Embed Size (px)
Citation preview
802.1X & NETWORK DYNAMICS
Michael Min Choul Lee(IT Manager, Bethesda Medical Center - Uganda)
The Next Generation Network Design and Access Control차세대 정보보안을 위한 동적 네트워크
환경 구성과 접근통제
Let’s Talk!Part One
무엇을
고민하고 있나요?네트워크 또는 정보보안 업무를 수행하면서
고민했던 사항들을 털어놔봅시다.
저의 고민의 중심에는
IP주소관리가있었습니다.
IP주소관리잘하고있다고 생각하나요?
http://cdn2.hubspot.net/hub/344654/file-2512594106-jpg/iStock_000020730459XLarge.jpg?t=1426098313566
70% 그렇다.
30% 그렇지 않다.
전통적인네트워크를살펴보겠습니다.
4층
3층
2층
1층
Wireless LAN Controller
Backbone Switch
물리적 네트워크구성
Access Switch
Access Switch
Access Switch
Access SwitchAP
AP
AP
AP
Con
trol
1F2F3F4F
무선네트워크유선네트워크
VLAN 140172.16.140.0/24
VLAN 110172.16.110.0/24
VLAN 130172.16.130.0/24
VLAN 120172.16.120.0/24
SSID
: EM
PLO
YEE
VLAN
210
172.
16.2
10.0
/24
SSID
: G
UEST
VLAN
220
172.
16.2
20.0
/24
VLAN 구성
설계사상
유무선 네트워크특징무선네트워크유선네트워크
할당방법
사용목적
고정 IP주소할당(관리자지정)
내부업무시스템접속
동적 IP주소할당(DHCP)
인터넷서비스접속
인증절차 네트워크접속후사용자인증
사용자인증후네트워크접속허용
IP주소추척성 미인가사용자의네트워크접속차단
네트워크 연결 과정무선네트워크유선네트워크
정적 VLAN할당(건물/층)
IP주소할당(DHCP/Static)
네트워크접속제한(NAC)
사용자인증및헬스체크
네트워크연결허용
정적 VLAN할당(SSID)
Wi-Fi 접속사용자인증
IP주소할당(DHCP)
사용자인증및헬스체크
네트워크연결허용
어떤문제가있을까요?어떤
문제가있을까요?
경!직!성!q유무선 네트워크 분리구성
q VLAN 설계와 구성의 경직성
q IP주소 할당의 경직성
http://blog.creditreport.com/wp-content/uploads/2013/11/Preserving-Your-Credit-after-a-Natural-Disaster.jpg
이런상황이 닥치면…
IP주소 변경 관리와 단말기 사용자 관리IP주소 변경 관리와 단말기 사용자 관리
조직개편으로많은 직원이자리를옮기는데…
퇴직자사용 단말기의네트워크접속을차단하라는데…
BYOD도입을위해 접근통제를강화하라는데…
단말기실제 사용자를관리하라는데…
물리적네트워크 구성변경이필요한데…
Next Generation
Security
明暗사용자 기반 정책응용프로그램식별컨텐츠 식별
Are YouReady?
차세대 방화벽 도입 준비
“프로파일링”어떤 사용자가어떤 단말기를
어떤 IP주소를 사용하는가?
현재의 방법으로
확보 가능하다고
믿고있습니까?
The Road Not TakenRobert Lee Frost (1874-‐1963)
차세대에적합한차세대인프라가
필요하다
동적네트워크Part Two
동적 네트워크?q 정적네트워크
• 유형, 물리적장소와위치를기준으로네트워크세그먼트(VLAN)를 결정
• VLAN과 IP주소를고정으로할당
q 동적네트워크• 네트워크의유형에관계없이 업무의특성과, 사용자의역할에의해네트워크세그먼트를 설계
• 수행업무, 근무부서, 권한또는단말기유형같은사용자의조건에따라가변적으로 VLAN을할당
• VLAN에 따라 IP 주소도동적으로할당
네트워크 연결 과정유무선네트워크(구분불필요)
사용자인증
스위치포트접속허용
VLAN할당(Dynamic)
IP주소할당(DHCP)
권한별네트워크접근통제
사용자식별자 또는단말기주소기반인증 수행
네트워크연결을 위한스위치포트접속 허용
사용자권한에 따른접속 VLAN할당
DHCP를이용한고정 IP주소할당
액세스포트, 네트워크단위의접근통제 수행
네트워크 비교
구 분 정적네트워크 동적 네트워크
VLAN 설계 기준 공간(건물, 층)단위 업무,역할
VLAN 할당 방식 정적/수동/인증 전할당 동적/자동/인증 후할당
IP주소 할당 방식 정적/동적(DHCP) 동적(DHCP)
네트워크 분리 유무선 분리 운영 유무선 통합 운영
단말기 이동성 동일 VLAN으로 제한 자유로운 이동성 보장
SSID1F2F3F4F
유무선네트워크(구분불필요)VL
AN 1
1017
2.16
.110
.0/2
4인사팀
VLAN
120
172.
16.1
20.0
/24
총무팀
VLAN
130
172.
16.1
30.0
/24
기획팀
VLAN
140
172.
16.1
40.0
/24
홍보팀
VLAN
200
172.
16.2
00.0
/24
방문자
GUESTEMPLOYEE
동적 네트워크 설계
동적 네트워크 구현 방법
동적 VLAN 할당동적 IP주소할당
동적 네트워크 구현 방법
동적 VLAN 할당q VMPS(VLAN Membership Policy Server)
• VMPS에 해당단말기의맥주소와할당할 VLAN을 등록• 네트워크에접속한단말기의 맥(Mac)주소를 VMPS에서확인하고,등록된맥주소이면사전에등록한 VLAN할당
• 비교적간단한방법이지만, 맥주소와할당 VLAN을매번등록해주어야하는불편함이 있음.
q SNMP(Simple Network Management Protocol)• SNMP Trap 이벤트와 SNMP MIB(Management Information
Base)와 OID(Object Identifier)를이용하여개별스위치 포트에할당된 VLAN을 강제로변경
동적 네트워크 구현 방법
동적 VLAN 할당q IEEE 802.1X
• 사용자인증, 동적 VLAN 할당등을 포함한동적네트워크구현에필요한전체적인 프레임워크를제공
About 802.1XPart Three
IEEE 802.1X
q포트기반 네트워크 접근통제(Port based Network Access Control)
q 포트기반 인증(Port based Authentication)
q 2001년 최초표준화(이후 2004년, 2010년 개정)
802.1X에 대한 오해
무선전용이다.
인증시스템이다.
802.1X vs. NAC802.1X: 출입국관리사무소 NAC: 경찰
• 출입국관리사무소와경찰은 서로위치에서대한민국을지키는 역할을상호보완적으로 수행한다.
• 802.1X와NAC도네트워크접근통제에있어서 경쟁관계가아닌상호보완적이다.
http://www.desktopwallpaperhd.net/wallpapers/9/6/applause-hands-smoke-creative-91094.jpg
새로운
패러다임
802.1X는
요청자(Supplicant)
인증자(Authenticator)
인증서버(Authentication Server)
802.1X는 요청자, 인증자, 인증서버의 3요소로 구성된다.
구성요소
q인증(Authentication)
q인가(Authorization)
q과금(Accounting)
802.1X의 기능
인증(Authentication)
맥주소(1a:0f:3a:c1:22:bb)
User ID & PasswordCertificate
SIMOTP생체인식
…
사용자인증(User Authentication)
단말기인증(Device Authentication)
접근이 허가된 사용자 인지를 확인한다.
인가(Authorization)
네트워크연결허용
q 스위치포트에대한접근또는 AP에대한 Association허용
스위치포트제어를위한속성정보할당
q VLAN을스위치포트또는 SSID에 사전에할당하지않고, 단말기의
네트워크연결시점에사용자의 조건에따라가변적으로할당
q 네트워크접근통제리스트(ACLs)을 각각의스위치포트또는Association에가변적으로할당하여, 포트레벨에서 접근통제수행
허가된 권한에 따라 접속이 허용된 네트워크를 할당한다.
과금(Accounting)
사용자의네트워크사용정보기록(FreeRadius)
항목이름 내 용
username 802.1X 인증을통과한사용자 ID 또는단말기맥주소nasipaddress 사용자단말기가접속된스위치 IP주소
nasportid 스위치포트번호
nasporttype 스위치포트유형(Ethernet, Wireless-802.11 등)acctstarttime 단말기의스위치연결시작일시
acctstoptime 단말기의스위치연결종료일시
acctsessiontime 총연결시간(초)acctinputoctets 단말기에서스위치로입려된데이터용량(byte)
acctoutputoctets 스위치에서단말기로전송된데이터용량(byte)calledstationid 단말기가접속된스위치맥주소
callingstationid 단말기맥주소
요청자
802.1X 인증 절차인증자 인증서버
EAPOL StartEAP-Request Identity
EAP-Response Identity RADIUS Access Request
EAP Success RADIUS Access-Accept
EAPOL Logoff / Disconnect
Initiation
Authentication
Authorization
Termination
EAPOL RADIUS
MultipleChallenge-‐RequestExchangesPossible
RADIUS Access-ChallengeEAP-Request: TLS
EAP-Response: TLS Client HelloRADIUS Access Request
Port Unauthorized
Port Authorized
Port Unauthorized
802.1X의 비애
q 시대를잘못탔다.
q HW와 SW제조사의지원이없었다.• 네트워크제조사의지원은 Cisco가유일• Microsoft 윈도우 XP조차도 SP3(2008)부터지원시작
q 구축절차가복잡했다.• 단말기,스위치,인증서버간연계가필요• 가이드나도큐먼트가 부족했다
802.1X의 희망q 모든 HW와 SW제조사가지원한다.
• 거의모든네트워크장비에서 802.1X를지원• 거의모든운영체제에서 802.1X인증기능포함• 다양한솔루션출시(Cisco, Aruba, Juniper, 유넷시스템 등)• 상용솔루션뿐만아니라다양한오픈소스 제품이존재
q 해외에서는이미도입확대되고있음• 미국정부기관은 802.1X적용의무화추진(STIG)• 가트너조사결과 70%이상도입할것으로예측(2011년기준)
802.1X 적용 고려사항q 도입을위한명분필요
q DHCP 기반의 IP주소관리적용
q 사용자불편최소화
• 전사네트워크재구축수준의 노력이요구됨• 경영진의지지와후원을 확보해야함
• 서비스의성패는사용자의 만족도에의해좌우됨• 사용자가이드제작과배포,콜센터설치를 통한사용자지원
사례소개Part Four
사례 개요q 대상기관:인천 K연구소
q 구축기간: 2012.04 ~ 2013.04• IEEE 802.1X및 Radius이해: ~ 2012.12• 시스템설계및구축: ~ 2013.04
q 구축예산:약 10,000천원• 윈도우용프로파일배포 솔루션: 5,000천원• 인증서버 2대(이중화구성): 5,000천원
* 오픈소스사용과자체개발로 구축비용최소화
q 적용범위:전사유무선네트워크
구축 내용q 총 8개의시나리오로구성
11.. DHCP를 사용한 고정 IP주소 할당22.. IP주소 할당 이전에 사용자 인증 수행33.. 맥(Mac)주소 인증으로 사용자 인증 대체44.. 업무 특성에 따른 접근통제55.. 인사 변동에 따른 접근통제66.. 캡티브 포털을 통한 802.1X 프로파일 배포77.. 장기 미사용 단말기 인증 해제88.. 위치(연구소/기숙사)에 따른 접근통제
기숙사연구소
BackboneSwitch(NAS_BB)
인증 �DHCP 서버
AccessSwitch(NAS_BD_11F)
테스트용노트북
GatewaySwitchNAS_GW_2
AccessSwitch(NAS_BD_21F)
테스트용노트북
GatewaySwitch(NAS_GW_1) ISP A ISP B
물리적연결경로
데이터통신경로
802.1x 인증및 IP관리경로
서버팜스위치(행정/지원용)
서버팜스위치(연구용)
접근통제 정책
Switch(NAS_NEGO)
캡티브포털
시나리오 배경
네트워크 구성 개념도
시나리오 1.
DHCP를 사용한 고정 IP주소 할당백본 스위치 DHCP서버
액세스 스위치 무선 AP
부서: 행정부VLAN: 100
IP: 172.16.100.5
부서: 연구부VLAN: 110
IP: 172.16.110.5
부서: 정보부VLAN: 120
IP: 172.16.120.5
부서: 행정부VLAN: 100
IP: 172.16.100.15
부서: 연구부VLAN: 110
IP: 172.16.110.15
부서: 정보부VLAN: 120
IP: 172.16.120.15
• 사내에서는언제, 어디서나처음에할당받은 IP주소를지속적으로할당• 근무위치, 소속부서등의변경에따른 IP주소변경불필요
시나리오 1.
DHCP를 사용한 고정 IP주소 할당
DHCP서버
IP주소할당내역
dhcpd.conf
host hostname_001{
hardware ethernet 00:08:ca:ae:a5:07fixed-address 192.168.10.1
}
① IP주소 할당
②할당내역 기록
③환경설정변경
④ DHCP 서비스 재시작
시나리오 2.
IP주소 할당 이전에 사용자 인증 수행
백본 스위치
DHCP서버
액세스 스위치
인증서버
①②
③
④
⑤
⑥
①사용자인증정보요청②인증정보입력③인증서버에인증요청④인증결과통보및사용자에게배정된 VLAN 할당⑤ VLAN에할당된 IP 요청⑥ IP 할당
시나리오 2.
IP주소 할당 이전에 사용자 인증 수행
q 802.1X를적용하면끝!
802.1X사용자 인증
네트워크(VLAN) 할당
IP주소 할당
①단말기의맥(Mac) 주소요청②맥주소전송③인증서버에맥주소인증요청④인증결과통보및사용자에게지정된 VLAN 할당⑤ VLAN에할당된 IP주소요청⑥ IP 주소할당
시나리오 3.
Mac주소 인증으로 사용자 인증 대체
백본 스위치
DHCP서버
액세스 스위치
인증서버
①②
③
④
⑤
⑥
시나리오 3.
Mac주소 인증으로 사용자 인증 대체
q MAB(Mac Authentication Bypass) 활성화
q 인증우선순위조절• 사용자계정인증과 MAB의 순서를 자유롭게변경가능• MAC 주소인증을위해 MAB를 첫번째인증순서로설정
인증서버(Authentication Server)
(aa:bb:cc:dd:ee:ff)
①인증정보요청
② ID와 PW로Mac주소제공
③단말기인증
시나리오 4.
업무 특성에 따른 접근통제구분 행정시스템 연구시스템 네트워크장비 보안장비 인터넷
행정/지원부서 O X X X O
연구부서 O O X X O
유지관리업체 X X O O X
방문자 X X X X O
정보화부서 O O O O O
구분 네트워크장비 방화벽장비 NAC장비 DDoS 장비 NMS
네트워크업체 O X X X X
방화벽및 NAC X O O X X
DDoS 업체 X X X O X
NMS업체 O X X X O
유지보수업체의담당업무에따라VLAN을할당하고VLAN에따라네트워크및시스템접근정책차별
부서별로VLAN을다르게할당하고VLAN에따른네트워크및시스템접근정책적용
시나리오 4.
업무 특성에 따른 접근통제
ACL행정/지원부
서VLAN
연구부서VLAN
정보화부서VLAN
방문자VLAN
정보화부서VLAN
네트워크장비
VLAN
행정서버팜VLAN
연구서버팜VLAN
시나리오 5.
인사 변동에 따른 접근통제 -퇴직
백본 스위치
데이터분석시스템
액세스 스위치
행정정보시스템
근무중인연구원A씨의단말기 퇴직한연구원 B씨의단말기
퇴직자가사용하던모든단말기는퇴직처리후일정시간(1시간)이지나면네트워크접속을자동으로차단
시나리오 5.
인사 변동에 따른 접근통제 -퇴직
인사 DB 인증서버①퇴직자확인
퇴직자 :홍길동,강감찬
②네트워크연결차단(SNMP 명령활용)
User ID Card ID Mac Address NAS IP Port ID
50011 홍길동 b8:97:5a:36:0a:fa 172.16.10.11 23
50011 홍길동 e8:11:32:30:e9:6a 172.16.10.12 01
50034 강감찬 74:46:a0:ab:d2:20 172.16.10.11 37
50034 강감찬 a8:17:b4:c2:a3:82 172.16.10.12 01
시나리오 5.
인사 변동에 따른 접근통제 -부서변경
백본 스위치
데이터분석시스템
액세스 스위치
행정정보시스템
연구부서에근무하는A씨의단말기 행정부서에근무하는A씨의단말기
근무부서가변경되면,사전에정의된정책에의해사용자의시스템접근권한자동변경
부서변경
시나리오 6.
캡티브 포털을 통한 802.1X Profile배포
백본 스위치
DHCP서버
액세스 스위치
인증서버
①②
③
④
⑤
⑥
①사용자인증정보요청②인증정보입력③인증서버에인증요청④인증실패 VLAN할당⑤캡티브포털접속용 IP 주소할당요⑥캡티브포털접속용 IP주소할당⑦캡티브포털접속및프로파일설치
캡티브포털
운영체제별802.1X 인증환경구성프로파일배포
신규설치단말기
⑦
시나리오 7.
장기 미사용 단말기 인증 해제
백본 스위치
액세스 스위치
인증서버
①②
③④
⑤
①사용자인증정보요청②인증정보입력③인증서버에인증요청④장기미사용단말기여부판단및 VLAN결정• 과금(Accounting)정보의최종접속시간과현재접속시간을비교하여장기미사용여부판단
• 장기미사용단말기로판단되면,캡티브포털접속만허용되는 VLAN할당을결정
⑤장기미사용 VLAN할당• 해당단말기는관리자의승인이전까지정상적인네트워크접근차단장기미사용단말기
시나리오 8.
위치(연구소/기숙사)에 따른 접근통제ISP A ISP B
연구소
사용자단말기
기숙사
백본스위치
액세스스위치
게이트웨이 인증서버
DHCP 서버
액세스스위치
게이트웨이
연계스위치
[연구소에서접속할때]•VLAN ID : 100• IP : 172.16.100.10
[기숙사에서접속할때]•VLAN ID : 200• IP : 172.16.200.128
• 연구소, 기숙사에관계없이모든단말기는 802.1X인증을수행한다.• 기숙사에서는 ISP B를이용한인터넷접속만 가능하며,연구소접속은 불가능하
사용된 솔루션
대부분오픈소스를사용하여예산을절감하고시스템의유연성을향상시켰다.
구축 후효과q 사용자 IP주소관리(할당/회수)자동화
q 네트워크시스템접근통제자동화
q 액세스스위치환경설정관리효율화
q 미인가네트워크장치설치차단
q 전사단말기사용현황인지율향상
응용및결론Part Five
802.1X가 제공하는 것
• 단말기사용자 ID• 단말기 Mac & IP 주소• 단말기접속 네트워크(유/무선)• 단말기접속 위치(스위치관리 IP 주소와 포트번호)• 단말기설치 운영체제종류• 단말기의네트워크 연결및종료시간• 단말기의인/아웃바운드 트래픽용량
q 정보…
q 동적네트워크할당과접근제어…
응용은 광범위하게q 아이덴티티방화벽구성
q 단말기사용현황및위치시각화
q 응용시스템통제기반으로활용• 온라인의무교육 미이수자는온라인교육 이수시까지네트워크접속차단• 네트워크(VLAN)기반응용시스템권한설계및 적용
q BYOD유형별접근통제• 직급에따라 스마트폰,태블릿을사용한 네트워크및시스템접근제한
결론q 미국정부에서는…
보안기술구현가이드(Security Technical Implementation Guide, STIG)
의무적으로 802.1X를적용
• 802.1X도입이유에대한고민
• 미국의국방정보체계국(Defense Information System Agency, DISA)과국방부(Department of Defense, DOD)는보안기술구현가이드(Security Technical Implementation Guide, STIG)를통해모든정부기관의네트워크에는의무적으로 802.1X를적용하여미인가 IT 기기의네트워크접근을원천적으로차단하도록하고있음(http://www.stigviewer.com/stig/perimeter_l3_switch/2015-04-06/finding/V-5626)
• 802.1X도입이유에대한고민이필요한시점임
q 두개의무기…어떻게하시겠습니까?• 사용자프로파일
• 자유로운네트워크(VLAN) 변경과통제
• 사용자프로파일 : 사용자 ID, IP/Mac주소,단말기사용위치,운영체제종류등
• 자유로운네트워크(VLAN) 변경과통제
![[2014 CodeEngn Conference 11] 이경식 - 동적 추적 프레임워크를 이용한 OS X 바이너리 분석](https://img.pdfslide.tips/doc/110x75/55a253b41a28abcc758b483f/2014-codeengn-conference-11-os-x-.jpg)
