NAC(네트워크 접근 제어 Network Access Control) 이란?

NAC(Network Access Control) 이란?

네트워크 접근제어(Network Access Control)는 네트워크에 접속하는 엔드포인트(PC, 스마트폰 등과 같은 네트워크에 접속하는 모든 유무선 기기)에 대해 접속 가능 여부를 확인하여 인가된 장치만이 접속할 수 있도록 제한하는 것을 말합니다.

Authentication(인증)

Authentication은 네트워크에 접속하는 사용자나 장치에 대해 검증하는 과정입니다.

통상적으로 사용자명/비밀번호를 통해 제공되는데 경우에 따라서 장치의 MAC 주소가 인증의 수단으로 사용되기도 합니다.

* Mac(Media Access Control) 주소란?
단 하나의 고유한 주소를 부여해서 통신을 할 수 있도록 만든 일종의 하드웨어 주소.

만약 컴퓨터가 서로 통신을 할 때 어떻게 네트워크상에서 서로를 구분해서 인식할까?
통신을 하기 위해서 서로를 구분할 일종의 주소가 필요하게 되는데 이 역할을 바로 MAC Address가 담당한다.

Authorization(허가)

Authorization은 인증된 장치가 어떤 네트워크 자원에 접근할 수 있는지 결정하는 과정입니다.

인증된 장치의 종류나 식별된 사용자의 그룹에 따라 접근할 수 있는 네트워크, 서비스 및 시간대를 제한할 수 있습니다.

Accounting(회계/계정관리/과금)

Accounting은 장치가 네트워크에 접근한 기록을 남겨 향후 과금이나 보안상의 목적으로 사용할 수 있도록 해주는 과정입니다. 이를 통해 어떤 장치를 누가, 언제, 어디서, 어떻게 사용했느지 확인할 수 있습니다.

정리하자면,

이 같은 AAA 기능은 네트워크 접근 제어의 기본 기술로 오랜 기간 사용되었는데 최근 네트워크 단말들의 다양한 보안 문제로 인해 단말의 보안 규제 준수 상태에 따라 네트워크 접속 가능 여부를 결정하길 원하게 되었습니다.

이에 단말의 사용자 식별을 뛰어넘어 장치의 종류가 무엇인지, 장치의 현재 보안 설정이나 상태를 확인하여 관리자가 정한 조건에 부합하는 단말만이 네트워크에 접속할 수 있도록 해주는 제품군을 NAC라는 명칭으로 부르게 되었습니다.

* AAA(Authentication Authorization Accounting) 란?
불법적인 네트워크 서비스 사용을 방지하고자 사용자 인증, 권한제어, 과금을 위해 다양한 네트워크 기술과 플랫폼들에 대한 개별 규칙들을 조화시키기 위한 프레임워크

 

NAC를 네트워크 연결 시점을 기준으로 보면,

연결이 이루어지기 이전 단계에서 수행되는 작업과 연결 이후 수행되는 작업으로 구분하여 설명할 수 있습니다.

Pre-Connect

Pre-Connect는 단말이 네트워크에 연결되어 정상적인 통신이 이루어지기 이전에 수행되는 작업들을 말합니다.

어떤 단말이 네트워크에 연결하고자 할 경우 단말에서 제공되는 사용자명/비밀번호/인증서/MAC 주소와 같은 신원정보를 이용하여 단말을 식별하고 인증하게 됩니다.

이 과정을 통해 네트워크에 접속 가능한 단말로 인가되지 못하면 네트워크 연결이 거부됩니다. 이 과정은 스위치나 무선랜 액세스 포인트와 같은 장치를 통해 802.1X를 통해 제공되거나 ARP통제를 통해 제공될 수 있습니다.

Post-Connect

단말이 Pre-Connect단계에서 요구하는 요구사항을 충족하면 주어진 권한에 따라 네트워크를 사용할 수 있게 됩니다.

이때 NAC는 지속적으로 단말의 상태 및 정보를 수집하여 관리자가 요구하는 조건을 충족하는지 여부를 모니터링하게 되고 만일 단말이 보안정책을 위배하는 상태가 되면 단말을 네트워크로부터 즉시 격리하게 됩니다.

지속적인 단말의 상태를 모니터링하기 위해 선택적으로 Agent를 사용할 수 있습니다.

* Agent란?
Agent는 단말에 설치되어 시스템의 상태 변경을 모니터링하면서 변경이 감지되면 즉시 NAC 정책서버로 알려 새로운 정책을 적용바도록 해준다.

 

반응형

 

NAC 장점 정리

허가되지 않은 기기의 무단 반입 차단

NAC가 구현되지 않은 네트워크는 사내에 존재하는 이더넷 포트에 어떠한 기기를 연결하더라도 즉시 네트워크를 사용할 수 있게 됩니다.

이는 사무실이 물리적으로 매우 안전하게 보호되고 있다 하더라도 직원들이 회사의 자산이 아니거나 허용되지 않은 기기를 네트워크에 연결하여 Worm이나 Ransomware 등으로 인해 사내 IT시스템에 심각한 손상을 초래할 수 있게 됩니다.

NAC는 이 문제를 해결하기 위해 모든 연결되는 기기에 대해 
인증하고 일정 수준 이상의 보안 요구사항을 충족하는 경우에만 네트워크를 사용
할 수 있게 해줍니다.

 

보안 사고 발생시 IP 추적

대부분의 보안시스템은 감사기록을 통해 IP주소를 남깁니다.

보안사고 발생 시 감사기록 확인을 통해 문제가 되는 IP를 확인하더라도 현재 그 IP가 과거에 사용되었던 시스템과 같은 시스템인지 사용자는 누구인지, 어떤 시스템인지에 대해 정보를 얻는 것은 굉장히 어렵고 복잡한 일입니다.

NAC는 
지속적인 네트워크 감시를 통해 연결 되는 모든 단말에 대한 기록을 남겨
두어 수개월 전 특정 시점에 해당 IP를 사용했던 단말에 대해 다양한 정보를 제공해줄 수 있습니다.

 

보안 규제에서 요구되는 IT자산관리

오늘날의 IT 환경은 BYOD, IoT 등으로 인해 과거에 비해 훨씬 복잡 다양해졌습니다. 이로인해 기업에 요구되는 많은 보안 규제에서 IT 자산에 대한 관리가 철저히 이루어질 것을 요구하고 있습니다.

하지만 IT 자산을 정확하게 파악하고 그 상태를 항상 확인하는 것은 관리자에게 어려운 문제입니다. IT자산을 관리하기 위해서는 MAC 주소와 같은 식별 값부터 단말의 제조사, 제품명, 이름, 위치(스위치 포트 또는 물리적 위치), 사용자명, 네트워크 연결/단절 시각등의 정보가 정확히 수집되어야 합니다.

NAC는 네트워크에 연결되는 
IT 자산에 대해 실시간으로 감시하여 항상 원하는 데이터를 출력
할 수 있도록해서 관리자의 부담을 크게 줄여줍니다.

 

무선랜 접속장치의 공유 비밀번호

스마트폰과 같은 모바일 기기들이 확산되고 그것들이 업무에 활용되면서 무선랜 사용이 점차 증가되고 있습니다. 고가의 관리형 무선 접속장치를 사용하는 경우 향상된 보안시스템이 적용되어 무선랜 접속 시 각 개인의 비밀번호를 이용한 사용자 인증이 이루어질 수 있습니다.

하지만 많은 네트워크에서 공유 비밀번호를 통해 무선랜에 접속하는 것이 현실입니다. 공유비밀번호는 손쉽게 노출될 수 있고 접속자에 대한 식별이 불가능하여 추적이 어렵습니다. 회사의 공유 비밀번호는 원칙적으로 그 비밀번호를 아는 직원이 회사를 떠나게 될 경우 변경해야 합니다.

하지만 전 직원이 쓰는 비밀번호를 매번 변경하는 것은 쉬운 일이 아닙니다. 이를 위해 무선랜 접속시 개인의 비밀번호를 이용하여 인증할 수 있도록 해주는 802.1X 시스템이 필요합니다.

NAC는 기본적으로 
802.1X를 지원하여 보다 향상된 무선랜 보안을 구축
할 수 있게 해줍니다.

 

허가되지 않은 외부 네트워크 접속 차단

네트워크 기술이 발전함에 따라 사용자의 단말이 자신이 속한 기업에서 제공하는 네트워크 이외에도 다양한 형태의 외부 네트워크 접속이 가능해졌습니다.

스마트폰을 이용한 Hotspot이나 Public WiFi와 같이 손쉽게 이용 가능한 접속을 통해 기업의 보안시스템을 우회하는 인터넷 연결을 만들어 내부자료 유출과 같은 문제점이 발생될 수 있습니다.

NAC는 기업 내부에서 접속 가능한 WiFi를 모니터링하고 어떤 사용자가 접속하는지를 관리, 통제할 수 있으며 또한 사용자 단말에서 IT관리자가 설정하지 않은 네트워크 대역에 접속하는 이벤트 등을 모니터링해서 
내부 보안시스템을 우회하려는 시도를 차단 해줍니다.

 

728x90

필수 소프트웨어 미설치 및 구동

괸라자는 다양한 보안 문제를 해결하기 위해 사용자의 시스템에 설치해야 할 필수적인 소프트웨어나 운영체제 설정을 직원들에게 요구하게 됩니다. 하지만 모든 사용자의 단말이 그 요구사항을 항상 준수하는 것은 아니기 때문에 보안사고는 끊임없이 발생되고 있습니다.

NAC는 Antivirus와 같이 단말에 필수적으로 필요한 소프트웨어나 화면 보호기와 같은 필수적인 설정이 규정에 맞게 올바르게 되어있는지 지속적으로 모니터링하여 규정을 위반한 경우 차단, 치유, 격리할 수 있게 해줍니다.

 

운영체제 최신 보안패지 미적용

단말의 보안을 위해 무엇보다 가장 중요한 것은 최신 보안패치의 적용입니다.

NAC는 단말의 보안패치 적용 상태를 지속적으로 모니터링하여 패치가 적용되지 않은 단말을 네트워크에서 격리합니다.

이는 제어가 단말이 아닌 네트워크 수준에서 동작한다는 점이 기존의 단말을 관리하는 소프트웨어가 제공하는 것과 크게 다릅니다. 관리자는 네트워크 제어를 통해서 사용자가 우회할 수 없는 강력한 정책을 수행할 수 있게 됩니다.

 

NAC와 Firewall(방화벽)의 차이점

https://jay-din.tistory.com/72

NAC(Network Access Control)와 Firewall(방화벽) 차이점

 

 

---

참고

https://docs.genians.com/release/ko/intro.html