지니언스 기술 블로그

왜 동적 네트워크 접근제어가 필요한가 - Genians

Written by Genians | Sep 21, 2014 6:00:00 AM
 

 

Static Network Access Control

Network에서 이루어지는 수많은 연결에 대해서 접근제어를 수행할때 지금까지는 5 Tuples라 불리는 구성요소를 통한 제어가 일반적이였습니다. 5 Tuples란 출발지IP, 출발지Port, 목적지IP, 목적지Port, Protocol을 말하는 것으로 이것을 조합하여 설정된 정책은 관리자가 변경해주기 전까지는 변하지 않고 동작하게 됩니다. 따라서 정책에 의해서 허용된 연결은 계속적으로 허용되고 차단된 연결은 지속적으로 차단이 이루어지게 됩니다. 이같은 정적인 접근제어는 기존까지의 고정된 네트워크 환경에서 큰 문제없이 사용되었습니다.

 

새로운 IT 환경

허나 최근들어 IT환경이 급변하고 네트워킹을 지원하는 수많은 기기등이 등장함에 따라 기업의 IT 네트워크 환경도 다양하게 변화되어 가고 있습니다. 아울러 스마트워킹과 같은 Mobility가 보편화 되면서 네트워크 보안 담당자들은 새로운 도전에 직면하게 되었습니다.

예를들어 특정 IP로 대변되던 사용자의 단말이 무선랜 및 DHCP사용에 따라 더이상 IP로는 사용자를 구분할 수 없게 되었습니다. 정적인 접근제어 정책에 따라 특정IP에서 접속을 허용하던 방식으로는 더이상 수시로 변경되는 사용자의 IP를 관리할 수 없게 되었습니다. 이에 따라 관리자는 5 Tuples에서 제공되지 않던 사용자를 기반으로 한 접근제어가 필요해지게 되었습니다.

사용자정보 이외에도 네트워크에 존재하는 단말들의 컴플라이언스 준수여부에 따라 접근제어를 수행할 필요도 높아지게 되었습니다. 사용자의 PC에 백신이 설치되지 않았을경우 해당 PC가 네트워크에 접근하는것을 제어하거나 필수소프트웨어가 설치되지 않았을경우 네트워크 서비스를 제한하는등의 상태기반 접근제어가 필수적인 요소로 등장하게 되었습니다.

이에 더이상 기존과 같이 제어의 대상이 고정되는 접근제어 시스템은 현재의 접근제어 요구사항을 만족할 수 없게 되었습니다.

 

Dynamic Network Access Control

동적인 접근제어를 수행하기 위해서 가장먼저 필요한것은 접근제어의 대상이되는 주체들을 관리자가 지정한 상태조건에 따라 그룹화 할 수 있어야 하는것 입니다. 즉 대상 그 자체를 그룹화 하는것이 아니라 대상을 분류하는 조건을 설정한뒤 지속적인 모니터링을 통하여 네트워크 단말이 관리자가 정한 조건에 포함되면 그 그룹에 할당된 제어정책을 수행하게 되는 방식입니다.

Genian NAC Suite는 이같은 그룹을 노드그룹이라 부릅니다.

 

노드그룹

노드그룹이 다양한 조건을 제공하기 위해서는 노드에 대한 다양한 정보수집이 필수적입니다. Genian NAC Suite는 다음과 같은 방법을 통하여 노드의 정보를 수집하고 수집된 정보에 대해서 조건을 생성할 수 있도록 해줍니다.

- 유선랜 네트워크 센서 (Net-Sentry)
- 무선랜 네트워크 센서 (Air-Sentry)
- 에이전트
- Captive Portal을 통한 Web Browser 정보수집
- 미러링포트를 통한 패킷 모니터링
- 연동API(SOAP)를 통한 외부정보 수집

이와같이 유선랜, 무선랜, 에이전트, 미러링포트등 수집가능한 다양한 경로를 통하여 수집된 정보를 이용하여 관리자는 다양한 노드그룹 조건을 설정할 수 있게되는데 대표적으로 다음과 같은 조건들이 있습니다.

- 윈도우즈 운영체제 단말에 V3백신이 설치되지 않은 노드
- 윈도우즈 운영체제 단말에 DLP/DRM 프로그램이 설치되지 않은 노드
- 화면보호기가 설정되어있지 않은 노드
- 관리자가 인가한적이 없는 MAC을 가진 노드
- 노드의 네트워크 연결방식이 WiFi인 노드 (무선랜금지 환경에서 불법 무선랜 노드 분류)
- 네트워크 트레픽이 X KB/s 이상인 노드
- X 시간 이상 전원이 켜져있는 노드

 

제어정책

노드그룹을 통하여 제어의 대상이 되는 노드들이 분류가되면 해당 노드그룹에 알맞은 제어정책을 설정하게 됩니다. 제어정책은 노드그룹의 보안위협에 따라 다양한 수준으로 설정할 수 있는데 다음과 같은 제어를 수행할 수 있습니다.

- 에이전트 팝업 알림
- HTTP접속시 Captive Portal로 Redirect
- 패킷필터링 (목적지 IP/Port/Service)
- 스위치포트 Shutdown
- Deauthentication (무선랜 연결 차단)
- 네트워크 인터페이스 차단
- PC 종료

다양한 제어방법을 통하여 노드의 보안위협 수준에 따른 차등적인 제어를 수행할 수 있는데 예를들어 백신검사를 1주일 이상 수행하지 않는 노드에 대해서는 에이전트 팝업을 통하여 사용자에게 공지를 수행하고 1개월이상 수행하지 않는 노드에 대해서는 인터넷접속을 차단함으로 위협수준에 따라 제어정책을 달리 가져갈 수 있습니다.

 

동적 접근제어 선택 포인트

이제 동적 접근제어는 더이상 선택이 아닌 필수적인 요소가 되었습니다. 동적 접근제어를 검토할때 중요한 포인트중 하나는 노드그룹 조건이 얼마나 유연하고 확장성이 있는냐는 것입니다. 급변하는 보안위협속에서 새로운 조건을 추가하기 위해 제품을 업그레이드 해야 한다면 제로데이 공격에 대비할 수 없습니다. 지금 당장 필요한 조건이 아니라도 새로운 보안위협이 발생되었을때 즉각적으로 조건을 수립하고 분류된 노드에 대해 조치를 취할 수 있는 구조를 구축해 놓아야만 합니다. 특히나 설치소프트웨어 목록과 같이 에이전트를 통하여 수집가능한 정보들을 확장하기 위해 전체 에이전트 설치 노드를 업그레이드 하는것은 엄청난 일이 아닐 수 없습니다. Genian NAC Suite는 다양한 노드그룹 조건 및 Plugin기반의 확장성을 제공하여 이같은 요구를 완벽하게 충족시켜 드릴것입니다.