Tech Tips and Training 27호

NAC Implementation Basics

클라이언트 보안 해결사 'NAC'

5대 보안 정책 준수 … 종단지점 보안 지킬 수 있어


원격 및 모바일 디바이스가 관리되지 않고 남겨질 경우 회사 네트워크가 바이러스나 기타 감염의 위협에 노출될 수 있다. 클라이언트 디바이스는 사용자가 회사 네트워크의 접속을 끊을 때 악성 코드를 가려내고, 공중 인터넷과 같은 '언트러스티드(untrusted)' 네트워크를 사용한 다음, 재접속을 할 수 있다.

이러한 위협으로 입을 수 있는 손실을 막기 위해서 기업은 클라이언트 디바이스, 즉 호스트가 네트워크로의 액세스를 확보하려 할 때 그 아이덴티티(identity)와 보안 상황(security posture)을 확인해야 한다. 시스코 NAC(Network Admission Control) 프레임워크는 바로 이러한 기능을 지원한다. NAC는 IEEE 802.1X 인증 프로토콜과 RADIUS(Remote Authentication Dial-in User Service) 등과 같은 전통적인 AAA(authentication, authorization, accounting) 네트워크 서비스를 기반으로 네트워크 호스트의 하드웨어 및 소프트웨어 구성이 조직의 보안 정책을 벗어나지 않게 보장해 준다. 시스코 라우터, 스위치, 무선 액세스 포인트, 혹은 VPN 컨센트레이터 등과 같은 NAD(network access device)는 호스트와 백엔드 AAA 서버간 인증자의 역할을 한다. 시스코 NAC 프레임워크에서는 AAA 서버가 시스코 ACS(Access Control Server)다.

바이러스, 웜 및 몰웨어(malware)로 인해 입는 위험 피해를 감안한다면, 누가 접속하는 것뿐만 아니라 무엇이 네트워크로 액세스를 시도하고 있는지 반드시 알아야 한다. 네트워크 관리자는 그룹 아이덴티티, 운영 시스템 정보, 클라이언트 보안 규정 세트, 안티바이러스 업데이트 및 패치 상태 등을 기반으로 폭넓은 보안 정책을 이용해 사람과 기계 모두로부터 위협을 경감시킬 수 있다.

시스코 NAC은 적절한 계획과 단계적 이행을 통해 알려진 취약성으로 인한 위협을 경감시키는 종단지점 보안 아키텍처를 제공한다.



보안 정책 수립이 선결 과제

하이 레벨에서는 보안 정책에 무엇을, 어디서, 언제, 어떻게, 그리고 누구에 대해 네트워크 액세스가 허용되거나 거부돼야 하는지가 포함 된다. 이러한 정책은 네트워크 액세스가 위치와 액세스 방식을 기준으로 허용이 되는지 여부와, 누가 인증되는지, 액세스 방식에 대해서는 어떤 태도가 필요한지, 그리고 이런 규정을 언제 적용시켜야 하는지 등을 결정한다. 하이 레벨 정책이 정해지고 나면 다시 앞으로 돌아가서 필수 운영시스템 핫 픽스, 애플리케이션 버전, 안티바이러스 서명 파일 버전, ACL(access control list) 및 VLAN(virtual LAN) 할당 등과 같은 세부 정책을 메꿔 넣어야 한다.

규모가 큰 조직에서는 정책의 서로 다른 영역에 대한 세부 사항들이 서로 다른 부서와 개인의 소관이 될 것이다. 조직이 얼마나 다기능적인지(cross-functional)에 따라, 단일 네트워크 액세스 정책, 개인에게 권한 부여, 이행에 대한 책임, 그리고 이행 방안 등에 대해 협의에 도달하는 데 있어 기술적인 이행보다도 정치적 문제가 더 크다는 사실을 깨닫게 된다.

모든 호스트가 시스코 트러스트 에이전트(Cisco Trust Agent)를 돌릴 때는 NAC 프로세스가 어렵지 않다. 시스코 트러스트 에이전트는 네트워크 사전 검색(challenge)을 기다린 다음, 로컬 NAC 호환 애플리케이션으로부터 보안 상황 정보를 수집하고, 이것을 상황 검증 서버(posture validation server)에 보고하는 클라이언트 소프트웨어다. 여기에는 IEEE 802.1X 서플리컨트(supplcant)가 있는데, 호스트에 이미 설치된 802.1X 서플리컨트를 이용하거나, 써드파티 업체의 서플리컨트를 이용할 수도 있다.

하지만 이런 소프트웨어가 존재하지 않을 때는 어떻게 될까? 네트워크 프린터, IP 전화, 임베디드 혹은 강화 운영 시스템이 있는 디바이스 그리고 개인용 방화벽이 지원되는 호스트 등에서 이런 일이 종종 발생한다. 시스코 트러스트 에이전트나 802.1X 서플리컨트가 없는 호스트는 NAC 수하에 응답을 할 수가 없다. NAC 프레임워크 안에서는 이들 디바이스 가운데 어떤 디바이스를 얼마만큼 갖고 있는지, 그리고 예외적인 경우에 이들을 어떻게 처리할 계획인지를 파악하고 있어야 한다.


격리 · 검역 정책 구사

시스코 IP 전화의 경우에는 디바이스 식별을 위해 시스코 IOS 소프트웨어에서 시스코 디스커버리 프로토콜(Cisco Discovery Protocol)을 사용해야 한다. 또한 디바이스의 MAC 혹은 IP 어드레스에 따라 디바이스를 구분하면서 허용된 디바이스의 화이트리스트와 제한된 장비의 블랙리스트를 만들 수도 있다. ACS는 어드레스를 미리 구성된 예외 목록과 비교해 보고, 적합한 권한 부여 그룹을 결정한다.

이러한 기능은 와일드카드에서도 사용될 수 있다. 다시 말해 전체 어드레스의 긴 목록을 유지할 필요 없이 OUI(organizationally unique identifier)라는 부분 어드레스(partial address)를 기반으로 액세스를 허용하거나 거부할 수 있다. 이러한 방식은 관리하기는 보다 수월하지만 비전문적이며, 따라서 보안성이 떨어진다. 예를 들어 외부인이 프린터 OUI를 발견하고, 그 OUI를 이용해 자신의 랩탑을 구성함으로써 프린터의 프로파일과 액세스 권한을 확보할 수 있다. OUI 방식은 MAC 스푸핑(spoofing)에는 여전히 취약하지만, 단순히 네트워크에 플러그를 꽂으려 시도하는 사람들에게는 보다 큰 장벽이 될 수 있다.

정적 MAC 목록을 사용하고 싶지 않다면 디바이스 유형을 검증하기 위해 취약성 평가 기술(vulnarerability assessment technologies)을 이용하는 감사 서버(audit server) 방식을 택할 수 있다. 어떤 방식을 택하든 에이전트리스 호스트는 문제가 된다는 사실을 명심해야 한다. 다양한 에이전트리스 디바이스 종류의 목록을 정리하고, 이들을 처리할 수 있는 전략을 개발하는 게 최선이다.

NAC의 목표는 정책을 따르는 즉, 건강한 사용자와 호스트를 정책을 따르지 않는 사용자와 호스트로부터 분리시키는 것이다. 비준수 호스트의 고립은 다른 호스트의 위험을 경감시키는 데 필수다. 네트워크 시행(enforcement)이 호스트에 가까울수록 건강하지 못한 호스트가 건강한 것을 감염시키지 못하도록 고립시키기가 더 좋다. 네트워크 검역 기술을 사용함으로써 비준수 호스트는 준수 상태가 되어 다시 생산성을 확보할 수 있다. 모든 네트워크 액세스를 거부하고, 컴퓨터 사용자를 무력한 상태로 빠뜨리는 것은 생산적이지 못한 태도다. 대신 위임(mandatory) 소프트웨어나 안티바이러스 및 패치 관리 서버를 이용한 자동 업데이트 기능이 포함된 사이트로 URL 방향조정(redirection)이 가능한 셀프 헬프(self-help)가 되도록 검역 기능을 만들어야 한다.


NAC용 보안 정책 샘플
어디서
누가
무엇을
언제
어떻게
전체
직원
윈도 XP SP2, 안티바이러스, 안티 스파이웨어, 패치
언제나
802.1X : 직원 VLAN
전체
직원
비준수
언제나
802.1X : 검역 VLAN
LAN
프린터
MAC 어드레스
언제나
MAC-Auth-Bypass : 프린터 서버만
WLAN
게스트
상관없다
오전7시~오후7시
게스트 핫스팟/인터넷 전용
전체
기타
상관없다
언제나
전체 기부
규정 수립 하이 레벨에서는 보안 정책에 무엇을, 어디서 , 언제, 어떻게 그리고 누구에 대해 네트워크 액세스가 허용되거나 거부돼야 하는지가 포함 된다.

자동 패치 · 치료 가능

이상적으로 볼 때는 대부분의 호스트가 자동 패치 관리 시스템을 이용함으로써 어떠한 네트워크 검역이든 그에 앞서 준수 상태를 잘 유지하고 있어야 한다. 이러한 업데이트 방식이 실패 하거나, 권한이 없는 사용자나 호스트가 액세스 확보를 시도할 때만 검역이나 완전한 액세스 거부가 정당화된다. 검역이 엄밀하게 얼마나 제한적이냐는 치료(remediation) 방안에 따라 달라진다. 호스트가 자가 치료식이기를 원한다면 어떤 서버와 네트워크 프로토콜이 치료 프로세스에서 사용될지를 파악해 검역 기간 동안 액세스를 허용해야 한다.

어떠한 성공적인 NAC 배치에서도 자동 패치 관리 시스템의 통합이 중요하다. 이것이 없으면 사용자로서는 왜 접속을 할 수 없는지, 그리고 자신들의 상황을 어떻게 개선할 수 있는지에 대해 전혀, 혹은 아무런 이해도 할 수 없기 때문이다. 소프트웨어 배포 전략에 따라, 패치 관리로 인해 한 묶음의 CD를 안은 지원 기술자의 방문을 받게 될 수도 있다. 아니면 웹사이트에 다운로드를 받을 수 있도록 필요한 모든 소프트웨어를 마련해 둘 수도 있다. 혹은 써드파티의 자동 패칭 에이전트와 서버를 선택하기도 한다.

무엇보다도 가장 효과적인 패치 관리는 검역에 의거해 즉각적으로 패치 다운로드를 트리거링함으로써 NAC 이행을 통합시키고, 사용자에게 무슨 일이 일어나고 있는지를 통보하며, 끝났을 때 네트워크에 경보 메시지를 보냄으로써 호스트가 재인증을 시도할 수 있게 하는 것이다. 이것은 검역에 소모하게 될 호스트와 그 사용자의 비생산적 시간을 최소화시킨다.


보안 검증 실행 방법

NAC L3 IP : AAA 보증서에 대한 수하가 EAP 오버 UDP 프로토콜을 이용해 라우터나 VPN 컨센트레이터와 같은 레이어 3 디바이스에서 발생한다.

NAC L2 802.1X : EAP-FAST 프로토콜을 이용해 IEEE 802.1X를 사용하는 레이어 2 접속 지점(스위치나 무선 액세스 포인트)에서 수하가 발생한다.

NAC L2 IP : IP를 통해 레이어 2 스위치에서 수하가 발생한다. 호스트는 DHCP(Dynamic Host Configuration Protocol) 어드레스를 할당받거나, 최초의 ARP(Address Resolution Protocol) 요청에 따라 EAP 오버 UDP를 이용해 수하를 받는다.


단계적으로 배치

NAC는 데스크탑, 서버, 네트워크 운영, 안티바이러스, 클라이언트 보안, 패치 관리 및 지원에 대한 책임을 진 다양한 그룹들간에 관리 및 기술 부문의 협업을 필요로 한다. 최소한 배치 이전에 아이덴티티나 상황, 혹은 그 둘 다를 점검하고 싶은지; 어떤 애플리케이션 상황 속성을 점검하고 싶은지; 시스코 ACS가 혼자서 모든 액세스 의사결정을 하는지, 아니면 애플리케이션 전용 서버에 어떤 것이 배포가 될 것인지 여부는 알고 있어야 한다. 이러한 지식을 통해 협업 작업을 스코핑(scoping)하고, 파일롯을 시작하기 전에 무엇이 배치돼야 하는지를 결정할 수 있다.

NAC의 기능을 작은 파일롯 환경에서 시작해 단계적으로 배치하라. 파일롯에서는 필수 컴포넌트와 사양이 문제없이 작동하고 있는지 확인할 수 있다. 원격 사무소와 VPN 사용자 접속 시도를 확인하기 위해 라우터나 VPN 컨센트레이터에서 간단한 NAC L3 IP 이행부터 시작하기를 선호하는 조직이 많다.

또 한 가지, 모니터링 전용 상태의 NAC로 모든 파일롯을 시작하는 방식을 추천하고 싶다. 이를 위해서는 NAC에서 모든 정책 의사결정이 풀 액세스를 허용하도록 할 필요가 있다. 이런 식으로 시작을 하면 프로세스의 기본적인 메카닉(mechanic) 작동이 보장된다. 즉, 모든 클라이언트에 시스코 트러스트 에이전트(Cisco Trust Agent)가 있고 예상되는 상황 정보를 ACS와 커뮤니케이팅할 수 있는지, 그리고 ACS가 다른 상황 검증 서버와 이야기를 나누고 있는지를 보장할 수 있다. 이를 통해 호스트로의 에이전트 배치가 성공했는지를 파악하고, 타이머 설정 및 로그의 확장 요건과 함축적 의미를 베이스라이닝할 수 있게 된다.

또한 예상치 못했던 다양한 네트워크 디바이스와 액세스 상황에 직면하게 될 것이다. 모니터링 기간 동안에 NAC 인증 결과를 분석함으로써, 이들을 드러내고 대안 정책이나 네트워크 액세스 정렬로 옮겨갈 수 있다. 이러한 트랜잭션에서 생겨난 로깅 정보는 지원팀용 장애관리 툴과 프로시저를 만드는 데 유용하며, 네트워크의 건강에 대한 효과적인 보고서를 만드는 데도 도움이 된다. 또한 로그의 상황 상태(posture status)는 매니지드 호스트가 새로운 패치 베이스라인을 얼마나 빨리 픽업하고 있는지를 확인하고, 그렇지 않은 것들을 하이라이팅해준다.

NAC 모니터링 전용 모드에 익숙해지는 수준이 되면 비준수 호스트에 대해 제한을 가하는 데 있어 어느 정도 자신감을 갖게 될 것이다. 네트워크 액세스 디바이스의 디폴트 네트워크 액세스 허가를 바꾸고, ACS에서 세션 기반의 권한 부여 정책을 변경하기만 하면 된다. 호스트는 종일 재인증을 하기 때문에 시행되는 NAC 상태로 각각 마이그레이팅된다.

각각의 NAC 파일롯을 통해 여기에 참여한 모든 보안 팀은 협업적인 보안 방식에 보다 자신감을 얻게 될 것이다. 그리고 궁극적으로는 NAC L2 IP와 NAC L2 802.1X를 전체 네트워크에 배치하고 처리할 수 있으며, 상황 정책의 수와 종류를 늘릴 수 있게 된다. 현재의 네트워크 상태와 규모에 따라 네트워크의 모든 에지 디바이스에서 NAC를 지원되는 데 일년 이상이 걸릴 수도 있다.

적절한 계획 작업과 단계적 이행을 통해 시스코 NAC은 알려진 취약성으로 인한 위협을 경감시키는 종단지점 보안 아키텍처를 제공할 수 있다. 간단한 보안 정책부터 시작해서 단계적인 확장을 통해 필요한 모든 사양과 구성요소를 포함시켜라. 새로운 위협들이 계속 등장할 것이며, 이에 따라 당신의 보안 정책도 계속 업그레이드 돼야 할 것이다.

THOMAS HOWARD
필자 토마스 하워드(THOMAS HOWARD)는 시스코의 시큐리티 테크놀로지 그룹 솔루션 엔지니어다. NAC 솔루션 설계자 가운데 한 사람인 하워드는 고객의 NAC 배치에 대해 교육과 지원을 담당하고 있다. 이메일 주소는 thomas@cisco.com이다.



추가자료




Packet 지난 호 보기