mirage nac the most powerful agent-less nac

Mirage NAC The Most Powerful Agent-less NAC

2008콤우시스템 신상윤 이사 010-4842-9153 / [email protected] 이노코아 오상훈 팀장 : 010-5586-5534

CONTENTS

NAC (Network Access Control) The Market NAC 의 정의

Mirage NAC Mirage NAC Mirage NAC 의 특장점 Mirage NAC 의 주요 기능 Mirage NAC 의 구성 및 관리 Mirage NAC Products 타제품과의 비교

Mirage Networks 소개

The Market

“Protection” is in place: 90% 의 기업이 antivirus software 를 이용함 88% 의 메일을 필터링하는 솔루션을 사용함 70% 의 기업이 Firewall 과 VPN 등의 솔루션을 사용함

But it’s not enough – in 2004: Malware 에의한 피해 증가 : $169B - $204B Affected: 200 개 이상의 국가의 1 억 1 천 5 백만대 이상의 단말이 피해를 입음 80% 의 미국기업이 피해를 입었으며 그중 30% 는 100 회 이상의 웜에 의한 피해를

경험 함

Per incident impact: 평균 시스템 다운 타임 : 17 hours 평균 개인 업무 손실 시간 : 24 days

The Market

Aberdeen Research, 2006

NAC 솔루션을 도입하면서 IT 관리자들이 중점적으로 고려하는 것은

Day-zero 공격 차단 기존의 Network Infra 와의 통합 End-point 단말을 Remote 에서 관리 손쉬운 Management 기존의 Network Infra 와 독립적으로 운영 가능 손쉬운 구현 및 설치

The Market

2007 년 03 월 네트워크타임즈 보안관련세미나 조사 자료

최근 보안에 위협이 되는 부분은 ?

The Market


도입을 고려하고 있는 보안 솔루션은 ?

The Market


보안시스템 중 취약한 부분은 ?

NAC (Network Access Control) 의 정의

Network Access Control 또는 Network Admission Control 를 의미함

주요 요구 기능 보안정책을 강제하고 위협이 되는 Traffic 을 차단 사용자를 인증하고 정책을 위반하는 사용자를 차단 zero-day 및 기타 위협 요소를 차단

구분 Agent-based and Agent-less (Agent 유무로 구분 ) Switch-based and Appliance ( 장비의 형태로 구분 ) Switch vendor / Software vendor / NAC vendor ( 업체별로 구분 )

Network Access Control

Network 에 접근하는 사용자 및 단말을 제어하고 , Traffic 을 모니터링하여 문제가 되는 단말을 제어 ( 차단 등 ) 하여 네트워크의 안정성을 확보하고 , 정책에 기반한 네트워크 관리 구현

NAC (Network Access Control) 의 정의

Pre-Admission ( 인증 )

네트워크에 진입하는 사용자를 인증 네트워크에 진입하는 단말을 인증

관리자가 요구하는 수준을 통과하지 못하는 단말 차단 (Patch 상태 , 방화벽 설정 여부 , 보안프로그램 사용 등 ) 신규 접근 단말에 대한 인증

Quarantine &Remediation

Post-Admission (Threat Prevention)

네트워크의 위협 요소들을 검출 웜 및 바이러스에 감염된 단말을 검출

정책을 위반한 사용자들에 대한 검출 가능 (P2P 사용자 , 허용되지 않는 서비스 사용자 등 )

NAC 의 핵심기능

Mirage NAC

Post-Admission

( 진입 후 인증 )

Pre-Admission( 진입 인증 )

Quarantine & Remediation( 격리 및 치

료 )

Pre-Admission

사용자 인증 (AD, Radius, LDAP 과 연동 ) 단말 인증 (Patch 유무 , 백신 유무 , IP/MAC 인증 )

Post-Admission

정책을 위반한 단말 검출 웜 및 바이러스에 감염된 단말 검출 각 네트워크 세그먼트 별로 별도의 네트워크 사용 정책 적용

Quarantine & Remediation

정책을 위반한 단말 및 감염된 단말을 네트워크로부터 격리 격리된 단말에 격리와 관련된 안내 메시지 전달

Full Cycle NAC

Mirage NAC

Mirage NAC 의 Full Cycle NAC MAP

Mirage NAC 의 특장점

모든 환경에서 설치 가능 Agent 를 설치함으로 발생할 수 있는 문제로부터 자유 로움 설치 및 유지보수의 편의성

Agent_less

세계적으로 입증된 위협요소 탐지 솔루션 (2007 년 SC Magazine 단말 보안 부문 최고 솔루션 선정 ) 네트워크의 안정성을 극대화 대규모 네트워크 환경에서도 최단 시간 내에 유해 트래픽 검출

강력한 탐지 기능

Dynamic 한 격리 ( 격리 후 안내 메시지 전송 , 격리 후 특정 서버로의 접속은 허용 ) 차단 된 이유에 따라 격리 시간을 조절이 가능

격리 및 치료

IP / MAC 관리

Network 에 연결된 모든 단말의 IP 및 MAC Address 를 관리 사용 IP 및 미사용 IP Address 를 구분하여 관리

등록되지 않은 IP / MAC Address 에 대하여 접근 제어를 실행 IP 및 MAC Address 변조 방지

Mirage NAC 의 주요 기능 – IP/MAC 관리

IP / MAC Locking

단말 NOTE 작성

정책 강제화

특정 Profile 에 등록

Known 단말로 등록

사용자 및 단말 인증 (ACS Server 사용 )

IP 및 MAC Address 에 대한 인증 수행

별도의 Agent 를 설치할 필요 없이 모든 인증을 수행 (RADIUS, LDAP 등 ) 기존의 인증 솔루션들과의 완벽한 연동

최신 Patch, 백신 설치 유무 등에 대한 확인 가능 인증을 통하여 인증 되지 않은 단말에 안내 Message 를 전송

차단된 이유 및 등록화면 , 연락처 등 고객이 화면 Customizing

Mirage NAC 의 주요 기능 - 인증

Network Scanner

자체 Network Scanner 를 내장 (Foundstone) 네트워크 스캐너를 통하여 단말의 현재 상태를 확인 새롭게 접속한 단말 및 문제가 있는 단말에 대하여 Scan 시행

새롭게 Network 에 접근하는 단말에 대하여 Risk 평가를 위한 Scan 시행 문제가 있어 차단된 단말의 Network 복귀 가능 여부 확인을 위해 Scan 시행

Risk 평가를 위한 별도의 Network Scanner 불필요 Risk 평가를 통과한 단말만 Network 에 접속이 가능하여 Network 의 안정성 유지

Mirage NAC 의 주요 기능 – Network Scanner

Behavioral Technology

모든 Packet 를 Signature 를 기반으로 확인하여야 하는 Signature Base 제품의 한계 Network 의 중간에 위치하여 모든 Traffic 을 분석하여야 한다 ( 성능 한계 ) 지속적인 Signature Update 및 Day-Zero 차단 한계

Behavioral Technology Worm 및 Virus 들이 유발하는 Traffic 유형을 판단 정상적인 Traffic 과 유해 Traffic 을 기존 Rule Set 을 바탕으로 판단 정확한 탐지를 위하여 “ Dark IP Address 사용” 등 특허 기술 사용

30Giga Traffic 이 흐르는 Network 에서 23 초 내에 유해 단말 검출 및 차단 시행 (Network Magazine BMT 측정 )

Mirage NAC 의 주요 기능 – 행동 기반 탐지

유해 트래픽 탐지를 위하여 행동기반탐지기술을 이용 단말들이 통신하는 형태 ( 행동 ) 을 분석하여 유해 여부를 판단

Mirage NAC 의 주요 기능 – 행동 기반 탐지

Using Dark IP Space

사용하지 않는 모든 IP Address (Dark IP) 대역을 활성화 보안에 취약한 가상시스템 생성 (Linux, Windows 98, Windows XP 등을 자동으로 생성 )

위협요소를 가지고 있는 단말은 위협요소 전파를 목적으로 모든 단말에 접속을 시도 ( 공격 초기 Scan 실시 등 ) Dark IP Space 로 과도한 접속을 시도하는 단말을 검출하여 차단

사용하지 않는 모든 IP 들을 활성화 Dark IP Block 으로 접속을 시도하는비정상적인 단말 확인 위협 단말을 네트워크로부터 격리

Mirage NAC 의 주요 기능 – Dark IP Space

Dark IP Space 에 가성의 Decoy 생성 Decoy 는 보안에 취약한 Linux, XP, Windows 의 가상 머신 실제 머신처럼 Port 를 Open 하여 해킹이나 바이러스를 탐지한다

Dark IP Space 에 가성의Decoy 생성

Worm 등의 Scanning 을 수행하면서Decoy 에 접속 응답을 거부하여 공격지연

Mirage NAC 의 주요 기능 – Decoy

일반적인 공격의 경우 공격 지연 방법

Mirage NACMirage NAC 가 생성한 가상의 미끼가 생성한 가상의 미끼 (Decoy)(Decoy) 가 공격자에게 가 공격자에게 MSS(Maximum Segment Size) MSS(Maximum Segment Size) 값을 최소화하여 응답값을 최소화하여 응답공격자는 패킷을 세분화하여 전송공격자는 패킷을 세분화하여 전송 (( 속도 지연속도 지연 ) ) 후 정상적으로 패킷이 전송되었는지에 대한 확인을 요청함후 정상적으로 패킷이 전송되었는지에 대한 확인을 요청함

가상의 미끼는 요청에 대해 전송이 잘못되었다는 응답과 재 전송을 요청함으로써 공격지연가상의 미끼는 요청에 대해 전송이 잘못되었다는 응답과 재 전송을 요청함으로써 공격지연

Mirage NAC 의 주요 기능 – 공격지연

감염된 단말의 ARP Table 을 조정 감염된 단말은 모든 IP Address 에 대한 MAC 주소가 NAC 장비로 Setting 됨 감염된 단말의 모든 Traffic 은 NAC 장비로 유도 됨 유도된 Traffic 은 Mirage NAC 가 Drop

Mirage NAC 의 주요 기능 – 다이나믹 격리

Network 로부터 격리된 단말에 치료를 위한 화면 표시

표시되는 화면은 Customizing 가능 차단원인 , 치료방법 , 연락처 등을 수록하여 표시

차단된 단말을 백신서버 및 Patch 서버로 포워딩

치료 후 Re-Scan 을 시행하여 문제 존재 여부 확인

가능한 치료를 수행 후 Re-Scan 을 시행 Scanning 하여 문제가 없다고 판단되는 네트워크로 복귀

관리자의 작업을 최소화

Mirage NAC 의 주요 기능 – 격리 후 조치

Mirage NAC 의 주요 기능 – 격리 후 조치

치료를 위하여 특정서버로의접속은 허용

차단된 원인에 따라 안내 화면 송출

Mirroring Port

Writing Port

Management Port

Switch NAC

Switch 에서 Mirroring Port Setting ( 다수의 VLAN 구성 시 Mirroring port 를 Trunk Port 로 설정 ) Setting 된 Mirroring Port 를 NAC 의 Reading Port 와 연결

Mirroring Port 이용 ( 장애 요인 최소화 ) 손쉬운 적용 ( 설치에 필요한 시간 약 30 분 ) / 설치와 동시에 적용 가능 특정 Vendor 의 제품을 사용하여야 한다거나 , 특정 OS 을 사용하여야 하는 제약조건 없음 (Infra-Independent) 별도의 Agents 설치 필요 없음

정책서버 등 각종 추가장비 설치 필요 없음 성능의 구현을 위하여 여러 제품들과 반드시 연동을 하여야 하는 불편 없음

Mirage NAC 의 구성 및 관리 - 설치

Switch

Main SwitchMirage NAC

Mirage ACS인증서버 (AD 등 )PMS, Virus Server 등

Web Server

최신 Patch 유무 백신 설치 유무 사용자에 대한 인증

Mirage NAC 의 구성 및 관리 - 설치

MOC (Monitoring Console)최초 네트워크 진입 시유해 트래픽 검출 시

네트워크로부터 격리 격리 안내 화면 송출 특정 서버로 접속을 허용

VALN 01 VALN 02

모든 정책들은 정책들을 포함하는 Profile 을 통하여 관리 기본적인 Profile외에 정책에 따라 Profile 의 생성 및 변경이 가능 생성된 Profile 을 이용하여 Zone 을 생성 생성된 Zone 별로 진입 제어 및 차단 등에 대한 정책을 수립하여 적용

Profile A

Profile B

Profile C

Profile D

Profile E

Profile F

Profile G

Profile H

Zone A

Zone B

Zone C

Zone D

정책 A

정책 B

정책 C

정책 D

예 ) “외부사용자 Profile” 및 “ FTP 서비스 사용 Profile” 을 포함하는 Zone 에 단말이 검출되면 , 30 초 동안 차단하고 안내메세지를 송출하는 정책을 적용

Mirage NAC 의 구성 및 관리 - Profile 정책 관리

Mirage NAC 의 구성 및 관리 - Profile

Base Behavioral Profiles

Denial Of Service ICMP Flood DoS 감지 . Threshold 값 설정 및 조정IRC Heartbeat

Mass MailerDNS Mail Lookup

Mail 로 전파되는 Worm 감지Too Many SMTP HostsToo Many SMTP Syns

Protocol Violation

Bad Packet - all flags

불법적인 Packet Header 의 변조 감지Bad Packet - no flagsBad Packet - SYN|FINBad Packet - URG OnlyBad Packet - Xmas Tree

Reconnaissance

hping Usage

해킹 툴을 이용한 네트워크 , 포트 스캔을 감지 .Dark IP Space 를 지속적으로 모니터링 함으로서 감지 속도 향상 .Snaring 기술 (Decoy 적용 ) 을 적용하여 스캔의 속도를 저하시킴 .

nmap UsagePort ScanTCP ScanToo Many ManagedToo Many UnmanagedToo Many UnusedUDP Scan

Unused Contact

Base NAC Profiles

Device Roles

FTP Servers Authorized FTP Servers 등록된 FTP 서버 리스트Unauthorized FTP Servers 등록되지 않은 FTP 서버 자동 감지

GatewaysAuthorized Gateways 등록된 게이트웨이 리스트Unauthorized Gateways - Endpoints 등록되지 않은 게이트웨이 ( 공유기 등 )

자동 감지Unauthorized Gateways - RoutersMail Servers Authorized Mail Servers 등록된 메일 서버

Unauthorized Mail Servers 등록되지 않은 메일 서버 자동 감지

PhonesAuthorized Phones 등록된 IP 폰 리스트Soft Phone Usage 소프트웨어 IP 폰 사용 단말 지동 감지Unauthorized Phones 등록되지 않은 IP 폰 자동 감지

Web Servers Authorized Web Servers 등록된 웹 서버 리스트Unauthorized Web Servers 등록되지 않은 웹 서버 자동 감지

Printers 프린터 자동 감지

Network Properties Routing Devices 라우터 자동 감지Wireless Devices 무선 랜카드 사용 단말 자동 감지

Operating SystemsLegacy Windows Devices O/S 별 네트워크 접속 통제 가능 .

Unknown, Windows, Linux, Palm, Solaris, Nokia, Windows Mobile, MacOS X,MacOS Classic, Cisco, Embedded, Extreme 등

Linux DevicesMac DevicesWindows Devices

MAC/IP Lock Violations MAC / IP 임의 변경 감지 .

Default Profile

Mirage NAC 의 구성 및 관리 - Profile

Device Lists

Configured Gateways

디바이스의 종류를 역할 별로 구분 관리하며 , 각각에 적정한 보안 정책을 적용 가능 .등록되지 안은 Unknown Devices 에 대하여 차단 또는 네트워크 스캔 (FOUNDSTOME) 적용 가능 .도난 당한 단말을 Stolen Device 에 등록하여 영구 차단 .

FTP ServersIP Telephony ServersKnown DevicesKnown Devices - Manual InclusionKnown Devices - Manual ListMail ServersPhonesStolen DevicesUnknown Devices

Web Servers

Instant Messaging

AIM/ICQ Usage

AOL, ICQ, IRC, MSN, 야후 등 채팅 , 메신저 사용 단말 감지과도한 Instant Messaging 사용 통제 가능 .P2P 등의 접속 패턴을 등록하여 차단 가능 .

Excessive AIM/ICQ UsageExcessive IRC MessageExcessive MSN Messenger UsageExcessive Yahoo! Messenger UsageIRC MessageMSN Messenger UsageYahoo! Messenger

IP Telephony

H.323 CGQ Port Flood

VoIP 용 H323, SIP 관련 프로파일 .

Incoming Non-IP Tel ConnectionOutgoing Non-IP Tel ConnectionSIP Invite FloodSIP Registration FloodUnauthorized TFTP

새로운 Profile 생성

사용자의 네트워크 운영 정책에 따라 검출하고 , 차단하고자 하는 단말 및 서비스에 대한 Profile 생성 “Profile 생성 위저드” 기능을 이용하여 손쉽게 생성이 가능 모든 Profile 은 AND 및 OR 등을 통하여 생성 및 변경이 가능

Default Profile

Mirage NAC 의 구성 및 관리 - Profile Profile 생성 예

통신 Source 와 Destination 표시

포함되는 통신 유형

특정시간에 접속빈도를 표시

포함되는 않는 통신 유형

특정 Packet 의 offset 값을 판단

특정 Packet 및 Application 에 대한 차단 가능

Mirage NAC 의 구성 및 관리 - MOC

MOC Monitoring

5 개의 Priority 로 구분하여 모든 단말의 상태를 확인 VLAN 별로 단말의 상태 확인

특정 단말의 Stream 을 표시 단말이 통신한 IP 및 Port 등 표시 각 단말의 Event 정보 표시

단말의 정보 표시 단말의 IP 및 MAC, 사용자 정보 표시 단말이 현재 상태를 Profile 별로 표시

Address Space 표시 실제 사용 IP 및 가상으로 생성된 IP 정보 표시

Scanning 한 단말의 정보 표시 단말의 OS, 서비스 Port 정보 표시

Central Management

별도의 MOC 를 통하여 여러 대의 NAC 를 중앙에서 집중 관리 정책관리 및 각종 보고서 등을 통합적으로 관리 전체 네트워크 및 개별 세그먼트 네트워크의 현 상태 점검 및 모든 Activity 확인

Mirage NAC 의 구성 및 설치 – 중앙 관리

네트워크를 세그먼트 별로별도의 정책으로 관리

각 세그먼트 별로그 중요성 및 필요성에 따라

정책을 설정하고 ,설정된 정책에 따라 관리

관리자의 작업을 최소화하여 ,업무 효율성을 증대

자체적으로 위협을 감지하고 ,차단하고 , 치료하여

내부 네트워크를 안전하고 효율적으로 관리

Mirage NAC 의 구성 및 설치 – 구성 예

Mirage NAC Products

MODEL N-245성능 Supports 2,500 Active Endpoint

모니터링 트래픽 Supports up to 1GB

네트워크 포트 1 Management port / 4 X 10/100/1000 Port

사이즈 2U Rack Mountable

Server 기능 지원 ( 최대 5 대의 NAC 관리 가능 )

MODEL N-145성능 Supports ~1.000 Active Endpoint

모니터링 트래픽 Supports up to 1GB



Server 기능 미 지원 (Stand Alone 으로 설치 )

NAC

MODEL N-120성능 Supports ~ 50 Active Endpoint

모니터링 트래픽 Supports up to 100M



Sensor Mode 만 지원 ( 별도의 관리 서버 필요 ) / 07 월 출시 예정

MODEL N-125성능 Supports 100 ~ 200 Active Endpoint

모니터링 트래픽 Supports up to 100M



Sensor Mode 만 지원 ( 별도의 관리 서버 필요 )

NAC 지원 단말의 숫자는 성능을 기준으로 함 N-120 / N-125 의 경우 별도의 관리 서버가 있어야 함

Mirage NAC Products

Management Server & ACS

Management Server M-2060

다수의 NAC 제품을 중앙에서 일괄 관리 모든 NAC 장비에 보안 정책 전송 및 변경 전체 네트워크 및 개별 네트워크 세그먼트의 현 상태 점검 NAC 장비의 설정을 백업 각 NAC 에 저장된 데이터를 분석하여 레포트 작성

ACS Advanced Compliance Server

인증 모듈 및 Deep Scan 모듈을 탑제 인증 모듈은 인증서버와 연동하여 사용자에 대한 인증을 수행 (LDAP. ARDIUS 등과 연동 ) 인증 방법은 웹을 통한 인증 Deep Scan 모듈을 단말의 상태를 확인하여 인증 단말의 Patch 상태 , 방화벽 설정 유무 , Anti Virus 프로그램 사용 유무 , Anti Spyware 프로그램 사용 유무 판단

사용자 인증 및 단말 인증에 실패한 단말에 인증 실패에 따른 안내 와면 송출 가능

타제품 비교

비교 항목 A 사 B 사 Mirage NAC

Agent 유무 설치 설치 불필요

Pre-Admission사용자 인증 인증서버와 연동 특정 Protocol 인증서버와 연동

단말 인증 타 Vendor Agent 와 연동 설치된 Agent 이용 Java Applet 이용

Post-Admission

Day-Zero 차단 X X O

Decoy 에 의한 공격감지 X 부분 O

Decoy 에 의한 공격지연 X X O

Behavioral Tech 부분 부분 O

Profile 생성 부분 부분 O

격리 및 치료

격리 안내문 X X O

격리 후 특정서버로 접속 X X O

Dynamic 격리 정책 X X O

Mirage Networks 소개 – Awards

Awards Info Security Hot Companies 2007 Best Anti-Worm, Anti-Malware, SC Magazine/RSA 2006 InfoSecurity Customer Trust Product Excellence Award, 2006 Software Development magazine: four star product review, May 2005

Mirage Networks 소개 – Customers

웜 및 바이러스 차단 목적으로 설치 지역 세관에서 웜 등이 발생하여 세관 업무에 장애 발생 ( 부산 세관에 문제가 되던 단말 등 탐지 , 차단 ) 본청 및 주요 세관에 우선 설치 (2006 년 ) 2007 년 전국 세관으로 확대 설치 ( 전국 약 30 개소에 설치 )

기존에 PMS 및 IP 관리 솔루션 등 사용 / 지속적인 지협적인 장애 발생 스파이웨어 및 웜에 감염된 단말 탐지 및 차단 본청 및 지역 센터에 우선 설치 (2007 년 ) 2008 년 전국의 세무서로 확대 적용 예정

웜 및 바이러스 차단 목적 / 인가되지 않은 사용자에 대한 차단을 목적으로 도입 인가되지 않은 사용자에게서 발생하는 문제 원천 차단 본청 및 주요 지역 센터 , 연수원에 설치 ( 전국 약 15 개소에 설치 )

내부 네트워크의 효과적인 관리 및 단말 관리를 목적으로 도입 내부 사용자들을 등록하여 단말을 관리하고 허용되지 않은 서비스 사용자 차단 본부에 설치

내부 단말 관리 및 유해 트래픽 차단 목적으로 도입 전체 VLAN 을 모니터링 하여 문제가 되는 단말을 탐지 / 차단

Mirage Networks 소개 – CustomersFinance Government Professional Services

Higher Education K-12 Manufacturing

Healthcare

Other

Mirage Networks 소개 – Partner

AT&T resells Mirage NAC in its managed services portfolio. Marketed as AT&T Managed IPS™, it represents the AT&T commitment to enabling business to be conducted effectively, efficiently and securely across both wired and wireless IP networks. (Signed March, 2005)

Part of the Avaya DevConnect Program, Mirage works with Avaya to develop world-class interior network defense solutions, particularly for emerging IP telephony technology.

Mitsui Bussan Secure Directions, a subsidiary of Mitsui & Co., Ltd. - one of the world’s most diversified and comprehensive trading and services companies - powers Mirage NAC sales in the Japanese marketplace. (Signed October, 2004)

Extreme Networks provides organizations with the resiliency, adaptability and simplicity required for a truly converged network that supports voice, video and data over a wired or wireless infrastructure, while delivering high-performance and advanced security features. (Signed March, 2005)

IBM Internet Security Systems (formerly ISS) has formed an alliance with Mirage Networks to provide Network Access Control to global enterprise customers. (Signed November, 2006)

The Easy NAC Solution.

Full Cycle: pre- and post-admission policy enforcement

Agentless: requires no agent software

Zero-Day threat prevention:Behavior-based

Quarantines at Layer 2 without switch integration

Patented technology

Infrastructure Independent: all networks, all devices, all OSs

Out-of-band deployment, in-line effectiveness

미라지 NAC 요약

Thanks you콤우시스템 : 신상윤 이사 010-4842-9153 / [email protected] 이노코아 오상훈 팀장 : 010-5586-5534

mirage nac the most powerful agent-less nac

Documents