네트워크 어드미션컨트롤

Network Admission Control

Network Admission Control(NAC; 네트워크어드미션컨트롤)은 ID 또는 보안 포스처에 따라 네트워크에 대한 접근을 제한하는 시스코 버전의 Network Access Control을 말합니다.네트워크 디바이스(스위치, 라우터, 무선 액세스포인트, DHCP 서버 등)가 NAC용으로 설정되어 있는 경우, 네트워크에의 액세스를 허가하기 전에 사용자 또는 머신의 인증을 강제할 수 있습니다.또한 게스트 액세스 권한을 검역 영역에 부여하여 인증 실패의 원인이 될 수 있는 문제를 해결할 수 있습니다.이는 인라인 커스텀네트워크 디바이스, 기존 스위치 또는 라우터 또는 제한된 DHCP 클래스를 통해 적용됩니다.일반적인 (프리 이외의) WiFi 접속은 NAC 형식입니다.사용자는 네트워크에 대한 접근을 허용받기 전에 일종의 자격 증명(또는 신용 카드)을 제시해야 합니다.

초기 단계에서는 Cisco Network Admission Control(NAC; 네트워크어드미션컨트롤) 기능을 통해 엔드포인트가 네트워크에 접속하려고 할 때 Cisco 라우터가 액세스 권한을 적용할 수 있습니다.이 접근 결정은 엔드포인트디바이스에 관한 정보(현재 안티바이러스 상태 등)에 근거해 실시할 수 있습니다.안티바이러스 상태에는 안티바이러스 소프트웨어 버전, 바이러스 정의 및 검색 엔진 버전 등의 정보가 포함됩니다.

네트워크 어드미션컨트롤 시스템에서는 비준거 디바이스의 접근을 거부하거나 격리된 영역에 배치하거나 컴퓨팅 리소스에 대한 접근을 제한할 수 있으므로 안전하지 않은 노드가 네트워크에 감염되는 것을 방지할 수 있습니다.

Cisco Network Admission Control 프로그램의 주요 컴포넌트는 엔드포인트시스템에 상주하여 네트워크상의 Cisco 라우터와 통신하는 Cisco Trust Agent입니다.Cisco Trust Agent는 사용되고 있는 안티바이러스소프트웨어 등의 보안 상태 정보를 수집하여 이 정보를 Cisco 라우터에 전달합니다.다음으로 정보는 Cisco Secure Access Control Server(ACS)로 릴레이되고 액세스컨트롤 결정이 이루어집니다.ACS는 엔드 포인트에 대한 강제 실행을 Cisco 라우터에 지시합니다.

이 시스코 제품에는 [1]2011년 11월 30일부터 End of Life 마크가 붙어 있습니다.이것은 시스코의 용어로서 개발 또는 지원이 종료된 제품에 대한 것입니다.

자세 평가

사용자 인증 외에 NAC에서의 인가는 컴플라이언스 체크를 기반으로 할 수 있습니다.이 포스처 평가는 특정 시스템이 사용하고 있는 애플리케이션 및 설정에 따라 시스템보안을 평가하는 것입니다.여기에는 윈도우즈 레지스트리 설정이나 안티바이러스 또는 개인 방화벽과 같은 보안 에이전트가 있을 수 있습니다.NAC 제품의 체크 메커니즘은 다음과 같습니다.

에이전트리스 포스처 평가

대부분의 NAC 벤더는 802.1x 서플리칸트(클라이언트 또는 에이전트)를 설치해야 합니다.Hexis의 NetBeat NAC,[2] Trustwave 및 Enterasys 등의 일부 제품은 에이전트 없는 포스처 체크를 제공합니다. 기능은 "Bring Your Own Device" 또는 "BYOD" 시나리오를 처리하도록 설계되었습니다.

  • 유선 또는 무선에 관계없이 모든 네트워크 접속 디바이스 검출 및 지문 채취
  • 이러한 디바이스에 공통적인 취약성 및 노출이 있는지 여부를 판별합니다(일명 'CVE').
  • 악성 디바이스 및 새로운 악성코드에 감염된 디바이스 격리

에이전트리스 어프로치는 거의 모든 네트워크 환경 및 모든 네트워크 디바이스 유형에 대해 불균일하게 동작합니다.

「 」를 참조해 주세요.

레퍼런스

  1. ^ '시스코의 종말'
  2. ^ "SC 매거진 독자 신뢰상"
  3. ^ "엔터시스 리뷰"
  4. ^ "트러스트웨이브 데이터 시트"

외부 링크