무선 네트워크 접근 제어 (WNAC)

BYOD 무선 네트워크 접근 제어

개인의 모바일 단말을 업무에 활용하는 BYOD(Bring Your Own Device) 시대는 생산성 향상과 업무 만족도를 증가시키는 효과를 가져왔습니다. 이런 트렌드 속에서 많은 기업들이 사용자의 편의를 고려하여 내부에 무선 AP(공유기)를 설치 하거나, 무선 접속 환경을 구축하는 추세입니다.

이러한 무선 환경에서는 반드시 보안이슈를 고려해야 합니다. 어떤 사용자의 모바일 단말이 회사 내부 네트워크에 접속해 사용되고 있는지 알지 못한다면, 악의적인 사용자에 의한 내부 정보 유출 등 수많은 보안위협에 노출 될 수 있습니다.

BYOD 환경에서는 새로운 보안 정책과 접근 방식을 마련해야 합니다.

무선 보안 위협

한정된 공간에 케이블이라는 물리적인 매체를 통해 통신이 이루어지는 유선 네트워크에 비해, 전파를 사용한 무선 네트워크는 자유로운 형태로 운영되고 있어 보안상 큰 위협이 될 수 있습니다. 보안이 고려되지 않은 무선랜AP는 AP정보, 심지어 통신 내용까지 파악할 수 있습니다.

보안설정이 이루어지지 않은 AP에 기업이나 기관의 기밀을 노린 악의적인 사용자가 접속 하여, 내부 네트워크에 접근하는 것은 대규모 보안사고의 시작일 수 있습니다.

비인가 AP(Rogue AP)

과거에는 악의적인 목적을 가진 누군가가 내부 네트워크에 몰래 침입하기 위해 비인가 AP를 활용했습니다. 그러나, 현재 대부분의 비인가 AP는 내부 사용자가 자신의 무선 단말을 사용하고자, 즉 자신의 편의성을 위해 설치를 합니다. 대부분의 내부 사용자는 AP에 보안 설정을 하지 않거나 기본값으로 설치하는데, 이러한 경우에는 악의적인 침입자의 표적이 되어 정보 유출이나 해킹에 이용될 수 있습니다.

AP를 설치하기 위해서 반드시 별도의 액세스 포인트 단말이 필요한 것은 아닙니다. 노트북에 장착된 무선 랜카드를 운영제체 상에서 간단한 명령만으로 AP로 동작시켜 외부에 내부 네트워크를 노출시킬 가능성도 존재합니다.

비인가 AP 탐지에서 가장 중요한 요소는 신속성과 정확성입니다. Genian NAC Suite는 검증된 유선 네트워크 관리 인프라 및 에이전트 인프라를 통해 그 어떤 시스템보다도 빠르고 정확하게 비인가 AP를 탐지합니다.

비인가 AP에 대한 위협은 기업이 무선랜을 사용하느냐 사용하지 않느냐와는 무관하게 발생하는 보안 문제입니다. 오히려 기업이 무선랜을 사용하지 않는 경우, 비인가 AP의 존재 자체를 몰라 더욱 큰 문제가 될 수 있습니다. 따라서 비인가 AP에 대한 대응은 무선랜 사용 여부를 떠나 모든 네트워크에서 관리해야 하는 사항입니다.

보안 설정위반 AP(Mis-Configured AP)

현재 상용화된 AP는 다양한 보안 기능과 구성 방법을 제공합니다. 그러나, 무선랜 인프라를 시범적으로 설치할 때 AP의 보안 설정을 누락하는 경우가 종종 발생합니다. 테스트를 위해 무선랜을 생성했다가 제거하지 않아 모든 AP 서비스가 노출될 수 있습니다.

무선랜의 보안 기능을 강력하게 지원하는 제품을 설치하더라도 설정을 하지 않았거나 누락시켰다면 거대한 비인가 AP 집단이 생성되는 상황이 발생할 수 있습니다.

Genian NAC Suite는 차별화된 그룹 관리 기능으로 지정된 설정값에서 벗어나 보안 설정을 위반한 AP를 즉각적으로 탐지하고 제어합니다.

비인가 단말 접속

인가된 AP 그룹의 무선랜 보안을 잘 설정해놓고 운영하더라도, 비인가 단말이 접속하고 있다면 무선랜은 안전하지 않습니다. AP에 접속하고 통신하는 단말의 승인 또한 매우 중요한 보안 이슈입니다.  기존의 공유키를 통한 AP 접속 인증 방식에서 한 단계 진보한 802.1x 기반의 사용자 인증을 통한 접속이 더욱 안전합니다.

Genian NAC Suite는 802.1x기반의 사용자 인증을 위해 RADIUS 서버 및 Active Directory등의 외부 사용자 DB와의 연계 기능을 통해 안전한 단말 인증을 보장합니다.

SSID Spoofing

무선 단말에서 보여지는 무선랜 목록은 단순히 SSID(Service Set ID)만을 보여줍니다. 때문에 동일한 SSID를 가지는 여러 AP를 분류해서 보여주지 못한다는 단점을 가지고 있습니다. 이러한 단점으로 인해 악의적 목적으로 인가된 AP의 SSID를 가장 해서 내부 단말의 접속을 유도하고, 실제 AP로 중계해 인증정보를 가로채거나, 단말의 모든 통신을 모니터링 할 수 있게 하는 SSID Spoofing 공격이 있을 수 있습니다.

Genian NAC Suite는 별도의 전용 접속 프로그램을 통하여 SSID에 대한 Spoofing을 감지하여 Spoofing AP에 대한 접속을 차단합니다.

Ad-Hoc

대부분의 무선 단말은 Infrastructure mode와 Ad-Hoc mode 두 가지를 지원합니다. 일반적으로 Infrastructure mode는 AP를 통한 접속을 의미하고, Ad-Hoc mode는 무선 단말간의 직접 접속을 의미합니다. Ad-Hoc의 무선랜 범위도 Infrastructure mode와 거의 동일하기 때문에, Ad-Hoc mode로 동작하는 단말로 직접 접속을 하여 내부 네트워크로 접근할 수 있습니다.

Soft AP(OS 무선랜AP 기능)

Windows 7 은 무선 랜카드를 이용해 AP로 구동할 수 있게 해주는 기능을 기본 제공합니다 . 또한 Windows XP부터 ICS(Internet Connect Sharing) 기능을 지원하고 있어 Windows를 NAT장비나 Bridge장비로 만들 수 있습니다. Windows뿐만 아니라 모든 OS에서 간단한 소프트웨어와 USB형 무선 랜카드만으로 사용자의 PC를 AP로 만들어 동작시킬 수 있습니다.

Genian NAC Suite는 무선센서 및 에이전트를 통해 SoftAP를 실시간으로 감지하고 차단해 내부 네트워크가 외부로 공개되지 않도록 보호합니다.

인가 단말의 외부 AP 접속

인가 단말이 내부의 유무선 랜을 사용하다가 외부로 무선 접속을 하는 경우, 내부자의 정보 유출 경로를 열어줄 가능성이 있습니다.

WNAC

WIPS vs WNAC

무선 보안을 언급할 때 자주 등장하는 용어가 WIPS지만, WNAC와 WIPS는 궁극적인 목적이 다른 제품입니다. WIPS는 무선 네트워크의 가시성을 확보하고, 통신 이상을 모니터링하는 등 침해 대응을 목적으로 합니다. WNAC는 유선을 비롯한 무선상의 내부 네트워크 접근 제어라는 NAC의 진보된 형태입니다. WIPS가 무선 네트워크에 국한된 솔루션이라면, WNAC는 유무선 전체 네트워크에 대한 가시성을 제공하는 유무선 통합 네트워크 보안 솔루션입니다.

두 제품은 제어 방법에 있어서도 차이를 보입니다. WIPS는 무선을 위주로 유무선을 제어하는 형식으로, 무선에 기능이 집중되어 있습니다. 반면 WNAC는 유선을 중심으로 유무선제어를 수행해 무선이 가지고 있는 불안정성과 제어의 한계를 극복합니다.

즉, WIPS는 제어 요소가 무선 제어 범위에 들어오지 않으면, 제어할 수 없는 ‘전파도달거리’와 ‘출력’이라는 물리적인 한계를 가지고 있습니다. 또한 동시다발적인 위험 요소가 발생할 경우 제어할 수 있는 채널수 등의 성능 한계를  지니고 있습니다. 802.11w 같은 기존 제어 기법을 무력화 시키는 통신 방식에 대한 지원이나 WiGig와 같은 새로운 무선 프로토콜에 대한 지원 또한 불가능합니다. 그에 반해 WNAC는 무선을 통한 제어 방법 외에도 유선과 에이전트를 기반으로 한 다양한 제어 방법을 종합적으로 사용할 수 있어 입체적인 관리가 가능합니다.

무선네트워크접근제어

유무선 통합관리

WIPS은 무선랜의 가시성만을 제공하기 때문에 유선랜에 대한 관리는 따로 수행해야 하므로 관리 비용의 증대를 초래할 수 있습니다. WNAC는 유무선을 통합해 관리할 수 있어 비용 감소 효과를 기대할 수 있습니다. 모든 유선 정보 수집 활동을 기본으로 하는 WNAC는 내부 네트워크에 접속하는 단말 및 AP들의 현황 및 비인가 AP의 내부 네트워크 접속 차단뿐만 아니라, 비인가 AP를 통한 단말의 접속도 차단 합니다. 또한 수집된 무선 정보를 유선 정보와 비교/분석하여 정확하게 매핑합니다. 무선 정보를 가진 유선 장비의 IP, MAC, 플랫폼, 연결된 스위치 포트 등의 정보를 상세하게 제공합니다.

무선네트워크접근제어

경제적 구조

두 제품은 비인가 AP를 제거하기 위한 분석 방법에 있어서도 차이점을 가지고 있습니다. WIPS는 평면도를 이용해 위치 정보를 표시해 주는데, 최소 3개 이상의 무선센서가 신호의 강도를 수신해 분석하는 방법입니다. 따라서 많은 수의 무선 센서를 설치해야 하고, 위치 정보의 오차 범위도 전파 수신의 오차 범위만큼 커질 수밖에 없습니다. 반면, WNAC는 무선 센서와 사용자 단말의 에이전트에서 무선 신호를 감지합니다. 따라서, 무선 센서의 수량을 최소화할 수 있어 구축 시 비용 부담이 적고, 무선센서와 에이전트에서 수집된 정보를 근간으로 특정 사용자의 주변이라는 정확한 위치 정보를 제공합니다.

무선랜 인프라 제공

Genian NAC Suite는 무선랜 접속 환경 구축을 위한 RADIUS 인증 서버 기능 및 기본 AP 기능을 함께 제공합니다. RADIUS 인증 서버를 통하여 WPA2-Enterprise와 같이 향상된 무선 보안시스템을 구축할 수 있습니다. 아울러 다중 SSID를 이용한 AP 기능으로 무선랜 인프라부터 보안까지 원스톱으로 구축할 수 있습니다.

무선네트워크접근제어

손쉬운 접속 인터페이스

Genian NAC Suite는 Web을 통한 직관적인 관리 인터페이스 제공합니다.
또한 IT를 잘모르는 사용자들을 위하여, 사용하기 편리한 무선랜 프로파일 프로그램을 통해 손쉽게
WPA2-Enterprise와 같이 높은 수준의 무선 보안을 유지, 관리할 수 있습니다. 따라서 WPA2-Enterprise과 같은 높은 수준의 무선랜 보안을 위해 복잡한 설정을 거치지 않아도 무선랜 프로파일을 편리하게 배포하고 관리할 수 있습니다. 아울러 자동 접속 및 기존 인증 시스템 활용을 위해 EAP-GTC Plugin 등 사용자의 다양한 접속 관련 요구 사항을 충족해 드립니다.

무선네트워크접근제어

This is a unique website which will require a more modern browser to work! Please upgrade today!