NAC의 정의와 어떻게 대응할 수 있는지? 왜 필요한가?
1. NAC 정의
- Network Access Control, 네트워크 접근제어
- 일련의 프로토콜들을 사용하여 엔드포인트(Endpoint)가 처음 내부 네트워크에 접근시도를 할 때, 기존 내부망에 피해를 끼치지 않도록 접속하는 엔드포인트에 일련의 보안 정책을 적용할 수 있도록 하는 컴퓨터 네트워킹 솔루션
=> 엔드포인트: 노트북, 컴퓨터, 스마트폰 등 네트워크에 접속하는 모든 유무선 단말을 일컫는다.
- 엔드포인트 자동 검역 과정(접근 허용하기 전에 보안정책을 따르지 않은 기기들을 검역)을 네트워크 시스템에 통합시켜서 라우터, 스위치 그리고 방화벽 같은 네트워크 기반 시설과 맞물려서 작동한다.
2. NAC의 주요 기능
- 접근 제어/인증: 네트워크의 모든 IP 기반 장치 접근 제어, 일반적으로 MAC 주소를 기반으로 수행된다. 네트워크에 접속하려는 사용자는 네트워크 접속에 사용할 시스템의 MAC 주소를 IP 관리 시스템의 관리자에게 알려줘야 한다.
- PC 및 네트워크 장치 통제(무결성 체크): 백신, 패치, 자산 관리(비인가 시스템 자동 검출)
- 해킹, 웜, 유해 트래픽 탐지 및 차단: 유해 트래픽 탐지 및 차단, 해킹 행위 차단, 완벽한 증거 수집 능력
3. NAC를 통한 사용자 인증 절차
4. 사용하는 이유
- Zero-Day Attack의 경감: NAC 솔루션의 가장 중요한 역할은 엔드포인트가 네트워크에 접근했을 때 네트워크 상의 엔드포인트가 새로 접근한 엔드포인트에 의해 바이러스에 감염되는 것을 막는 것
=> 제로데이 공격: 소프트웨어의 취약점을 공격하는 기술적 위협
- 정책의 강제화: NAC 솔루션은 네트워크 관리자들이 어떤 종류의 엔드포인트나 사용자들이 네트워크에 허용되는지 방침을 세우고 스위치, 라우터, 네트워크 중간 장비들로 구성된 네트워크에 정책을 강제화 할 수 있게 한다.
- 계정 및 접근관리: 옛날에는 IP 기준으로 통제를 했다면 NAC(네트워크 접근제어)는 IP 기준이 아니라 사용자를 기준으로 네트워크를 통제한다.
5. NAC 취약점
- 비인가 PC 탐지기능 취약점
- 고정 ARP를 통한 우회
- IP 변조 및 ARP Cache Poisoning
=> ARP Cache Poisoning: 목표 서버(같은 네트워크 단위)의 트래픽을 가로채기 위해 서버에 잘못된 MAC 주소 정보를 보내 해당 ARP Cache Table을 오염시키는 것으로 ARP 프로토콜의 내용의 검증을 확인하지 않는 프로토콜 자체의 취약점을 이용한 공격, ARP Spoofing을 하기 위한 선행 단계로 많이 사용
참고
https://blog.naver.com/medialand7/150170331853
'Security > Network' 카테고리의 다른 글
| [Network] TCP 와 UDP 정의 및 차이점 (413) | 2020.09.10 |
|---|---|
| [Network] DMZ(Demilitarized Zone) (270) | 2020.09.10 |
| [Network] IP Fragmentation(단편화) 정의 및 관련 취약점 (0) | 2020.09.10 |
| [Network] Ethernet/TCP/IP Header 구조 (436) | 2020.09.07 |
| [Network] Router IGP와 EGP(=> BGP+AS) (439) | 2020.09.07 |