MobileFirstNetwork 을 위한 ClearPass 활용법 · 2019. 7. 25. · Clearpass Exchange Accounting...
Transcript of MobileFirstNetwork 을 위한 ClearPass 활용법 · 2019. 7. 25. · Clearpass Exchange Accounting...
Mobile First Network 을 위한 ClearPass 활용법
최재호 UBER SYSTEMS
HPEnterpriseHP ? Aruba ?
Why Mobile First Network?People move. Networks must follow
Mobile First PlatformMobile First를 위한 Aruba 의 Platform
Core
“Mobile First Platform”
Network Management
Cloud Networking
Location Analytics
Location-Based
Services
User and Entity
Behavioral Analytics
Network Controls
Aruba 8400
빠른 탐지,분석 및 해결
손쉬운 자동화,제어, 연동
안정적인네트워크 보장
현재 상황에 대한즉각적인 시각화Access
Policy Managem
ent
AAAAuthentication Authorization Account01
A1. 식별을위한 A- Authentication- 사용자 ID인증
A2. 권한할당을위한 A- Authorization-네트워크접근권한
A3. 세션관리를위한 A- Accounting-타장비와Interaction
HPE – Aruba ClearpassClearpass
A1 - AuthenticationID 기반 Unified Access
A2 - AuthorizationEndpoint 보안 - NAC
A3 - Accounting세션기반 보안 컨트롤 타워
AuthenticationAuthentic + tion
Authentic그리스어 αὐθεντικός
에서파생Original과같은의미
tion접미사
~하는것
+
Authentication인증방식의 진화
Who You Are
What You Have
• Devices별 PKI인증서(온보드)
• 소유기반 인증
• 분실
• EAP-TLS
• Multi-Modal Biometrics
• 생체기반 인증
• 도용/분실 불가
• Username and Password
• 지식기반 인증
• 도용 가능
• MS-CHAPv2
Corporate PortalVerify you identityto gain access What You
Know
Clearpass Multi-Factor 인증Clearpass 와 생체기반 인증
Verify Your Identit
y
Take a selfie Speak a phrase Fingerprint for ID Success
1. 인증 요청
2. 모바일을 통한 생체 인증
- 얼굴
- 목소리
- 지문
Or
3. Multi-Factor인증 성공
Out-Of-Band Authentication request
Airport Wi-FiSign In With GoVerifyI
D
Violet Li
[email protected] Violet Li
Access Granted!
AuthenticationIoT식별을 위한 강력한 프로파일링
DHCP
SNMP
SSH
TCPWMI
CDP, LLDP
OnGuard
최적화된정책결정
NMAP
• NMAP 기반 스캐닝 지원
• On-Demand 또는 스케쥴 기반
• 유사한 장치도 상세하게 분류
• Lack of Visibility is Lack of Security
Mac OUI
NMAP Scan
Two IoT Endpoints
AfterBefore
Temperature Sensor온도센서
Light Sensor라이트센서
AuthorizationAuthority + aion
Authority라틴어 Auctoritas
에서파생인가의의미
tion접미사
~하는것
+
Authorization유무선 동일한 보안정책 수립 (NAC)
멀티벤더스위치
멀티벤더무선랜
Context Database
ClearPass • 표준프로토콜사용
• RADIUS/TACACS+
• 안정성 높음
• No ARP Spoofing
• Window/OSX/Ubuntu
• Agent, Web Agent
• 동적 VLAN 지원
• 동적 ACL 지원
AuthorizationIOT 제어를 위한 온커넥트 Non-802.1x Support
ClearPassOnConnect
SNMP
Enforcement
프린터
VLAN
의료기기
Vlan
Existing 802.1X wired/wir
eless support
기존스위치
• IoT(non-802.1x) 장치들을 위한 디바이스 중심 보안 기능 제공
• 기존 멀티벤더 스위치와 손쉽게 연동(SNMP, SNMP-TRAP)
• IoT, laptops, mobile phones 등 다양한 유무선 장치의 프로파일링 활용
IoT Devices
(No 802.1x)
Accountinga + count
a라틴어 computus
에서파생‘계산하다’의의미
count접두사
To의의미~을향해서
+
Clearpass ExchangeAccounting 데이터를 보안장비와 공유
사용자/디바이스 기반방화벽 정책 적용Context sharedEmployee access
• Thomas• Mac OS 10.9.3• Marketing• 10.0.1.12
다양한 DB정보를손쉽게연동(AD, LDAP, ClearPass DB, SQL DB)에이전트나클라이언트가필요없음
ClearPassExchange
Clearpass ExchangeContain & Control Model
• 보안강화:클리어패스를통해기존보안솔루션을업데이트
• User Experience향상 :사용자알림,헬프데스크티켓생성을자동화
사용자/디바이스가위협사이트에접속
1
** Firewall / IPS
NGFW/IPS에서ClearPass로이벤트전송2
LAN/WLAN
ClearPass에서LAN/WLAN에단말격리지시3
Clearpass ExchangeContain & Control Model
1. 유해사이트 접속시도 및 방화벽 차단
2. 방화벽로그(syslog) 수신 및 보안정책 실행
Clearpass ExchangeContain & Control Model
3. 무선 차단 및 티켓 생성
정리해 보면…..Clearpass 로 할 수 있는 것들
Internet of Things (IoT)
BYOD and corporate owned
Multi-vendor switching
Multi-vendor WLANs
Aruba ClearPassWith
Exchange
3. ID실명제(인증)4. Multi-Factor인증5. 소유기반 인증
1. 유선 인증2. IOT지원 OnConnect
6. Policy based SSID7. 방문객 제어
User/Device Profiling
Who: BobGroup: FacultyDevice: Personal iPadLocation: Room 104Time: 9am, MondayCompliance: HealthyMac Address: XIP Address: YAirgroup Permissions
Clearpass Update
Aruba ClearPass is the first product to earn a Common Criteria protection profile validation
with the authentication server extended module
Common Criteria Certificate
Clearpass 구축사례H사 방문객 인증 flow
• 유.무선 인증 서버로 사용
• 네트워크 디바이스 TACACS+ 연동을 통한 디바
이스 접속계정 중앙집중 관리.
• ClearPass와 Microsoft Active Directory와 연
동하여, 임직원은 AD계정을 통한 인증을 진행
• 내방객은 ClearPass Local DB에 계정을 생성하
여 인증을 진행.(유선 사용자 MAC 인증)
• API 연동을 통해 인포메이션 데스크에서 방문객
MAC등록(내방객 MAC 정보를 받아 인포메이션
데스크에서 API로 ClearPass LocalDB에 MAC
등록)
1. Help Desk방문접수
2. API를 통한 MAC 등록
3. 사내 네트워크 연결
4. MAC인증요청
4. MAC인증 OK
Clearpass 구축사례K사 디바이스 프로파일링을 이용 Dynamic vlan 적용
• 유.무선 인증 서버로 사용
• 디바이스 프로파일링을 통한 네트워크 접속 디
바이스 타입별 상이한 VLAN 적용.
• DHCP Fingerprinting을 통해 Device를 분류하
여 VLAN 할당
• AD 부서별 VLAN 정책 적용으로 사용자의 물리
적인 위치에 관계없이 동일한 ACL 정책 적용
• 네트워크 디바이스 TACACS+ 연동을 통한 디바
이스 접속계정 중앙집중 관리
ClearPass (Publisher)
Sync
ClearPass (Subscriber)
Access Point
(802.1X)
Controller
Access Point
(802.1X)
Corp PC BYOD
Switch(MAC 인증)
DHCP 서버
DHCP Request
DHCP Response
Clearpass 구축사례N사 NGFW Paloalto 연동
• API 통해 Paloalto 방화벽과 연동
• 인증처리된 사용자에 대한 “USER ID” 정보를
Paloalto 방화벽으로 Update
• Paloalto 방화벽에서 IP 주소가 아닌 User ID 기
반의 정책 설정
INTERNET
Paloalto F/W
Controller
Auth Reqeuest
Auth Response
Update User-ID
Clearpass 구축사례N사 NGFW Paloalto 연동
• API 통해 Paloalto 방화벽과 연동
• 인증처리된 사용자에 대한 “USER ID” 정보를
Paloalto 방화벽으로 Update
• Paloalto 방화벽에서 IP 주소가 아닌 User ID 기
반의 정책 설정
(주) 위버시스템즈HPE-Aruba Certificate 현황
Aruba Certified Mobility Expert (국내 파트너 중 유일)
Aruba Certified Clearpass Expert (국내 파트너 중 유일)
One more thing…Clearpass + Introspect
디바이스프로파일링
2
ClearPassPolicy Manager
유선/무선디바이스 인증1
5 정확도 높은ALERT 전송
사용자/디바이스Context공유
3
ANALYZER
ENTITY360
ANALYTICS FORENSICS
DATA FUSION BIG DATA
Introspect UEBA
프로파일링 및 위험도 산정
네트워크/로그기반머신러닝
4
Packets
Flows
Logs
Alerts
ClearPass Performs
Real-time Policy-based Actions
• 실시간 격리, 재인증• 대역폭 제어• 블랙리스트 차단• 권한변경
6