에서 수행

- NAC Agent 안정성 확보(Application Layer Player)

내부 네트워크에서의 통합 보안관리 및 확장성 지원

- 내부 발생할 수 있는 네트워크 및 PC의 보안설정에 대한 강제화 지원

- 내부 인증 시스템(SSO, Active-Directory, 그룹웨어 등)과 연계 다 경험

- ESM, IPS, 인터넷차단시스템, TMS 등 기본 보안 시스템과 SNMP Trap, Syslog를 활용한 표준 연동


Genian NAC 특징 Agent 방식방식방식방식

(agentless 방식방식방식방식 기능기능기능기능 포함포함포함포함 ) Agentless 방식방식방식방식

PMS기능 Windows patch, MS office patch

시스템 정보 PC H/W 정보(CPU, MEM, DISK, OS, NIC 등)

세션 제어 TCP 세션 정보 수집 및 임계치 초과시 차단

포트 정보 열린 포트 정보

장치제어 USB, NIC, Bluetooth, Wifi, Tethering, PC전원 제어

프로세스 제어 프로세스 목록 수집 및 제어

백신 연동 백신(V3, 바이로봇, 알약)업데이트 및 바이러스 탐지에 대한 네트워크 제어

소프트웨어 탐지 필수 S/W, 불법 S/W 탐지 및 제어

메시지 전송 사용자에게 메시지 전송(공지 및 알림 팝업)

보안기능

비번 유효성 검사, 윈도우 보안 설정, 자동 실행 제어, 파일 배포, 공유폴더 제어, 화면보호기 제어, IE 보안 설정 제어, 윈도우 방화벽 제어, 계정 취약성 검사

위변조 탐지 IP, MAC clone 탐지/차단

Platform 분류 OS(Win, Linux, Unix, iOS, Android 등)별, 네트워크 장비, 프린터, 제조사 등

접근제어

IP, MAC, PORT 별 접근제어

Platform 별 접근 제어(OS 및 장치 별)

시간/요일/기간 접근 제어

사용자 별 접근제어(인증/미 인증, ID, 부서, 직급 등)

네트워크 정보

IP 관리

사용자 PC 가 연결된 스위치 및 포트 정보

Host 명, Domain 명

PC 동작 유무 판단


Genian NAC 특징 기능요약

애플리케이션 관리(PMS)

• OS 및 주요 App 패치 중앙관리 • 온라인 및 오프라인 패치 배포 • 필수 S/W 배포 및 설치 강제화 • 불법 S/W 설치 탐지

사용자 인증

• ID/PW 자체 인증 • AD/LDAP/RADIUS 인증 • CWP(Captive Web Portal) 인증 • 802.1x 인증

모바일 관리 • 네트워크에 연결된 모바일 단말 인식 및 분류 • 테더링 행위 방지 • USB/블루투스/불법 AP 연결 방지

네트워크 위협 관리

• 허니팟(honey-pot)을 이용한 악성 트래픽 탐지

• 악성코드 감염 단말 및 이상행위 단말 네트워크 격리

• 임계치 기반의 네트워크 공격차단

무선 네트워크 관리

(Wi-fi Discovery)

• AP/Soft AP/Adhoc 무선랜 탐지 • 내부 네트워크에 연결된 AP 탐지 • Rogue AP 사용 차단 및 비인가 AP 접속 차단 • AP 연결된 장비 추적(Tracking)

네트워크 접근 통제

• 비인가 단말의 네트워크 사용 통제, 방문자 단말의 네트워크 사용제한

• 단말 보안 상태에 따른 네트워크 접근 제어 • 사용자 보안정책 강제화(OS 패치, 백신 업데이트,

실시간 감지 On 등)

네트워크 디스커버리

• 네트워크에 연결된 모든 장비 실시간 탐지 • GPDB 를 이용한 OS 자동 분류(서버/PC/모바일/

프린터/VoIP 장비 등) • 비인가 네트워크 우회경로, Adhoc 탐지 • 비인가 네트워크 서비스 (DHCP, SMTP, HTTP 등)

의 불법 사용 탐지 및 차단 • 네트워크에 연결된 모든 IP 기기 자산 관리

IP관리 • IP 충돌방지 기능으로 주요 장비 보호 • IP 실명제 • 사용자+IP+MAC 강제화

데스크탑 디스커버리

• S/W 설치 내역, 수집/관리/통계 • H/W 설치 내역, 수집/관리/통계 • 주요 매체(CD-ROM, USB, Wireless)사용관리


Policy Center

서버팜 스위치

백본

방화벽

라우터

Multi Sensor

802.1Q

VLAN #1 VLAN #2 VLAN #3

NAC 구축 구성도

Internet Internet

Single Sensor

Genian NAC는 고객의 네트워크 환경의 구성변경 없이 구축 가능하며, 장비 설치 시 네트워크에 영향을 미치지 않는다.

Multi Sensor는 Multi VLAN(802.1Q)를 지원한다.

1. 정책 관리 서버 (Policy Center)

- NAC 차단센서와 Agent에 대한 정책 및 로그 관리

- PC 보안상태 및 사용자 역할 기반의 정책 수립

- 차단 서버로부터 수집된 정보 분석

- 차단 서버 및 Agent 동작 설정 기능

3. 차단 서버 (Network Sensor)

- 네트워크 상의 장비 및 사용자 통제 기능 수행

- IP, MAC, OS등 노드 정보 수집 및 자동 분류

- Web 기반의 사용자 인증 기능

- Honey Pot 운영으로 유해 traffic 감지 및 차단

2. 관리자 콘솔(Console)

- 웹(Web) 기반 보안정책 설정 및 감사, 모니터링

- 장비 별 CLI (command line interface) 지원

- Dashboard 제공 및 주요 이벤트 발생 시 알람기능 4. Agent

- 단말(PC)의 보안 정책 준수 여부 점검 및 조치

- 패치자동적용 및 자산관리 기능 수행

- 사용자 PC 취약성 점검 및 정보 확인 기능


NAC 구성요소 상세내역 구분 제품명 모델명 모델이미지 Capacity (IP수량)

정책관리서버 Genian Policy Center

GPC-3600-T20 10,000 ~

GPC-3200-T20 10,000

GPC-1100-T20 3,000

NAC 차단센서 (Sensor)

Genian Multi Sensor Premium GNS-2500-T40 2,500

Genian Multi Sensor Standard II GNS-1500-T60 1,500

Genian Multi Sensor Standard GNS-1200-T60 800

Genian Multi Sensor SMB GNS-950-T40 300

Genian Single Sensor GNS-900-T40 200

Genian Single Sensor GNS-100-T20 50

NAC Agent NAC Thin-Client Windows 98 이상 설치 지원

※ 가용성 : 20%까지 수용

II Genian NAC Suite



Genian NAC Suite

Policy Center(관리UI, Eco-System)

Net-Sentry - Sensor(차단센서)

NAC Thin-Client(에이전트)

Genian NAC SuiteGenian NAC SuiteGenian NAC SuiteGenian NAC Suite Genian NAC SuiteGenian NAC SuiteGenian NAC SuiteGenian NAC Suite Genian NAC Suite Genian NAC Suite

Air-Sentry – Wireless Sensor(무선센서)

① ②

③


Genian NAC Suite – ①관리UI

GNOS 4.0 GNOS 4.0 GNOS 4.0 GNOS 4.0 (Genian NAC Operating System Version 4.0)(Genian NAC Operating System Version 4.0)(Genian NAC Operating System Version 4.0)(Genian NAC Operating System Version 4.0)

완전히완전히완전히완전히 새로워진새로워진새로워진새로워진 사용자사용자사용자사용자 인터페이스인터페이스인터페이스인터페이스 완전히완전히완전히완전히 새로워진새로워진새로워진새로워진 사용자사용자사용자사용자 인터페이스인터페이스인터페이스인터페이스 Personalization Personalization Widget Enhancement Widget Enhancement Easy Navigation Easy Navigation

� 계정, 역할 별 차등화 된 뷰(View)

제공

� 관리, 설정을 위한 개인별

workplace 제공

� 개인별 빠른 명령 도구

� 계정, 역할 별 차등화 된 뷰(View)

제공

� 관리, 설정을 위한 개인별

workplace 제공

� 개인별 빠른 명령 도구

� 90여 개의 관리 위젯 제공

� 현황 / 상태 / 통계 등 기능별 분류

� 커스터마이징 위젯 제공

� 90여 개의 관리 위젯 제공

� 현황 / 상태 / 통계 등 기능별 분류

� 커스터마이징 위젯 제공

� One Screen Mgmt.

� ‘검색 – 확인 – 조치’를 한번에 수행

� One Screen Mgmt.

� ‘검색 – 확인 – 조치’를 한번에 수행

초보자부터 전문가 까지 빠르고 효율적인



메인메인메인메인 메뉴메뉴메뉴메뉴

사용자사용자사용자사용자 추가추가추가추가 탭탭탭탭 위젯위젯위젯위젯 설정설정설정설정

DASHBOARD

‘빈틈없는 현황관리’

① 최다(90여) 관리 위젯

② 워크스페이스 제공으로

개인별 맞춤 위젯 제공

③ 대시보드 확인 후

즉시 조치 등으로 연결



MAC차단차단차단차단

IP 차단차단차단차단

단말단말단말단말 동작동작동작동작 상태상태상태상태

메인메인메인메인 메뉴메뉴메뉴메뉴

Agent 동작동작동작동작 상태상태상태상태 Agent 설치설치설치설치 유유유유/무무무무

센서 별 구분

현황 통계

빠른빠른빠른빠른 검색검색검색검색

정책위반정책위반정책위반정책위반

전체노드관리

‘조회부터 조치까지 한방에’

① 전체 노드의 그룹별 조회

② 20여 필터로 정확한

대상 선별

③ 대상에 대한 상세 확인

④ 빠른 조치 및

즐겨 쓰는 조치 등록


‘‘‘‘네트워크네트워크네트워크네트워크 디스커버리디스커버리디스커버리디스커버리(Network View)’(Network View)’(Network View)’(Network View)’ 의의의의 핵심핵심핵심핵심 ‘‘‘‘네트워크네트워크네트워크네트워크 디스커버리디스커버리디스커버리디스커버리(Network View)’(Network View)’(Network View)’(Network View)’ 의의의의 핵심핵심핵심핵심 쏟아지는 새로운 단말기 어떻게 해야 할까요?

� Genian CLOUD 1) 실 네트워크에서 단말 정보 수집 2) Cloud에서 정제/가공 3) NAC Suite에 재 배포(GPDB) 4) 새로운 단말 인식 및 분류 � GPDB(Genian Platform DB) 현재 25,000여 이상의 단말 정보 수록 CLOUD를 통하여 매월 50건 이상 추가

Genian NAC Suite – ②②②②EcoEcoEcoEco---- SystemSystemSystemSystem


비비비비 인가인가인가인가((((불법불법불법불법) ) ) ) 무선무선무선무선 접근접근접근접근 시도시도시도시도 탐지탐지탐지탐지

안전한안전한안전한안전한 무선무선무선무선 접근접근접근접근 환경환경환경환경 제공제공제공제공

WNAC WNAC WNAC WNAC 변경변경변경변경 최소화최소화최소화최소화

- 비 인가 단말(스마트폰, 테블릿 등)

- 내부(자)의 불법 AP 운용

- 스마트폰을 통한 SoftAP(HotSpot) / AdHoc 등의 운용

- 확인된(안전한) 무선 접속 가능 목록 제공

- 단말, 상태, 사용자, 시간 등 Heath Check에 의한 접속 통제

- CWP 등 다양한 통제 방법으로 안전한 접속 유도

- 기존 NAC 환경의 변화 없이 즉시 무선 영역 대응

- Zero Configuration

Genian NAC Suite – ③③③③AirAirAirAir---- Sentry(WNAC)Sentry(WNAC)Sentry(WNAC)Sentry(WNAC)


Policy Center

서버팜 스위치 백본

방화벽

라우터

Multi Sensor

802.1Q

VLAN #1 VLAN #2 VLAN #3

Internet Internet

Single Sensor

Air-Sentry(무선센서)는 주변의 AP의 무선정보(SSID, BSSID , 암호화 방법, signal strength 등)를 수집하여

Policy Center(정책관리서버)로 전송하며, 내부 네트워크 접근 통제는 기존 차단센서(Sensor) 혹은 NAC Agent에서 수행한다.

�� Air-Sentry - 무선AP 및 무선단말 탐지 - Connection tracking - Automated classification

Air-Sentry Air-Sentry

Air-Sentry Air-Sentry



장비모델 구 분 기 능 사 양

Dimension 160 ⅹ 190 ⅹ 25 160 ⅹ 190 ⅹ 25 mm

Console RJ45 RS 232 serial Baud rate : 115200

LAN 1 10/100/1000 Base-T Ethernet

Power 1

12V DC power jack 802.3af PoE support (POE : Power over Ethernet 의 약자로 별도의 전원 없이 POE 지원 스위치 또는 PoE 전원을 통해 랜케이블로 전원을 공급받는 방식)

Wireless 802.11 a/b/g/n 802.11an + bgn Dual-Band Concurrent MIMO

Antenna 2 ⅹ 2 2.4Ghz, 5Ghz Dual-Band 4 dbi

CPU MIPS processor core High-performance wireless network processor

MEM 64MB SDRAM,

16MB Flash memory

Signal Range 반경 30 m (장애물 없는 경우이며 환경에 따라 다름)

Air-Sentry



AirAirAirAir---- Sentry Sentry Sentry Sentry 탐지탐지탐지탐지 및및및및 등록정보등록정보등록정보등록정보



AirAirAirAir---- Sentry Sentry Sentry Sentry 무선랜무선랜무선랜무선랜 그룹그룹그룹그룹 설정설정설정설정



AirAirAirAir---- Sentry Sentry Sentry Sentry 그룹관리그룹관리그룹관리그룹관리 및및및및 통제통제통제통제정책정책정책정책



AirAirAirAir---- Sentry Sentry Sentry Sentry 통제정책통제정책통제정책통제정책 ((((미인증미인증미인증미인증 패킷패킷패킷패킷 전송방식전송방식전송방식전송방식))))



WNAC vs WIPS

Availability

1111 • 무선 환경의 잠재적 위협에 대응

• 무선망의 가용성 강점

Deep Inspection

2222 • 위협을 탐지하기 위한 깊은 정보

• Packet, Signal level 위협 탐지

WiFi Enforcement

3333 • 무선(WiFi)통신 제어

High Cost

4444 • 무선인프라구축보다 더 많은 비용 소요 • 고가로 인해 부분적인 구축(예:본점만 구축)

으로 끝남

Access Control

1111 • 무선 단말의 불법적 내부 접근에 강점

• 무선망에 불법적인 접근 차단이 우선

• 무선을 이용한 우회 경로 탐지/차단이 우선

Deep View (Visibility)

2222 • 무선망 보호하기 위해 정책 수립, 판단을 위한 종

합정보가 중요

• Platform Auto Update Service

Deep Enforcement

3333 • 내부망 접근 제어(by 유선센서)

• PC Agent connection blocking

• Switch Port Blocking

Reasonable Cost

4444 • Genian NAC를 사용 중이라면 무선센서 추가로

쉽게 확장 • 센싱(무선센서)과 차단(유선센서) 분리




NAC 기본정책안 구 분 내 용 IP/MAC 인증

(비 인가 단말 통제) 사용자 인증

(기존 시스템 연계) 필수S/W 설치/유

도 N/W 접근 권한 비 고

비 인가 단말 통제

내부 네트워크 접속하는 모든 단말 관리자가 승인하지 않은 IP, MAC은 네트워크 접속 차단 및 안내페이지

유도 • DHCP 환경 고려 (MAC차단적용)

예외 단말 스마트폰, 프린터, 네트워킹 장비,

VOIP 등 IP/MAC 인증 예외

• CCTV, 녹취 server/Clien, 방송용IP 등 담당자가 인지하지 못하는 IP들이 다수 존재 주의 필요

내부직원 인증계정 있는

내부직원

운영팀 적용 적용 적용 ALL

• 필수 S/W 사전 점검 (DRM, 백신, PC보안, USB통제 등) • NAC 보안정책 위반 시 업무 차단, 모두 차단 등 유연하게 정책 적용 가능 • 내부직원은 사용자 인증 연계

일반 사용자 적용 적용 적용 ALL or 제한권한

공용 PC/노트북 적용 적용 적용 ALL or 제한권한

기타 (Unix) 적용 예외 ALL or 제한권한

서버팜 내부 업무 시스템

개발 용도 서버 시스템 예외

외부 개발자 협력업체, 외부 개발자 적용 적용 적용 업무상 필요 접속 권한

방문자 네트워크 사용이 필요한 방문자 적용 사용자 등록

(NAC DB 저장) 적용 or 미적용

인터넷만 허용 업무 네트워크 제

한

• 방문객을 위한 사용자 계정 신청/승인 지원


지니네트웍스㈜ 연혁


지니네트웍스㈜ 인증서


주요 고객사

공공 기업

Documents

Genian NAC Suite - 트리플네트웍스(주 ... datasheets.pdf · 최근 기숯 내부 네트워크숷 접셏하는 다양한 장비((((스마트폰, voip, cctv, 테블릿pc, 넷북