- 1 -

2006. 09.

- 2 -

기업 네트워크 보안 현황환경의 변화IEEE 802.1X

- 2 -

11

22

33

유넷시스템의 NAC 제언44

- 3 -

일반적 네트워크 보안 시스템 구성

정보보호 Hype Cycle

기업 네트워크 관리 및 보안 현황

기업 네트워크 보안 현황11

- 4 -

일반적 네트워크 보안 시스템 구성 1. 기업 네트워크 보안 현황▶ 방화벽 , IPS, VPN, Virus Wall, 발신통제 , ESM, 유해사이트 차단 등을 선택적으로 적용

INTERNET

Router

NIDS

Firewall VPN BackboneSwitch

NIPS

DMZ 발신통제 VirusWall

ESM

HIPS

HIPS

보안솔루션 개 념 비 고Firewall 네트워크 관문에 위치하여 외부 네트워크로부터 내부 네트워크를 보호하는 1 차적인 보안시스템으로 주로 Layer 3 에서 접근통제를 수행하는 침입차단시스템 네트워크 보안

VPN 본사와 지사 , 본사와 이동 사용자 간의 인터넷망을 경유하는 통신에 대해 통신 데이터를 암호화하고 통신 채널을 보호하는 보안시스템 통신채널 보안

NIPS Firewall 을 통과하여 내부 네트워크로 침입하는 패킷에 대해 기 설정된 보안정책을 통해 침입을 방지하는 보안시스템 네트워크 보안

NIDS 내부 네트워크를 오가는 통신 패킷을 실시간으로 분석하여 공격을 식별하고 탐지하는 보안시스템 네트워크 보안

HIPS 특정 시스템으로 들어오는 패킷에 대해 기 설정된 보안정책을 통해 침입을 방지하는 시스템 레벨의 침입방지시스템 시스템 보안

발신통제 주고 받는 이메일의 내용과 첨부파일을 검사하여 보안정책에 위배되는 이메일을 통제하는 보안시스템 컨텐츠 보안

VirusWall Virus 등의 악성코드에 대해 내부 네트워크로의 유입을 탐지하고 차단하는 보안시스템 컨텐츠 보안

ESM Firewall, VPN, IDS 등의 각종 이기종 보안시스템을 통합하여 모니터링하고 관리하는 통합보안관리시스템 보안 관리

- 5 -

기업 네트워크 관리 및 보안 현황 1. 기업 네트워크 보안 현황▶ 관문 보안 중심으로 외부로부터의 보안 위협 차단에 치중▶ 이동 업무 환경 확산 및 다양한 우회 경로에 의한 기업 내부 보안 위협 노출▶ 경계 보안 정책 적용으로 인한 보안 정책 복잡성 증가 , 유연성 저하 , 변경에 따른 신속성

저하▶ 내부 보안 피해 발생 시 급속히 피해 확산▶ 다양한 사용자군의 혼재에 따른 차별적 보안 정책 구현 불가

외부 인력의 내부 네트워크 사용 증가 내부 보안 위협 노출

INTERNET 공급사

협력사

INTRANET

※ 정규 , 협력사 , 자회사 , 공급사 임직원 혼재

INTERNET

INTRANETFirewall/IPS

NIDS유해사이트차단VPNVirus Wall

내부 사용자내부 보안 피해 급증

외부 해커 / 바이러스 차단불법 외부 접근 차단

복잡한 경계 보안정책

- 6 -

정보보호 Hype Cycle 1. 기업 네트워크 보안 현황

•Technology Trigger상품의 출시를 알리거나 언론에 큰 반향을 일으키는 어떠한 이벤트를 벌이는 단계

•Peak of Inflated Expectations갑자기 기술에 대한 평판이 과장되는 단계로 과장되고 부풀려진 기대가 최고 정점에 달한 시점•Trough of Disillusionment몽상에서 깨어나는 시점으로 언론에서 떠들던 것들이 과장이었다는 것을 인식하는 단계•Slope of Enlightenment서서히 시장에서 받아들여지는 단계•Plateau of Productivity널리 알려지고 받아들여지게 되는 단계

2004 년

2005 년

▶ NAC, HIPS on PCs 등이 새로운 이슈로 등장 , WPA 보안은 관심 적어졌으나 2 년 이내 성숙기 진입 예상( 업계에 회자되는 가시성 )

( 기술의 성숙도 )

•NAC(Network Access Control) 의 등장•TCG 에 대한 관심도 하락•PC HIPS 강세•Deep Packet Inspection F/W, IPS 이슈화 지속•WPA Security 3 단계 유지•PMS 는 안정기 진입•All-in-One Security Appliances 사라짐•Role Planning, Audit & Compliance 등장

- 7 -

정보보호 패러다임의 변화네트워크 관리 패러다임의 변화

환경의 변화22

최근 네트워크 보안 이슈

- 8 -

정보보호 패러다임의 변화 2. 환경의 변화▶ 컴퓨팅 환경의 변화 및 사이버 공격 양상의 변화에 따른 정보보호 대상 및 개념의 동반 변화▶ 기업의 정보보호 관련 예산 및 인력 축소에 따라 지능적이고 통합적인 보안 시스템의 요구 증대▶ IT 운영 / 관리 솔루션과 정보보호 솔루션의 융합화 태동

정보보호 솔루션IT 운 영 / 관 리 솔루션

Convergence

NMS BCP SMS

ITIL ERP …

IPSUTM

ESM

DRMPKI F/W 백신

예산 / 인력 축소 보안 대상의 변화 및 확대사이버 공격 양상의 변화

컴퓨팅환경의 변화

정보보호개념의 변화Protection

from Malicious behavior

Safetyto Annomaly behavior

TotalSecurity

▶ 공격 대상의 다양화 , 공격 목표의 구체화 , 공격의 신속화 및 대규모화 , 첨단 공격기술의 융합화

▶ 메인프레임 (‘60) 중소형 컴퓨터 (’70) 개인용 컴퓨터 (’80) 인터넷 컴퓨팅 (’90) 모바일 컴퓨팅 (2000) 유비쿼터스 컴퓨팅의 도래

▶ 물리적 기반 하드웨어 기반 시스템 기반 내용 기반 정보보호▶ Host Network Mobile/Endpoint

- 9 -

네트워크 관리 패러다임의 변화 2. 환경의 변화▶ 누구나 접근할 수 있는 현재의 네트워크 관리 정책에서 인증과 무결성 (Integrity) 이 확인된 후

허용

현재의 패러다임 요구되는 패러다임

[ 출처 : Gartner’s Network Access Control Model, 2005]

- 10 -

최근 네트워크 보안 이슈무선랜 보안

2. 환경의 변화

무선랜 개념 및 표준화무선랜 개념 및 표준화

▶ 유선 케이블 대신 전파 또는 적외선을 사 용 하 여 허 브 에 서 단 말 까 지 네트워크 환경을 구축하는 기술▶ IEEE 802.11b/a/g 까 지 표 준 화 완료되어 54Mbps 지원

보안 이슈보안 이슈▶ IEEE 802.11 의 기술적 보안 문제점

단순 Pre-Shared Key 를 통한 사용자인증 짧은 WEP Key Initial Vector(24bit) 로 인한

WEP Key 의 재사용성 Static WEP Key 분배 및 관리 CRC 에 의한 선형적인 Integrity Check Default SSID 또는 추측 가능한 SSID 의

사용 및 Broadcasting 불법 AP 를 통한 접속 Tunneling 되지 않은 사용자 인증정보

전달

▶ 취약점 유형 분석

IEEE 802.11i & WPA 2 표준화

- 11 -

최근 네트워크 보안 이슈NAC (Network Access Control)

2. 환경의 변화

가트너그룹의 가트너그룹의 NAC NAC 모델모델

▶ 접속 단말에 대한 보안 평가 , 보안문제에 대한 대응 , 네트워크 접근 허용 , 보안정책 준수에 대한 지속적인 모니터링 및 대응에 대한 업무 순환 절차

“Gartner’s Network Access Control Model”, Gartner, Lawrence Orans, 2 August 2005

- 12 -

최근 네트워크 보안 이슈NAC (Network Access Control)

2. 환경의 변화

주요 구성 요소주요 구성 요소▶ 사용자 / 시스템 인증

• 시스템 또는 사용자의 신원 확인 (IEEE 802.1X, DHCP, Network Device, Appliance)

▶ 정책 점검• 네트워크 접근 허용 전에 취약점 및 부여된 정책에 대한 Compliance 점검• OS 보안 패치 , 필수 / 비인가 S/W 설치 , Anti-Virus 최신 엔진 , Worm 시그너처 등

▶ 격리 (Quarantine)• 신원 미확인 사용자 / 시스템 또는 정책 미준수 사용자 / 시스템에 대한 네트워크 접속 제한• 네트워크 접속 후에도 권한 /Role 에 맞는 ACL(Access Control List) 적용• 치료 (Remediation) 를 위한 연동 서버 Zone 으로 격리

▶ 치료 (Remediation)• 부여 정책 위배 사용자 / 시스템에 대한 S/W 삭제 / 설치 , 업데이트 , Virus Vaccine 가동 ,

패치 적용 , 경고 ( 사용자 유도 ) 등

▶ 강제 (Enforcement)• 사용자 인증 또는 정책 적용 우회 경로에 대한 차단• 격리 (Quarantine) 에 대한 실질적 구현 (Agent, 네트워크 인프라 연동 , Appliance 등 )

- 13 -

Basic Concept

IEEE 802.1X33

필요성확장성

- 14 -

Basic Concept 3. IEEE 802.1X

▶ 2001년에 최초 표준화된 후 현재 IEEE 802.1X-2004까지 표준화▶ Supplicant( 사용자 단말 ) + Authenticator(AP/Switch) + Authentication Server 로 구성▶ 무선 랜의 보안 취약성 극복을 위해 상용화되었으며 , 최근 유선 Switch 에서도 지원하면서

유 / 무선 통합 사용자 인증의 최적의 대안으로 활성화

EAP over LAN EAP over RADIUS

Supplicant Authenticator Authentication ServerSecurity capabilities

discovery802.1X

Authentication802.1X Key 관리 RADIUS-based Key 분배Data protection

Authentication Server

Authenticator

uncontrolled port

controlled port

인증수행Supplican

t Intranet

( 유 / 무선 네트워크 ) ( 유선 네트워크 )

- 15 -

필요성 3. IEEE 802.1X

▶ 무선랜 보안 표준인 IEEE 802.11i 및 WPA 2 에서는 IEEE 802.1X를 필수 요소로 규정▶ Layer 2(Data Link) 에서 동작하므로 강력한 네트워크 접근 정책 구현 가능▶ 유선랜 환경에서의 사용자인증과 무선랜 환경의 사용자인증 및 보안을 모두 제공▶ Port control 을 통한 비 인가된 사용자들의 네트워크 접속을 원천적 차단▶ 다양한 사용자인증 프로토콜과 데이터 암호화 알고리즘을 수용할 수 있는 확장성 제공

IEEE 802.1x 인증을 거치지 않으면 내부 네트워크의 IP주소를 알아도 내부 네트워크에 접속할 수 있는 기회가 원천적으로 차단됨

802.1x 지원 AP

802.1x 지원 Switch

AuthenticationServer

무선랜 사용자

유선랜 사용자

IEEE 802.1x를 이용 유선랜 사용자인증과 무선랜 사용자인증을 모두 수용

802.1x 지원 Switch

개발부영업부

802.1x 지원 AP

비인가자

비인가자 무선랜 사용자

802.1x 인증

유 / 무선 사용자 인증 수용 비인가자 네트워크 접속 차단

- 16 -

확장성 3. IEEE 802.1X

▶ 네트워크 인증뿐 아니라 서버 시스템 및 어플리케이션 인증까지 수용 가능▶ SSO/EAM/IAM 과의 통합을 통한 네트워크와 어플리케이션의 통합 접근 및 권한 제어 구현▶ PMS, Virus Vaccine 연동을 통한 NAC(Network Access Control) 구축 가능

EAP over LAN EAP over RADIUS

무선 AP 및 유선 Switch

UNIX/Windows 서버방화벽

Application/Package SW

INTRANET

EAP over UDP EAP over RADIUS

Supplicant Authenticator Authentication Server

SSO/EAM/IAMManager

권한정보(LDAP)

802.1X Agent+

SSO/EAM/IAM Agent

Application(SSO/EAM/IAM API)

- 17 -

통합 인증 및 암호화접근 전략

유넷시스템의 NAC 제언44

Endpoint SecurityZero Day Worm 방어Quarantine & Enforcement특징 및 장점발전 전략

- 18 -

UNETNAC

접근 전략4. 유넷시스템의 NAC 제언

▶ NAC 와 Network Agility 의 융합을 통한 보안성 및 효율성 제고▶ 국내 환경에 최적화된 완벽한 NAC Framework 제공▶ Endpoint 단위 보안 시스템과의 Open API 를 통한 유기적 통합▶ 네트워크 장비 및 구성에 독립적인 NAC 구현

• NAC Framework 제공• IEEE 802.1X 기반의 NAC• 위협 관리 체계 구축• 네트워크 장비 및 구성 독립성 보장• 802.1X Enforcer

NAC• 인증 시스템과 연계된 DHCP &

DHCP Proxy • Compliance 검증 단말에 대한 ACL 적용• HP ANA 의 User Network

Management Tool

Network Agility

• Open API 를 통한 편리한 단위 보안 시스템 연동

• Legacy System 연동 (HR, SSO, EAM, IAM, IPMS, Inhouse SW, …)

Customization• IEEE 802.11i 및 WPA 2 지원• Nespot & WZC 호환 • 무선 랜 Switch 및 WIDS 연동

무선 랜 보안

보안성 강화 효율성 향상

- 19 -

무선 인증 및 보안통합 인증 및 암호화

4. 유넷시스템의 NAC 제언

▶ IEEE 802.11i 및 Wi-Fi WPA 2 에서는 IEEE 802.1X를 필수 보안요소로 규정▶ 무선 랜의 보안 취약성 보완을 위한 강력한 사용자 인증 및 암호화는 물론 업무 연속성 측면에서도 An

yclick 의 도입은 필수

Wireless SwitchWireless GatewayAccess Point

IEEE 802.1X Enable

ServerBackbone

Switch

사무환경물류창고

외판사원유통매장

간이 판매대

Agent

접속인증

홈네트워크

데이터 암호 구간

- 20 -

유선 인증통합 인증 및 암호화

4. 유넷시스템의 NAC 제언

▶ NAC(Network Access Control) 개념의 대두와 더불어 핵심 인프라로 부상▶ All Port Authentication 을 위한 H/W Adapter 도입 필수

End Point Switch

BackboneSwitch

S/W SupplicantS/W Supplicant S/W SupplicantS/W Supplicant

L3 Switch H/W Adapter

IEEE 802.1X Enable

대기업 인력 유동성 높은 기업 Mission Critical Area

접속인증

DHCP

인증여부검증

Agent

Server

- 21 -

통합 인증 및 암호화▶ IEEE 802.1X + RADIUS + Authenticator + IM(Identity Management)

서버 시스템 및 Application

LDAPLDAP LDAP

사용자 단말

LegacyA

ccess(telnet, ftp)

인증 요청LdapLdap Ldap

Agent

Authenticator 연동가능 시스템 & S/WAuthenticator 연동불가능 시스템 & S/W

Provisioning IEEE 801.1x

변형된 IEEE 802.1X( 특허등록 )

LdapLdap Ldap

RADIUS Client

RADIUS 인증 지원 시스템 & S/W

RADIUS

사용자 정보

Anyclick

Authenticator

4. 유넷시스템의 NAC 제언

Agent

Server

- 22 -

Open Plugable Architecture

Endpoint Security4. 유넷시스템의 NAC 제언

▶ Endpoint Compliance 검증을 위한 Agent 간의 표준 API▶ 웜 / 바이러스에 의한 격리 정보 수집을 위한 Server side 표준 API

GINA Module

Plug-in Architecture

PC 상태 정보정책 검증

Module

사용자 정책정책 수신 Module802.1X 인증 Module

ACL Driver

단위 보안 시스템PMS(Patch Management)

HIPS, PC F/WAnti-Virus Vaccine

Anti-SpywareIn-house S/W

…

DHCP Proxy

인증 서버

Polling & Event Driven(API, Log, Registry)

DHCP

정책 서버

웜 / 바이러스 탐지 시스템

Plug-in Architecture

Authentication격리 수준Legacy

DHCP

NIPS, NIDS, Anymon…

Agent Server

- 23 -

Endpoint Policy Check

Endpoint Security4. 유넷시스템의 NAC 제언

▶ 주요 솔루션 설치 여부• 필수 S/W 설치 및 프로세스 기동 여부• 금지 S/W 설치 및 프로세스 기동 여부• PMS, Anti-Virus, HIPS, Anti-Spyware 설치 및 기동 여부

▶ PC 보안 정책 준수 여부• Host Name 보안 위배 여부• Administrator 계정 사용 여부• 기본 공유폴더 사용 상태 여부• 공유 폴더 사용 상태• Login 계정 취약 패스워드 사용 여부• 공유 폴더 패스워드 확인 및 취약 패스워드 사용 여부• 불필요한 Port 사용 여부• OS 보안 패치 , 시그너처 업데이트 여부• 최근 SCAN 일자 확인 및 감염 여부• MAC 주소 변조 여부

▶ 네트워크 차단 또는 격리에 따른 다양한 사용자 메시지를 통한 안내

- 24 -

Endpoint Remediation

Endpoint Security4. 유넷시스템의 NAC 제언

사용자 인증 Phase

Update 완료 여부 검증(Tightly Coupled)

S/W UpdateO/S 보안 패치

•Dynamic VLAN 또는 ACL 서버에 의한 제한적 접근 허용

▶ Endpoint 정책에 위배되는 단말은 특정 네트워크 존으로 격리한 후 PMS 를 이용하여 S/W 설치 , 업데이트 , 패치 적용

Server

SERVERClient

Agent

- 25 -

HIPS & NBA(Network Behavior Analysis) 와의 통합

Zero Day Worm 방어4. 유넷시스템의 NAC 제언

Backbone S/W(L3)

사용자 단말

L2AP

Firewall/IPS

ESM

AnymonSensor

NIDS

웜 / 바이러스 정보

웜 / 바이러스 정보 AnymonManager

HIPS AgentHIPS Agent

Server

Agent

▶ Host IPS Agent 및 Anti-Virus Agent 와의 연동을 통한 Known / Unknown 웜 / 바이러스 탐지 및 자동격리

▶ NBA 제품인 Anymon 과의 통합을 통한 Known Worm 탐지 및 격리▶ NIPS/NIDS, ESM 등 외부 Worm/Virus 탐지 시스템과의 연동을 통한 격리

행위 기반 비정상 트래픽 정보

격리 정보

격리 정보 VMS AgentVMS Agent

격리 정보

NAC 정책 정보

- 26 -

다단계 Quarantine & ACL

Quarantine & Enforcement4. 유넷시스템의 NAC 제언

▶ 인증 성공시 , DVLAN 또는 Agent ACL Driver 를 이용한 격리▶ Known/Unknown 웜 / 바이러스에 대한 실시간 탐지에 의한 감염 단말 격리 및 치료 유도▶ Compliance 검증된 단말에 대해 부여된 ACL(Access Control List) 적용

Backbone S/W(L3)

사용자 단말

L2AP

Firewall/IPS

ESM

AnymonSensor

IDS

관리자ID/IP/MAC 에의한 수동 차단

3 단계 격리 ( 사용자 접속 Port Shutdown)

웜 / 바이러스 정보

웜 / 바이러스 정보

IP/MAC 에의한 자동 차단

1 단계 격리 (ACL Driver)

AnymonManager

PMS AgentPMS Agent 백신 백신 AgentAgent

2 단계 격리(IP Block) INTRANET

조직별 / 사용자별 ACL

Server

Agent

- 27 -

NAC 를 완벽하게 구현하는 유일한 국산 솔루션특징 및 장점

4. 유넷시스템의 NAC 제언

ManagementConsole

Anyclick NAC Server

Anyclick NAC Agent(H/W Adaptor 포함 )

Anyclick NACAuthenticator

구성 요소구성 요소 주요 기능주요 기능Management

Console•WEB 기반의 관리 콘솔•서버 기동 상태 조회 , 기동 , 종료•CLI(Command Line Interface) 지원

Anyclick NACServer

•Appliance 기반의 인증 서버•인증 기반 DHCP & DHCP Proxy 서버 포함•NAC 정책 서버•고가용성 보장을 위한 이중화 및 분산 인증 구조 지원•모듈 추가만으로 신규 표준 지원•조직별 / 사용자별 네트워크 접근 정책 (ACL) 구현

Anyclick NACAuthenticator

•AP, Switch 등의 네트워크 장비•방화벽 , UNIX 시스템 연동을 위한 Native Authenticator

Anyclick NACAgent

•S/W & H/W(adaptor) 기반의 인증 agent•네트워크 접근 통제 및 PMS(Inciter) 연동•Wireless Zero Configuration 호환•NESPOT 인증 Client 지원•다양한 O/S 및 플랫폼 지원

– Windows NT, 2K(Pro, Server), XP– Pocket PC 2003, Windows CE .NET– LINUX & UNIX

System Architecture Key Function

▶ 무선 랜 보안과 NAC 를 구현하는 유일한 솔루션▶ NAC 를 통한 보안성 향상 및 User Network Management 의 효율성 동시 추구

- 28 -

안전하고 효율적인 네트워크 관리로의 확장 (Endpoint Agility)

특징 및 장점4. 유넷시스템의 NAC 제언

▶ IEEE 802.1X 기반의 무선 네트워크 보안 및 유 / 무선 IBN(Identity Based Network) 구현▶ DVLAN 또는 정책서버 /ACL Driver 를 이용한 사용자 위치와 무관한 네트워크 접근 제어 구현▶ 인증 정보와 연계되고 이중화되는 DHCP 를 이용한 강력하고 효율적인 IP 정책 구현▶ 사용자별 IP 사용 History 를 이용한 감사 / 추적 보장▶ Anti-Virus, PMS, PC 보안과 연동을 통한 NAC(Network Access Control) 구현

인증 DB 정책 DB

Anyclick NACDHCP 서버

Anyclick NAC인증서버

Anyclick NAC정책서버

사용자 단말

SwitchAP

Network Zone n

Network Zone 1Network Zone 2Network Zone …

SERVER

ClientAgent

- 29 -

다양한 서버 이중화특징 및 장점

4. 유넷시스템의 NAC 제언

원격지 이중화

Master인증서버 Proxy인증서버 APWAN 구간

( 저속 )LAN 구간( 고속 )

Primary인증서버 Secondary인증서버

Active-Standby

L2 Switch

Heart bit

HA 구성 Proxy 인증 서버

DB Replication

Primary인증서버

Active-Active

L2 Switch

Heart bit

※ 추가 장비없이 비용 효과적인 이중화 구성

▶ 다양하고 복잡한 고객 Site 의 네트워크 구성에 대한 최적의 인증 체계 구축

- 30 -

강력한 동시 인증 성능특징 및 장점

4. 유넷시스템의 NAC 제언

▶ H/W 의 성능 및 보안성을 고려하여 EAP-TTLS 이상의 인증 모드를 권고하며 , 이는 비대칭키 암호화 연산을 수반 ( 특히 서버에 부하 집중 )

▶ 출근과 동시에 네트워크 접속 요청 시도하며 , 주기적인 재인증으로 인해 Peek Time 의 주기적인 발생 가능

▶ Active-Active 이중화 구성으로 동시 인증 성능 향상

H/W 암호 가속기 사용 효과

※ 테스트 장비 제원 : Xeon 2.4GHz X 2 CPU, 1GB M/M, 512Kb L2 Cache※H/W 암호 가속기는 PKI 및 암호 기술없이는 탑재 불가능

구분 CPU 사용율 RSA 연산 TTLS/PAP 비고Only CPU 100 % 200/ 초 100/ 초

H/W 암호 가속기 2 ~ 3 % 1,700/ 초 350/ 초 16 코어 중 1 개만 사용

Active-Active 이중화 구성• 커널 기반의 Packet 분배 방식으로 Application Proxy 형태의 Active-Active 이중화 대비 탁월한

성능 제공• 추가 장비 (L4 Switch 등 )없이 비용 경제적이고 , 안정적인 이중화 성능 제공

- 31 -

HP ANA(Adaptive Network Architecture)

발전 전략4. 유넷시스템의 NAC 제언

▶ User Network Management 를 위한 최적의 도구▶ HP 의 네트워크 컨설팅 및 구축 노하우와 Anyclick NAC 를 접목하여 ANA 완성

Agent Server

- 32 -

Microsoft 와 전략적 제휴발전 전략

AD AD 환경 지원환경 지원

4. 유넷시스템의 NAC 제언

Active Active DirectorDirector

yy

Machine G

POUser GPO

사용자 & 단말 인증( 네트워크 접근 정책 포함 )

사용자 & 단말 인증( 네트워크 접근 정책 포함 )

GPMC(Group Policy Management Console)

정책 편집

▶ Active Directory 를 이용한 정책 기반 PC 관리 (GPO, Group Policy Object) 환경 보장▶ 사용자 네트워크 접근 정책에 대한 Active Directory 에서의 통합 관리 환경 제공

Agent Server

- 33 -

Microsoft 와 전략적 제휴발전 전략

MNAP Global PartnerMNAP Global Partner

4. 유넷시스템의 NAC 제언

※ HCS : Health certificate server

UNETSHA

UNETSHV

▶ Microsoft NAP(Network Access Protection) Global 파트너 등록 추진 중▶ In-house 시스템 및 단위 보안 시스템에 대한 NAP Broker

In-house 시스템 및단위 보안시스템 agent

In-house 시스템 및단위 보안시스템 Server

- 34 -

802.1X Enforcer

발전 전략4. 유넷시스템의 NAC 제언

▶ IEEE 802.1X를 지원하지 않는 네트워크 환경에서 NAC 의 구현▶ In-line 장비로 동작하며 , 사용자 인증 및 agent 미설치 단말에 대한 네트워크 차단 기능 수행

L2 AP AP L2 AP

Internet

….

관문 Router

Core S/W(L3)

Distribution S/W(L3)

IEEE 802.1X 지원L2L2 L2

IEEE 802.1X 미지원L2

Distribution S/W(L3)

Enforcer

Agent Agent

- 35 -

감사합니다 .

Tel : 02) 390-8000 Fax : 02) 390-8099주소 : 서울시 서초구 양재 2 동 261-8 우제빌딩 5층 영업문의 - 김창홍 이사 Tel : 011-701-9883 E-mail : chkim@unetsystem.co.kr기술문의 - 이상준 이사 Tel : 016-290-1725 E-mail : sjunee@unetsystem.co.kr