NAC(Network Access Control) - 네트워크 접근 제어

* 참고문서 : 네트워크 접근 통제(NAC) 기술동향 (TTA)*

NAC (Network Access Control)

개념

네트워크 접근 제어(NAC : Network Access Control)란 단말이 네트워크에 접근하기 전 보안정책 준수여부를 검사하여 네트워크 사용을 제어하는 것을 말한다. NAC 시스템은 네트워크에 연결된 단말의 여러 가지 정보를 수집하고, 수집된 정보를 바탕으로 단말들을 분류하며, 분류한 그룹의 보안 위협 정도에 따라 제어를 수행한다.

설명

• NAC는 모든 네트워크를 경계선으로 본다. 어떤 사용자가 어떠한 경로를 통하여 들어오든지 사용자 및 단말은 검사를 통과하여야 내부 네트워크로 진입할 수 있다. 예를 들어 방문한 외부직원이 가 설치되어 있는 네트워크에 접근하였다고 하면 네트워크를 사용하기에 앞서 사용자에 대한 인증을 받아야 하며 사용하는 노트북이 네트워크에 연결하여도 안전하다는 검사를 받아야 한다. 또한 네트워크를 사용하면서 조금이라도 이상한 통신 (Traffic)을 수행한다면 이는 바로 NAC에 의하여 감지가 되어 외부 직원의 노트북은 네트워크로부터 격리되게 된다.

목적

접근제어/인증

• 내부직원 역할기반 접근제어
• 네트워크의 모든 IP기반 장치 접근제어

PC 및 네트워크 장치 통제 (무결성 체크)

• 백신관리
• 패치관리
• 자산관리(비인가 시스템 자동 검출)

해킹/Worm/유해트래픽 탐지 및 차단

• 유해트래픽 탐지 및 차단
• 해킹행위 차단
• 완벽한 증거수집 능력

컴플라이언스

• 사내 정보보호 관리체계 통제 적용
• 정기/비정기 감사 툴로 사용

분류

*

agent-based NAC (Host-based)

• 스위치의 단말접속포트에 연결하여 네트워크 내 단말 정보를 수집
• 네트워크로 패킷을 송출하여 제어하는 센서장치 사용
• 도용단말을 탐지하기 위해 네트워크에 연결된 모든 단말의 IP포트를 스캔하여 단말 유형 파악
• 특정 단말의 유형이 시스템이 알고 있는 단말 유형 정보와 다를 경우 도용 판단
• 도용 단말 존재여부만 판단할 뿐, 어떤 장비의 어떤 포트에 도용 단말이 연결되었는지 파악할 수 없음
• 도용 단말 차단 불가
• 센서 장비 설치에 다른 추가적인 비용 소요

agent-less NAC (network based)

• 인증서버 별도 도입 또는 L7단의 Web 인증
• 단말단의 통제력 약화로 식별/인증, 보안정책 검증 부문 보다는 모니터링 및 탐지 부문의 장점 존재
• 네트워크 구성에 독립적 또는 인라인으로 통제장비 구축 (Out-Of-Bound, In-Line)
• 네트워크 접속 후에 단말을 통제 한다.
• 인증서버 미 구축 시 비용 측면에서 상대적으로 다소 우세