innovation for securing mobile and emerging iot · 2017-08-16 · 7. 방문객/시직 ......

Innovation For Securing mobile and emerging IoT

HPE Aruba 정규태 이사 Network Security CSE AMFE #14, CISA, CISSP

IoT의 확산과 함께 보안사고가 증가하고 있습니다.

엔터프라이즈에 연결되는 IoT장치들은 2016년에 8680억 달러에 이르고, 다음해부터는 매년 550만개의 IoT장치들이 지속적으로 연결될 것입니다. InformationWeek, Nov, 2015

IoT 장치의 대규모 인터넷 공격 및 해킹으로 인해 수많은 웹사이트가 다운되고 네트워크 정전 또는 장애가 발생했습니다. KrebsonSecurity, Oct, 2016

1. IP실명제?

2. 인증서버(AAA)?

3. 유선 제어(NAC)?

4. 무선 mac인증?

5. Hidden SSID?

6. ID/PWD 공유?

7. 방문객/임시직 계정 관리?

IoT보안! 어디서부터 시작할까요?

V1.IP실명제? 보이스피싱?

V1.Voice_Fishing

1. IP실명제? => 보이스피싱

2. 인증서버(AAA) => 유선

3. 유선 제어(NAC) => IoT

4. 무선 mac인증 => mac변조

5. Hidden SSID => 무선 스캔

6. ID/PWD 공유 => 탐지불가

7. 방문객 관리 => OPEN/공유키

현재 어디에 계신가요?

디바이스 프로파일링 AAA Server (RADIUS/TACACS) Multi-Factor 인증 • 리포트 지원 • Exchange (3rd party integration)

• 멀티벤더지원 • BYOD onboarding • 방문객 제어 • NAC(Health checks) • OnConnect for IoT (non-AAA wired access)

• 단독형 프로파일링 엔진 • 유무선 네트워크 탐지 • 신규 장치 가시성 확보 • BYOD, IOT 디바이스 식별

• Nmap,LLDP, CDP • SPAN (TCP, DHCP, ARP)

ClearPass Policy Manager ClearPass Universal Profiler

클리어패스로 시작 하십시오.

Internet of

Things (IoT)

BYOD and

corporate owned

Multi-vendor

switching

Multi-vendor

WLANs

Aruba ClearPass

With

Exchange

클리어패스와 함께 무엇을 할수 있을까요?

1. ID실명제(인증) 4. Multi-Factor인증 6. 소유기반 인증 OB

2. 유선 인증 OG 3. IOT지원 OnConnect

5. Policy based SSID 7. 방문객 제어 CPG

User/Device Profiling

Who: Bob

Group: Faculty

Device: Personal iPad

Location: Room 104

Time: 9am, Monday

Compliance: Healthy

Mac Address: X

IP Address: Y

Airgroup Permissions

BYOD, IoT를 위한 프로파일링 및 인증

Profiling & Authentication

최적화된정책결정

• 기반 스캐닝 지원• 서 또는 스케쥴 기반• 유사한 장치도 상세하게 분류

•

온도센서

라이트센서

IoT 식별을 위한 강력한 프로파일링

Who You Are

What You

Have

6/22/2017 11

• Devices별 PKI인증서(온보드)

• 소유기반 인증

• 분실

• EAP-TLS

• Multi-Modal Biometrics

• 생체기반 인증

• 도용/분실 불가

• Username and Password

• 지식기반 인증

• 도용 가능

• MS-CHAPv2

Corporate Portal Verify you identity to gain access What You

Know

Authentication(인증) - 인증방식의 진화

Verify Your Identit

y

Take a selfie Speak a phrase Fingerprint for ID

Success

1. 인증 요청

2. 모바일을 통한 생체 인증

- 얼굴

- 목소리

- 지문

Or

3. Multi-Factor인증 성공

Out-Of-Band Authentication request

Airport Wi-Fi Sign In With GoVerifyI

D

Violet Li

[email protected] Violet Li

Access Granted!

ClearPass and 생체기반 인증

V2.MFA with GoverifyID

V2.MFA_GoverifyID

BYOD, IoT를 위한 네트워크 권한제어

Authorization

멀티벤더

스위치

멀티벤더

무선랜

Context Database

ClearPass

Authorization(인가) – 유무선 동일한 보안정책 수립 (NAC)

• 표준프로토콜사용

• RADIUS/TACACS+

• 안정성 높음

• No ARP Spoofing

• Window/OSX/Ubuntu

• Agent, Web Agent

• 동적 VLAN 지원

• 동적 ACL 지원

프린터 의료기기

기존스위치

• IoT(non-802.1x) 장치들을 위한 디바이스 중심 보안 기능 제공

• 기존 멀티벤더 스위치와 손쉽게 연동(SNMP, SNMP-TRAP)

• IoT, laptops, mobile phones 등 다양한 유무선 장치의 프로파일링 활용

IOT 제어를 위한 온커넥트 – Non-802.1x Support

“Aruba ClearPass is the best solution for wired & wireless NAC and the

most scalable.” Chris Kissel, Senior Industry Analyst, Frost & Sullivan 2016 - Network Access Control Global Market Analysis

ClearPass Exchange – Share the Context

어카운팅 고급정보를 타 장비와 공유

사용자/디바이스 기반

방화벽 정책 적용 Context shared Employee access

• Thomas

• Mac OS 10.9.3

• Marketing

• 10.0.1.12

다양한 DB정보를 손쉽게 연동(AD, LDAP, ClearPass DB, SQL DB)

에이전트나 클라이언트가 필요 없음

Accounting 데이터를 보안장비와 공유

ClearPass Exchange

PaloAlto

CheckPoint

Fortinet

ClearPass Exchange - 방화벽에서 사용자 정보를 활용

ClearPass Exchange Eco-Partner

V3. IoT integration Alexa

V3.IoT_Alexa

Innovation? 왜 클리어패스인가요?

Contain & Control Model

실시간 위협 탐지 기반 Access 보안

** Firewall / IPS

LAN/WLAN

사용자/디바이스가

위협 사이트에 접속

NGFW/IPS에서

ClearPass로 이벤트전송

ClearPass에서

LAN/WLAN에 단말격리 지시

• Offers enhanced user experience as ClearPass can initiate user notifications

, help-desk tickets, and update third-party security solutions

1 2 3

DEMO : 관문보안 및 Access보안 협업 사례

아루바 “무선랜 & ClearPass” with PaloAlto, ServiceNow

5 정확도 높은 ALERT 전송

ClearPass Performs Real-time Policy-based Actions

• 실시간 격리, 재인증 • 대역폭 제어 • 블랙리스트 차단 • 권한변경

6

사용자/디바이스 Context 공유

3

디바이스 프로파일링

2

유선/무선 디바이스 인증

ClearPass Policy Manager

1

ANALYZER

ENTITY360

ANALYTICS FORENSICS

DATA FUSION BIG DATA

Introspect UEBA

프로파일링 및 위험도 산정

네트워크/로그기반 머신러닝

4

Packets

Flows

Logs

Alerts

ARUBA CLEARPASS + INTROSPECT

V4.INTROSPECT

V4.INTROSPECT

“최고의 캠퍼스 네트워크”

아루바가 함께 하겠습니다.

AUTOMATED & INTELLIGENT

Core

Policy

Management

Network

Management

Cloud

Networking

Location

Analytics

Location-Based

Services

User and Entity

Behavioral Analytics

Network

Controls

Aruba 8400

빠른 탐지, 분석 및 해결

손쉬운 자동화, 제어, 연동

안정적인 네트워크 보장

현재 상황에 대한 즉각적인 시각화

Access

감사합니다. Thank You

innovation for securing mobile and emerging iot · 2017-08-16 · 7. 방문객/시직 ......

Documents