네트워크 접근 제어 (NAC)

네트워크 접근 제어(NAC : Network Access Control)란 단말이 네트워크에 접근하기 전 보안정책 준수여부를 검사하여 네트워크 사용을 제어하는 것을 말합니다. NAC 시스템은 네트워크에 연결된 단말의 여러 가지 정보를 수집하고, 수집된 정보를 바탕으로 단말들을 분류하며, 분류한 그룹의 보안 위협 정도에 따라 제어를 수행합니다.

대표적인
NAC정책 예시
  • 네트워크 사용 사전 동의 후 네트워크 접속 허용
  • 미 인증 사용자 네트워크 접속 제한
  • 필수 소프트웨어 미설치 단말에 경고창 팝업 또는 특정 네트워크 접속 제한

정보 수집

Genian NAC Suite는 네트워크 단말정보를 수집하고 분류 데이터를 제공하기 위해 다양한 방법을 활용합니다.

중앙 센서

중앙 센서는 NAC의 메인 정책 서버에 위치하며 외부로부터 정보를 받아들이는 역할을 수행합니다. 외부 시스템들과 SNMP Trap, Syslog, 데이터베이스, LDAP 등 다양한 프로토콜을 통해 정보를 수집합니다. 또한 DHCP 서버 역할을 수행하며 네트워크 전체의 IP 할당 정보를 관장합니다.

네트워크 센서

네트워크 센서 Net-Sentry(넷센트리)가 네트워크의 각 서브넷에 설치되며 네트워크에서 발생되는 각종 이벤트를 감지합니다. 신규 단말의 접속과 해제를 감지하고, 단말에 대한 스캔 및 정보 수집을 수행해 정책 서버로 전송하는 역할을 합니다. 일반적으로 네트워크 센서는 802.1Q VLAN Trunk로 구성되어 한 시스템으로 여러 서브넷에 대한 모니터링을 수행할 수 있습니다.

무선 센서

Air-Sentry(에어센트리)라 불리우는 무선 센서는 업무 공간의 주요 위치에 설치되며 주변에서 발생하는 무선 랜 관련 이벤트를 수집합니다. 새로운 AP를 감지하거나 사용자들의 무선 랜 접속 이력을 관리합니다. 비인가 AP를 찾아내고 잘못 설정된 AP 등 무선 신호를 통하여 정보를 수집합니다.

미러 센서

네트워크 센서는 Out-of-Band 구조로 네트워크의 구성이나 지연율(Latency)에 아무런 영향을 미치지 않습니다. 이러한 구조 때문에 네트워크 상의 모든 트래픽을 모니터링 할 수 없습니다. 미러 센서는 네트워크의 모든 트래픽을 모니터링해서 네트워크 센서가 제공하지 못하는 각 단말별 트래픽 사용량 정보 등 추가적인 사항을 수집할 수 있게 해줍니다.

에이전트

에이전트는 Genian NAC Suite의 필수 설치요소는 아니지만 단말에 대한 보다 상세한 분류 및 제어를 원할 경우 활용하여 관리 능력을 향상시킬 수 있습니다. 사용자의 PC에 설치되며 하드웨어, 운영체제, 소프트웨어, 보안 설정, 연결 장치, 네트워크 등 보안 정책 수립에 필요한 다양한 정보를 수집합니다. 플러그인 형태로 구성된 수집 모듈 중 원하는 모듈을 선택하여 지정된 주기마다 보고하도록 설정할 수 있습니다.

네트워크 접근 제어 (NAC) 이미지

단말 분류

다양한 수집 활동을 통해 얻어진 정보를 바탕으로 각 단말을 자동으로 분류할 수 있습니다. 관리자는 조직의 보안 정책에 따라 분류 조건을 생성하게 됩니다.

분류 조건은 각 단말이 가진 정보를 기본으로 다음과 같은 형태로 설정됩니다.

단말 분류
기본설정 예시
  • 단말의 사용자 정보가 존재하지 않을 때
  • 단말에 설치된 소프트웨어 중 백신이 없을 때
  • 단말에 금지된 소프트웨어(P2P, 게임 등)가 존재할 때

이러한 조건을 설정해두면 단말 정보가 갱신될 때 각 분류 조건에 대한 실시간 검사가 이루어져 자동으로 특정 분류에 속하거나 해제됩니다. 제어 대상을 직접 지정(IP 등)해서 정책을 수립해야 하는 기존 보안시스템 방식과 달리, 단말의 상태 정보에 따라 동적으로 변하는 그룹을 통해 상태에 따른 정책을 수립할 수 있습니다.

Genian NAC Suite는 140여 가지의 다양한 분류 조건을 제공해 관리자가 원하는 형태의 조건을 표현할 수 있습니다.

네트워크 접근 제어 (NAC) 이미지

제어

관리자는 분류를 통해 구분한 일부 네트워크 단말에 대해 여러 가지 제어를 수행합니다.
Genian NAC Suite의 단말 분류 체계는 낮은 수준에서부터 높은 수준의 보안 위협까지 다양하게 구분할 수 있습니다. 30여 가지의 제어 기법 가운데 분류 대상의 보안 위협 정도에 따라 적절하게 선택하여 사용할 수 있습니다. 아울러 외부 시스템과의 연동을 통한 다양한 제어 기능을 제공합니다.

경고

분류된 노드의 보안 위협이 비교적 낮을 경우, 경고 수준의 제어를 사용합니다. 예를 들어 일정 기간동안 백신 검사를 수행하지 않은 노드에 대해서는 특별한 제한 없이 해당 사실에 대한 통지만으로 충분합니다.

Genian NAC Suite는 다음과 같은
경고 제어 기법을 제공합니다.
  • 에이전트를 통한 사용자 알림창 표시
  • 휴대폰 문자메시지
  • 알림창 반복 출력
  • 관리자 인스턴트 메시지
  • 닫기 불가 알림창
  • 외부 시스템 연동 (메신저 등)
  • 전자우편

차단

분류된 단말의 보안 위협이 비교적 높아 일부 네트워크에 대한 사용을 제한해야 할 경우, 차단 수준의 제어를 사용합니다. 예를 들어 PC에 백신을 설치하지 않았거나 경고 수준에서 정의한 기한을 넘어 지속적으로 검사를 수행하지 않아 행동에 제약을 가해야 할 경우에는 차단 제어로 사용자들을 통제할 수 있습니다.

Genian NAC Suite는 다음과 같은
차단 기법을 제공합니다.
  • ARP Poisoning (ARP  제어를 통해 단말의 네트워크 사용 제한)
  • ARP Surgical Defence
  • ARP Detox (IP 충돌 발생시 정상 단말로 ARP Cache 업데이트)
  • IP Conflict (IP 충돌이 보호된 단말에 대한 IP 보호)
  • ARP Cache Recovery (IP 충돌 발생시 정상 단말 보호)
  • HTTP Redirection (차단된 단말의 HTTP 트래픽을 특정 페이지로 리다이렉션)
  • TCP RST Reset (차단된 단말의 TCP 연결 강제 해제)
  • UDP Unreachable (차단된 단말의 UDP 연결 강제 해제)
  • WiFi Deauthentication (차단된 AP에 대한 무선 연결 강제 해제)
  • 사용자 PC 프로세스 강제 종료
  • 사용자 PC 연결 단말 강제 중지
  • 사용자 PC 프로그램 제거
  • 사용자 PC 무선 접속 강제 해제
  • 사용자 PC 공유 폴더 강제 해제
  • 사용자 PC 화면 잠금

격리

분류된 단말의 보안 위협이 매우 높아 네트워크로부터 완벽히 격리 해야 할 경우 격리제어를 사용합니다.

Genian NAC Suite는 다음과 같은
격리 기법을 제공합니다.
  • Inline Packet Filtering (Inline 방식의 Enforcer를 통해 인가된 단말의 패킷만 포워딩)
  • 802.1x Port Acess Control (인가된 단말에 대해서만 802.1x 인증 허용하여 비인가 단말의 네트워크 연결 차단)
  • MAC Authentication Bypass (802.1x 미지원 단말에 대한 MAC 기반 인증)
  • Switch Port Shutdown (SNMP를 통해 격리 대상 단말이 연결된 스위치 포트를 Shutdown)
  • DHCP 할당 제한 (격리된 단말에 IP 할당 중지)
  • 사용자 PC 네트워크 인터페이스 강제 중지
  • 사용자 PC 전원 강제 Off
  • 외부 시스템 연계 (스위치, 방화벽, IPS 등 외부 시스템 연계 – SNMP, Syslog, REST)

규제 준수

단말이 보안 규정을 위반해 제어를 받게 되는 경우, 사용자는 해당 제어에서 벗어나기 위한 작업을 수행해야 합니다. 조직에서 정한 필수 소프트웨어를 설치하거나, 일정 주기마다 백신 검사를 수행하는 등의 행위가 이에 해당됩니다. 이러한 규제준수 활동은 사용자의 보안 인식을 향상시키고, 보안 사고의 위험을 최소화하는 방법입니다.

Genian NAC Suite는 규제준수 활동을 지원하기 위해 다양한 방법들을 제공합니다.

접속 인증/차단 웹페이지 (Captive Web Portal)

접속 인증/차단 웹페이지(CWP)는 보안 규정을 위반한 사용자의 네트워크 사용을 제한하는 것으로, 웹 접속시 특정 웹페이지로 강제적으로 이동시켜 표시되는 페이지를 말합니다. 사용자는 CWP를 통해 본인이 위반한 보안 규정을 확인할 수 있으며 조치 방법을 학습할 수 있습니다. CWP에서는 신규 IP 사용 신청, 사용자 등록 등의 신청 업무도 수행합니다.

네트워크 접근 제어 (NAC) 이미지

사용자 공지

사용자PC에 에이전트가 설치된 경우에는 보다 즉각적으로 사용자에게 위반 사실을 알려줄 수 있습니다. 여러 가지 형태의 알림 방법을 통해 사용자에게 공지하고, 해당 위반 사항이 해소될 때까지 알림창을 유지하는 등의 사용자가 위반사항을 신속하게 조치하도록 유도할 수 있습니다.

강제 적용

위반 사항이 발생되거나 혹은 발생되기 이전에 에이전트를 통하여 사용자의 PC에 강제적인 설정을 수행할 수도 있습니다. 사용자의 자발적 행위가 아닌 자동 조치는 구성원의 보안 인식 향상을 기대할 수 없다는 단점이 있으나, 조치해야 할 내용이 사용자의 보안인식 향상보다 중대하고 시급한 상황이라면 강제 적용이 필요합니다.

Genian NAC Suite는 에이전트를 통해 다양한 강제적 조치 기능을 제공하여 신속하게 사용자의 보안을 강화할 수 있도록 지원합니다.

This is a unique website which will require a more modern browser to work! Please upgrade today!