[NAC] 네트워크에서 NAC(Network Access Control)의 역할

NAC(Network Access Control) 개념

네트워크에 사용자 혹은 디바이스가 접근할 때 인가된 사용자만 접근하도록 정책을 구성할 필요가 있습니다.
Firewall 장비와 비교했을 때 디바이스를 통제할 수 있다는 특징이 있지만 통제 및 검역을 하는 과정에서 여러 차이가 존재합니다.

Pre-Connect
단말이 네트워크에 연결되어 정상적인 통신이 이루어지기 전 수행되는 작업을 의미합니다.
디바이스가 네트워크에 연결될 때 NAC은 ID/PWD, 인증서, Mac Address등 인증을 요구하여 디바이스를 식별하게 됩니다.
이러한 인증 요구는 Switch, AP에서 802.1X를 통해 제공되거나 ARP Proxy를 통해 제공될 수 있습니다.

Post-Connect
Pre-Connect를 충족한 디바이스는 주어진 권한에 따라 네트워크를 접근할 수 있습니다.
NAC은 Per-Connect를 끝마친 디바이스에 대해 주기적으로 상태 및 정보를 수집하여 조건이 항시 충족하는지를 확인합니다.
(중간에라도 보안 요구 사항이 위배되면 네트워크를 격리시키기 위함입니다.)

이러한 모니터링을 세부적으로 하기 위해 디바이스는 Agent를 설치하여야 합니다.

방화벽 장비와 NAC 장비의 차이점

방화벽 장비는 외부망/내부망처럼 최소 2개 이상의 네트워크 간 통신을 할 때 네트워크를 중심으로 제어할 수 있습니다.
Proxy ARP를 사용하지 않는 이상 같은 네트워크 대역 통신에 대한 제어는 어렵습니다.

그에 비해 NAC은 크게 BYOD(Bring Your Own Device)흐름을 완벽히 제어할 수 있습니다.
네트워크에 연결되면 NAC은 디바이스의 여러 정보를 수집하고 보안 정책 준수 여부를 검사합니다.

NAC은 ARP Spoofing처럼 디바이스가 통신을 시도하려고 패킷을 보내면 그것을 가로채서 자신이 먼저 응답하려고 합니다.
이때 자신에게 등록된 디바이스가 아닌 경우에는 패킷을 드랍시키고 허용이 됬다면 본래 목적지대로 패킷을 보내버립니다.

NAC의 주요 기능은 다음과 같습니다
  - Safety inspection : 디바이스의 OS 패치 및  백신 패치가 안전한 버전인지 확인
  - Authentication Management : 네트워크 접근 허용을 위해 사용자 인증(ID/PWD, Mac address)인증을 수행
  - Authority Management : 인가된 사용자 정보로 어디까지 접근이 가능한지 영역을 구분 및 설정
  - Device Control : 비인가 디바이스를 검출 및 인가된 디바이스에 대한 자산 관리
  - Monitoring : 접속 이후 디바이스의 행위 분석 및 필요한 경우 격리 조치 (+유해한 트래픽 차단)

NAC 장비 구성

NAC은 크게 정책 서버(Policy Server)와 센서(Sensor)로 구분합니다.

정책 서버는 모든 데이터와 설정을 저장하는 중앙 관리 시스템으로 On-premise 혹은 Cloud managed 형태로 제공됩니다.
센서는 네트워크를 모니터링하여 디바이스 정보를 수집하고 정책 서버로 전송합니다.

센서의 경우 포트 미러링은 필요하지만 일반 스위치 포트에 Access vlan으로 연결되고 수집할 정보에 대해 802.1Q 구성이 되어야 합니다.
트렁크 구성이 필요한 이유는 ARP, DHCP같은 브로드캐스트 패킷을 모니터링하기 때문입니다.
(모니터링을 통해 UPNP, NetBIOS정보를 수집할 수 있기 때문에 브로드 캐스트 도메인이 같아야합니다.)

NAC Edition

Edition은 라이선스처럼 등급에 따라 사용할 수 있는 기능의 범위가 달라집니다.
크게 Basic, Professional, Enterprise 등급으로 나눌 수 있으며 기능에 대한 상세한 범주는 NAC 홈페이지를 참고 부탁드립니다.
 - 에디션별 기능 참고표

👍🏻 Made by NODELINE (ssotok12@naver.com)
      Thank you for reading it.