네트워크 접근제어(Network Access Control)이란 IP와 MAC을 가지고 있는 IP자산이 네트워크에 접근하기 전 보안 정책 준수 여부를 검사한 후, 내부 네트워크로의 접근을 허용하는 것이다.
그렇다면.. IP와 MAC의 차이는 무엇일까?
IP주소란 Internet Protocol Address로 통신장비와 통신하기 위해서는 IP주소를 알아야 통신할 수 있는데, 내부적으로는 MAC주소를 사용한다.
즉, IP주소로 통신한다는 건 각 라우터 hop에서 일어나는 MAC주소와 MAC주소 통신의 연속적인 과정이다.
예를 들어, 한국에서 저 멀리 아프리카에 있는 A라는 주소로 통신을 하고자 한다면 한국과 아프리카는 시작점과 끝점이고 IP주소이다. 한국과 아프리카 사이에 수 많은 거점을 통해서 지나야 하는데, 이 때 가까운 거점들과의 통신에 사용되는 것이 MAC주소이다.
NAC인증은 다음과 같이 이루어진다. 접속하려는 PC 사용자가 네트워크에 대한 접근을 처음 시도하게 되면 네트워크 접근 요청이 이루어지고, NAC에 등록되어 있는 MAC 주소로 사용자 PC를 인증한다. 또한 SSO와 연계하여 네트워크에 접근하는 사용자의 아이디와 패스워드를 추가로 요청하여 인증을 수행한다.
인증 과정 중에 보안 정책을 제대로 준수하지 않거나 바이러스에 감염되었을 때는 네트워크 접근이 거부되고 네트워크에서 격리된다.
그렇다면, NAC는 어떤 방식으로 구현될까?
첫번째로 In Line방식으로 구현될 수 있다.
인라인 방식이란 모든 트래픽이 해당 보안 장비를 물리적으로 거쳐야만 목적지로 전송될 수 있도록 하는 방식이다.
옛날에 사용되던 방식으로, 방화벽과 같은 방식으로 접근을 차단하는 것이다. 만약 NAC시스템이 죽으면 네트워크를 사용하는 것이 전혀 불가능해진다는 단점이 있다. 따라서, 이렇게 동작하는 NAC 시스템은 시장에 많이 없다.
두번째로 802.1x 방식이다.
802.1x 프로토콜과 RADIUS(Remote Authentication Dial In User Service) 서버를 이용하는 것인데, RADIUS서버에서 스위치로 반환되는 결과에 따라 스위치에서 포트를 차단하는 것이다.
세번째로, VLAN방식이다.
인가받지 않은 사용자라면 VLAN으로 미리 분리된 망 중에서 통신이 되지 않는 VLAN 망에 신규 클라이언트를 할당하고,
인가받은 사용자라면 통신이 가능한 VLAN 망에 할당하는 방식이다. 통신에 관여하는 방식이다.
802.1x, VLAN은 미러링 시스템을 사용하는데, 미러링 시스템은 유의해야 한다. 구간에 트래픽이 많으면 이 시스템도 같이 처리해야 할 양이 많아지게 된다. 따라서, 트래픽에 영향을 많이 받는 시스템이 된다.
네번째로, ARP방식이다.
신규 클라이언트가 적법한 사용자라면 NAC가 게이트웨이의 정상적인 MAC주소를 알리고 그렇지 않은 사용자라면 비정상적인 MAC주소를 전송하여 네트워크에 대한 접근을 막는다. 이 방식은 모든 트래픽을 다 볼 필요가 없다. 인라인 방식과는 다르게 NAC 시스템이 망가지더라도 네트워크 사용하는데 문제가 없다.
무조건 게이트웨이로 가게 되는데, ARP 방식으로 동작하는 센서가 여기에 들어가고 PC에게 알려준다.
다섯번째로, Agent 기반 방식이다.
설치된 에이전트로 네트워크를 차단한다. 요즘은 꼭 필요하지 않으면 Agent의 기능은 최대한 슬림화한다.
'Dev > Network' 카테고리의 다른 글
| [Network] IPS, IDS, 방화벽의 모든 것 (0) | 2022.06.05 |
|---|---|
| [Network] OSI 7 계층의 Session Layer(세션 계층), Presentation Layer(표현 계층)에 대한 개념 정리 (0) | 2022.01.10 |
| [Network] OSI 7 계층의 Top Layer(전송 계층)에 대한 개념 정리 (0) | 2022.01.10 |
| [Network] OSI 7 계층의 Network Layer(네트워크 계층)에 대한 개념 정리 (0) | 2022.01.10 |
| [Network] SOAP, REST의 개념과 차이점 정리 (0) | 2022.01.10 |
