Embed Size (px)
DESCRIPTION
침입차단시스템 발표자료. NAC( N etwork A ccess C ontrol) 네트워크 접근 제어. 목 차. NAC 란 ? NAC 의 특징 NAC 의 주요제공기능 NAC 의 취약점 결 론. N etwork A ccess C ontrol. 당신의 네트워크 는 보이지 않는 위협요소까지 관리하고 계십니까 ?. NAC 란 ?. NAC 는 출입국관리소다 NAC 는 공항에서 출입국관리소가 하는 업무와 매 우 닮았습니다 . - PowerPoint PPT Presentation
Citation preview
침입차단시스템 발표자료
NAC(Network Access Con-trol)
네트워크 접근 제어
목 차
NAC 란 ?
NAC 의 특징
NAC 의 주요제공기능
NAC 의 취약점
결 론 .
당신의 네트워크는보이지 않는 위협요소까지관리하고 계십니까 ?
Net-workAccessControl
NAC 란 ? NAC 는 출입국관리소다NAC 는 공항에서 출입국관리소가 하는 업무와 매우 닮았습니다 . 보호해야 할 대상이 국가 자산이냐 아니면 기업 IT 자산이냐 정도의 차이는 있지만 , 입국 심사와 거의 똑같다고 할 수 있습니다 . 입국 심사가 국내로 들어오려는 사람이 사회적 범죄를 일으킬 사람이거나 병균을 퍼트릴 사람인지 또는 문제를 일으킬 만한 물건을 들여오는 것은 아닌지를 확인함으로써 국민을 보호하고 국내 산업에 피해가 가지 않도록 확인하는 것이라면 NAC 는 사내망으로 들어오려는 단말기 , 또는 사람은 누구인지 , 단말기가 사내네트워크를 마비시키거나 다른 단말기들을 오염시킬만한 잠재적 요소가 있는지를 확인함으로써 사내 네트워크 , 서버 , 데이터 , 및 사내 망에 접속되어 있는 단말기들을 보호하는 역할을 합니다 .
NAC 의 장점 .
NAC 의 장점네트워크접근제어 (NAC, Network Access Control) 는 사전에 인가되지 않는 사용자 및 보안문제를 가지고 있는 사용자의 네트워크 접속을 근본적으로 차단하여 , 제어하는 네트워크 보안체계로 기업 내 IT 자산을 보다 효과적으로 보호할 수 있습니다 .기존의 네트워크 보안이 외부 공격에 초점이 맞춰졌던 것과는 달리 최근 모바일 및 원격지 사용 증가로 사용자의 네트워크 접속 관리가 어려워지고 내부 공격이 급격히 증가하면서 주목 받고 있습니다 . 시장조사 기관들에 따르면 NAC 시장은 폭발적으로 성장할 것으로 전망되고 있으며 솔루션 업체들은 다양한 환경에 손쉽게 적용할 수 있는 기술을 앞다투어 내놓고 있습니다 .
NAC 의 주요제공기능
NAC 의 주요제공기능♣ IP / MAC 에 대한 실행 설정 기능 - 사용자 IP 변경 금지 및 충돌 보호 설정 / 해제 - MAC 에 대하여 특정 IP 사용만을 허용하도록 설정 가능함 . - 충돌 보호 설정된 자원의 네트워크 사용을 보호 가능
♣ *Network 사용을 위한 사용자 인증 서비스 기능 - 인증 서비스 기능 - 관리자의 허가를 받지 못한 자원의 네트워크 사용 제한 - 웹 기반의 인증 요청 / 수락 기능 - 설정된 인증주기에 따라 주기적으로 사용자 인증을 수행
NAC 의 주요제공기능♣ Network 사용을 위한 사용자 IP 신청 서비스 기능 - IP 사용 요청 기능 - IP 차단 사용자 IP 사용신청 - 등록된 사용자 계정으로 login 후 IP 신청
♣ NAC 보안 정책기능 ( 네트워크 권한 부여 ) - 신규 등록되는 사용자 ( 장비 ) 에 대해 무조건 차단 or 허용하는 것이 아니라 보안 정책에 따라 - 네트워크 사용 목적에 맞게 네트워크 사용 권한을 부여
♣ NAC 위험 정책 기능 ( 비정상 패킷 탐지 및 차단기능 ) - 위험 이벤트 중 허니팟을 이용하여 트래픽을 유발한 비정상 노드 탐지 - 미끼 IP 로 패킷 유입시 임계치에 따른 탐지 - 임계치 초과시 대응 ( 알람 , 네트워크 차단 / 격리 )
NAC 의 주요제공기능♣ 소프트웨어 , 하드웨어 관리 및 통계기능 - 사용자 PC 의 소프트웨어 설치 현황에 대한 정보 제공 - 사용자 PC 의 CPU 사양 , RAM, HDD 의 논리 / 물리적 드라이브 개수 및 용량 , NIC - 세부 정보를 제공
♣ PMS 설치되지 않은 패치 파일 정보 제공 기능 - 설치되지 않은 패치 시스템 Patch 적용 , Patch 정보 - 상세 정보 제공 - 설치되지 않은 Patch PC 의 강제 Patch 기능 제공 - 패치의 분류 , 적용 제품 등 상세 정보 제공 - 설치되지 않은 Patch PC, network 제한 가능
NAC 의 주요제공기능♣ 중요 / 필수 소프트웨어 배포 기능
♣ 시스템 제약 기능
♣ (Router, Switch, Firewall, AP, Printer, Linux Server) 자동 감지기능
♣ 화면보호기 기능
♣ 연동 기능
NAC 의
취약점
NAC 의 취약점
비인가 단말기 탐지기능 취약점
- 가장 기본적인 취약점으로 허가되지 않은 PC 도 허가된 PC 의 IP 와 MAC 를 도용한다면 통신을 위한 접근이 허가된다는 것이다 . 즉 , 허가된 PC로 위장하는 것이라고 볼 수 있다 .
NAC 의 취약점
고정 ARP 를 통한 우회
- ARP 는 동적 (Dynamic) 방식과 고정 (Static) 방식으로 작동하는데 허가받지 않은 PC 의 IP 와 MAC를 인터넷 통신을 위한 게이트웨이의 IP 와 MAC 로 고정했을 경우 차단을 우회할 수 있다 . 게이트웨이 IP와 MAC 를 고정방식으로 적용하면 NAC 장비가 ARP 리스트를 수정하려고 해도 수정이 되지 않기 때문이다 .
NAC 의 취약점
IP 변조 및 ARP 캐시 포이즈닝을 통한 네트워크 마비
- ARP 를 이용한 방식은 IP 와 MAC 도용을 통해 내부 네트워크 침입을 허용할 뿐 아니라 반대로 다른 PC 들이 네트워크에 연결되지 않도록 할 수도 있다 . 즉 의도적으로 내부 네트워크를 마비시키는 공격도 가능하고 또한 , 공격자가 NAC 장비의 ARP 리스트를 바꾸는 ARP 캐시 포이즈닝 (ARP Cache Poisoning) 공격을 통해 일괄적으로 모든 IP 를 비인가 장비로 바꾸는 방식으로도 네트워크 마비가 가능하다
결론 .
기업 IT 환경은 언제 어디서나 접근할 수 있는 공개된 환경으로 급격히 변하고 있습니다 . 이러한 환경변화에 따라 현재의 IT보안정책은 획기적인 변화가 필요한 시점에 있습니다 . 새로운 환경에서는 새로운 대응 방법이 필요한데 . 이에 대한 희망적인 새로운 대안이 네트워크접근제어 (NAC) 보안체계입니다 . 그러나 , 현재 NAC 분야가 상당히 혼돈스러운 상황이어서 기업의 경우 구축하고자 할 경우 많은 고민을 갖게 되고 , NAC 제품 벤더들 또한 제품 개발 로드맵 설정 시 , 많은 고민을 갖고 있는 것이 사실입니다 . 따라서 NAC 을 구축하고자 하는 기업들은 도입 전에 NAC 적용 범위 , 적용 기능 , NAC 적용 정책 , 기존 인프라와의 통합방안에 대해 충분한 전략을 수립하고 기업환경과 동일한 상황에서 테스트를 수행한 후 도입하는 것이 필요 할 것으로 보입니다 .
감 사 합 니 다
