1 / 28

㈜ 다몬미디어 서울시 중구 신당 2 동 432-1 미래빌딩 208 호 ☎ (02) 2235-2880 URL : damonmedia.co.kr

Aruba Networks 무선랜 제안서. ㈜ 다몬미디어 서울시 중구 신당 2 동 432-1 미래빌딩 208 호 ☎ (02) 2235-2880 URL : www.damonmedia.co.kr. 이동성. 보안성. 사용자 중심 네트웍킹. 무선랜의 개요. ◈ 개 요 무선 랜 (Wireless LAN) 이란 사무실 , 학교 , 상가 , 지하철 역 구내 등과 같이 제한된 옥내 또는 옥외 환경에서 유선케이블 대신 무선 주파수를 이용해 네트워크 환경을 구축한 것을 말한다 .

amil
Télécharger la présentation

㈜ 다몬미디어 서울시 중구 신당 2 동 432-1 미래빌딩 208 호 ☎ (02) 2235-2880 URL : damonmedia.co.kr

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Aruba Networks 무선랜 제안서 ㈜다몬미디어 서울시 중구 신당2동 432-1 미래빌딩208호 ☎ (02) 2235-2880 URL : www.damonmedia.co.kr

  2. 이동성 보안성 사용자 중심 네트웍킹 무선랜의 개요 • ◈ 개 요 • 무선 랜(Wireless LAN)이란 사무실, 학교, 상가, 지하철 역 구내 등과 같이 제한된 옥내 또는 옥외 환경에서 유선케이블 대신 무선 주파수를 이용해 네트워크 환경을 구축한 것을 말한다. • 무선 랜은 배선이 필요 없고 단말기의 재배치가 용이하며 이동중에도 통신이 가능하고 빠른 시간 안에 네트워크 구축이 가능하다는 장점이 있는반면에 유선 랜에 비해 상대적으로 낮은 전송속도와 한정된 무선 주파수를 공용으로 사용함에 따라 신호 간섭이 발생할 수 있다는 단점이 있다. • 간섭을 줄이고 성능 향상을 위하여 기술적으로 보완하여 유연한 트래픽관리와 주파수 신호에 대한 Self교정 기능이 있고 단말기의 최적화된 전송속도를 제공하면서 완벽한 보안을 구성해야 한다. • 유선과 무선과의 구축 비용 사례: 년간

  3. Centralized WLAN Switch Management Management Policy Policy Mobility Mobility Forwarding Forwarding Encryption Encryption Authentication Authentication “Thin” Access Points 802.11a/b/g 802.11a/b/g Antennas Antennas 무선랜구조의 변화 중앙집중형 스위치 아키텍쳐를 통한 무선랜의 보안성, 성능, L3로밍, TCO 해결 !! ->교수망과 학생망이 분리가 안됨 -> 타인들의 학교망에 쉽게 접근 “Fat” Access Points Leacy LAN : 링크시스, 프락심, 모토롤라, 심볼, FAT AP 3Com, FAT AP Cisco

  4. Public Hotspot (Internet) Bridging Rouge AP Unauthorized Wifi Internet Hacker Hacker Neighbor Hotspot AP 단독 무선랜의 구조적 문제점 • 보안의 위험 - 802.11표준 자체가 보안을 위한 것이 아닌 접속을 위한 표준 - AP와 User구간만 인증 암호화가 되어 보안 취약 발생 - FAT AP의 CPU 성능한계로 인한 단순한 WEP Key 암호화 방식으로 구현하여 해커들의 불법 침입에 무방비 노출 ※ 실제 사례 : “ 서울 모 백화점 무선랜 구축 후 고객 정보 누출 위험” 2007년 9월 10일 KBS, MBC, SBS 3개사 방송 • 고 투자 비용 - 보안 강화된 알고리즘(WPA, WPA2 암호화)으로 구현할 경우 CPU 성능이 우수한 장비 요구 -> 고비용의 설치비 필요 - 관리 및 Trouble shooting의 어려움 • 통합 관리 기능 부재 - 구내 다수 AP를 설치 운영하는 경우 관리 부하 가중 - 통신인프라 및 사용자 / 서비스의 체계적 관리 불가능 - 설계/구축/운영상의 환경변화에 능동적인 통신인프라 체계적 대응 불가 • 서비스 품질 저하 - 층내 또는 한정된 지역내의 휴대형 통신으로 제한. - 연속성을 요구하는 멀티미디어 통신에서 품질 보장 기능 결여. - 첨단 고객서비스로의 진화 불가능 Firewall 비암호화구간 Backbone Switch Workgroup Switch FatAP AP to USER WEP KEY 암호화 방식 Corporate (no WLAN) Wired LAN Corporate (no WLAN) Neighbor

  5. Firewall 무선랜 스위치 Backbone Switch Workgroup Switch End To End 전구간 802.1x 인증 WPA, WPA2 암호화 FatAP Internet 단독 AP 무선랜의 문제해결 방안 • 보안 강화 - End To End 기존 유선 전구간 암호화 - 보안 취약한 WEP Key 암호화 방식에서 강력한 알고리즘인 WPA, WPA2암호화로 구현 - 인증서버, 위치추적서버, 무선NMS가 기본 내장된 무선랜 스위치로 보안 강화 • 가격 대비 비용 저렴 - 별도의 추가 장비 없이 통합된 무선랜 스위치로 구현 가능 - 관리 및 Trouble shooting 관리 용이 • 통합 관리 기능 - 통합된 Web NMS에서 AP 및 사용자 관리 가능 - 다양한 설계/구축/운영 가능 - 24시간 원격 모니터링 가능 • 서비스 품질 향상 - 빠른 로밍으로 인한 성능과 속도 체감 효과 증가 - 멀티미디어, 화상통신과 같은 고 대역폭 품질 보장 - QoS 보장과 대역폭 필터링 기능 - 중앙으로 오는 트래픽을 처리 할 수 있는 ASIC 프로세스 구조의 무선랜 스위치로 성능 보장

  6. Firewall 무선랜 스위치 Backbone Switch Workgroup Switch End To End 전구간 802.1x 인증 WPA, WPA2 암호화 FatAP Internet 단독 AP 무선랜의 문제해결 구현 통합 인증 + 암호화 시스템이 내장된 스위치를 통하여 문제 해결 • 동일한 무선랜 인프라에서 교사망과 학생망의 네트워크 분리 • 네트워크 접근시 IEEE 802.1x를 통하여 인증된 사용자의 네트워크 접근과 사용자 데이터를 암호화 하여 전구간에서 보안을 강화 사용자 인증

  7. Wireless Control Processor Wireless Packet Processor Wireless Security Processor L2/L3 Switch (LineCard) 데이터 암호화를 위한 전용 ASICs 데이터의 암호화는 S/W로는 처리가 어렵고 ASIC으로 처리 => 성능과 속도가 보장이 됨 !! 암호화를 위하여 별도로 비용이 발생 ? => 도입되어지는 시스템에 문제가 있다는 이야기임 => 추가 비용이 없어야 함 데이터의 종류별로 전담 ASIC을 두어 병렬처리를 통하여 암호화시 성능 저하가 없도록 다수의 ASIC이 있어야 함

  8. Trusted user, Trusted host Trusted user, Un-trusted host Virtual AP 1 SSID: CORP VPN RADIUS Un-trusted user Firewall Captive Portal Guest user Virtual AP 2 SSID: GUEST Layer 2/Layer 3 Infrastructure CaptivePortal 802.1x Firewall DHCPPool Thin Access Point Default VLAN Central WLAN System Authentication Encryption Policy Enforcement 3. 무선 Firewall, IPS 정책설정 완벽한 무선랜 구조 사용자 인증을 받은 후에 데이터를 End에서 End까지 암호화 하고 무선 방화벽이나 IPS에 대한 정책을 설정 -> 완벽한 보안 가능 End End 2. 암호화 1. 인증

  9. 무선 단말 AP 무선랜 인증 스위치(ex:Radius) 인증요청 인증요청 인증단계 인증확인 인증확인 암호키 교환 4Way 핸드쉐이킹 암호키 교환 단계 데이터 요청 암호화 통신 802.11i 보안 표준 내용(1) • 무선랜 보안을 위한 802.11i • 무선랜 보안의 정의 • - 사용자 인증, 접근제어, 권한 검증, 데이터 기밀성, 데이터 무결성, 부인방지 및 안전한 핸드오프를 • 전반적으로 만족하였을 경우 무선랜 보안 시스템이라함 • 무선랜 보안의 출현 배경 • - 무선랜 초기 보안 규격인 WEP(Wirelss equivalent Privacy) 알고리즘의 취약성 발생 • - WPA, WPA2 알고리즘과 같은 보안 강화된 암호화 프로토콜 사용 • - 무선랜을 액세스 제어와 무선랜을 이용한 안전한 통신 환경 보장을 위함 • 무선랜 기반에 사용자 인증 개념도 <무선랜 인증 개념도>

  10. 802.11i 보안 표준 내용(2) • 802.11i의 보안 요소 기술 • - IEEE802.11i표준은 무선랜 사용자 보호를 위해 사용자 인증 방식, 키교환 방식, • 무선구간 암호화 알고리즘 정의 • 사용자 인증 방식 - IEEE802.1x 방식: 접속포트에 기반한 접근 제어 정의, 인증서버에 의한 인증 수행 - 사전 공유키 방식 : 인증서버가 없는 대신, AP와 단말간 미리 특정키 약속 - 선인증 방식의 마스터키 캐쉬 기능을 이용해서는 인접AP에게 미리 인증을 수행하여 핸드오프시 연속적인 통신이 가능하도록 하는 큰 특징이 있음 • 표준 키교환 방식 - 4 Way 핸드 쉐이크 방식 - 키의 종류로는 사용 대상에 따라, 단말-AP, 다수 단말-AP, 단말-단말에서 사용할 수 있는 키를 교환함 • 암호화 알고리즘 - WEP의 알고리즘의 취약성을 해결한 TKIP(Temporal Key Integrity Protocol) 사용 - AES 알고리즘을 사용한 CCMP(Conuter Mode with CBC-MAC Protocol) • 기대효과 • 802.11i의 선인증방식의 적용을 통한 실시간 핸드오프를 요구하는 VoIP의 응용에 사용 가능 • 무선랜 보안을 통한 안전한 전자상거래 기반 구축 • 미인증 사용자의 접근 제어를 통한 보안 사고 예방

  11. 아루바 제품 구성 Aruba 6000 Aruba 800 Aruba 2400 Aruba 804 적용 사이트 대규모 캠퍼스 중소규모 빌딩소규모 지점 소규모 지점 Aruba OS Software Module TM • Identity-based Stateful Firewall • Wireless Intrusion Protection • VPN Server • Advanced AAA Services • Client Integrity Module • External Services Interface • Remote AP AP60 AP61 AP41 AP70 AP80 AP65

  12. Aruba 기능(I) : RF Planning Tool

  13. 실시간 무선 주파수 분포도 • AP 설치와 동시 실시간 무선환경 확인 • 수작업에 의한 시간 및 인건비 절감 • 실시간 확인정보 • Signal-to-Noise Ratio (SNR/잡음률) • 주파수 간섭 • 전송속도 별 통신범위 • 음영지역 확인

  14. Self-Calibrating(교정) 및 로드 발란싱 실시간 calibration으로 각 AP간의 채널과 파워를 조정

  15. Self-Healing(치료) 무선랜 • AP에 장애가 발생하면 • 주위의 AP가 이를 • 감지하여 파워세기를 • 조정, 음영 지역을 • 최소화 • 고장난 AP를 단순한 • 교체만으로 사용 • 가능(Plug & Play) x

  16. 불법, 간섭, 유효 AP로 동적으로 분류 하여 관리. 필요시 각각의 AP의 타입 변경 가능. 사용자와 Access Point 관리 사용자의 위치와 어느 AP에 연결되어 있는지 관리 가능. 사용자의 네트워크 사용량 확인 가능

  17. 완벽한 보안을 위해 추가적으로 필요한 요소들

  18. 불법, 간섭, 유효 AP로 동적으로 분류 하여 관리. 필요시 각각의 AP의 타입 변경 가능. Locate the rogue AP 사용자의 위치와 어느 AP에 연결되어 있는지 관리 가능. 사용자의 네트워크 사용량 확인 가능 Rogue AP Air Monitors 1. 불법 AP 탐지 및 차단 특허 기술인 AP 타입 분류 기술이 바로 Key!

  19. 삼각 측정법에의한 위치 추적 (1미터 이내) • 실시간 위치 추적 • 사용자가 이동함에 따라 스위치의 명령에 의해 AP가 위치를 정교히 추적 • Eliminates manual walkabout to fingerprint RF propagation • 단말 종류에 상관 없는 위치 추적 가능 The device/user is located 2. 위치 추적 기술 RSSI = X RSSI = Z RSSI = Y

  20. [ 일반 무선랜] VLAN 1 = High Priority SIP Server • VLAN / 단말에 대응한 우선권으로는 복합단말 또는 다양한 트래픽이 공존하는 동일 VLAN상에서 QoS 보장 못함 [ 아루바 스위치] HTTP Flow = Low Priority SIP Server SIP Flow = High Priority 3. WI-Fi Phone을 위한 QoS 1. 무선랜 인프라 위에 올라갈 어플리케이션이 Wi-Fi Phone 2. Wi-Fi를 사용하기 위하여는 무선랜상에서의 QoS가 필수 3. 설치된 무선랜이 QoS를 지원하지 못하면 재투자를 하여야 함

  21. 4. 무선 해킹에 대한 탐지 및 차단

  22. 5. 차세대 기술 IPv6 단계적 지원 • 특성 - IPv6와 기존 IPv4 사이의 가장 큰 차이점은 바로 IP 주소의 길이가 기존 32비트에서 128비트로 증가 IPv6는 여러가지 새로운 기능을 제공하는 동시에 기존 IPv4와의 호환성을 최대로 하는 방향으로 설계 - 호스트 주소 자동 설정 : IPv6 호스트는 IPv6 네트워크에 접속하는 순간 자동적으로 네트워크 주소를 부여 - 패킷 크기 확장 : IPv4에서 패킷 크기는 64킬로바이트로 제한되어 있으나 IPv6의 점보그램 옵션을 사용하면 특정 호스트 사이에는 임의로 큰 크기의 패킷을 주고받을 수 있도록 제한이 없어지게 되어 효율적 설계 가능 - 효율적인 라우팅 : IP 패킷의 처리를 신속하게 할 수 있도록 고정크기의 단순한 헤더를 사용하는 동시에 확장헤더를 통해 네트워크 기능에 대한 확장 및 옵션기능의 확장이 용이한 구조로 정의가 가능 • IPv6 주소공간 - 32비트 주소공간이란, 32 bit로 표현할 수 있는 주소영역을 지칭한다. 32 bit에 의해 생성할 수 있는 모든 IPv4 주소는 232개이다. 약 42.9억개의 주소에 해당되고 IPv6의 128비트 주소공간은 128 bit로 표현할 수 있는 2128개의 IPv6 주소영역을 지칭하며 약 3.4x1038개의 주소를 갖는 주소 영역 - IPv4 주소에 비해 IPv6 주소는 그 표현 bit 수가 128bit로 IPv4의 32bit에 비해 4배가 되었지만 생성되는 IPv6 주소공간 영역은 IPv4 주소공간에 비해 296배의 크기 - IPv6 주소공간은 향후 인터넷에 등장할 대량의 유비쿼터스 통신 장치들이 상호 통신을 할 수 있는 주소공간을 제공하여 냉장고, TV, AV 스피커, DVD 플레이어, 홈 보안장치, 전화기 등 각 요소 장비들이 지능화하면서 동시에 무선 인터넷 등을 통해 상호 통신할 수 있도록 각 장치(device)에 IPv6 주소를 제공 - 128bit의 주소공간은 지표면의 모든 공간에 10m2당 1개씩의 IPv6/48 네트워크를 제공

  23. 2007년 수상 내역 - 최고의 제품 Best of Interop 2007: Wireless & Mobility Category 인터롭2007: 최고의 무선 및 Mobility 부문 Network Computing Wireless Product of the Year 2007 Network Computing誌2007년 무선제품상 Wireless Broadband Innovation Award 英 Wireless Broadband Innovation 무선 보안 부문 Secure Computing Magazine Best Buy Award Secure Computing誌 선정Best Buy Award

  24. 2006 2005 수상 내역들 –최고의 제품

  25. 아루바 구축사례(한국)

  26. Government 아루바 구축사례(해외) Marquee Customers Crossing All Verticals and Geographies Financial Technology Healthcare Enterprise Services Education

  27. 무선랜 비교 자료

  28. 감사합니다. RF(무선) 신호는 이제 언제,어디에나 존재합니다. 이것은 마치 건물 외벽에 RJ-45 포트가 있어서 누구든지 케이블을 연결해 사용하는 것과 동일합니다. 그 동안 보안이 우려되어 무선 인프라에 대한 계획을 계속 미뤄왔습니다. 이제, 더 이상 미루실 이유가 없습니다. 완벽한 보안은 물론, 관리자들의 운영 부분까지 고려한 최적의 아루바 솔루션을 소개 드립니다. ㈜다몬미디어 서울시 중구 신당2동 432-1 미래빌딩 208호 ☎ (02)2235-2880 URL : www.damonmedia.co.kr

More Related