NAC (Network Access Control) 개념

네트워크 접근 통제 시스템이라는 개념은 2005년 Gartner가 제시하면서 알려졌다.

이름에서 알 수 있듯이 네트워크와 관련된 보안 모델이다.

 

Why? NAC는 어떠한 필요 때문에 만들어 졌을까?

이 당시에는 아무리 패치를 잘하고 백신을 설치해 놔도 사원들이 밖에서 사용하면서 갖고 들어온 노트북이 이미 감염되어 있다면 사내망에 바이러스나 웜이 들어오는 경우가 있었다.(ex. 2011년 농협)

이러한 경우는 보안성 검토를 받지 못한 단말이 임의로 사내 네트워크에 접근할 수 있었기에 가능한 상황이다.

그렇기에 NAC는 이러한 경우를 검토하고 접근을 제어하는 것이 주된 기능이다.

 

기능

그렇다고 솔루션이 한 가지 기능만 있겠는가?

당연히 아니다.

다양한 기능이 존재한다.

• 접근 제어, 인증
  • 역할 기반으로 내부 직원의 접근을 제어
  • 동일 네트워크에 있는 모든 IP 장치로 부터 접근 제어
• 장치 통제
  • NAC에 등록된 MAC 주소를 통해서 사용자를 인증하거나 SSO(Single Side On)을 통해서 id, pw를 요청하여 인증을 수행한다.
    • 이 과정을 통해서 백신, 업데이트 버전 등 보안 패치를 검토할 수도 있다.
• 악성 트래픽 차단
  • 악성 행위를 차단하고 증거 수집 능력을 갖춘다.

 

종류

NAC에는 다양한 종류가 있다.

• In-Line : 물리적 접근 차단 방식

  기존 네트워크에 구성되어 있는 게이트웨이 같은 곳에 물리적으로 설치하는 방식으로 기존 네트워크 구성의 변경을 최소화 할 수 있다.

• 802.1x : 이름에서도 알 수 있는 무선랜과 비슷한 방식.

  필요조건 : 802.1x RADIUS Server & 802.1x 지원 Switch

  이때 사용되는 RADIUS 서버는 네트워크 접근을 통제하는 중심이 된다.

  RADIUS Server : 클라이언트 인증 과정 수행

  Switch : 허용 및 차단 관리

• VLAN : VLAN을 활용한 방식

  인가 받은 사용자는 통신이 가능한 VLAN을, 인가 받지 못한 사용자는 통신이 되지 않는 VLAN 망에 할당하는 방식

  즉, 격리를 이용한 방식으로 망분리가 알차게(?) 구성된다.

  장점 : 우회가 매우 어려움

  단점 : 모든 네트워크 장비가 VLAN을 지원해야 함 (요즘은 다 지원하지 않나?????)

• ARP : 차단하고자 하는 단말에 ARP Spoofing 패킷을 보내서 정상적인 접근을 차단.

  방법 : 미인가 단말기가 통신을 위해 Gateway의 MAC 주소를 알아내기 위하여 ARP 패킷을 보낸다.

  → ARP 패킷을 감지하고 빠르게 미인가 단말에게 자신(미인가 단말)의 MAC주소를 응답으로 보낸다.

  →접속을 시도했던 미인가 단말은 Gateway 주소가 자기 자신으로 설정되어 통신에 어려움을 겪는다.

• 소프트웨어 에이전트 설치 : 접속을 원하는 모든 클라이언트에 에이전트를 설치

  장점 : 가장 강력한 격리방식

  단점 : 모든 클라이언트에 설치해야 하며 에이전트 또한 보호가 되어야 한다.

 

 

구축 실습

구축 실습 같은 경우는 Packet Fence ZEN을 통해서 In-Line 방식의 NAC 구축 실습을 진행할 수 있다.