네트워크 접근 통제(NAC)
네트워크 접근 통제란 네트워크 접근 관리에 사용하는 포괄적인 용어이다.
- 사요자가 네트워크에 로그인 하는걸 인증
- 사용자가 접근 할 수 있는 데이터와 수행 할 수 있는 작업 범위를 결정
- 사용자가 컴퓨터나 모바일 기기(종단 기기)의 안정성을 접근한다
핵심은 행동 제어를 해준다는 것이다
공공 기관에서 하나의 AP로 여러 개의 SSID를 뿌려 줄 수 있다.
즉 해당 기관 직원과 게스트를 위한 AP를 분리해둔 상황이다.
이 때 외부인이 직원 전용 SSID에 접근하여 공공 기관 인증 서버에서 접근 통제를 한다.
네트워크 접근 통제 시스템 요소
접근 요청자(AR : Access Requestor)
- 네트워크에 접근을 시도하는 노드
- 워크스테이션, 서버, 프린터, 카메라 등 NAC 시스템이 관리하는 모든 장치
정책 서버(Policy Server) - AR의 입장과 기업의 정의된 정책에 기반해 정책 서버는 접근 허가를 어느 경우에 할지를 결정
- 안티 바이러스, 패치 관리, 사용자 디렉터리 같은 백엔드 시스템을 고려하여 호스트 상태를 결정
**네트워크 접근 서버(NAS : Network Access Server) - 원격 사용자가 기업의 내부 네트워크에 연결 할 때 접근 통제 지점 역할
- 매체 게이트웨이, 원격 접근 서버, 정책 서버라고도 한다
- 네트워크 접근서버는 정책 서버 등을 포함하는 개념이다.
- 자체적으로 인증 서비스를 갖추고 있기도 하지만, 정책 서버와는 별도로 된 인증 서비스를 이용하기도 함
네트워크 접근 통제 구성도
AR이 여러 유형의 NAS에 요청하는 방식으로 기업 네트워크에 접근을 시도한다.
- 보통은 안전한 프로토콜이나 암호화 키로 인증을 수행한다.
- NAS가 직접 인증을 수행하거나, 인증 과정을 중재하기도 한다.
보통 정책 서버나 지원 서버는 AR을 점검한 뒤에 대화형 원격 접속 연결 허용 여부를 결정한다. - 사용자의 신용 정보가 허용 수준에 있으나, 안전 점검을 받지 못하면 접근을 거부 당한다
일단 AR을 인증하고, 기업 네트워크에 적절한 접근 권한을 부여 받으면, NAS는 AR이 기업 네트워크의 자원과 상호 작용하도록 허락한다. - NAS는 모든 교환을 중재하여 해당 AR의 보안 정책을 강화하거나 다른 수단을 강구하여, AR의 권한을 제한 하여야 한다
네트워크 접근 강화 방법
AR이 기업 네트워크에 접근하는 것을 규제하는 것을 강화 방법이라고 한다.
IEEE 802.1x
- 링크 계층 프로토콜로서 포트에 IP 주소를 지정하기 전에 권한을 부여 한다.
- 해당 프로토콜에서는 확장 인증 프로토콜을 사용하여 인증 절차를 수행한다.
VLAN(Virtual Local Area Network) - 상호 연결된 LAN으로 구성된 기업 네트워크를 여러 개의 논리적 세그먼트인 가상 LAN으로 분리
- NAC 시스템은 장치가 자원에 대한 적정 수준의 네트워크 접근을 필요로 하는지 판단하여,AR이 접근 할 VLAN을 선택하다
- 동적으로 생성하며 기업 서버와 AR의 VLAN 소유권은 겹칠 수 있다.
728x90
'Computer Science > Security' 카테고리의 다른 글
| 통합 신원 관리 (0) | 2023.04.12 |
|---|---|
| 확장 인증 프로토콜(EAP) (0) | 2023.04.12 |
| X.509 인증서 (1) | 2023.04.11 |
| Kerberos (0) | 2023.04.11 |
| Kerberos 5 (0) | 2023.04.11 |
