네트워크 액세스 제어

Network Access Control

NAC(Network Access Control)는 엔드포인트보안 테크놀로지(바이러스 대책, 호스트 침입 방지, 취약성 평가 등), 사용자 또는 시스템 인증 및 네트워크 보안 [1][2]적용을 통합하는 컴퓨터 보안 접근법입니다.

묘사

네트워크 액세스 제어는 일련의 프로토콜을 사용하여 디바이스가 네트워크에 [3]처음 액세스를 시도할 때 네트워크 노드에 대한 액세스를 보호하는 방법을 설명하는 정책을 정의하고 구현하는 컴퓨터 네트워킹 솔루션입니다.NAC는 네트워크 시스템에 자동 복구 프로세스(액세스를 허가하기 전에 비준수 노드 수정)를 통합하여 라우터, 스위치, 방화벽 등의 네트워크 인프라스트럭처를 백오피스 서버 및 최종 사용자 컴퓨팅 기기와 연계하여 정보 시스템을 안전하게 운용할 수 있도록 합니다.로퍼빌리티가 허용됩니다.NAC의 기본 형식은 802.1X 표준입니다.

네트워크 액세스컨트롤은 그 이름이 나타내는 대로 네트워크에 대한 접근을 정책에 따라 제어하는 것을 목적으로 합니다.여기에는 사용자 및 디바이스가 네트워크상의 어디에 접속할 수 있는지, 무엇을 할 수 있는지에 대한 어드미션 전 엔드포인트보안 정책 체크 및 어드미션 후 제어가 포함됩니다.

컴퓨터가 컴퓨터 네트워크에 연결되면 안티바이러스 보호 수준, 시스템 업데이트 수준 및 구성 등 비즈니스 정의 정책을 준수하지 않는 한 아무 것도 액세스할 수 없습니다.시스템이 미리 설치된 소프트웨어 에이전트에 의해 검사되는 동안에는 문제를 해결(해결 또는 업데이트)할 수 있는 리소스에만 액세스할 수 있습니다.정책이 충족되면 컴퓨터는 NAC 시스템에서 정의된 정책 내에서 네트워크 리소스 및 인터넷에 액세스할 수 있습니다.NAC는 주로 엔드포인트헬스 체크에 사용되지만 대부분의 경우 롤베이스 액세스와 관련되어 있습니다.네트워크 접속은 당사자의 프로필과 자세/건강 체크 결과에 따라 이루어집니다.예를 들어 기업의 경우 역할과 엔드포인트가 모두 안티바이러스 최소값을 충족하는 경우 HR 부서는 HR 부서 파일에만 액세스할 수 있습니다.

NAC의 목표

NAC는 보안 제품의 새로운 카테고리를 나타내고 있기 때문에 그 정의는 진화하고 있어 논란의 여지가 있습니다.이 개념의 가장 중요한 목표는 다음과 같이 요약할 수 있습니다.

  • 제로 데이 공격의 경감
  • 네트워크 접속 인가, 인증 및 계정.
  • EAP-TLS, EAP-PEAP, EAP-MSCHAP 등의 802.1X용 프로토콜을 사용하여 무선 및 유선 네트워크에 대한 트래픽을 암호화합니다.
  • 인증 후 사용자, 디바이스, 애플리케이션 또는 보안 포스처 역할 기반 제어
  • 알려진 취약성, 탈옥 상태 등 기타 정보를 기반으로 네트워크 역할을 정의하는 다른 도구를 사용한 자동화
    • NAC 솔루션의 주된 이점은 안티바이러스, 패치 또는 호스트 침입 방지 소프트웨어가 없는 엔드 스테이션이 네트워크에 액세스하지 못하도록 하여 다른 컴퓨터가 컴퓨터 웜에 교차 오염될 위험이 없도록 하는 것입니다.
  • 정책 시행
    • NAC 솔루션을 사용하면 네트워크 운영자는 네트워크 영역에 액세스할 수 있는 컴퓨터 유형이나 사용자의 역할 등의 정책을 정의하고 스위치, 라우터 및 네트워크 미들박스에서 정책을 적용할 수 있습니다.
  • ID 및 액세스 관리
    • 기존의 IP 네트워크가 IP 주소의 관점에서 액세스정책을 시행하고 있는 경우, NAC 환경은 인증된 사용자 ID를 기반으로 접근정책을 시행합니다.최소한 노트북이나 데스크톱컴퓨터 등의 사용자 엔드 스테이션에서는 이 방법을 시행합니다.

개념

입학 전 및 입학 후

NAC에는 엔드 스테이션이 네트워크에 액세스하기 전 또는 후에 정책이 적용되는지에 따라 2가지 설계가 있습니다.전자의 경우(사전 어드미션 NAC)에서는 엔드 스테이션이 네트워크에서 허용되기 전에 검사됩니다.사전 어드미션 NAC의 일반적인 사용 예로는 오래된 안티바이러스시그니처를 가진 클라이언트가 기밀 서버와 통신하지 않도록 하는 것입니다.또는, 어드미션 의 NAC는, 유저에게 네트워크에의 액세스권을 부여한 후에, 유저의 액션에 근거해 강제 결정을 실시합니다.

에이전트와 에이전트리스

NAC의 기본 개념은 엔드시스템에 관한 인텔리전스에 근거해 네트워크가 액세스컨트롤 결정을 내릴 수 있도록 하는 것입니다.따라서 엔드시스템에 대해 네트워크에 통지하는 방법은 설계상의 중요한 결정입니다.NAC 시스템의 주요 차이점은 엔드 시스템 특성을 보고하기 위해 에이전트소프트웨어가 필요한지, 스캔 및 네트워크인벤토리 기술을 사용하여 이러한 특성을 원격으로 식별하는지 여부입니다.

NAC가 성숙함에 따라 Microsoft 등의 소프트웨어 개발자는 Windows 7, Vista 및 XP 릴리즈의 일부로 Network Access Protection(NAP; 네트워크액세스 보호) 에이전트를 제공하는 접근방식을 채택했습니다.Linux 및 Mac OS X용 NAP 호환 에이전트도 있으며 이러한 운영 체제에 동일한 인텔리전스를 제공합니다.

아웃오브밴드 vs 인라인)

일부 대역 외 시스템에서는 에이전트가 엔드 스테이션에 분산되어 중앙 콘솔에 정보를 보고합니다.이 콘솔은 스위치를 제어하여 정책을 적용할 수 있습니다.반대로 인라인 솔루션은 액세스레이어 네트워크의 내부 방화벽으로 기능하여 정책을 적용하는 단일 박스솔루션일 수 있습니다.아웃 오브 밴드솔루션은 기존 인프라스트럭처를 재사용할 수 있는 장점이 있습니다.인라인 제품은 유선상의 개별 패킷을 직접 제어하기 때문에 새로운 네트워크에 보다 쉽게 도입할 수 있고 보다 고도의 네트워크 적용 기능을 제공할 수 있습니다.단, 에이전트가 없는 제품도 있습니다.또, 보다 쉽고 리스크가 적은 대역외 도입이라는 본래의 메리트를 모두 가지고 있습니다만, 준거하지 않는 디바이스에 대해서 인라인의 유효성을 실현하기 위해서 테크놀로지를 사용하고 있기 때문에, 강제할 필요가 있습니다.

복구, 검역 및 캡티브 포털

네트워크 오퍼레이터는 일부 정규 클라이언트의 네트워크 액세스가 거부될 것을 상정하여 NAC 제품을 도입합니다(사용자가 오래된 패치레벨을 가지고 있지 않은 경우는 NAC는 불필요합니다).따라서 NAC 솔루션에서는 액세스를 거부하는 최종 사용자의 문제를 해결하는 메커니즘이 필요합니다.

복구의 일반적인 2가지 전략은 검역 네트워크와 캡티브포털입니다

격리
검역 네트워크는 사용자에게 특정 호스트 및 응용 프로그램에 대한 라우팅된 액세스만 제공하는 제한된 IP 네트워크입니다.격리는 VLAN 할당과 관련하여 구현되는 경우가 많습니다.NAC 제품이 최종 사용자가 오래된 것으로 판단되면 스위치포트는 네트워크의 나머지 부분에는 라우팅되지 않고 패치 및 업데이트서버에만 라우팅되는 VLAN에 할당됩니다.다른 솔루션에서는 검역에 주소 관리 기술(ARP(Address Resolution Protocol)이나 NDP(Neighbor Discovery Protocol) 등)을 사용하여 검역 VLAN 관리의 오버헤드를 회피합니다.
캡티브 포털
캡티브 포털은 웹 페이지에 대한 HTTP 액세스를 차단하여 컴퓨터를 업데이트하기 위한 지침과 도구를 제공하는 웹 응용 프로그램으로 사용자를 리디렉션합니다.컴퓨터가 자동 검사에 합격할 때까지 캡티브 포털 이외의 네트워크 사용은 허용되지 않습니다.이는 퍼블릭액세스 포인트에서 유료 무선 액세스가 작동하는 방식과 유사합니다.
외부 캡티브 포털을 사용하면 조직은 무선 컨트롤러와 스위치를 웹 포털 호스팅에서 오프로드할 수 있습니다.NAC 어플라이언스가 무선 및 유선 인증을 위해 호스트하는 단일 외부 포털을 통해 여러 포털을 만들 필요가 없어지고 정책 관리 프로세스를 통합합니다.

모바일 NAC

모바일 배치에서 NAC를 사용하면 작업자가 근무일 내내 다양한 무선 네트워크를 통해 접속할 수 있습니다.유선 LAN 환경에서는 볼 수 없는 과제가 발생합니다.사용자가 보안상의 문제로 접근이 거부되면 디바이스의 생산적인 사용이 손실되어 작업을 완료하거나 고객에게 서비스를 제공하는 기능에 영향을 줄 수 있습니다.또, 유선 접속으로 몇초 밖에 걸리지 않는 자동 수복을 실시하면, 저속 무선 데이터 접속으로 몇분 걸리는 일이 있어,[4] 디바이스가 정지하는 일이 있습니다.모바일 NAC 솔루션을 사용하면 시스템 관리자는 보안 [5]문제를 해결할 것인지 여부, 시기 및 방법을 보다 효과적으로 제어할 수 있습니다.오래된 안티바이러스 시그니처 등 등급이 낮은 문제의 경우 사용자에게 단순한 경고가 발생할 수 있으며 더 심각한 문제는 디바이스를 [6]격리하는 결과를 초래할 수 있습니다.보안 패치 및 업데이트 적용과 같은 자동 복구가 Wi-Fi 이상의 고속 연결을 통해 장치가 연결될 때까지 또는 작업 [4]시간 후에 중단되도록 정책을 설정할 수 있습니다.이것에 의해, 관리자는, 시큐러티의 필요성과 종업원의 [6]생산성을 유지한다는 목표와의 밸런스를 가장 적절히 맞출 수 있습니다.

「 」를 참조해 주세요.

레퍼런스

  1. ^ "IEEE 802.1: 802.1X-REV – Revision of 802.1X-2004 – Port Based Network Access Control". ieee802.org.
  2. ^ 튜토리얼: 네트워크 액세스 컨트롤(NAC) Mike Fratto, 네트워크 컴퓨팅, 2007년 7월 17일
  3. ^ Matias, Jon; Garay, Jokin; Mendiola, Alaitz; Toledo, Nerea; Jacob, Eduardo (2014). "FlowNAC: Flow-based Network Access Control". 2014 Third European Workshop on Software Defined Networks: 79–84. doi:10.1109/EWSDN.2014.39.
  4. ^ a b "Mobile Network Access control: Extending Corporate Security Policies to Mobile Devices" (PDF). Archived from the original on October 5, 2011. Retrieved 2011-05-28.{{cite web}}: CS1 maint: bot: 원래 URL 상태를 알 수 없습니다(링크).
  5. ^ "네트워크 액세스 제어 모듈" 2011-09-03년 웨이백 머신에 보관
  6. ^ a b "Field Technologies Online". Archived from the original on March 14, 2012. Retrieved 2011-05-28.{{cite web}}: CS1 maint: bot: 원래 URL 상태를 알 수 없습니다(링크).

외부 링크