Mobile First Network 을 위한 ClearPass 활용법

최재호 UBER SYSTEMS

HPEnterpriseHP ? Aruba ?

Why Mobile First Network?People move. Networks must follow

Mobile First PlatformMobile First를 위한 Aruba 의 Platform

Core

“Mobile First Platform”

Network Management

Cloud Networking

Location Analytics

Location-Based

Services

User and Entity

Behavioral Analytics

Network Controls

Aruba 8400

빠른 탐지,분석 및 해결

손쉬운 자동화,제어, 연동

안정적인네트워크 보장

현재 상황에 대한즉각적인 시각화Access

Policy Managem

ent

AAAAuthentication Authorization Account01

A1. 식별을위한 A- Authentication- 사용자 ID인증

A2. 권한할당을위한 A- Authorization-네트워크접근권한

A3. 세션관리를위한 A- Accounting-타장비와Interaction

HPE – Aruba ClearpassClearpass

A1 - AuthenticationID 기반 Unified Access

A2 - AuthorizationEndpoint 보안 - NAC

A3 - Accounting세션기반 보안 컨트롤 타워

AuthenticationAuthentic + tion

Authentic그리스어 αὐθεντικός

에서파생Original과같은의미

tion접미사

~하는것

+

Authentication인증방식의 진화

Who You Are

What You Have

• Devices별 PKI인증서(온보드)

• 소유기반 인증

• 분실

• EAP-TLS

• Multi-Modal Biometrics

• 생체기반 인증

• 도용/분실 불가

• Username and Password

• 지식기반 인증

• 도용 가능

• MS-CHAPv2

Corporate PortalVerify you identityto gain access What You

Know

Clearpass Multi-Factor 인증Clearpass 와 생체기반 인증

Verify Your Identit

y

Take a selfie Speak a phrase Fingerprint for ID Success

1. 인증 요청

2. 모바일을 통한 생체 인증

- 얼굴

- 목소리

- 지문

Or

3. Multi-Factor인증 성공

Out-Of-Band Authentication request

Airport Wi-FiSign In With GoVerifyI

D

Violet Li

Violet.Li@domain.com Violet Li

Access Granted!

AuthenticationIoT식별을 위한 강력한 프로파일링

DHCP

SNMP

SSH

TCPWMI

CDP, LLDP

OnGuard

최적화된정책결정

NMAP

• NMAP 기반 스캐닝 지원

• On-Demand 또는 스케쥴 기반

• 유사한 장치도 상세하게 분류

• Lack of Visibility is Lack of Security

Mac OUI

NMAP Scan

Two IoT Endpoints

AfterBefore

Temperature Sensor온도센서

Light Sensor라이트센서

AuthorizationAuthority + aion

Authority라틴어 Auctoritas

에서파생인가의의미

tion접미사

~하는것

+

Authorization유무선 동일한 보안정책 수립 (NAC)

멀티벤더스위치

멀티벤더무선랜

Context Database

ClearPass • 표준프로토콜사용

• RADIUS/TACACS+

• 안정성 높음

• No ARP Spoofing

• Window/OSX/Ubuntu

• Agent, Web Agent

• 동적 VLAN 지원

• 동적 ACL 지원

AuthorizationIOT 제어를 위한 온커넥트 Non-802.1x Support

ClearPassOnConnect

SNMP

Enforcement

프린터

VLAN

의료기기

Vlan

Existing 802.1X wired/wir

eless support

기존스위치

• IoT(non-802.1x) 장치들을 위한 디바이스 중심 보안 기능 제공

• 기존 멀티벤더 스위치와 손쉽게 연동(SNMP, SNMP-TRAP)

• IoT, laptops, mobile phones 등 다양한 유무선 장치의 프로파일링 활용

IoT Devices

(No 802.1x)

Accountinga + count

a라틴어 computus

에서파생‘계산하다’의의미

count접두사

To의의미~을향해서

+

Clearpass ExchangeAccounting 데이터를 보안장비와 공유

사용자/디바이스 기반방화벽 정책 적용Context sharedEmployee access

• Thomas• Mac OS 10.9.3• Marketing• 10.0.1.12

다양한 DB정보를손쉽게연동(AD, LDAP, ClearPass DB, SQL DB)에이전트나클라이언트가필요없음

ClearPassExchange

Clearpass ExchangeContain & Control Model

• 보안강화:클리어패스를통해기존보안솔루션을업데이트

• User Experience향상 :사용자알림,헬프데스크티켓생성을자동화

사용자/디바이스가위협사이트에접속

1

** Firewall / IPS

NGFW/IPS에서ClearPass로이벤트전송2

LAN/WLAN

ClearPass에서LAN/WLAN에단말격리지시3

Clearpass ExchangeContain & Control Model

1. 유해사이트 접속시도 및 방화벽 차단

2. 방화벽로그(syslog) 수신 및 보안정책 실행

Clearpass ExchangeContain & Control Model

3. 무선 차단 및 티켓 생성

정리해 보면…..Clearpass 로 할 수 있는 것들

Internet of Things (IoT)

BYOD and corporate owned

Multi-vendor switching

Multi-vendor WLANs

Aruba ClearPassWith

Exchange

3. ID실명제(인증)4. Multi-Factor인증5. 소유기반 인증

1. 유선 인증2. IOT지원 OnConnect

6. Policy based SSID7. 방문객 제어

User/Device Profiling

Who: BobGroup: FacultyDevice: Personal iPadLocation: Room 104Time: 9am, MondayCompliance: HealthyMac Address: XIP Address: YAirgroup Permissions

Clearpass Update

Aruba ClearPass is the first product to earn a Common Criteria protection profile validation

with the authentication server extended module

Common Criteria Certificate

Clearpass 구축사례H사 방문객 인증 flow

• 유.무선 인증 서버로 사용

• 네트워크 디바이스 TACACS+ 연동을 통한 디바

이스 접속계정 중앙집중 관리.

• ClearPass와 Microsoft Active Directory와 연

동하여, 임직원은 AD계정을 통한 인증을 진행

• 내방객은 ClearPass Local DB에 계정을 생성하

여 인증을 진행.(유선 사용자 MAC 인증)

• API 연동을 통해 인포메이션 데스크에서 방문객

MAC등록(내방객 MAC 정보를 받아 인포메이션

데스크에서 API로 ClearPass LocalDB에 MAC

등록)

1. Help Desk방문접수

2. API를 통한 MAC 등록

3. 사내 네트워크 연결

4. MAC인증요청

4. MAC인증 OK

Clearpass 구축사례K사 디바이스 프로파일링을 이용 Dynamic vlan 적용

• 유.무선 인증 서버로 사용

• 디바이스 프로파일링을 통한 네트워크 접속 디

바이스 타입별 상이한 VLAN 적용.

• DHCP Fingerprinting을 통해 Device를 분류하

여 VLAN 할당

• AD 부서별 VLAN 정책 적용으로 사용자의 물리

적인 위치에 관계없이 동일한 ACL 정책 적용

• 네트워크 디바이스 TACACS+ 연동을 통한 디바

이스 접속계정 중앙집중 관리

ClearPass (Publisher)

Sync

ClearPass (Subscriber)

Access Point

(802.1X)

Controller

Access Point

(802.1X)

Corp PC BYOD

Switch(MAC 인증)

DHCP 서버

DHCP Request

DHCP Response

Clearpass 구축사례N사 NGFW Paloalto 연동

• API 통해 Paloalto 방화벽과 연동

• 인증처리된 사용자에 대한 “USER ID” 정보를

Paloalto 방화벽으로 Update

• Paloalto 방화벽에서 IP 주소가 아닌 User ID 기

반의 정책 설정

INTERNET

Paloalto F/W

Controller

Auth Reqeuest

Auth Response

Update User-ID

Clearpass 구축사례N사 NGFW Paloalto 연동

• API 통해 Paloalto 방화벽과 연동

• 인증처리된 사용자에 대한 “USER ID” 정보를

Paloalto 방화벽으로 Update

• Paloalto 방화벽에서 IP 주소가 아닌 User ID 기

반의 정책 설정

(주) 위버시스템즈HPE-Aruba Certificate 현황

Aruba Certified Mobility Expert (국내 파트너 중 유일)

Aruba Certified Clearpass Expert (국내 파트너 중 유일)

One more thing…Clearpass + Introspect

디바이스프로파일링

2

ClearPassPolicy Manager

유선/무선디바이스 인증1

5 정확도 높은ALERT 전송

사용자/디바이스Context공유

3

ANALYZER

ENTITY360

ANALYTICS FORENSICS

DATA FUSION BIG DATA

Introspect UEBA

프로파일링 및 위험도 산정

네트워크/로그기반머신러닝

4

Packets

Flows

Logs

Alerts

ClearPass Performs

Real-time Policy-based Actions

• 실시간 격리, 재인증• 대역폭 제어• 블랙리스트 차단• 권한변경

6