안녕하세요 민준입니다.
오늘은 NAC 의 정의 및 동작과정과 구축단계 및 사용 시 기대효과와 방화벽과의 차이에 대해
설명해보겠습니다.
NAC 즉
네트워크 접근제어 (Network Access Control) 는 네트워크에 접속하는 장치에 대해 접속 가능 여부를 확인하여 인증된 장치만이 접속할 수 있도록 제한하는 것을 말하는데
AAA 인증 기능을 통해 네트워크 접근제어의 기본 기술로 사용합니다.
AAA 인증 기능을 3가지로 나타내자면
1. 인증단계 (Authentication) : 네트워크에 접속하는 사용자나 장치에 대해 ID/PW 나 MAC address 등으로 검증하는 단계
2. 권한부여 단계 (Authorization) : 인증된 장치가 어떤 네트워크 자원에 접근할 수 있는지 결정한다. 인증된 장치의 종류나 식별된 사용자의 그룹에 따라 접근할 수 있는 네트워크, 서비스, 시간대를 제한할 수 있다.
3. 회계 단계 (Accounting) : 장치가 네트워크를 접근한 기록을 남겨 향후 대가를 요구하거나 보안상의 목적으로 사용할 수 있다. 이를 통해 어떤 장치를 누가, 언제, 어디서, 어떻게 사용했는지 알 수 있다.
하지만 최근 네트워크 단말들의 다양한 보안 문제로 인해 단말의 보안 규제 준수상태에 따라 네트워크 접속 가능 여부를 결정하길 원하게 되었는데. 이에 단말의 사용자에 대한 식별을 뛰어넘어 장치의 종류가 무엇인지 장치의 현재 보안설정이나 상태를 확인하여 관리자가 정한 조건에 부합하는 단말만이 네트워크에 접속할 수 있도록 해주는 제품군을 NAC라는 명칭으로 부르게 되었다.
NAC를 네트워크 연결 시점을 기준으로 보면 연결이 이루어지기 이전 단계에서 수행되는 작업과 연결 이후 수행되는 작업으로 구분하여 다음과 같이 설명할 수 있다.
Pre-Connect : 단말이 네트워크에 연결되어 정상적인 통신이 이루어지기 이전에 수행되는 작업들을 뜻한다.
어떤 단말이 네트워크에 연결하고자 할 경우 단말에서 제공되는 사용자명, 비밀번호, 인증서, MAC 주소와 같은 정보들을 이용하여 단말을 식별하고 인증하게 된다.
Post-Connect : 단말이 Pre-Connect 단계에서 요구사항을 충족하면 주어진 권한에 따라 네트워크를 사용할 수 있게 된다.
이때 NAC는 지속적으로 단말의 상태 및 정보를 수집하여 관리자가 요구하는 조건을 충족하는지 여부를 모니터링하고, 만약 단말이 보안정책을 위반하면 즉시 격리한다.
NAC 동작과정과 구축단계
동작과정은 다음과 같이 이루어지는데
1. 네트워크 접근 : 접속하고자 하는 단말로 최초로 네트워크에 접근을 시도한다.
2. 사용자 인증 : NAC 에 등록되어 있는 MAC 주소를 통하여 사용자의 단말을 인증하거나 네트워크에 접근하고자 하는 사용자의 ID 와 PW 를 추가로 요청하여 인증을 수행하는데 인증 과정에서 백신이나 보안 패치의 적절성 여부 또한 검토한다.
3. 네트워크 접근 허용 : 인증이 완료된 경우 네트워크에 대한 접근을 허용한다.
3-1 네트워크 접근 거부 : 보안 정책의 기준에 부합하지 않거나 바이러스나에 감염된 경우 등은 네트워크 접근이 거부되고 격리시킨다. 격리시킨 단말은 필요한 정책이나 치료 과정을 거쳐 다시 점검한다.
위와 같은 방법으로 NAC 는 동작하게 됩니당 !
구축단계에서 준수해야 하는 것은 다음과 같은데
1. 가시성 확보 : NAC 를 구축하는 궁극적인 목적은 관리자가 정한 보안규정을 준수하지 않는 단말이 네트워크에 접속해서 사용하는 것을 통제하고 관리하는 것이다.
2. 단말의 분류 : 수집된 데이터를 바탕으로 단말을 분류하는 것이다.
3. 네트워크 접근제어: 제어의 방법은 한 가지가 아니라 네트워크 환경이나 단말의 상태에 따라 다양한 방식으로 적용할 수 있어야 한다.
4. 보안의 자동화 : 사용자들이 따라야 할 보안규정을 관리자가 정한 정책에 따라 자동으로 적용되도록 해주는 것이다.
NAC 의 기대효과
NAC 사용으로의 기대효과는 다음 과 같은데
1. 허가되지 않은 단말의 네트워크 진입을 방지합니다.
NAC는 사내망에 연결되는 어떠한 단말들에 대해서도 일정 수준 이상의 보안 요구사항을 충족하는 경우에만 네트워크를 사용하도록 할 수 있다.
2. 보안사고 발생 시 IP 와 MAC 추적 가능
NAC를 이용하면 지속적인 네트워크 감시를 통해 연결된 모든 단말에 대한 기록을 남겨 다양한 정보를 추적할 수 있다.
3. 보안규정 준수
보안 규정의 시행이 강화됨에 따라. 개인정보보호법에 따라 기업은 개인정보 관리의 안정성을 확보해야 하는데, 이때
NAC를 이용하면 접근제어, 무선랜 보안, 자료 유출 방지 등 기술적 조치 방안을 통해 개인정보관리의 안전성을 확보할 수 있다.
4. 무선랜 단말의 보안 강화
스마트폰과 같은 모바일 단말들이 확산되며 BYOD 의 증가로 무선 랜 사용이 증가하고 있지만 많은 기업들이 평범한 무선 접속장치를 사용하며 공유 비밀번호를 통해 무선랜에 접속한다. 이때 NAC의 802.1X 지원 기능을 이용하면 향상된 무선랜 보안을 구축할 수 있게 해 준다.
5. 내부 네트워크 보안 강화
내부에서 Wifi 나 Hotspot 등을 이용해 자료를 무단으로 외부로 유출할 수 있는데
이때 NAC는 기업 내부의 접속 가능한 WiFi 등을 모니터링하며 어떤 사용자가 접속하는지 관리, 통제할 수 있어
내부 보안시스템을 우회하려는 시도를 차단해준다.
6. 필수 소프트웨어 설치 및 동작 확인
백신 프로그램과 같은 필수 프로그램이 올바르게 설치되고 동작하는지 지속적으로 모니터링한다.
NAC 를 공부하다 보면 Firewall 과 혼동하거나 헷갈리기 쉽다.
두 보안의 차이점에 대해 알고 넘어가는 것이 좋다.
NAC 와 Firewall 의 차이점
1. 단말 중심 vs 네트워크 중심
NAC 는 단말 중심으로 단말 간의 통신에 대한 접근제어를 제공한다
Firewall 은 네트워크를 오가는 네트워크 통신에 대한 접근제어를 제공한다
2. 동적인 정책 vs 정적인 정책
NAC 는 수 백개 이상의 조건을 통해 단말들의 그룹을 구성하고 단말의 상태 변경에 따라 그룹이 자동 변경되고
그에 따라 정책이 적용되는 구조를 제공한다
Firewall 은 일반적으로 출발지/목적지의 주소, 포트와 같은 객체를 통해서 이루어진다
3. 내부망 vs 외부망
NAC 는 위와 같은 이유로 다양한 상태 정보를 얻을 수 있는 내부 사용자에 대한 접근제어 시스템으로 적합하다.
Firewall 은 위와 같은 이유로 단말의 사용자를 특정할 수 없기 때문에 외부 사용자와 내부 시스템의 관리 시스템으로 적합하다.
NAC 는 이정도만 알아도 완료 !! 우왕
다음은 NAC 보안 회사인 Genians 사의 Genian NAC 솔루션에 대해 공부해보겠습니다. 안뇽 !
출처
'네트워크 > 네트워크 접근 제어' 카테고리의 다른 글
| Genian NAC 장치 별 기능 및 특징 (4) | 2023.01.16 |
|---|---|
| Genian NAC 소개 (0) | 2023.01.16 |
