e0f111b0e4397d1e5eaa2914f5a9e0f7.ppt
- Количество слайдов: 28
Aruba Networks 무선랜 제안서 ㈜다몬미디어 서울시 중구 신당 2동 432 -1 미래빌딩 208호 ☎ (02) 2235 -2880 URL : www. damonmedia. co. kr
무선랜의 개요 ◈ 이동성 보안성 개요 -무선 랜(Wireless LAN)이란 사무실, 학교, 상가, 지하철 역 구내 등과 같이 제 한된 옥내 또는 옥외 환경에서 유선케이블 대신 무선 주파수를 이용해 네트 워크 환경을 구축한 것을 말한다. -무선 랜은 배선이 필요 없고 단말기의 재배치가 용이하며 이동중에도 통신 이 가능하고 빠른 시간 안에 네트워크 구축이 가능하다는 장점이 있는 반면 에 유선 랜에 비해 상대적으로 낮은 전송속도와 한정된 무선 주파수를 공용 으로 사용함에 따라 신호 간섭이 발생할 수 있다는 단점이 있다. -간섭을 줄이고 성능 향상을 위하여 기술적으로 보완하여 유연한 트래픽관 리와 주파수 신호에 대한 Self교정 기능이 있고 단말기의 최적화된 전송속도 를 제공하면서 완벽한 보안을 구성해야 한다. q 유선과 무선과의 구축 비용 사례: 년간 Page
무선랜 구조의 변화 중앙집중형 스위치 아키텍쳐를 통한 무선랜의 보안성, 성능, L 3로밍, TCO 해결 !! ->교수망과 학생망이 분리가 안됨 Centralized WLAN Switch -> 타인들의 학교망에 쉽게 접근 Management Policy Mobility Management Forwarding Policy Encryption Mobility Forwarding Encryption Authentication “Fat” Access Points 802. 11 a/b/g Antennas Leacy LAN : 링크시스, 프락심, 모토롤라, 심볼, FAT AP 3 Com, FAT AP Cisco Page 802. 11 a/b/g Antennas “Thin” Access Points
AP 단독 무선랜의 구조적 문제점 Internet n 보안의 위험 - 802. 11표준 자체가 보안을 위한 것이 아닌 접속을 위한 표준 - AP와 User구간만 인증 암호화가 되어 보안 취약 발생 Firewall - FAT AP의 CPU 성능한계로 인한 단순한 WEP Key 암호화 방식으로 구현 하여 해커들의 불법 침입에 무방비 노출 ※ 실제 사례 : “ 서울 모 백화점 무선랜 구축 후 고객 정보 누출 위험” 2007년 9월 10일 KBS, MBC, SBS 3개사 방송 비암호화구간 Backbone Switch Workgroup Switch Hacker n Fat. AP 고 투자 비용 - 보안 강화된 알고리즘(WPA, WPA 2 암호화)으로 구현할 경우 CPU AP to USER WEP KEY 암호화 방식 n 통합 관리 기능 부재 Public Hotspot (Internet ) Br Corporate (no WLAN) 성능이 우수한 장비 요구 -> 고비용의 설치비 필요 - 관리 및 Trouble shooting의 어려움 - 구내 다수 AP를 설치 운영하는 경우 관리 부하 가중 - 통신인프라 및 사용자 / 서비스의 체계적 관리 불가능 ing idg - 설계/구축/운영상의 환경변화에 능동적인 통신인프라 체계적 대응 불가 Wired LAN Corporate (no WLAN) Rouge AP n 서비스 품질 저하 - 층내 또는 한정된 지역내의 휴대형 통신으로 제한. Neighbor Unauthorized Wifi Neighbor Hotspot Page - 연속성을 요구하는 멀티미디어 통신에서 품질 보장 기능 결여. Hacker - 첨단 고객서비스로의 진화 불가능
단독 AP 무선랜의 문제해결 방안 Internet n 보안 강화 - End To End 기존 유선 전구간 암호화 - 보안 취약한 WEP Key 암호화 방식에서 강력한 알고리즘인 WPA, WPA 2 암호화로 구현 - 인증서버, 위치추적서버, 무선NMS가 기본 내장된 무선랜 스위치로 보안 강화 Firewall 무선랜 스위치 n 가격 대비 비용 저렴 - 별도의 추가 장비 없이 통합된 무선랜 스위치로 구현 가능 - 관리 및 Trouble shooting 관리 용이 Backbone Switch Workgroup Switch Fat. AP End To End 전구간 802. 1 x 인증 WPA, WPA 2 암호화 n 통합 관리 기능 - 통합된 Web NMS에서 AP 및 사용자 관리 가능 - 다양한 설계/구축/운영 가능 - 24시간 원격 모니터링 가능 n 서비스 품질 향상 - 빠른 로밍으로 인한 성능과 속도 체감 효과 증가 - 멀티미디어, 화상통신과 같은 고 대역폭 품질 보장 - Qo. S 보장과 대역폭 필터링 기능 - 중앙으로 오는 트래픽을 처리 할 수 있는 ASIC 프로세스 구조의 무선랜 스위치로 성능 보장 Page
단독 AP 무선랜의 문제해결 구현 통합 인증 + 암호화 시스템이 내장된 스위치를 통하여 문제 해결 Internet 사용자 인증 Firewall Backbone Switch 무선랜 스위치 Workgroup Switch Fat. AP End To End 전구간 802. 1 x 인증 WPA, WPA 2 암호화 § 동일한 무선랜 인프라에서 교사망과 학생망의 네트워크 분리 § 네트워크 접근시 IEEE 802. 1 x를 통하여 인증된 사용자의 네트워크 접근 과 사용자 데이터를 암호화 하여 전구간에서 보안을 강화 Page
데이터 암호화를 위한 전용 ASICs 데이터의 암호화는 S/W로는 처리가 어렵고 ASIC으로 처리 => 성능과 속도가 보장이 됨 !! 암호화를 위하여 별도로 비용이 발생 ? => 도입되어지는 시스템에 문제가 있다는 이야기임 => 추가 비용이 없어야 함 데이터의 종류별로 전담 ASIC을 두어 병렬처리를 통하여 암호화시 성능 저하가 없도록 다수의 ASIC이 있어야 함 Wireless Control Processor Page Wireless Packet Processor Wireless Security Processor L 2/L 3 Switch (Line. Card)
완벽한 무선랜 구조 사용자 인증을 받은 후에 데이터를 End에서 End까지 암호화 하고 무선 방화벽이나 IPS에 대한 정책을 설정 -> 완벽한 보안 가능 End Authentication Encryption 2. 암호화 1. 인증 VPN Virtual AP 1 SSID: CORP Virtual AP 2 SSID: GUEST Thin Access Point 3. 무선 Firewall, IPS 정책설정 Trusted user, Trusted host Trusted user, Un-trusted host Un-trusted user RADIUS Guest user Firewall Default VLAN DHCP Pool Central WLAN System Page End Firewall Captive Portal 802. 1 x Policy Enforcement Captive Portal Layer 2/Layer 3 Infrastructure
802. 11 i 보안 표준 내용(1) n 무선랜 보안을 위한 802. 11 i § 무선랜 보안의 정의 - 사용자 인증, 접근제어, 권한 검증, 데이터 기밀성, 데이터 무결성, 부인방지 및 안전한 핸드오프 를 전반적으로 만족하였을 경우 무선랜 보안 시스템이라함 § 무선랜 보안의 출현 배경 - 무선랜 초기 보안 규격인 WEP(Wirelss equivalent Privacy) 알고리즘의 취약성 발생 - WPA, WPA 2 알고리즘과 같은 보안 강화된 암호화 프로토콜 사용 n - 무선랜을 액세스 제어와 무선랜을 이용한 안전한 통신 환경 보장을 위함 무선랜 기반에 사용자 인증 개념도 무선 단말 AP 무선랜 인증 스위치(ex: Radius) 인증요청 인증단계 인증확인 암호키 교환 4 Way 핸드쉐이킹 암호키 교환 단계 데이터 요청 암호화 통신 <무선랜 인증 개념도> Page
802. 11 i 보안 표준 내용(2) n 802. 11 i의 보안 요소 기술 - IEEE 802. 11 i표준은 무선랜 사용자 보호를 위해 사용자 인증 방식, 키교환 방식, 무선구간 암호화 알고리즘 정의 § 사용자 인증 방식 - IEEE 802. 1 x 방식: 접속포트에 기반한 접근 제어 정의, 인증서버에 의한 인증 수행 - 사전 공유키 방식 : 인증서버가 없는 대신, AP와 단말간 미리 특정키 약속 - 선인증 방식의 마스터키 캐쉬 기능을 이용해서는 인접AP에게 미리 인증을 수행하여 핸드오프시 연속적인 통신이 가능하도록 하는 큰 특징이 있음 § 표준 키교환 방식 - 4 Way 핸드 쉐이크 방식 - 키의 종류로는 사용 대상에 따라, 단말-AP, 다수 단말-AP, 단말-단말에서 사용할 수 있는 키를 교환 함 § 암호화 알고리즘 - WEP의 알고리즘의 취약성을 해결한 TKIP(Temporal Key Integrity Protocol) 사용 n - AES 알고리즘을 사용한 CCMP(Conuter Mode with CBC-MAC Protocol) 기대효과 § 802. 11 i의 선인증방식의 적용을 통한 실시간 핸드오프를 요구하는 Vo. IP의 응용에 사용 가 능 § 무선랜 보안을 통한 안전한 전자상거래 기반 구축 § 미인증 사용자의 접근 제어를 통한 보안 사고 예방 Page
아루바 제품 구성 Aruba 6000 Aruba 2400 Aruba 804 적용 사이트 대규모 캠퍼스 중소규모 빌딩 소규모 지점 사이즈 3 U 1 U 1 U 1 U 최대 AP 수 512 48 16 4 8192 512 256 60 스위치 용량 24 Gbps 2 Gbps 1 Gbps 암호화 처리용량 7. 2 Gbps 400 Mbps 200 Mbps 동시 사용자수 Aruba OS AP 60 Page AP 61 AP 70 AP 80 AP 65 AP 41 1. 2. 3. 4. 5. 6. 7. TM Software Module Identity-based Stateful Firewall Wireless Intrusion Protection VPN Server Advanced AAA Services Client Integrity Module External Services Interface Remote AP
Aruba 기능(I) : RF Planning Tool Page
실시간 무선 주파수 분포도 § AP 설치와 동시 실시간 무선환 경 확인 § 수작업에 의한 시간 및 인건비 절감 § 실시간 확인정보 § Signal-to-Noise Ratio (SNR/잡 음률) § 주파수 간섭 § 전송속도 별 통신범위 § 음영지역 확인 Page
Self-Calibrating(교정) 및 로드 발란싱 실시간 calibration으로 각 AP간의 채널과 파워를 조정 Page
Self-Healing(치료) 무선랜 x Page • AP에 장애가 발생하면 주위의 AP가 이를 감지하여 파워세기를 조정, 음영 지역을 최소화 • 고장난 AP를 단순한 교체만으로 사용 가능(Plug & Play)
사용자와 Access Point 관리 불법, 간섭, 유효 AP로 동적으로 분 류 하여 관리. 필요시 각각의 AP의 타입 변경 가 능. 사용자의 위치와 어느 AP에 연결되어 있는지 관리 가능. 사용자의 네트워크 사용량 확인 가능 Page
완벽한 보안을 위해 추 가적으로 필요한 요소 들 Page
1. 불법 AP 탐지 및 차단 불법, 간섭, 유효 AP로 동적으로 분류 하여 관리. 필요시 각각의 AP의 타입 변경 가능. 사용자의 위치와 어느 AP에 연결되어 있는지 관리 가능. 사용자의 네트워크 사용량 확인 가능 Locate the rogue AP Rogue AP Page 특허 기술인 AP 타입 분류 기술이 바로 Key! Air Monitors
2. 위치 추적 기술 § 삼각 측정법에의한 위치 추적 (1미 터 이내) RSSI = X § 실시간 위치 추적 § 사용자가 이동함에 따라 스위치의 명령에 의해 AP가 위치를 정교히 추적 § Eliminates manual walkabout to fingerprint RF propagation § 단말 종류에 RSSI = 추적 The device/user is located 상관 없는 위치 Z 가능 RSSI = Y Page
3. WI-Fi Phone을 위한 Qo. S 1. 무선랜 인프라 위에 올라갈 어플리케이션이 Wi-Fi Phone 2. Wi-Fi를 사용하기 위하여는 무선랜상에서의 Qo. S가 필수 3. 설치된 무선랜이 Qo. S를 지원하지 못하면 재투자를 하여야 함 [ 일반 무선랜] VLAN 1 = High Priority SIP Server ü VLAN / 단말에 대응한 우선권으로는 복합단말 또는 다양한 트래픽이 공존하는 동일 VLAN상에서 Qo. S 보장 못함 [ 아루바 스위치] HTTP Flow = Low Priority SIP Flow = High Priority Page SIP Server
4. 무선 해킹에 대한 탐지 및 차단 Page
5. 차세대 기술 IPv 6 단계적 지원 n 특성 - IPv 6와 기존 IPv 4 사이의 가장 큰 차이점은 바로 IP 주소의 길이가 기존 32비트에서 128비트로 증가 IPv 6는 여러가지 새로운 기능을 제공하는 동시에 기존 IPv 4와의 호환성을 최대로 하는 방향으로 설계 - 호스트 주소 자동 설정 : IPv 6 호스트는 IPv 6 네트워크에 접속하는 순간 자동적으로 네트워크 주소를 부여 - 패킷 크기 확장 : IPv 4에서 패킷 크기는 64킬로바이트로 제한되어 있으나 IPv 6의 점보그램 옵션을 사용하면 특정 호스트 사이에는 임의로 큰 크기의 패킷을 주고받을 수 있도록 제한이 없어지게 되어 효율적 설계 가능 - 효율적인 라우팅 : IP 패킷의 처리를 신속하게 할 수 있도록 고정크기의 단순한 헤더를 사용하는 동시에 확장헤더를 통해 네트워크 기능에 대한 확장 및 옵션기능의 확장이 용이한 구조로 정의가 가능 n IPv 6 주소공간 - 32비트 주소공간이란, 32 bit로 표현할 수 있는 주소영역을 지칭한다. 32 bit에 의해 생성할 수 있는 모든 IPv 4 주소는 232개이다. 약 42. 9억개의 주소에 해당되고 IPv 6의 128비트 주소공간은 128 bit로 표현할 수 있는 2128개의 IPv 6 주소영역을 지칭하며 약 3. 4 x 1038개의 주소를 갖는 주소 영역 - IPv 4 주소에 비해 IPv 6 주소는 그 표현 bit 수가 128 bit로 IPv 4의 32 bit에 비해 4배가 되었지만 생성되는 IPv 6 주소공간 영역은 IPv 4 주소공간에 비해 296배의 크기 - IPv 6 주소공간은 향후 인터넷에 등장할 대량의 유비쿼터스 통신 장치들이 상호 통신을 할 수 있는 주소공간을 제공하여 냉장고, TV, AV 스피커, DVD 플레이어, 홈 보안장치, 전화기 등 각 요소 장비들이 지능화하면서 동시에 무선 인터넷 등을 통해 상호 통신할 수 있도록 각 장치(device)에 IPv 6 주소를 제공 - 128 bit의 주소공간은 지표면의 모든 공간에 10 m 2당 1개씩의 IPv 6/48 네트워크를 제공 Page
2007년 수상 내역 - 최고의 제품 Best of Interop 2007: Wireless & Mobility Category 인터롭 2007: 최고의 무선 및 Mobility 부문 Network Computing Wireless Product of the Year 2007 Network Computing誌 2007년 무선제품상 Wireless Broadband Innovation Award 英 Wireless Broadband Innovation 무선 보안 부문 Secure Computing Magazine Best Buy Award Secure Computing誌 선정 Best Buy Award Page
수상 내역들 – 최고의 제품 2006 2005 Page
아루바 구축사례(한국) Page
아루바 구축사례(해외) Marquee Customers Crossing All Verticals and Geographies Enterprise Page Financial Technology Services Education Healthcare Government
무선랜 비교 자료 Feature (Cisco) 4402 : 12, 25, 50개 4404 : 100개 (3 com) AP 지원 갯수 일괄 관리 (다수의 추가 무선 스위치) Master장비 통합 관리 각 스위치 별 관리 인증서버 자체 / 별도장비 별도장비 SSID 별 VLAN 지원 갯수 128 1 ? Dynamic RF Management 자체 받화벽 No No Integrated IDS No IDS Containment for Wired & Wireless LAN No No Integrated VPN Termination No Remote Diagnostic (Packet Capture) No No Voice CAC Support No No L 3 Forwarding and Routing between VLANs No No NAT No No DHCP ? ? ICSA 무선 보안인증 인증 No No CC인증 임박(05년 11월 신청) No No 802. 11 i 무선 모안 프로트콜 인증(미표준국립기술원) No No 암호화 키 보관 무선랜 스위치 AP AP 암호화 구간 Page 6000: 512개 무선랜 스위치 <-> PC AP <-> PC 120개
감사합니다. RF(무선) 신호는 이제 언제, 어디에나 존재합니다. 이것은 마치 건물 외벽에 RJ-45 포트가 있어서 누구든지 케이블을 연결해 사용하는 것과 동일합니다. 그 동안 보안이 우려되어 무선 인프라에 대한 계획을 계속 미뤄왔습니다. 이제, 더 이상 미루실 이유가 없습니다. 완벽한 보안은 물론, 관리자들의 운영 부분까지 고려한 최적의 아루바 솔루션을 소개 드립니다. ㈜다몬미디어 서울시 중구 신당 2동 432 -1 미래빌딩 208호 ☎ (02)2235 -2880 URL : www. damonmedia. co. kr Page
e0f111b0e4397d1e5eaa2914f5a9e0f7.ppt