[FCF] Cybersecurity 2.0 - Lesson 02 : Network Access Control(네트워크 접근 제어)

A. 개요

NAC는 네트워크에 대한 장치 액세스를 제어하는 어플라이언스 또는 가상 머신입니다. IEEE 802.1X 표준을 따르는 네트워크에 참여하는 장치에 대한 네트워크 인증 및 권한 부여 방법으로 시작되었습니다. 인증 방법에는 클라이언트 장치, 인증자,인증 서버가 포함됩니다.

인증자 보호된 네트워크와 보호되지 않은 네트워크를 구분하는 네트워크 스위치 또는 무선 액세스 포인트일 수 있습니다. 클라이언트 사용자 이름과 비밀번호, 디지털 인증서 또는 기타 수단의 형태로 자격 증명을 인증자에게 제공합니다. 인증자는 이러한 자격 증명을 서버에 전달합니다. 인증 결과가 나올 때까지 인증자는 장치를 차단하거나 네트워크에 대한 액세스를 허용합니다. (클라이언트 -> 인증자 -> 인증 서버)

네트워크, 특히 공개적으로 사용 가능한 네트워크에 대한 액세스를 제어하는 또 다른 방법은 캡티브 포털입니다. 공항, 호텔, 커피숍에서 네트워크에 연결한 적이 있다면 액세스 권한을 부여하기 전에 법적 조건에 동의하라는 웹 페이지를 본 적이 있을 것입니다.

 

B. NAC의 필요성

나중에 NAC는 게스트 액세스, BYOD(Bring Your Own Device) 및 IoT(사물 인터넷)를 수용하도록 발전했습니다. 몇 가지 이유로 BYOD 및 IoT 장치는 새로운 보안 문제를 야기했습니다.

첫째, BYOD는 개인 소유이지 조직의 자산이 아닙니다. 따라서 MIS는 바이러스 백신 소프트웨어나 안전하지 않은 응용 프로그램 등 이러한 장치에서 실행되는 항목을 제어하지 않습니다.

둘째, IoT 장치는 인터넷을 통해 한 곳에서 다른 곳으로 데이터를 전송하는 센서가 장착된 하드웨어로, 공격 표면을 크게 확장합니다.

조직은 다른 공급업체로부터 IoT 지원 장치를 구입하며, 이러한 장치는 공급업체 네트워크에 다시 연결되어 제품 사용 및 유지 관리 요구 사항에 대한 정보를 제공합니다. IoT 장치가 시간과 비용을 절약해주기 때문에 조직에서는 이러한 상황을 용인합니다.

예를 들어, 프린터의 토너가 부족한 경우 공급업체는 이메일로 네트워크 관리자에게 알리거나 자동으로 새 토너 카트리지를 배달할 수도 있습니다. 스마트 홈에서 IoT 장치는 열과 습도를 조절하고, 문 잠금 장치를 원격으로 제어하고, 냉장고에 무엇이 있는지 모니터링하고, 식료품 목록 작성에도 도움을 줍니다.

이러한 장치의 명백한 편리성으로 인해 이 장치는 엄청난 인기를 얻었고 그 수가 많아졌습니다. 그러나 장치가 다양하고 표준이 부족하며 이러한 장치를 보호할 수 없기 때문에 네트워크에 감염될 수 있는 잠재적 통로가 됩니다.

많은 IoT 장치에는 인증 및 보안 소프트웨어를 호스팅할 CPU 주기나 메모리가 부족합니다. 제조 과정에서 삽입되는 공유 비밀 또는 고유 일련 번호를 사용하여 자신을 식별합니다. 그러나 이 인증 체계는 매우 제한적입니다. 비밀이 알려지면 재설정할 방법이 없으며 보안 소프트웨어를 설치할 수 없으면 해당 장치에 대한 가시성이 거의 없습니다.

 

C. NAC 동작 원리

MIS가 NAC를 네트워크에 도입할 때 NAC가 가장 먼저 하는 일은 연결된 모든 장치의 프로필을 생성하는 것입니다. 그런 다음 NAC는 기능별로 정의된 장치 프로필을 기반으로 네트워크 리소스에 대한 액세스를 허용합니다. 이는 개인의 알 필요에 따라 민감한 정보 에 대한 액세스 권한을 개인에게 부여하는 것과 유사합니다.

예를 들어, NAC는 NVR(네트워크 비디오 레코더) 서버에 대한 IP 카메라 연결을 허용 하지만 금융 서버에 대한 연결을 차단합니다. 프로필에 따르면 NVR은 금융 서버와 통신하는 업무가 없습니다. 이러한 방식으로 액세스가 허용 되면 네트워크는 장치 기능별로 분할됩니다. 장치가 손상된 경우 맬웨어는 장치 연결이 허용된 개체만 감염시킬 수 있습니다. 따라서 앞선 예에 서 손상된 IP 카메라는 NVR 서버를 감염시킬 수 있지만 금융 서버는 감염시킬 수 없습니다.

 

D. NAC 특징

NAC는 수많은 보호되지 않은 장치를 관리하는 데 매우 효과적인 것으로 입증되었지만 발전 과정에서 단점도 있었습니다. 일부 NAC 솔루션은 무선 네트워크의 BYOD 온보딩을 돕기 위해 설계되었지만 네트워크의 유선 부분에서는 제대로 작동하지 않았습니다. 다른 솔루션은 단일 공급업체 환경 내에서 작동하도록 개발되었지만 타사 장치를 자동으로 프로파일링할 수는 없었습니다. 일부는 작고 단순한 네트워크에 대한 가시성이 좋 았지만 대규모 분산 네트워크에는 잘 확장되지 않았습니다.

오늘날 대부분의 NAC 솔루션은 이러한 제한 사항을 해결했습니다. 네트워크에 대한 완전한 가시성을 확보하고 장치를 자동으로 분류하는데 더 능숙합니다. 이더넷과 무선 네트워크 모두에서 효과적으로 작동합니다. 많은 NAC 솔루션에는 대규모 및 다중 사이트 네트워크 전반에 걸쳐 장치 관리를 향상시키는 중앙 집중식 아키텍처가 있습니다. 중요한 점은 NAC가 보안 프레임워크에 통합되어 침해가 감지되면 NAC가 자동으로 SOC(보안 운영 센터)에 알리고 다른 보안 장치와 협력하여 위협을 무력화할 수 있도록 해야 한다는 것입니다.