Genian-Nac-Admin-Guide.Pdf
Total Page:16
File Type:pdf, Size:1020Kb
Genian NAC GENIANS, INC. Sep 16, 2021 관리자 가이드 1 Network Access Control의 이해 3 2 Genian NAC 구축 9 3 Genian NAC 설치 29 4 네트워크 자산 모니터링 57 5 네트워크 접근제어 91 6 네트워크 연결 프로세스 191 7 사용자 인증 207 8 엔드포인트 제어 265 9 위험감지 335 10 로그 및 이벤트 관리 345 11 시스템관리 363 12 API 가이드 439 13 로그포맷 449 14 FAQ 451 15 Troubleshooting 453 16 Release Note 483 17 Security Advisories 527 i ii Genian NAC 관리자 가이드 1 Genian NAC 2 관리자 가이드 CHAPTER ONE NETWORK ACCESS CONTROL의 이해 1.1 NAC란 무엇인가? 네트워크 접근제어 (Network Access Control) 는 네트워크에 접속하는 장치에 대해 접속 가능 여부를 확인하여 인가된 장치만이 접속할 수 있도록 제한하는 것에서 출발하였다. 이 같은 접속 제어는 통상 802.1X 라 불리는 기술을 통하여 제공되었는데 이때 AAA(Authentication, Authorization, Accounting)라 불리는 3가지 중요한 기능이 제공된다. Authentication Authentication은 네트워크에 접속하는 사용자나 장치에 대해 검증하는 과정이다. 통상적으로 사용자명/비밀번호를 통해 제공되는데 경우에 따라서는 장치의 MAC 주소가 인증의 수단으로 사용되기도 한다. Authorization Authorization은 인증된 장치가 어떤 네트워크 자원에 대해서 접근할 수 있는지에 대해 결정하는 과정이다. 인증된 장치의 종류나 식별된 사용자의 그룹에 따라 접근할 수 있는 네트워크, 서비스 및 시간대를 제한할 수 있다. Accounting Accounting은 장치가 네트워크를 접근한 기록을 남겨 향후 과금이나 보안상의 목적으로 사용할 수 있도록 해주는 과정이다. 이를 통해 어떤 장치를 누가, 언제, 어디서, 어떻게 사용했는지 확인할 수 있다. 이 같은 AAA 기능이 네트워크 접근제어의 기본 기술로 오랜 기간 사용되었는데 최근 네트워크 단말들의 다양한 보안 문제로 인해 단말의 보안 규제 준수상태에 따라 네트워크 접속 가능 여부를 결정하길 원하게 되었다. 이에 단말의 사용자에 대한 식별을 뛰어넘어 장치의 종류가 무엇인지 장치의 현재 보안설정이나 상태를 확인하여 관리자가 정한 조건에 부합하는 단말만이 네트워크에 접속할 수 있도록 해주는 제품군을 NAC라는 명칭으로 부르게 되었다. NAC를 네트워크 연결 시점을 기준으로 보면 연결이 이루어지기 이전 단계에서 수행되는 작업과 연결 이후 수행되는 작업으로 구분하여 설명할 수 있다. Pre-Connect Pre-Connect는 단말이 네트워크에 연결되어 정상적인 통신이 이루어지기 이전에 수행되는 작업들을 말한다. 어떤 단말에 네트워크에 연결하고자 할 경우 단말에서 제공되는 사용자명/비밀번호/인증서/MAC 주소와 같은 신원정보를 이용하여 단말을 식별하고 인증하게 된다. 이 과정을 통해 네트워크에 접속 가능한 단말로 인가되지 못하면 네트워크 연결이 거부된다. 이 과정은 스위치나 무선랜 액세스포인트와 같은 장치를 통해 802.1X를 통해 제공되거나 ARP통제를 통해 제공될 수 있다. Post-Connect 단말이 Pre-Connect단계에서 요구하는 요구사항을 충족하면 주어진 권한에 따라 네트워크를 사용할 수 있게 된다. 이때 NAC는 지속적으로 단말의 상태 및 정보를 수집하여 관리자가 요구하는 조건을 충족하는지 여부를 모니터링하게 되고 만일 단말이 보안정책을 위배하는 상태가 되면 단말을 네트워크로 부터 즉시 격리하게 된다. 지속적인 단말의 상태를 모니터링하기 위해 선택적으로 Agent를 사용할 수 있다. Agent는 단말에 설치되어 3 Genian NAC 시스템의 상태 변경을 모니터링하면서 변경이 감지되면 즉시 NAC 정책서버로 알려 새로운 정책을 적용받도록 해준다. 1.2 NAC의 발전 초창기 1세대의 NAC는 과거부터 사용되던 네트워크 접속 사용자 인증 프로토콜인 802.1X를 기반으로 한 제품 들이 주를 이루었다. 이는 스위치 및 무선 접속장치에서 제공되는 802.1X 표준을 통하여 인터페이스에 연결이 감지되면 정해진 인증서버 (RADIUS) 를 통하여 사용자명/비밀번호 또는 인증서를 통해 접속자를 식별한 뒤 인증서버에서 접속이 허가되면 연결 인터페이스를 활성화시켜주는 방식이다. 이 방식은 스위치의 포트 수준에서 작동되기 때문에 가장 완벽한 접근제어를 제공할 수 있다. 하지만 802.1X를 지원하지 못하는 장치들에 대한 인증 문제 및 모든 접속장치가 802.1X를 지원해야 하는지 확인해야 하는등 기존 네트워크를 일순간에 접근제어를 적용하기에는 어려운점이 많아 구축실패 사례가 많이 발생되었다. 이에 2세대로 나온 NAC는 802.1X에서 벗어나 네트워크 접속장치들과 SNMP를 통해 정보를 수집하거나 각 네트워크마다 센서 또는 Probe라 불리는 장치를 통해 독립적으로 정보를 수집할 수 있게 되었고 접근제어 또한 대체적인 수단으로 제공하기 시작했다. 802.1X 이외에 네트워크에서 적용 가능한 접근제어는 스위치의 VLAN 을 조정하여 단말은 제한된 VLAN으로 위치시키거나 ACL을 설정하는것 부터 네트워크센서를 통해 ARP를 이용한 제어, SPAN(미러링) 포트를 통한 연결끊기 방식까지 사용자의 환경이나 요구사항에 맞게 다양한 방식으로 진화 되었다. 네트워크 접속방법이 유선랜 방식에서 무선랜으로 변화됨에 따라 네트워크센서, 무선 컨트롤러, 에이전트를 통해 무선 네트워크에 대한 가시성을 확보하는 기능들도 추가되고 그를 바탕으로 Rogue AP와 같은 무선 보안에 대응할 수 있게 되었다. 3세대의 NAC는 수집과 제어를 넘어서 다양한 자동화를 위한 기술들이 추가되었다. 에이전트를 통해 단말의 보안 수준을 기업이 원하는 상태로 자동적으로 설정되도록 해주며 네트워크에 존재하는 다양한 시스템들과의 연동을 통해 상호 협력적인 보안 모델을 구축할 수 있도록 해주었다. 예를 들어 인터넷 게이트웨이 구간에서 동작하는 보안시스템은 종단 네트워크의 장치가 주변 장치와 동일한 서브넷 내에서 통신하는 것을 제어할 수 없기 때문에 NAC와 연계하여 NAC를 통해 제어를 할 수 있게 된다. 또한 차세대 방화벽과 같이 단말의 사용자 정보를 통해서 접근제어 정책을 수립할 수 있게 된 보안시스템들이 필요한 IP에 대한 사용자 정보를 제공하여 보다 향상된 보안시스템 구축을 쉽게 만들어 준다. 이 같은 연동은 REST, Webhook, Syslog와 같은 표준화된 프로토콜을 통하여 제공되게 된다. 4세대의 NAC는 최근의 BYOD와 IoT 트렌드로 기하급수적으로 늘어난 접속 단말들로 인해 IT관리자의 가시성이 저하되고 네트워크 관리가 어려워지는 것을 해결하는것에 중점을 두고 있다. 단말을 보다 정확히 식별하고 더 나아가서 단말의 다양한 비지니스 상태 (End-of-Life, End-of-Support등) 를 손쉽게 관리하거나 단말에 알려진 취약점등을 자동적으로 관리할 수 있도록 해주는 방향으로 진화하고 있다. 그와 더불어 클라우드와 같이 변화하는 IT 환경에 맞게 클라우드 기반 관리형 서비스도 새롭게 선보이고 있다. 1.3 NAC가 해결해주는 문제점들 허가되지 않은 기기의 무단 반입 NAC가 구현되지 않은 네트워크는 사내에 존재하는 이더넷 포트에 어떠한 기기를 연결하더라도 즉시 네트워크를 사용할 수 있게 된다. 이는 사무실이 물리적으로 매우 안전하게 보호되고 있다 하더라도 직원들이 회사의 자산이 아니거나 허용되지 않은 기기를 네트워크에 연결하여 Worm이나 Ransomware 등으로 인해 사내 IT 시스템에 심각한 손상을 초래할 수 있게 된다. NAC는 이 문제를 해결하기 위해 모든 연결되는 기기에 대해 인증하고 일정 수준 이상의 보안 요구사항을 충족하는 경우에만 네트워크를 사용할 수 있게 해 준다. 보안사고 발생 시 IP 추적 불가 대부분의 보안시스템은 감사기록을 통해 IP주소를 남긴다. 보안사고 발생 시 감사기록 확인을 통해 문제가 되는 IP를 확인하더라도 현재 그 IP가 과거에 사용되었던 시스템과 같은 시스템인지 사용자는 누구인지, 어떤 시스템인지에 대한 정보를 얻는 것은 굉장히 어렵고 복잡한 일이다. NAC는 지속적인 네트워크 감시를 통해 연결 4 Chapter 1. Network Access Control의 이해 Genian NAC 되는 모든 단말에 대한 기록을 남겨두어 수개월 전 특정 시점에 해당 IP를 사용했던 단말에 대한 다양한 정보를 제공해줄 수 있다. 보안 규제에서 요구되는 IT 자산관리 오늘날의 IT 환경은 BYOD, IoT 등으로 인해 과거에 비해 훨씬 복잡 다양해졌다. 이로인해 기업에 요구되는 많은 보안 규제에서 IT 자산에 대한 관리가 철저히 이루어질 것을 요구하고 있다. 하지만 IT 자산을 정확하게 파악하고 그 상태를 항상 확인하는 것은 관리자에게 어려운 문제이다. IT 자산을 관리하기 위해서는 MAC 주소와 같은 식별 값부터 단말의 제조사, 제품명, 이름, 위치 (스위치 포트 또는 물리적 위치), 사용자명, 네트워크 연결/단절 시각등의 정보가 정확히 수집되어야 한다. NAC는 네트워크에 연결되는 IT 자산에 대해 실시간으로 감시하여 항상 원하는 데이터를 출력할 수 있도록 해서 관리자의 부담을 크게 줄여준다. 무선랜 접속장치의 공유 비밀번호 스마트폰과 같은 모바일 기기들이 확산되고 그것들이 업무에 활용되면서 무선랜 사용이 점차 증가되고 있다. 고 가의 관리형 무선 접속장치를 사용하는 경우 향상된 보안시스템이 적용되어 무선랜 접속 시 각 개인의 비밀번호를 이용한 사용자 인증이 이루어질 수 있다. 하지만 많은 네트워크에서 공유 비밀번호를 통해 무선랜에 접속하는 것이 현실이다. 공유비밀번호는 손쉽게 노출될 수 있고 접속자에 대한 식별이 불가능하여 추적이 어렵다. 회사의 공유 비밀번호는 원칙적으로 그 비밀번호를 아는 직원이 회사를 떠나게 될 경우 변경해야 한다. 하지만 전 직원이 쓰는 비밀번호를 매번 변경하는 것은 쉬운일이 아니다. 이를 위해 무선랜 접속시 개인의 비밀번호를 이용하여 인증할 수 있도록 해주는 802.1X 시스템이 필요하다. NAC는 기본적으로 802.1X를 지원하여 보다 향상된 무선랜 보안을 구축할 수 있게 해 준다. 허가되지 않은 외부 네트워크 접속 네트워크 기술이 발전함에 따라 사용자의 단말은 자신이 속한 기업에서 제공하는 네트워크 이외에도 다양한 형태의 외부 네트워크 접속이 가능해졌다. 스마트폰을 이용한 Hotspot이나 Public WiFi와 같이 손쉽게 이용 가능한 접속을 통해 기업의 보안시스템을 우회하는 인터넷 연결을 만들어 내부자료 유출과 같은 문제점이 발생될 수 있다. NAC는 기업 내부에서 접속 가능한 WiFi를 모니터링하고 어떤 사용자가 접속하는지를 관리, 통제할 수 있으며 또한 사용자 단말에서 IT 관리자가 설정하지 않는 네트워크 대역에 접속하는 이벤트 등을 모니터링해서 내부 보안시스템을 우회하려는 시도를 차단해준다. 필수 소프트웨어 미설치 및 구동 관리자는 다양한 보안 문제를 해결하기 위해 사용자의 시스템에 설치해야 할 필수적인 소프트웨어나 운영체제 설정을 직원들에게 요구하게 된다. 하지만 모든 사용자의 단말이 그 요구사항을 항상 준수하는 것은 아니기 때문에 보안사고는 끊임없이 발생되고 있다. NAC는 Antivirus와 같이 단말에 필수적으로 필요한 소프트웨어나 화면보호기와 같은 필수적인 설정이 규정에 맞게 올바르게 되어있는지 지속적으로 모니터링하여 규정을 위반한 경우 차단, 치유, 격리할 수 있게 해 준다. 운영체제 최신 보안패치 미적용 단말의 보안을 위해 무엇보다 가장 중요한 것은 최신 보안패치의 적용이다. NAC는 단말의 보안패치 적용 상태를 지속적으로 모니터링하여 패치가 적용되지 않은 단말을 네트워크에서 격리한다. 이는 제어가 단말이 아닌 네트워크 수준에서 동작한다는 점이 기존의 단말을 관리하는 소프트웨어가 제공하는 것과 크게 다르다. 관리자는 네트워크 제어를 통해서 사용자가 우회할 수 없는 강력한 정책을 수행할 수 있게 된다. 1.4 NAC와 Firewall의 차이점 NAC 기술에 익숙하지 않은 사용자는 종종 Firewall과 그 역할을 혼동하기도 한다. 이는 네트워크 접근제어 (Network Access Control) 라는 용어가 가지는 일반성 때문에 Firewall도 같은 기능의 제품으로 생각하기 쉽다. 하지만 두 제품은 다음과 같은 큰 차이점을 가지고 있다. 네트워크 중심 vs 단말 중심 Firewall은 그 구성 위치상 일반적으로 두개 이상의 네트워크 중간에 위치하여 양 네트워크를 오가는 통신에 대한 접근제어를 제공하는데 반해 NAC는 각 단말 간의 통신에 대한 접근제어를 제공한다. 예를 들어 동일한 서브넷에 1.4. NAC와 Firewall의 차이점 5 Genian NAC 존재하는 두 PC간에 이루어지는 파일공유에 대해서 일반적으로 Firewall은 제어하지 못하는 반면 NAC는 제어를 할 수 있다. 정적인 정책 vs 동적인 정책 Firewall의 정책은 일반적으로 5 Tuples라 불리는 출발지/목적지의 주소, 포트와 같은 객체를 통해서 이루어진다. 최근 차세대 방화벽에서 사용자와 같은 추가적인 객체를 통한 제어를 제공하기 시작했으나 그 수가 많지 않다. 반면 NAC의 경우는 통상 수 백개 이상의 조건을 통해 단말들의 그룹을 구성하면 각 단말의 상태 변경에 따라 구성된 그룹에 자동으로 포함/해제가 되고 그에 따라 정책이 적용되는 구조를 제공한다. 예를 들어 Antivirus를 구동 중이지 않은 단말이라는 그룹이 있다고 가정하면 이 그룹에 속한 단말은 상태에 따라 실시간으로 변화하게 된다. 외부망 vs 내부망 이 같은 이유로 인해 Firewall은 단말의 사용자를 특정할 수 없고 상세한 정보를 수집할 수 없는 외부 사용자와 내부 시스템간의 접근제어의 목적에 보다 적합하고 NAC는 다양한 상태 정보를 얻을 수 있는 내부 사용자에 대한 접근제어 시스템으로 적합하다. 두 개의 제품은 각각의 역할에 맞는 위치 및 구성으로 네트워크 보안을 보다 효과적으로 구축할 수 있는 상호 보완적인 역할을 수행한다.