CCNP Part 2 - 9

Next Generation Firewall

기존의 전통적인 방화벽을 구분 하기 위해 만든 개념

기존의 장비와 차별화를 두기 위해 NG(Next Generation)이라는 이름을 붙임

 

옛날 방화벽은 Header에 있는 정보만 분석하고 Payload data는 분석 못함

- 단순히 포트, 프로토콜, ip 주소에 의해서 필터링

- 새롭게 출현하는 매우 복잡한 형태의 공격에 대해서는 효과적인 방어가 어렵다.

 

Packet 자체를 하나의 세션으로 만들어서, 그 세션의 데이터를 거시적인 관점으로 분석해서 이것이 공격인지 아닌지 판단 함. 즉 Packet별로 분석 하는 것이 아닌, Application 단으로 구분이 가능 하다는 것

하나의 장비에다가 IPS/IDS 다 넣음

특정한 App만 쿡 찍어서 제어 할수 있음.

Cisco 보안은 탈로스나 ThreatGRID에서 나중에 분석함 -> 시스코 방화벽도 Unknown 정보는 탈로스로 보냄

 

Cisco의 NGFW

방화벽, 침입탐지 모두 하나로 통합 되어 있음. 악성 코드들은 SAND Box 안에 있는지 없는지 recongnize 할수 있게 모델링 되어있는데, 이런거도 다 막혀있긴함

FMC를 통해서 시스코 보안 장비들이 관리 됨, 그리고 위와 같이 기능들이 엄청 많음

 

Cisco TrustSec

어떠한 제품을 얘기 하는 것이 아닌, 시스코의 솔루션을 가지고 보안 구현 하는 방법 들을 얘기 한 것

TrustSec자체로 기능을 하지만 SDA라든지 자주 사용됨

회사 리소스에 접근 하려고 하는 유저나 디바이스들이 인가한 것들인지 제어 하기 위해서 나온 것.

제일 처음에 나온게 ACL 임.

네트워크가 복잡해짐에 따라, 분리의 필요성을 가지게 됨. 정책적으로 네트워크를 분리 해야함. Network Segmentation

 

오늘날은 어떠한 시나리오에서도 네트워크를 분리 해야함.

BYOD(Bring your own device)문제들을 해결하기위해 나온 concept

 

Contextual Identification = Cisco ISE , 마지막에 인증 해주는 것

ISE 같은 경우, 사용자를 인증할때 굉장히 여러가지를 가지고 인증을 함. 어떤장소, 어떤 device.. check 하고 그거에 따라 주어지는 권한이 다름

Tag를 assign하고 그 Tag정보를 가지고 그에 맞는 권한을 줌. 네트워크 진입 시점에 Tag를 붙임

무선랜이랑 비슷한 개념임. (Guest Wifi / Corporate wifi) 따라 권한이 다른 것 처럼

전통적으로 사용하는 ip정보나 이런걸 사용하지않고 security tag정보만 사용 (SSID같은거)

 

정책은 사용자가 인증이 되는 시점에 assign 함

Compliant Security Posture = Enduser 컴퓨터 상태 체크 하는것, 백신, 보안, 업데이트 뭐 이런거 다 했는지 확인

만약 compliant security posture 패스 못하면, 격리 네트워크로 가서 거기서 required된 거 다 업데이트 및 설치 후 네트워크 붙여주는 거임

 

CMD(Cisco Metadata) 6만 4천개 정도의 Group을 만들수 있음

Scaleable 하다.

보안에 대한 개념이다

 

 

Media Access Control Security

MACsec 2계층에서 데이터를 암호화 하는 기술

2계층에서 암호화 할수 있는 가장 대표적인 data는 무선이 있음

WPA/WPA2 Protection의 유선 버젼이라고 보면 편함

IPsec의 2계층 버젼

Advanced Encryption System Service(AES) 암호화 알고리즘을 이용함

MACsec peer간 구간구간 암호화 , 네트워크 장비 지나갈때는 복호화 시킴.

그래서 MACsec을 가지고 Hop by Hop 암호화 프로토콜 이라고도 함

 

ASIC 사용 = 장비 부하 적음

 

MACsec같은 경우는 802.1AE Header에 정보 넣어서 통신

MACSec을 지원하지 않는 장비들은, forwarding을 할수 없게 됨

 

SAP = Cisco , MKA = Other Vendor

사용자 Client Software에 Client 를 깔아야 함

 

MACsec은 TrustSEC이랑 같이 사용됨

2계층에서 데이터를 암호화 하기때문에, 다른 man in the middle은 안되지만, 네트워크 장비에서 트래픽을 볼 수 있기때문에 관리가 용이 함

 

NAC with 802.1x

Network Access control

무선랜 보안

802.1x = 2계층에 인증을 하기위해서 사용하는것, 인증정보만 트래픽을 보낼수있음. 포트 를 막아버림)

 

 

EAP implement Methods , 어떤 인증 방식을 쓰는가 , 관리자나 사용자가 미리 정의 함

인증 터널은 바깥 터널이랑 안 터널으로 나뉨

EAP-MD5

오로지 조직입장에서 사용자만 인증하는 방식(Supplicant만 인증을 받음)

 

EAP-TLS

Client 도 인증서가 필요하고 Server도 인증서가 필요한 방식, 상호 인증 방식 (구현하기 어려움)

Protected EAP(PEAP)

EAP를 다시 암호화 시킴. 단순히 EAP에 사용자 정보를 전하는게 불안하니까 EAP트래픽을 암호화된 터널을 통해 보내는 거. Auth Server가 인증서를 갖고 있어야함 , 사용자 측에는 인증서가 필요없기때문에 관리 할 영역이 좀 줄음.

 

EAP-MSCHAPv2 = ID/PW 기반 (마소가 만듬)

GTC = 사용자 측에 인증서 사용

TLS = 인증서

 

EAP-FAST

Cisco에서 만든거라 endpoint에 Agent 를 깔아야 함

 

MAC Authentication Bypass (MAB)

802.1x를 지원하지 않는 장비의 경우 차선책으로 MAB을 씀. 일종의 Mac 인증

Mac Address는 항상 쉽게 Spoofing이 되기때문에, 항시 확인 해야함

언제 일어나는지 설명

802.1x timeout

mac address packet확인해서 mac address를 server에 던짐

그 supplicant 의 네트워크 허용 or not

 

제한적으로 설정 해야함. 왜? mac address는 쉽게 spoofing이 되니까 해킹 당하면 큰일남

 

Web Authentication

웹 인증

802.1x -> MAB -> WebAuth 순으로 됨. 웹 포털에다가 아이디랑 패스워드 넣으면 제한적으로 사용 시켜준다던지 하는..기술

방문객이 오면, EAP 802.1x , User regstration이 안되있으니까 passing 되고, 도 Device mac address당연히 등록 안되있으니까 passing될꺼고 그 다음 WebAuth로 가는 것

담당자에 의해 발급된 Guest ID/PW 사용

2가지 종류의 WebAuth 방식

Local Web인증은 제약이 많음

Guest Network로 분리 됨

 

Security Posture Assessment = 사용자의 Security 상태 Check (컴퓨터 스캔 하는 거)

순서

 

문제는, 시간이 너무 많이 걸린 다는 거임.. 웹인증 페이지 까지 띄우기 까지

 

이런거 해결하기 위해서 FlexAuthentication이 나옴.

여러개의 인증이 동시에 이뤄지는 방식