2005년 6월 27일 월요일

Emailing: Global Case Study - 마이애미 밀러 의과대학 무선랜 구축

www.dataNet.co.kr The best IT & Internet Partner dataNet
The best IT & Internet Partner dataNet
☞프린트하기 ☞창닫기
Global Case Study - 마이애미 밀러 의과대학 무선랜 구축
등록일 : 2005.06.23
출 처 : NETWORK TIMES
작성자 :
새로운 무선랜, 초대받지 않은 AP는 가라
합리적인 무선랜 아키텍처 만들어야 … 웜 공격 차단 성공적



마이애미 대학의 밀러 의과대학과 병원 시스템에서는 지난 해부터 무선랜 불량 무선 액세스 포인트(AP)들이 너무 자주 솟아 나와서 IT 팀들은 이 귀찮은 장비에 ‘독립군’ AP라는 정치적으로 잘 어울리는 이름을 만들어 붙일 정도였다. 불량 AP들이 디폴트 무선 주파수 채널로 몰려들면 캠퍼스 무선랜(WLAN)에서간섭이 발생하며, 결국 사용자들은 과부하된 무선랜에서 밀려나가게 된다.



의과대학과 잭슨 메모리얼 병원(Jackson Memorial Hospital), 부속 클리닉, 그리고 임상 및 생물의학 엔지니어링 부서가 포함돼 있는 마이애미 대학의 밀러 의과대학(University of Miami's Miller School of Medicine)의 IT 책임 겸 정보보안 요원인 크리스 보그(Chris Bogue)는 “여기저기서 무선 신호들이 튀어나와 우리는 불량 장비들을 찾아내야 했다”며, “무선 액세스 셋업이 없는 건물에서 무선 랜이 다운됐다는 호출을 받고 보면 이 AP들이 모두 같은 채널에서 신호를 전파하고 있음을 발견하곤 했다”고 말했다.
문제는 널리 퍼진 무선랜으로 인해 더 복잡해졌다. 이 곳의 무선랜은 수술실과 회복실에서부터 연구실과 회의실에 이르기까지, 의과대학 캠퍼스를 군데군데 커버하고 있었다. 조각들이 모두 함께 연결돼 있지 않았으며, 추가로 AP가 초대받지 않은 상태에서 네트워크에 들어오면 누가 네트워크에 있는지, 혹은 이들이 무엇을 하고 있는지를 믿을 만하게 감시하거나 추적할 방법이 없었다.

무선랜 압박 만만치 않아
인터넷 액세스를 찾는 방문 교수나 다른 사용자들이 이런 불량 AP를 통해 우연히 네트워크로 들어오게 되곤 했으며, 이런 AP들은 공식적으로 무선랜 액세스를 얻을 때까지 기다리지 못하는 열성이 지나친 부서나 학생들에 의해 만들어지곤 했다. 다행히도 이 대학에서는 큰 보안 문제는 겪지 않았지만, 장애에 한 발 앞서 대처하기가 점점 더 힘들어지고 있었다.
의료센터의 무선랜 문제는 802.11 무선랜 기술이 원래부터 가지고 있는 결함을 그대로 드러내 주는 것이었다. 즉 이것은 트래픽이 많은 곳에서 코채널(Co-Chanel) 간섭을 일으키고, 그 공유 허브 아키텍처는 마이애미와 같은 대학 무선랜이나 대기업의 사용자 양이 늘어날 때 함께 확장이 되지 못한다. 의과대학의 성장하는 무선랜에서의 압박은 점점 심해지고 있으며, 특히 새로운 무선 임상 애플리케이션이 추가된 후부터는 더욱 심해졌다. 예를 들어 의료센터에서는 간호사와 의료진이 환자의 침대 옆에서 환자 기록과 연구 결과로 액세스를 할 수 있게 해주는 모바일 임상 정보차트를 추가했다. 궁극적으로 의료진은 이런 차트로부터 바이탈 사인을 모니터링할 수 있다. 사소한 무선랜 문제들로 애플리케이션에 큰 재난이 닥치진 않겠지만, 보그는 “네트워크가 이것을 신뢰할 수 있게 계속 돌리지 못하게 될 수 있다는 걱정이 되기 시작했다”고 말했다.
한편, 보그와 그의 팀은 불량 AP를 물리적으로 추적했으며, 그런 다음 이들의 접속을 해제시키고 대학에서 인가 받은 시스코와 어바이어로 교체했다. 일을 제대로 하기 위해, 대학에서는 몇 가지 리노베이션 및 건설 프로젝트를 진행 중이며, 따라서 벽이 제거되면 이전에는 지원되지 않던 지역까지 무선랜 지원이 가능해질 것이다. 하지만 전체 프로젝트를 인원 수 6명의 무선랜 팀이 감당하기에는 너무 무리였다. 보그는 “우리는 몇 주마다 AP를 재배치하고, 가끔은 재구성도 해야 했다”고 회상하면서, “무선랜을 관리하기가 힘들어졌다”고 말했다.

채널 변경
이러한 모든 문제를 갖고 씨름한 후, 보그와 그의 팀은 밀러 의과대학이 무선랜의 규모를 넘어 성장하고 있다는 피할 수 없는 결론에 부딪쳤다. 때문에 이 대학은 그 무선 게임 계획을 변경하지 않을 수 없었다.
지난 가을 IT 팀에서는 채널 간섭 문제를 제거하기 위해 보다 합리적인 무선랜 아키텍처를 만들기 시작했다. 이 팀은 또한 보안을 강화시켜서 무선랜은 이제 클라이언트 기계의 MAC 어드레스가 아니라 마이크로소프트 액티브 디렉토리(Active Directory) 증명서에 사용자들을 인증시키고 있다. 신규 무선랜은 거의 절반 가량이 완료돼 현재 300명의 동시 사용자를 지원하고 있다. 내년이면 나폴리, 웨스트 팜피치 및 디어필드 비치 등, 사우스 플로리다의 다른 지역에 있는 마이애미 캠퍼스와 의료 부설기관에 걸쳐 2천명 이상의 동시 사용자에게로 학장될 것이다.
무선랜은 메루 네트웍스의 에어트래픽 컨트롤 시스템(Air Traffic Control System)을 기반으로 하는데, 이 시스템에는 QoS를 제공함으로써 음성, 비디오 및 기타 민감한 트래픽이 필요한 우선순위와 대역폭을 얻도록 해주는 무선랜 게이트웨이가 포함돼 있다. 이 의과대학의 네트워크 매니저 겸 정보보안 매니저인 프랭크 로드리게즈는 메루의 컨트롤러(Controller) 어플라이언스가 간섭을 제거하기 위해 “메루 애플리케이션을 부하조절해준다”고 말했다. 컨트롤러는 또한 어떠한 불량 AP든 자동으로 탐지하고 차단을 해준다.
IT 팀은 사용자가 예를 들어 블랙베리(BlackBerry)를 들고 사무실에서 병원으로 물리적인 이동을 할 때 발생하는 접속 감소나 유실을 피하기 위해 400개 이상의 메루 AP를 단일 채널 위로 구성했다. 메루의 시스템은 대부분의 802.11 무선랜 시스템과는 차이가 나는데, 그 이유는 이것이 접속을 클라이언트 기계에 마치 하나의 큰 AP인 것처럼 나타나게 해주기 때문이다. 단일 채널은 심지어 AP 커버리지 영역간에 이동할 때도 사용자에게 풀 11Mbps 접속을 준다고 보그는 말했다. 문제는, IT 팀에서 여전히 구식 시스코 및 어바이어 AP를 위해 별도의 관리 툴을 사용해야 한다는 것이다.
이 대학의 6개 메루 컨트롤러들은 데이터 센터에 위치하고 있는데, 보그와 그의 팀은 여전히 여기서 QoS를 테스트하고 있다. 무선랜으로 액세스하기 위해 교수나 의사들에게 필요한 것은 802.11b나 802.11g 지원 장비뿐이다. 사용자는 VPN 터널을 셋업하거나, 브라우저를 통해 갈 수 있으며, 이것은 버니어네트웍스(Veriner Net-works)의 보안 어플라이언스로 접속이 되며, 이 어플라이언스는 대학의 주니퍼 네트웍스 네오테리스(Juniper Networks Neoteris) VPN 어플라이언스로 포털과 VPN 터널을 제공한다. 사용자는 의과대학의 액티브 디렉토리를 통해 인증이 된다.
만약 사용자가 교수나 병원 환자의 가족을 방문 중이라면, 사용자는 인트라넷 사이트(포트 80)에 있는 게스트 링크를 사용하며, 이것은 커뮤니티 무선랜 서브넷을 통해 ‘억압된(throttled)’ 인터넷 접속을 제공한다고 보그는 말했다. 여기에는 또한 잠재적인 침입이나, SQL 슬래머(Slammer)와 같은 웜에 대해 모든 트래픽을 점검하는 침입 탐지 및 방지 어플라이언스도 있으며, 지금까지 몇 차례 추적을 통해 이러한 공격들을 성공적으로 차단하기도 했다.

무선에서 음성을
밀러 의과대학에서는 얼마 동안 유선 네트워크에서 작은 시스코 기반 VoIP 시스템을 돌리고 있으며, 곧 VoIP 간호사 콜 스테이션 애플리케이션을 무선랜으로 이동시킬 계획이다. 보케라 커뮤니케이션즈 시스템(Vocera Communications Systems)은 가벼운 음성 배지(voice badge)를 이용하는 피어 투 피어 802.11 기반 애플리케이션이기 때문에 간호사는 예를 들어 혈액검사 결과를 보기 위해 연구실 직원에게 직접 연락할 수 있다. 이 대학에서는 캠퍼스에서의 수업과 이벤트용으로 무선랜에서 스트리밍 비디오를 돌리고 있다.
하지만 그 멋진 기능들에도 불구하고, 이 학교의 무선랜은 여전히 공유 네트워크 인프라다. 따라서 스위치드 이더넷 네트워크와 달리, 대역폭은 현재로서 갈 수 있는 곳까지만 갈 수 있다며, 보그는 “무선에서의 작업처리량은 우리가 원하는 만큼은 아직 아니지만, 앞으로 2~3년이면 그렇게 될 것”이라고 전망했다.



The Hard Shell
“변화가 필요하다는데 이견이 없다”


크리스 보그가 마이애미 대학의 밀러 의과대학용으로 새 무선랜에 대한 안을 대학 임원진에게 제출했을 때 여기에 크게 반대한 사람은 아무도 없었다. 기존의 무선랜에서는 불량 무선 액세스 포인트와 접속 문제들이 언제나 골칫거리였기 때문에, 변화가 필요하다는 것은 의심할 나위가 없었다.
밀러 의과대학의 IT 책임 겸 정보보안 요원인 보그는 이미 이 학교의 관리운영 및 플래밍 부사장과 함께 캠퍼스에서 무선 능력을 확장시키는 데 대한 잠재성을 논의해 오고 있던 터였다. 보그는 “덕분에 새로운 무선랜을 구입 및 설치하는 일이 순조롭게 진행될 수 있었다”고 회상했다.
이 학교의 IT 운영팀에서는 시스코와 어바이어의 무선랜 기술을 염두에 두었지만, 메루의 에어 트래픽 컨트롤(Air Traffic Control) 시스템의 독특한 방안을 채택하기로 했다. 보그는 “코채널 간섭을 줄여주고, 사이트 서베이를 할 수 있는 능력과, 관리 및 배치의 편의성으로 인해 이 제품을 선택했다”고 말했다.
학교에서는 불량 AP 로케이팅을 돕기 위한 사이트 서베이에 연간 약 10만달러를 지출하고 있었지만, 메루 시스템은 불량을 탐지해줄 뿐만 아니라 이들을 다운시키기까지 해준다.
이 새 시스템에는 우선 70만달러가 들어갔으며 모든 게 완료되는 데는 약 100만달러가 들 예정이기 때문에, 유선 인프라에 얼마나 더 많은 투자를 해야 하는지에 대한 새로운 논의가 시작되었다. 보그는 “예전의 이더넷 카테고리 3 및 4 와이어링을 리케이블링하고 있지만, 여기에 얼마나 많이 투자를 해야 하는지는 모르겠다”며 “이제 알아보려 한다”고 말했다.
한편, 보그가 새로 뛰어들 프로젝트는 대학의 잭슨 미모리얼 병원에 마이크로소프트 액티브 디렉토리 2003을 이행하는 일이다. 보그는 “1만4천 명 사용자 디렉토리 스트럭처가 있다”며 이 병원은 낡은 마이크로소프트 익스체인지 서버 환경에서 AD 2003으로 이동할 필요가 있다고 단언했다.

댓글 없음: