NAC(Network Access Control)

NAC(Network Access Control)

• 네트워크에 연결된 단말기에 대해 사전에 IP주소, MAC 주소를 등록하고 등록되지 않은 단말기의 네트워크 접근을 차단한다.
• 네트워크에 대한 무결성을 지원한다.

NAC 동작 방식

• 사용자 단말기에 NAC 프로그램을 설치해야 하는 Agent 방식과 설치하지 않아도 되는 Agentless 방식으로 나뉜다.

NAC 구성요소

정책 관리 서버(Policy Management Server)

• 네트워크에 대한 정책 등록 및 에이전트 정책 설정, 네트워크 접근 로그 관리를 관리한다.
• 단말기의 보안상태를 모니터링하고 사용자 역할 기반 정책을 수립한다.
• 차단 서버 및 에이전트에 대해서 동작을 설정한다.

차단 서버(Policy Enforcement Server)

• 네트워크에 연결된 단말기를 통제한다.
• 단말기의 IP주소, MAC 주소, 운영체제 정보를 수집하고 분류한다.
• 웹 기반 사용자 인증을 지원한다.
• 유해 트래픽을 감지하고 차단한다.

에이전트(Agent)

• 사용자 단말기에 설치되고 보안 정책을 점검한다.
• 사용자 단말기의 취약점 점검 및 단말기 정보를 확인한다.
• 무선 인증을 지원한다.

콘솔(Console)

• 웹 기반으로 네트워크 보안 정책 설정, 감사, 모니터링을 한다.
• 대시보드를 제공하고 주요 네트워크 이벤트에 대해서 알람을 발생시킨다.

NAC 주요 기능

네트워크 정보 자동 수집 및 업데이트 지원

• 네트워크 장비, 사용자 단말기, 네트워크 프린터, 무선 AP 등의 정보를 자동으로 수집하고 분류한다.
• Agent 방식으로 NAC을 사용할 경우 사용자 단말기에 대한 윈도우 환경, 설정 정보 등의 자세한 정보를 모두 수집할 수 있다.
• Agentless 방식은 ARP 프로토콜을 사용해서 사용자 단말기 정보를 수집하기 때문에 정보 수집에 한계가 발생한다.

IP 관리 및 충돌 보호

• 특정 IP 주소 및 MAC 주소에 대해서 네트워크 차단 및 해제를 담당한다.
• 사용자 네트워크 사용기간을 등록해 제한할 수 있다.
• 장시간 미사용 IP주소를 탐지하고 IP주소를 자동회수 한다.
• 사용자가 임의로 IP주소 변경을 방지하고 충돌을 방지한다.

인증 서버 연동

• 사용자 인증 시 Active Directory, Local Database 인증, RADIUS 인증, LDAP 인증과 연동할 수 있다. 즉, NAC 자체 인증 기능을 사용할 수 있고 다른 인증과 연동하여 서비스를 제공할 수도 있다.

네트워크 접속 강제화 및 필수 프로그램 설치 유도

• 사용자 단말기를 확인해서 필수적으로 설치해야 하는 프로그램을 강제적으로 설치하게 할 수 있다.

보안 무결성 확인

• 사용자 단말기의 보안 패치를 확인하고 운영체제 패스워드 안정성을 확인한다.
• 윈도우 시스템 설정을 검증하고 웹브라우저 보안 설정, 공유 폴더를 점검한다.

무선 AP 정보 수집 및 비인가 무선 AP 접속 통제

• 무선 AP 정보를 자동으로 수집해서 NAC 정책 서버로 전송한다.
• NAC 관리자에 의해서 화이트 리스트 기반 무선 AP를 관리하고 통제한다.

DHCP

• 정책 서버와 차단 서버 모두 동적으로 IP를 할당하는 DHCP를 지원한다.